Защо няма окончателно одобрен и регистриран кодекс за поведение по GDPR?

През 2019 г. в КЗЛД постъпват 3 проекта на кодекси за поведение по смисъла на чл. 40 от Регламент (ЕС) 2016/679

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

Становища по проекти на кодекси за поведение – статистика и анализ

Кодексите за поведение са нов инструмент за отчетност в национален план. Тяхната цел е да улеснят ефективното прилагане на Регламент (ЕС) 2016/679, като се вземат предвид особеностите на обработването на данни в определени сектори и специфичните потребности на микропредприятията и малките и средните предприятия. Кодексите са подходящ механизъм за гарантирано съгласувано прилагане на Регламента от АЛД/ОЛД, които принадлежат към един и същ сектор или бранш.

В ПДКЗЛДНА подробно са уредени редът и условията, по които се разглеждат кодексите за поведение. Когато искането за одобряване на проект на кодекс е редовно, проектът се анализира от гледна точка на неговата допустимост, респ. следва да бъде разгледан по същество съобразно предвидените в чл. 66 на ПДКЗЛДНА критерии.

През 2019 г. в КЗЛД постъпват 3 проекта на кодекси за поведение по смисъла на чл. 40 от Регламент (ЕС) 2016/679, като КЗЛД се е произнесла и с 3 становища (едно принципно и основополагащо становище от февруари 2019 г. и две становища по допустимост в третото тримесечие на 2019 г.). За сведение през 2018 г. депозираните проекти на кодекси са 11.

В комуникацията си с вносителите на кодекси и с обществеността като цяло КЗЛД е имала възможност да обърне внимание, че е необходимо да се отчита променената правна рамка (влизането в сила на ПДКЗЛДНА през 2019 г.), както и нейното предстоящо доразвитие (на основание чл.14а, ал. 3 от ЗЗЛД КЗЛД следва да приеме Наредба за реда за акредитация и отнемане на акредитация на органи за наблюдение на кодекс на поведение). Тук следва да се отбележи, че наличието на акредитиран орган по наблюдение е задължително условие (conditio sine qua non) за окончателното одобрение на кодекс на поведение на непублични АЛД или ОЛД. Това е и една от основните причини към настоящия момент да няма окончателно одобрен и регистриран кодекс за поведение.

Доколкото надзорните органи трябва да осигурят единното и съгласувано прилагане на Регламент (ЕС) 2016/679 е важно е да се отбележи, че през отчетния период Европейският комитет по защита на данните приема основополагащите Насоки 1/2019 относно кодексите за поведение и органите за наблюдение съгласно Регламент (ЕС) 2016/679, които имат за цел да дадат разяснение по приложението на този нов инструмент за отчетност, въведен за пръв път на общоевропейско ниво с Регламента. Същите следва да се отчитат в бъдещата практика на надзорните органи.

 

  1. ОТЧЕТ ПО ПРИЛАГАНЕТО НА НОВАТА ПРАВНА РАМКА НА ЕС В ОБЛАСТТА НА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ: РЕГЛАМЕНТ (ЕС) 2016/679 И ДИРЕКТИВА (ЕС) 2016/680
  2. Приемане на Закона за изменение и допълнение на Закона за защита на личните данни

Законът за изменение и допълнение на Закона за защита на личните данни (ЗИДЗЗЛД) е обнародван в Държавен вестник, брой 17 от 26 февруари 2019 г. Поради сериозността на реформата за защита на личните данни депозирането на ЗИДЗЗЛД в Народното събрание е предшествано от широка информационно-разяснителна кампания с над 70 срещи, обучения и разяснения с различни целеви групи, в които са взели участие над 4500 заинтересовани страни – предимно администратори. Основен елемент от формулираните изменения и допълнения в ЗЗЛД са както разписването на мерки по изпълнението на Регламент (ЕС) 2016/679, така и транспонирането на Директива (ЕС) 2016/680 относно обработването на лични данни в полицейската и наказателната дейност. Въпреки че по правило Регламентът има пряко действие и не се налага въвеждане на нормите му в националното законодателство, националният законодател е отчел, че Регламент (ЕС) 2016/679 има и елементи на директива. Затова със ЗИДЗЗЛД в частта, с която се въвеждат мерки по изпълнение на Регламента, се регламентират както въпросите, по които той е оставил свобода на държавите членки да преценят дали и до каква степен да уредят определен въпрос, така и въпросите, които изискват изрично въвеждане на законодателни мерки на национално ниво.

Съществено нововъведение в правната рамка е създаването на „специализиран“ надзор по обработването на лични данни при спазването на Регламент (ЕС) 2016/679, на същия закон и на нормативните актове в областта на защитата на личните данни при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт и от прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания посредством изменение в глава 3 от ЗЗЛД. Възможността за изваждането на този надзор от компетенциите на основния надзорен орган, в случая КЗЛД, е предвидена от Европейския законодател като задължение за държавите членки. Така посредством разпоредбите на чл. 17 до 21 от ЗЗЛД е отчетена спецификата при разделението на властите и функционалните правомощия на съответните компетентни органи на национално ниво.

Същевременно ЗЗЛД транспонира Директива (ЕС) 2016/680 относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни и за отмяна на Рамково решение 2008/977/ПВР на Съвета. Тази правна техника е предпочетена с цел правна икономия, като се избягва фрагментирането на текстове по тип приложими дейности за обработване (общ случай спрямо дейности по разследване, разкриване и наказателно преследване на престъпления). По този начин в глава 8 от ЗЗЛД са въведени изискванията на директивата по отношение на:

  • общи принципи за обработване за посочените цели;
  • права на субекта на данни;
  • администратор на лични данни и обработващ лични данни;
  • предаване на лични данни на трети държави или международни организации;
  • надзор за спазване на правилата за защита на личните данни. Средства за правна защита.

Така зададената структура на транспониране покрива всички изисквания на Директивата, като гарантира аналогичен и адаптиран спрямо Регламента подход по отношение на тези дейности по обработване на лични данни.

 

  1. Нов Правилник за дейността на КЗЛД и на нейната администрация

В изпълнение на една от основните цели за дейността на КЗЛД новият Правилник за дейността на Комисията за защита на личните данни и на нейната администрация е обнародван в ДВ, бр. 60 от 30 юли 2019 г. и е в сила от същата дата.

В структурно отношение ПДКЗЛДНА следва измененията в законовата рамка – Регламент (ЕС) 2016/679 и ЗЗЛД, като, от една страна, отговаря структурно на новите изисквания, а от друга, регламентира функционално новите и изменените правомощия на надзорния орган. Доколкото устройството и формирането на състава на КЗЛД са оставени в основната си част на дискрецията на националния законодател, то те не са предмет на регламентация с новия ПДКЗЛДНА.

С цел оптимизиране на организационно-щатната структура на администрацията на КЗЛД по начин, който да отговаря на новите задачи и правомощия на Комисията, през 2019 г. е извършена структурна реформа. Създадена е нова дирекция „Правноаналитична, информационна и контролна дейност”, на която са вменени редица несъществуващи до 25 май 2018 г. задължения като прилагането на корективните правомощия на КЗЛД по чл. 58, §2, буква „д” и „з” от Регламент (ЕС) 2016/679 и изготвянето на становища относно:

  • одобряване на кодекси за поведение;
  • акредитиране на органи за наблюдение на кодекси за поведение;
  • акредитиране на сертифициращи органи.

В рамките на съществуващите други две дирекции от специализираната администрация („Правни производства и надзор“, „Правнонормативна и международна дейност“) са доразвити и въведени нови правомощия като изготвянето на проекти на решения за приемане на стандартни договорни клаузи, посочени в чл. 28, §8 и чл. 46, §2, буква „г” от Регламента, на разрешения за прилагане на договорни клаузи и разпоредбите, посочени в чл. 46, §3 от Регламента, на решения за одобряване на задължителни фирмени правила съгласно чл. 47 от Регламента и съответно предлагането на КЗЛД на прилагане на мерките по чл. 58, §2, буква „а” – „г”, „е”, „ж”, „и” и „й” от Регламента по чл. 80, ал. 1, т. 3, 4 и 5 или глава 9 от ЗЗЛД при разглеждане на жалби, осъществяването на правомощията на КЗЛД за разследване по чл. 58, §1, буква „а“, „б“, „г“, „д“ и „е“ от Регламента и предлагането на КЗЛД на прилагане на мерките по чл. 58, §2, буква „а“ – „г”, „е”, „ж”, „и” и „й” от Регламента по чл. 80, ал. 1, т. 3, 4 и 5 или глава 9 от ЗЗЛД по линия на контролната дейност.

В изпълнение на горните функционални изменения в ПДКЗЛДНА са въведени нов ред, по който се развиват производствата, нов ред за разглеждане на жалби по реда на чл. 39 от ЗЗЛД и сигнали, включително по механизма за сътрудничество с други надзорни органи, както и нов ред за прилагане на мерките по чл. 58, §2 от Регламент (ЕС) 2016/679  и чл. 80, ал. 1, т. 3, 4 и 5 и глава 9 от ЗЗЛД.

Същевременно изискванията спрямо процедурите по изразяване на становища от КЗЛД са осъвременени съгласно изискванията на Регламент (ЕС) 2016/679, като е допълнен и ред за провеждане на предварителни консултации по чл. 36 от Регламента. Не на последно място с новия правилник е разписан изцяло нов ред за разглеждане на уведомления за нарушения на сигурността на личните данни.

Като важен фокус в тази нова нормативна рамка е зададен принципът за сътрудничество с надзорни органи на други държави – членки на ЕС – елемент от новата философия на Регламент (ЕС) 2016/679, – принципите за сътрудничество и взаимопомощ и механизмът за съгласуваност между отделните надзорни органи намират процедурното си отражение в раздел IX на Правилника. Друг акцент в дейността на КЗЛД е поставен по отношение на провеждането на обучения съгласно чл. 10, ал. 2, т. 6 от ЗЗЛД, които се инициират както по искане на заинтересовани лица, така и по инициатива на самата Комисия, което гарантира проактивен подход на провеждането им.

Като цяло подходът, избран в разработването на ПДКЗЛДНА, е за покриване на всички аспекти на дейност, вменени на КЗЛД по силата на Регламент (ЕС) 2016/679 или ЗЗЛД, като се търси максимален баланс между превантивни, корективни и санкционни правомощия с ясен фокус върху разяснителната и обучителната дейност на институцията в контекста на натрупания и развиващия се опит в международното сътрудничество (както двустранно, така и многостранно).

 

  1. Конституционно дело 4/2019 г.

С Определение на Конституционния съд от 18.06.2019 г. КЗЛД е конституирана като заинтересована институция по к.д. №4 от 2019 г. Със същото определение Конституционният съд е приел да разгледа по същество искането на петдесет и пет народни представители от 44-тото Народно събрание за установяване на противоконституционност на разпоредбата на чл.25з, ал.2 от ЗЗЛД (създаден с §26 от ЗИДЗЗЛД, обн. ДВ, бр. 17 от 26 февруари 2019 г.), както и за произнасяне относно съответствието на същата законова разпоредба с общопризнати норми на международното право и с международните договори, по които Република България е страна. В качество си на заинтересована институция и на основание чл. 58, §3, б. „б“ от Регламент (ЕС) 2016/679 КЗЛД изразява мотивирано становище по повдигнатите въпроси за противоконституционност.

Основната застъпена теза в него е, че чл. 85 от Регламента допуска националното законодателство да предвиди определени облекчения и изключения от императивните му норми с цел отчитане на спецификата на журналистическата дейност и постигане на баланс между две основни права (правото на защита на личните данни и свободата на изразяване и информация), като същевременно задължава държавите членки да съгласуват със закон правото на защита на личните данни с правото на свобода на изразяване и информация, вкл. обработването на данни за журналистически цели и за целите на академичното, художественото или литературното изразяване.

Затова с цел да се избегне колизията между тези права и да се осигури баланс между тях с нормата на чл. 25з от ЗЗЛД са предложени критерии, въз основа на които да се прави обективна преценка за всеки конкретен случай. Тези критерии са формулирани въз основа на трайната съдебна практика на двете най-висши съдилища в Европа и Конституционния съд на Република България. Критериите дават яснота, прозрачност, предвидимост и правна сигурност на адресатите на нормата, които са всички заинтересовани страни – журналисти, изследователи, медии, надзорен орган, съд и субекти на данни. Същите тези критерии се прилагат не във всички действия по обработване, а само при публично разкриване и разпространение на личните данни. Съгласно чл. 25з от ЗЗЛД адресатите на нормата, в частност журналисти, изследователи и медии, имат пълната свобода да събират всякаква информация, отнасяща се към конкретно физическо лице – обект на журналистически, академичен или литературен интерес, но преди информацията да бъде разкрита под формата на конкретно разследване, статия, коментар, анализ и др., е необходимо да бъде извършена преценка на баланса между двете права.

В становището са развити и обосновани основните принципи, изведени от практиката на ЕСПЧ – Решения на Голяма камара от 7 февруари 2012 г. по дело Von Hannover/Германия, № 40660/08 и 60641/08 и Axel Springer AG/Германия, № 39954/08, и въведени с нормата на чл. 25з, ал. 2 от ЗЗЛД.

Позицията на КЗЛД е подкрепена от становищата на Върховния административен съд, Министерския съвет на Република България, фондация „Български адвокати за правата на човека“, фондация „Национален съвет за журналистическа етика“ и сдружение „Асоциация за защита на личните данни“.

Със свое Решение №8 от 15.11.2019 г. по к.д. №4/2019 г. Конституционният съд на Република България обявява за противоконституционна разпоредбата на чл.25з, ал.2 от ЗЗЛД (създаден с §26 от ЗИД на ЗЗЛД, обн. ДВ, бр. 17 от 26 февруари 2019 г.). Важно е да се отбележи, че същото решение не е прието единодушно и в изключително аргументирано особено мнение на съдиите Анастас Анастасов, Гроздан Илиев, Павлина Панова (ad hoc съдия в ЕСПЧ) и Красимир Влахов са приети изцяло аргументите, изложени както към ЗИДЗЗЛД, така и в становището на КЗЛД по посоченото дело.

 

  1. Получени в КЗЛД уведомления от АЛД и ОЛД, определили длъжностни лица по защита на данните

Длъжностното лице по защита на данните е нова фигура съгласно Регламент (ЕС) 2016/679. На основание чл. 37 от Регламент (ЕС) 2016/679 АЛД и ОЛД определят ДЛЗД, публикуват данните за контакт с длъжностното лице и ги съобщават на надзорния орган.

С прилагането на Регламент (ЕС) 2016/679  АЛД и ОЛД са задължени да определят ДЛЗД при всички случаи, когато:

  • обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции (40% от общо подадени уведомления за отчетния период);
  • основните дейности на АЛД или ОЛД се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни (30% от общо подадени уведомления за календарната година);
  • основните дейности на АЛД или ОЛД се състоят в мащабно обработване на специалните категории данни съгласно чл. 9 и на лични данни, свързани с присъди и нарушения, по чл. 10 от Регламент (ЕС) 2016/679 (9% от общо подадени уведомления за календарната година).

Извън гореизброените хипотези, при които определянето на ДЛЗД е задължително, всеки АЛД или ОЛД може по своя преценка да определи такъв служител. От тази възможност са се възползвали 21% от администраторите, подали уведомления за определяне на ДЛЗД през 2019 г.

През отчетния период 1208 АЛД или ОЛД са подали уведомления до КЗЛД за определено ДЛЗД.

АЛД или ОЛД, уведомили КЗЛД за определено длъжностно лице
по защита на данните в зависимост от правното основание

Фиг. 10

 

Можете да споделите: