Какво е отговорила на Сотир Цацаров Комисията за защита на личните данни?

КПКОНПИ ще трябва да преразгледа практиката си и да не публикува имената на нарушителите преди влизането в сила на подлежащите на вписване в регистъра актове

Ето становището на Комисията за защита на личните данни в отговор на въпроса на Сотир Цацаров:

Становище

НА

КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

рег. № П НМД-01-125 (20)/2021 год.

гр. София, 01.02.2021 г.

ОТНОСНО: разкриване и обществено оповестяване на лични данни в публичен регистър за съставените актове за установяване на административни нарушения и за влизане в сила на наказателни постановления по чл. 169, ал. 1, т. 3 от Закона за противодействие на корупцията и отнемане на незаконно придобито имущество.

Комисията за защита на личните данни (КЗЛД) в състав: председател – Венцислав Караджов и членове Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 20.01.2021 г., разгледа искане с вх. № ПНМД-01-125/16.12.2020 г., подадено от председателя на Комисията за противодействие на корупцията и за отнемане на незаконно придобито имущество (КПКОНПИ), с което информира, че по повод привеждане в съответствие с изискванията на Регламент (ЕС) 2016/679 – Общ регламент относно защитата на лични данни, са възникнали въпроси във връзка с воденето и поддържането на електронен публичен регистър по чл. 169, ал. 1, т. 3 от Закона за противодействие на корупцията и отнемане на незаконно придобито имущество (ЗПКОНПИ) на съставените актове за установяване на административни нарушения и на влизане в сила на наказателни постановления.

Искането за становище е свързано с изискванията на Правилника за устройството и дейността на КПКОНПИ (чл. 156, ал. 4 от него), който предвижда изчерпателно съдържание на публичния регистър по чл. 169, ал. 1, т. 3 от ЗПКОНПИ, като се уточнява, че по смисъла на същия закон всяко лице има право на достъп до данните от електронния публичен регистър при спазване на Закона за защита на личните данни и че всяко лице има право да получава информация, свързана с данните от регистрите, по реда на Закона за достъп до обществена информация. Моли се, доколкото воденето на публичен регистър представлява действие по обработване на лични данни, което следва да съответства на изискванията на Регламент (ЕС) 2016/679 – Общ регламент относно защитата на данните (Регламентът), за становище до колко разширеното съдържание на регистъра, в това число името и длъжността на наказаното физическо лице, не би оказало негативно влияние върху неприкосновеността на личния живот на субектите на данни. Подчертава се, че при преценката дали това не би накърнило правата на субектите и дали такова обработване би било необходимо и пропорционално, следва да се съобрази и балансът между публичността на информацията и личната неприкосновеност, както и обстоятелството, че лицата, заемащи длъжности по чл. 6 от ЗПКОНПИ имат обществен статут, поради който се ползват с по-занижена защита на личните им данни.

Правен анализ:

Комисията за противодействие на корупцията и за отнемане на незаконно придобито имущество е орган за противодействие на корупцията по смисъла на ЗПКОНПИ за лицата, заемащи висши публични длъжности. КПКОНПИ, за изпълнение на целите, поставени ѝ в същия закон (ефективно противодействие на корупцията; създаване на гаранции, че лицата, заемащи висши публични длъжности, изпълняват правомощията или задълженията си честно и почтено при спазване на Конституцията и законите; предотвратяване на възможностите за незаконно придобиване на имущество и разпореждането с него) разполага с централизирана администрация и териториални звена към нея.

Съгласно чл. 6, ал. 1 от ЗПКОНПИ, лицата, заемащи висши публични длъжности по смисъла на същия закон са изчерпателно изброени и са ограничен кръг. Наред с другите вменени на КПКОНПИ правомощия и задължения, тя следва да води и поддържа електронни публични регистри, един от които е този по чл. 169, ал. 1, т. 3 от ЗПКОНПИ – регистър за съставените актове за установяване на административни нарушения и за влезлите в сила наказателни постановления. Съгласно чл. 42 от ЗПКОНПИ, всяко лице има право на достъп до данните от регистрите по чл. 169, ал. 1. и всяко лице има право да получава информация, свързана с данните от регистрите по чл. 169, ал. 1, по реда на Закона за достъп до обществена информация.

Съдържанието на регистъра по чл. 169, ал. 1, т. 3 от ЗПКОНПИ е изчерпателно регламентирано в чл. 154, ал. 3 от Правилника за устройството и дейността на КПКОНПИ, а именно:

  1. пореден номер на записа;
  2. номера и датата на съставяне на акта за установяване на административно нарушение с данни за връчването му;
  3. номера и датата на издаване на наказателното постановление с данни за връчването му;
  4. името и длъжността на наказаното физическо лице, респективно наименованието на наказания едноличен търговец или юридическо лице със съответните данни от търговския регистър и регистър БУЛСТАТ;
  5. законовите разпоредби, които са нарушени;
  6. размера на наложената глоба (за физически лица) или имуществената санкция (за еднолични търговци или юридически лица);
  7. датата на влизане в сила на наказателното постановление.

Съгласно чл. 159, ал. 2 от същия Правилник, данните от електронните публични регистри по чл. 169, ал. 1 от ЗПКОНПИ се съхраняват до осъществяване на целите, за които същите се събират и обработват, но не по-късно от периода, предвиден съгласно Номенклатурата на делата със сроковете за тяхното съхранение в КОКОНПИ. В изпълнение на чл. 159, ал. 2 от Правилника за устройството и дейността на КПКОНПИ се приема Инструкция за техническите и организационни мерки и средства за защита на личните данни.

Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага пряко от 25 май 2018 г., е нормативният акт, определящ правилата, свързани със защитата на физическите лица при обработването на личните им данни и относно свободното движение на тези данни. Общият регламент надгражда предишния режим за защита на данните, въведен от Директива 95/46/ЕО, транспонирана в българския Закон за защита на личните данни от 2002 г., като в същото време отчита динамиката на развитието на новите технологии и на дейностите по обработка на лични данни.

По смисъла на чл. 4, т. 1 от Общия регламент, „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“), пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

Съгласно чл. 4, т. 2 от Общия регламент, обработване на лични данни е всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни, като събиране, записване, структуриране, съхранение, употреба, разкриване чрез предаване и т.н. По смисъла на чл. 6,  § 1 от Общия регламент, обработването на лични данни е законосъобразно, когато („в“) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора и („д“) когато обработването е необходимо за изпълнението на задача от обществен интерес.

С оглед на конкретното приложение на тези разпоредби, безспорно е, че КПКОНПИ ще обработва лични данни на физически лица, които могат да бъдат идентифицирани – имена и длъжност са достатъчни белези за установяване самоличността на дадено физическо лице. В този смисъл, обработването чрез разпространяване на тези данни следва да се базира на валидно основание за законосъобразно обработване. Действието по обработване на данни от страна на КПКОНПИ – водене и поддържане на електронни регистри и в частност този на съставените актове за установяване на административни нарушения и за влезлите в сила наказателни постановления, с оглед нормата на чл. 169, ал. 1 ЗПКОНПИ, е последващо обработване на данните на проверяваните лица (което е съвместимо с първоначалното), въз основа на законово задължение, което обслужва обществен интерес – противодействие на корупцията по реда на специален закон, който прогласява в принципите си законност, прозрачност, повишаване отговорността и публичност на имуществото на лицата, заемащи висши публични длъжности (чл. 4, ал. 1 ЗПКОНПИ).

Същевременно, следва да се има предвид, че предвиденото съдържание на списък реферира към влезли в сила наказателни постановления и в регистъра не би трябвало да се оповестяват такива актове, които тепърва подлежат на обжалване или са отменени от съда по реда на Закона за административните нарушения и наказания. Доколкото ЗПКОНПИ говори за „влезли в сила наказателни постановления“, по смисъла на Общия регламент отговорност на администратора на лични данни (в случая КПКОНПИ) е да гарантира и да е в състояние да докаже съгласно принципа за отчетност, че ще обработва (в настоящия случай чрез публично оповестяване) само данни, за които е налице валидно правно основание за обработване – нарушението, за което са издадени съответните актове да е безспорно установено и респективно вземането по галбата/имуществената санкция да е изискуемо, поради което би било налице и основание за публичното разпространение на данните.

В този смисъл, спазването на чл. 156, ал. 4, т. 7 от Правилника за устройството и дейността на КПКОНПИ ще се явява гаранция за законосъобразност на обработването на данните на лицата. Тъй като не е предвиден друг ред за сваляне от публичност или премахване на информацията, отменена от съда, освен гаранцията, че данните от електронния регистър ще се обработват до „осъществяване на целите, за които са събрани“ (чл. 159 от Правилника за устройството и дейността на КПКОНПИ), то електронният регистър не трябва да съдържа лични данни на лица, за които не е установено по безспорен начин както наличието на конфликт на интереси, така и евентуално налагане на глоба или отнемане на имущество (т.е. данни от невлезли в сила актове/постановления).

Следва да се отбележи също, че доколкото принципите на защита по Общия регламент относно защитата на личните данни не са приложими по отношение на юридическите лица, включително и тези оповестени чрез въпросните регистри, то по отношение личните данни на физическите лица (като такива по чл. 6 от ЗПКОНПИ), оповестяването е предвидено да се осъществява въз основа на диспозитивна норма на закона и администраторът на данни трябва да въведе критерии, по които данните да бъдат публикувани, така че да се запази обществения интерес, но и следвайки принципа за необходимост и пропорционалност на Регламента, да се обоснове едно такова явно навлизане в личното пространство на субектите на данни. Тези критерии могат да включват както обосновка по отношение на висшата публична длъжност, която лицето заема, така и по установяването по безспорен начин на значим конфликт на интереси или незаконното придобиване на имущество, за да не се разгласяват лични данни без предварителна преценка доколко еднозначното идентифициране на субекта на данни се припокрива с преследвания обществен интерес. Тук съществен елемент на преценката би трябвало да бъде дали лицето, чиито данни и заемана длъжност биват оповестявани попада в изчерпателно изброените в чл. 6 от ЗПКОНПИ лица или се ползва с по-завишено ниво на защита, заемайки длъжност непопадаща в обхвата на въпросния текст. В момента регистърът предвижда публичност по отношение само на лицата по чл. 6 от ЗПКОНПИ, но тъй като обхвата на закона е широк, в случай че регистърът се разшири и по отношение на други лица, то следва да се предвидят такива критерии. С оглед на обстоятелството, че ЗПКОНПИ позволява достъп до въпросната информация по реда на Закона за достъп до обществена информация (ЗДОИ), подходящ баланс между преследваната обществена цел и правото на защита на личните данни би се постигнал чрез минимизиране на имената и длъжността, публикувани в електронния регистър и евентуалното им предоставяне под формата на информация, идентифицираща субекта, едва при поискване в съответствие с критериите, залегнали в ЗДОИ.

За да се спазят принципите на Общия регламент относно ограничението на целите и ограничението на съхранението на данните (чл. 5, § 1, б. „б“ и „д“ от него), критериите е редно да включват и периодичен преглед на необходимостта от оповестяване на информацията, както и сроковете, за които същата следва да е на разположение на обществеността. Така както в рамките на наказателното производство са предвидени давностни срокове, включително за изпълнение на наказанията, критериите за оповестяване на информацията на наказани лица по реда на ЗПКОНПИ би следвало да предвидят разумен срок за премахване на информация, която повече не носи обществена добавена стойност.

За пълнота на изложението, следва да се отбележи, че КПКОНПИ попада в обхвата на легалната дефиниция на § 1, т. 17 от Допълнителните разпоредби на Закона за защита на личните данни за „публичен орган“ и по силата на чл. 37, § 1, б. „б“ от Общия регламент данните за контакт на определеното длъжностно лице по защита на данните е редно да са ясно обозначени и достъпни за всички лица, чиито данни биват обработвани от КПКОНПИ, включително и за субектите от електронния регистър по чл. 169, ал. 1, т. 3 от ЗПКОНПИ. Следователно данните за контакт с длъжностното лице по защита на данните трябва да са публично достъпни за всички заинтересовани лица.

С оглед на изложеното и на основание чл. 58, § 3 от Регламент (ЕС) 2016/679 и чл. 10а, ал. 1 от Закона за защита на личните данни, Комисията за защита на лични данни прие следното

СТАНОВИЩЕ:

  1. Предвид техния предмет и обем, данните оповестявани по реда на чл. 169, ал. 1, т. 3 от ЗПКОНПИ от КПКОНПИ, в качеството ѝ на администратор на личните данни, при стриктно спазване на принципите по чл. 5 от Общия регламент, следва да бъдат обработвани по критерии, отчитащи защитата на обществения интерес и пропорционалността на намесата в личния живот на субектите на данни. Разпространяването на имена и длъжност на лица, преди влизането в сила на подлежащите на вписване в регистъра актове на КПКОНПИ, както и на лица, които не попадат в обхвата на чл. 6 от ЗПКОНПИ, води до незаконосъобразно идентифициране на субектите на данни и надхвърля целите, за които личните данни се обработват.
  2. Личните данни, оповестявани в описания регистър следва да са предмет на периодичен преглед и снемане от публичен достъп при отпадане на необходимостта от публикуването им.

 

 

Можете да споделите: