ЕК е открила проблем със законовите срокове за отговор при упражняването на правата на субектите на данни

През октомври и ноември миналата година е извършена текуща оценка на действията по въвеждане на Регламент (ЕС) 2016/679 на данните и на транспонирането на Директива (ЕС) 2016/680 относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпленията или изпълнението на наказания от страна на Европейската комисия –  Генерална дирекция „Правосъдие“

В отчета на КЗЛД за 2019 г. подробно се разказва за извършената в края на годината текуща оценка  от Генерална дирекция „Правосъдие“ на ЕК по въвеждане на GDPR и Директива (ЕС) 2016/680. Ето какво пише в документа:

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

 

Преглед на състоянието на националното законодателство в областта на защитата на личните данни

В началото на октомври 2019 г. чрез Постоянното представителство на Република България към Европейския съюз постъпва информация за провеждане на текуща оценка на действията по въвеждане на Регламент (ЕС) 2016/679 на данните и на транспонирането на Директива (ЕС) 2016/680 относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпленията или изпълнението на наказания от страна на Европейската комисия. В хода на тази оценка КЗЛД и всички заинтересовани национални институции (МВР, ИВСС) подсигуряват участие на експерти за провеждане на видеоконферентен разговор с експерти от Генерална дирекция „Правосъдие“, направление „Защита на личните данни“ към ЕК. За улеснение от страна на последните предварително са изпратени два въпросника, които покриват неизяснените според ЕК моменти относно въвеждането на Регламент (ЕС) 2016/679 и транспонирането на Директива (ЕС) 2016/680  в ЗЗЛД.

По съдържание двата въпросника обхващат въпроси относно независимостта на надзорния орган, процедурите по избор на членове на КЗЛД, правомощията по издаване на подзаконови нормативни актове. Поставени са и множество разнопосочни въпроси относно конкретното въвеждане на Регламент (ЕС) 2016/679  и транспонирането на Директива (ЕС) 2016/680, някои от които имат единствено за цел да изяснят дали експертите на ЕК правилно разбират и тълкуват националния ни закон. Именно правилното възприемане на волята на българския законодател се явява отправната точка за преценката дали българската държава е въвела по подходящ начин разпоредбите на Директива (ЕС) 2016/680 и/или е предприела мерки по прилагането на Регламент (ЕС) 2016/679.

Независимо от подробно представената в предварителен порядък информация и разяснения на българската страна по изпратените от ЕК въпросници на 23.11.2019 г. е проведен 8-часов конферентен разговор по изградената в КЗЛД видеоконферентна връзка. В хода на дискусията са констатирани някои несъответствия между националната регламентация и очакванията на ЕК. Обърнато е внимание на принципни положения, като напр. разширен териториален обхват на ЗЗЛД по линия на Регламент (ЕС) 2016/679  и Директива (ЕС) 2016/680, неясноти по отношение на обработването на данни за целите на архивирането и статистиката, липса на детайлна регламентация на законово ниво на правилата за номиниране и избор на надзорния орган. От принципен характер е и становището на ЕК, че не е целесъобразно правото на субектите на данни да подават жалба до КЗЛД да бъде ограничено със срок (с измененията и допълненията на ЗЗЛД срокът е двугодишен). Специално внимание по време на дискусията е обърнато на липсата на достатъчно осигуряване на дейностите на КЗЛД с човешки и финансови ресурси, което създава опасност за законово предвидената независимост на надзорния орган. Този въпрос се следи отблизо и от ЕКЗД.

На дискусия са поставени и въпроси от правнотехническо естество като напр. съдържанието на понятието „сертификат“ (за обучение и по линия на сертифициращите органи), преповтаряне или дублиране на дефиниции от Регламент (ЕС) 2016/679  в ЗЗЛД, липса на изрични препратки към Регламента. Отправена е критика към ниския праг на административнонаказателна отговорност по чл. 86 от ЗЗЛД (за други нарушения на този закон), като е изразено съмнение, че глоба или имуществена санкция в размер само до 5000 лв. обезсмисля на практика възпиращия характер на наказанието.

Редица въпроси, макар от правнотехнически характер, обаче оставят съмнение у представителите на ЕК относно правилното транспониране на европейските актове. Като пример може да се посочи избраната от законодателя техника, вместо да бъдат възпроизвеждани определенията от Директива (ЕС) 2016/680 за целите на глава 8 от ЗИДЗЗЛД, които са изцяло идентични с тези по Регламент (ЕС) 2016/679, да бъде направена само препратка към дефинициите на Регламента, които са с пряко приложение. Въпреки че избраният подход отразява специфична национална практика за препращане към вече действащи правила, а не просто преповтарянето им в различни правни актове, ЕК го възприема едновременно както като изрично повторение на норми от Регламент (ЕС) 2016/679, което е недопустимо, така и като липса на транспониране на същите норми от Директива (ЕС) 2016/680.

По отношение на транспонирането на Директива (ЕС) 2016/680 в хода на дискусията представителите на ЕК отбелязват базисно понятийно несъответствие между „публичен ред“ и „обществен ред“, както и разминаване между въведените с Директивата и със закона срокове за отговор при упражняването на правата на субектите на данни, както и липса на нарочни разпоредби в специалното законодателство по отношение ограничаване правата на субектите на данни. Отправена е критика и по отношение на правната техника за използване на двойни препратки в нормативния акт.

Най-съществената бележка по отношение на въвеждането на Директива (ЕС) 2016/680 е по линия на ограничаването на правата на субектите на данни. Европейската комисия подчертава, че такива ограничения са допустими само когато се предвидени в специален закон, който предвижда конкретните условия и ред за тяхното прилагане.

Очаква се резултатите от направения преглед в Република България и другите държави членки да бъдат официализирани в началото на май 2020 г., след като бъде проведен такъв с всички държави – членки на ЕС. При констатирани нарушения на правото на ЕС е възможно ЕК да препоръча изменения в законодателната рамка на държавите членки.

  1. Провеждане на национална информационно-разяснителна кампания на КЗЛД по новата правна рамка

При подготовка на информационно-разяснителната кампания постигането на максимален положителен резултат от нея е търсено чрез осъществяването на практическо партньорство между КЗЛД и различни публични и частни инициативи, което да доведе до извеждането на преден план на конкретни проблеми и въпроси както на местно, така и на транснационално ниво и на предлагането на общи решения, валидни за отделен сектор или по-общо за голяма група администратори и субекти на данните. Отчитайки дълбочината на промените и сложността на материята, независимо от ограничения си финансов и човешки ресурс през отчетния период КЗЛД е организирала над 25 отделни събития с над 1850 участници от публичния и частния сектор, академичните среди и неправителствения сектор.

КЗЛД е съорганизатор на два международни форума:

  • На 11 октомври 2019 г. в София Тех Парк се състои международен форум „Кибер политики”. Събитието е организирано от Международния правен център – ILAC, съвместно с КЗЛД. Това е първото събитие от подобен ранг в България, обхващащо всички аспекти на работата с лични данни в дигитална среда. Целта му е да се обсъдят професионално пресечните точки между защитата на личните данни и дигиталната среда – киберсигурност, изкуствен интелект, е-здравеопазване, както и авторско право в онлайн среда. Присъстват над 220 експерти в сферата на защитата на личните данни и дигиталните въпроси от редица държави – България, САЩ, Ирландия, Естония, Сингапур.
  • На 29 ноември 2019 г. в София се провежда международна конференция на тема „Предизвикателствата пред малките и средните предприятия при прилагането на GDPR”. Събитието е организирано в рамките на проект SMEDATA, по който си партнират КЗЛД, АПИС – Европа, Съюзът на юристите в България, адвокатско дружество „Ърнст и Янг България”, Европейската асоциация на жените юристи – клон България, италианският надзорен орган по защита на данните и римският университет „Рома Тре”. Конференцията събира на едно място над 180 представители на Европейската комисия, национални надзорни органи по защита на данните на държави – членки на ЕС, частния бизнес, неправителствения сектор и академичните среди, които представят съвременните предизвикателства и обсъждат различни технологични и управленски решения за подпомагане на малките и средните предприятия (МСП) при осигуряването на съответствие с Регламент (ЕС) 2016/679.

През отчетния период е изготвена информационна брошура, чиято цел е разясняване на ключови въпроси по прилагането на Регламента. Брошурата е озаглавена „Нови моменти относно правото на защита на личните данни на физическите лица съгласно Регламент (ЕС) 2016/679, GDPR“. Брошурата е достъпна в електронен вариант на институционалната интернет страница на КЗЛД и на хартия и се разпространява както в сградата на КЗЛД, така на събития с участието на КЗЛД.

VII. Участие на КЗЛД в механизмите за съгласуваност и сътрудничество в рамките на Европейския комитет за защита на данните – обща информация и статистика

  1. Участие в заседанията на ЕКЗД и на експертните подгрупи към него

Европейският комитет по защита на личните данни (ЕКЗД) е органът на ЕС, създаден с Регламент (ЕС) 2016/679, който отговаря за еднаквото прилагане на Регламента във всички държави – членки на ЕС. В хода на работата на ЕКЗД през 2019 г., както на ниво представителство в ЕКЗД (председател или член на КЗЛД), така и чрез работата на експерти от администрацията на КЗЛД в експертни подгрупи към същия комитет е допринесено за изготвянето, обсъждането и в последна сметка приемането на редица документи. Резултат от дейността на ЕКЗД през 2019 г. след обществено обсъждане са следните документи:

  • Насоки 4/2019 относно чл. 25 – защита на данните по подразбиране и на етапа на проектирането;
  • Насоки 3/2019 относно обработването на лични данни чрез видеонаблюдение;
  • Препоръки 01/2019 относно списъка с операции на Европейския надзорен орган по защита на данните за обработване на данни, за които се изисква оценка на въздействието (чл. 39, ал. 4 от Регламент 2018/1725);
  • Насоки 4/2018 за акредитирането на сертифициращи органи по чл. 43 от Общия регламент;
  • Насоки 1/2019 за кодекси за поведение и органи за наблюдение по Регламент (ЕС) 2016/679.

КЗЛД продължава текущо да оповестява уведомленията за нарушаване на сигурността на данните, получени в националните надзорни органи, като в следващите отчетни периоди тази информация ще послужи за осъществяването на задълбочен анализ и предложение за конкретни мерки, които следва да бъдат предприети на национално ниво и в сътрудничество между органите по защита на данните на държавите – членки на ЕС.

За пръв път в практиката на КЗЛД е приложено правомощието ѝ по чл. 46, §3, б. „б“ от Регламент (ЕС) 2016/679 и е разрешено осъществяване на трансфер на лични данни чрез прилагане на подходящи гаранции, предвидени в административна договореност между публични органи. В случая тя е сключена на ниво Комисията за финансов надзор, Европейския орган за ценни книжа и пазари (ESMA) и Международната организация на комисиите по ценни книжа (IOSCO), т.е. между финансовите надзорни органи на Европейската икономическа общност и други (трети) държави от Групата IOSCO.

  1. Обмен на информация през информационната система на вътрешния пазар

Информационната система на вътрешния пазар (ИСВП) е сигурно, многоезично средство, което надзорните органи по защита на данните използват за онлайн обмен на информация по въпроси от тяхна компетентност. Към 31.12.2019 г. в регистъра на случаите, поддържан в ИСВП, е имало 807 случая на трансгранично сътрудничество, като:

  • 575 са инициирани в резултат на получени жалби;
  • 232 други случаи като разследвания и инициативи на национален надзорен орган, правно задължение, медийни доклади и др.

В резултат на гореспоменатите случаи са започнати действия, както следва:

  • 115 са процедурите по сътрудничество за отчетния период, докато общият им брой от началото на функциониране на системата е 2427;
  • 142 процедури, базирани на обслужване от едно гише (чл. 60), от които по 77 има изготвено окончателно решение;
  • 65 искания за разглеждане на случая като национален (местен) по чл. 56, §2;
  • процедури за съгласуваност: 48 процедури по чл. 64 от Регламента.

В допълнение общият брой на започнатите процедури за идентифициране на водещ и заинтересовани органи за защита на данните е 1346, от които 143 са текущи, а 1203 – приключени.

През 2019 г. българският надзорен орган се е конституирал като водещ надзорен орган по три случая. Два са свързани изпращането на непоискани съобщения от страна на администратора на потребители, а последният – с предполагаема кражба на самоличност.

КЗЛД е била засегнат надзорен орган по общо четири случая, тъй като е възникнало обосновано предположение, че могат да бъдат засегнати правата на български граждани.

Българският надзорен орган е бил адресат на тридесет и една процедури по взаимопомощ, като в тези случаи е предоставено становище по казуси, имащи най-разнообразен характер.

По-интересни случаи:

  • Получаване на непоискани рекламни съобщения от физически лица от фирми, които се намират в офшорни зони с допълнителен адрес в страна – членка на ЕС, в това число и извършване на телефонен маркетинг. Установено е, че са използвани номера от страна – членка на ЕС, която не е свързана с адреса на регистрация на фирмата в ЕС. По подобни случаи България е била както засегнат орган, така и водещ надзорен орган при констатирана регистрация на администратора на българска територия.
  • В КЗЛД са постъпили няколко жалби, свързани с невъзможност за упражняване на правата на физическите лица в качеството им на притежатели на профил в Гугъл и/или засегнати от материали, качени чрез препращане в Гугъл. В случаите, когато права на физическите лица са засегнати от качени материали в Гугъл, КЗЛД следва да се обръща за съдействие директно към централата в САЩ. Причината за това е, че по отношение на търсачката съществува договорена споделена компетентност при въпроси относно нарушаване на разпоредбите за защита на данните между ирландския надзорен орган и длъжностното лице по защита на данните на централата в САЩ. По отношение на лицата, имащи профил и ползващи услуги на Гугъл, при нарушение на техните права и отказ за съдействие от страна на Гугъл, компетентен е ирландският орган за защита на данните поради факта, че там се намира централният офис за Европа.
  • Трябва да бъде споменат и интересен въпрос, които постъпва в КЗЛД по линия на чл. 61 от ОРЗД. Изпратен е от надзорния орган на Кипър и е свързан със система, която е широкоизползвана от тамошните компании – The Bradford Factor or the Bradford Formula, която измерва отсъствията на всеки служител. В системата се въвежда следната информация: имена, идентификационен номер, дата на болничен и неговата продължителност. Същността на системата е, че краткотрайни, чести и непланирани отсъствия се отразяват много повече на работния процес, отколкото дълготрайните такива. Предложена е и математическата формула, по която се извършват тези изчисления.

След съгласуване с ЕКЗД и отчитане на неговото становище КЗЛД приема и публикува на своята интернет страница списък с операции по обработване на данни, за които се изисква извършване на оценка на въздействие върху защитата на личните данни съгласно чл. 35, §4 от Регламент (ЕС) 2016/679.

Макар и да не е регламентирана правно чрез изрични разпоредби в Регламента, свързани със сътрудничеството, заслужено внимание следва да бъде обърнато на редакторската функция на КЗЛД по отношение на съдържанието на всички документи, преминали първоначален превод на български език и имащи значение за всички страни членки. В резултат на тази дейност българските граждани имат възможност своевременно да се запознаят с текста на съответния документ на български език, което спомага за тяхното по-добро информиране и правилно разбиране на приетите документи на ЕКЗД, които са от значение за всички заинтересовани лица в сферата на защитата на личните данни и неприкосновеността.

В тази връзка следва да се отбележи, че през 2019 г. КЗЛД редактира и българската версия на Наръчника по европейско право в областта на защитата на личните данни, издаден от Агенцията на Европейския съюз за основни права.

 

Можете да споделите: