В бр. 17 от 26.02.2019 г. на „Държавен вестник“ бяха обнародвани дългоочакваните промени в Закона за защита на личните данни (ЗЗЛД). След обществено обсъждане в периода от 30.04. до 30.05.2018 г., в което бяха изразени 61 становища, Законопроектът за изменение и допълнение на ЗЗЛД беше внесен в Народното събрание на 18.07.2018 г. На първо гласуване, проведено на 19.09.2018 г., законопроектът беше подкрепен единодушно от участвалите в гласуването 108 народни представители. Приемането на закона стана факт на 24.01.2019 г. и той беше мотивирано върнат за ново обсъждане, като беше оспорено съответствието с Конституцията на § 26 в частта относно критериите за преценка на баланса между свободата на изразяване и правото на информация и правото на защита на личите данни (чл. 25з, ал. 2 ЗЗЛД). Повторно приетият на 20.02.2019 г. закон, обнародван в „Държавен вестник“ в срока по чл. 101, ал. 3 от Конституцията, влезе в сила на 2 март, актуализирайки българската уредба в областта на защитата на личните данни в съответствие с новата европейска регламентация.
Промените в ЗЗЛД могат да бъдат обобщени в следните насоки:
Отмяна на разпоредбите в закона, които дублират уредбата на Регламент (ЕС) 2016/679 (Общия регламент относно защитата на данните, ОРЗД, Регламента), по-конкретно принципите и основанията за обработване на лични данни, каталогът на правата на субектите на данни и задълженията на администраторите и обработващите лични данни, предаването на лични данни в трети държави и международни организации, легалните дефиниции. Уредбата им произтича пряко от Регламент (ЕС) 2016/679, който се прилага от 25.05.2018 г. за обработване на лични данни в материалния му обхват.
Адаптиране на българското законодателство към правилата на Регламент (ЕС) 2016/679. Регламентът предвижда различни по своето естество изисквания относно развитието на националните правни мерки за защита на личните данни. Те могат да се обособят в две групи: 1) задължително предвиждане на вътрешна уредба по определени въпроси и 2) възможност за уточняване в допълнителна степен на правилата за защита на данните в определени области. Първата група промени са необходими за прилагането на Регламента и задължават държавите членки да изпълнят определени регулаторни задължения. За разлика от тях, втората група разпоредби не създават задължения за приемане на национална уредба, но дават такава възможност, ако държавите решат да се възползват. Тези правила могат да се изразяват в: а) определяне на допълнителни изисквания или условия; б) въвеждане на ограничения и изключения и в) избор между различни алтернативи. Предмет на разглеждане в настоящата статия са именно тези аспекти от промените в ЗЗЛД.
Транспониране на Директива (ЕС) 2016/680, с която в глава осма на ЗЗЛД се установяват правилата за защита на личните данни, прилагани в хода на полицейската и наказателната дейност. Това обработване е извън приложното поле на Регламент (ЕС) 2016/679, както изрично предвижда чл. 2, пар. 2, б. „г“ от него. Принципите и основанията за това обработване, правата на субекта на данни, задълженията на администраторите и обработващите лични данни, предаването на лични данни на трета държава или международна организация, надзорната дейност и средствата за правна защита ще се определят в съответствие с правилата на глава осма от ЗЗЛД. Различията в сравнение с уредбата в Регламента трябва да бъдат отчетени и тяхното основание е в различната цел, за която се обработват личните данни – предотвратяване, разследване, разкриване или наказателно преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.
Изпълнение на регулаторни задължения
1. Уредба на надзорните органи
В редица разпоредби на Регламента се изисква държавите членки да осигурят един или повече независими публични органи, отговорни за наблюдението на неговото прилагане (чл. 51, пар. 1, чл. 52, пар. 2-4, чл. 53, пар. 1, чл. 54, пар. 1 от ОРЗД). Те включват гаранции за независимост, предоставяне на ресурси за изпълнение на задачите и правомощията, прозрачна процедура за назначаване, предвиждане на необходимата квалификация на членовете, продължителността на мандата. Българската уредба по тези въпроси се съдържа в глава втора от ЗЗЛД, посветена на Комисията за защита на личните данни (КЗЛД). Както и досега, КЗЛД е юридическо лице на бюджетна издръжка, подпомага се от администрация, запазени са правилата за състава и мандата, изискванията към членовете, избирането им от Народното събрание и основанията за предсрочно прекратяване на мандата. Новост е, че изрично се предвижда правилото председателят и членовете на КЗЛД да изпълняват правомощията си и след изтичане на мандата им до избиране на нов председател и членове, като се удължава и срокът за представяне на годишен отчет за дейността.
По отношение на правомощията на КЗЛД е направено препращане към произтичащите от Регламента правомощия. Освен това тя може да сезира съда за нарушаване на Регламента, да дава указания, да издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни. Комисията води следните публични регистри: регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните, регистър на акредитираните сертифициращи органи и регистър на кодексите за поведение. В КЗЛД се водят и други регистри, които не са публични: регистър на нарушенията на Регламент (ЕС) 2016/679 и на ЗЗЛД, както и на предприетите мерки в съответствие с упражняването на корективните й правомощия, и регистър на уведомленията за нарушения на сигурността на личните данни.
Нов момент в уредбата е определянето на Инспектората към Висшия съдебен съвет (ИВСС) като надзорен орган за обработването на лични данни от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт (глава трета от ЗЗЛД). Според чл. 56, пар. 3 от Регламента надзорните органи не са компетентни да осъществяват надзор на дейностите по обработване, извършвани от съдилищата при изпълнение на съдебните им функции. Съображение 20 от Регламента допуска „да се повери надзорът на такива операции по обработване на данни на специални органи в рамките на съдебната система на държавата членка, които по-конкретно следва да осигурят спазването на правилата на настоящия регламент, да повишават осведомеността сред членовете на съдебното съсловие за техните задължения по силата на настоящия регламент и да се занимават с жабите във връзка с такива операции по обработване на данни“. Целта е да се гарантира независимостта на съдебната власт, поради което възлагането на надзорната дейност на ИВСС е подходящо националноправно решение.
2. Съгласуване на правото на защита на личните данни със свободата на изразяване и правото на информация
В чл. 85 от Регламента се предвижда държавите членки със закон да съгласуват правото на защита на личните данни със свободата на изразяване и правото на информация, включително обработването за журналистически цели и за целите на академичното, художественото или литературното изразяване. Такава уредба се налага, тъй като е възможно правото на защита на личните данни и правото на свобода на изразяване да влязат в противоречие. Свободата на изразяване на мнение е защитена в чл. 11 от Хартата на основните права в ЕС, както и в чл. 10 от Конвенцията за защита на правата на човека и основните свободи. В чл. 25з, ал. 1 ЗЗЛД е установено правилото, че обработването на лични данни за журналистически цели, за академичното, художественото или литературното изразяване е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот. По този начин в национален план се установява още едно условие за законосъобразност на обработването на лични данни, наред с тези по чл. 6 от ОРЗД. То се основава на преценката за баланса между правото на защита на личните данни и свободата на изразяване и информация. В чл. 25з, ал. 2 ЗЗЛД са предвидени критерии, въз основа на които да се преценява балансът между свободата на изразяване и правото на информация с правото на защита на личните данни. Тези критерии не се прилагат кумулативно, тъй като не се изисква всички те да бъдат едновременно налице, а се отчитат, доколкото са относими към конкретното обработване.
3. Определяне на правила за акредитиране на сертифициращи органи
Два са възможните методи за акредитация на сертифициращите органи според чл. 43, пар. 1 от Регламента – от националния надзорен орган за защита на данните и/или от националния орган по акредитация, установен съгласно Регламент (ЕО) № 765/2008 относно акредитацията и надзора на пазара. В чл. 14 ЗЗЛД е предпочетен първият метод и акредитацията на сертифициращите органи ще се извършва от КЗЛД. Предвидено е, че акредитацията е за срок от 5 години и може да се поднови, но може и да се отнеме, ако не са спазени условията й или са извършени нарушения от сертифициращия орган. Решенията на КЗЛД за отнемане на акредитацията подлежат на съдебно обжалване, а по-детайлната уредба на извършването и отнемането на акредитацията ще се съдържа в наредба, приета от КЗЛД и обнародвана в „Държавен вестник“. Също с наредба на Комисията ще се определят критериите, механизмите и процедурите за сертифициране, печати и маркировки, като срокът за приемане на тези наредби е едногодишен от влизането на закона в сила.
Уточняване на правилата за защита на личните данни в определени области, допустими от Регламент (ЕС) 2016/679
В редица разпоредби Регламентът дава възможност на държавите членки да детайлизират определени изисквания и от тяхната преценка зависи дали да ги развият във вътрешното си законодателство. Както беше посочено, тези възможности могат да се изразяват в определяне на допълнителни изисквания или условия, въвеждане на ограничения и изключения или избор между различни алтернативи.
А. Определяне на допълнителни изисквания или условия
1. Изисквания за законосъобразност на обработването
Член 6, пар. 2 и 3 от Регламент (ЕС) 2016/679 дава възможност на държавите членки да запазят или въведат по-конкретни разпоредби, свързани с обработването, което е необходимо за спазване на законово задължение, за изпълнение на задача от обществен интерес или при упражняването на официални правомощия. С общите изисквания към обработването в глава четвърта „а“ от ЗЗЛД са предвидени определени условия, които да гарантират правомерния характер на обработването. Например с чл. 25а се изисква връщане или заличаване на данни, предоставени от физическо лице на администратор или обработващ без правно основание или в нарушение на принципите, с които Регламентът свързва обработването на лични данни. Забранява се копирането на документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване, освен в предвидени със закон случаи. Като се отчита, че това са лични документи и с копирането им могат да се засягат не само правото на неприкосновеност, но и други права на личността, ограничението по чл. 25г ЗЗЛД има основание. По същата логика, предвид рисковете, които създава мащабното обработване на лични данни, чл. 25д изисква от администратора или обработващия да приемат правила, които да съдържат правните основания и целите на обработването, срока за съхраняване на данните и други обстоятелства, които по същество са гаранция, че се прилагат принципите на Регламента. С множеството промени в други закони, които се съдържат в преходните и заключителните разпоредби на приетия закон, на практика е препратено към изискванията за защита на личните данни.
2. Обработване на единен граждански номер/ личен номер на чужденец
При обработване на националния идентификационен номер или друг идентификатор с общо приложение чл. 87 от Регламента дава възможност държавите да определят специални условия за обработването, като урежда общото изискване за използване на подходящи гаранции за правата и свободите на субекта на данните. В Република България единният граждански номер (ЕГН) или личният номер на чужденеца (ЛНЧ) е административен идентификатор на подлежащите на регистрация физически лица. С чл. 25ж ЗЗЛД се ограничава свободният публичен достъп до информация, съдържаща ЕГН или ЛНЧ. Такъв ще е възможен само в предвидени от закон случаи. Освен това ЕГН или ЛНЧ не могат да се използват като единствено средство за идентификация при предоставяне на услуги по електронен път, т. е. въвеждането само на тази информация не следва да дава достъп до електронни услуги, а трябва да се съчетава с друга информация за идентифициране. Логиката е да не се накърнява неприкосновеността на личността и личния живот от това, че законът предвижда публичен достъп до ЕГН и само с него да се достига и до друга лична информация, например за здравноосигурителния статус на лицето.
3. Обработване на лични данни в контекста на трудовото или служебното правоотношение
Член 88 от Регламента допуска държавите членки със закон или с колективни споразумения да предвиждат по-конкретни правила при обработването на лични данни в контекста на трудово или служебно правоотношение. Във връзка с това чл. 25и и 25к ЗЗЛД задължават работодателите или органите по назначаването да приемат правила и процедури, когато използват системи за докладване на нарушения, ограничават използването на вътрешни ресурси или имат системи за контрол на достъпа, работното време и трудовата дисциплина. Работниците и служителите следва да бъдат уведомени за приетите правила и процедури. Освен това работодателите трябва да определят срок за съхраняване на лични данни на участници в процедури по набиране и подбор на персонала, който не може да бъде по-дълъг от 6 месеца, освен при законово задължение или съгласие на лицето за съхранение в по-дълъг срок. За кандидатите, които не са одобрени на съответните длъжности, но са представили в процедурата по набиране и подбор оригинали или нотариално заверени копия на документи, удостоверяващи стаж, пригодност и др., се предвижда връщане на тези документи в 6-месечен срок, освен ако специален закон не предвижда друго. Наред със съществуващите в трудовото законодателство правила, тези изисквания имат за цел да гарантират, че данните няма да бъдат задържани от работодателя неоснователно в неограничени периоди от време.
4. Задължения за опазване на тайна
Член 90 от Регламента дава възможност на държавите членки да приемат специални правила относно правомощията на надзорните им органи да получават достъп до лични данни, до цялата им необходима информация за изпълнение на задачите и до помещения, оборудване или средства за обработване на данни, когато администраторът е нормативно задължен да пази в тайна определени данни. Тази дерогация е въведена в българския закон, като е посочено изрично, че администраторът или обработващият лични данни, които имат задължение за опазване на професионална тайна или друго задължение за опазване на тайна, произтичащо от закон, отказват предоставяне на информация или достъп на надзорния орган до информацията, защитена като тайна (чл. 12а, ал. 2 ЗЗЛД). Това правило може да се приложи например в случаите, когато исканата информация или достъп засягат адвокатска тайна, банкова тайна, професионална тайна, следствена тайна и смисълът е правомощията на надзорните органи да бъдат синхронизирани със случаите, в които администраторите или обработващите не могат да окажат съдействие в пълен обем (предоставяйки достъп или информация), защото биха нарушили законови задължения за опазване на тайна. Следва да се открои, че когато исканата информация е класифицирана информация, за достъпа до нея ще намери приложение Законът за защита на класифицираната информация, т. е. съгласно неговите условия ще се преценява дали да се предостави или не такава информация.
Б. Въвеждане на ограничения и изключения
1. Общи ограничения при упражняване на правата на субекта на данни
В чл. 23 от Регламента се допуска чрез законодателна мярка да се ограничава обхватът на задълженията и правата, предвидени в чл. 12-22 (права на субекта на данни) и чл. 34 (съобщаване на субекта на данни за нарушение на сигурността на личните данни), както и в чл. 5 (принципи, свързани с обработването на лични данни). При въвеждането на ограниченията законодателството на държавата може да установява специални разпоредби относно целите на обработването, категориите лични данни, обхвата на въведените ограничения, гаранциите за предотвратяване на нарушения на защитата на личните данни, период на съхранението и други правила, които имат отношение към естеството на обработването или към правата на физическите лица. В глава седма от ЗЗЛД, която се изменя като наименование и съдържание, са очертани съображенията, при които администраторът или обработващият могат да откажат пълно или частично упражняване на правата на субектите. Те са в сферите, които Регламентът очертава – за защита на националната сигурност, отбраната, обществения ред и сигурност, защитата на независимостта на съдебната власт и съдебните производства и др., но за условията, свързани с прилагането им, се препраща към закон (чл. 37а, ал. 2 ЗЗЛД). Това на практика означава, че тези ограничения също не могат да бъдат приложени самостоятелно, а трябва да бъдат мотивирани с нормативния акт, който урежда дадената сфера.
2. Ограничения на правата на субекта на данни при обработване на лични данни за архивиране в обществен интерес, за научни, исторически или статистически цели
Ограничения при упражняването на определени права на субекта на данни са допустими, съгласно чл. 89, пар. 2 и 3 от Регламента, при обработването на личните данни за архивиране в обществен интерес, за научни или исторически изследвания и за статистически цели. Тези ограничения са въведени в българското законодателство с чл. 25л и 25м ЗЗЛД.
Според чл. 25л обработването на лични данни за целите на Националния архивен фонд на Република България е обработване в обществен интерес и в тези случаи не се прилагат правото на достъп, правото на коригиране, правото на ограничаване на обработването, задължението на администратора да уведомява получателите при коригиране, изтриване или ограничаване на обработването, правото на преносимост на данните и правото на възражение, произтичащи съответно от чл. 15, 16, 18, 19, 20 и 21 от Регламент (ЕС) 2016/679. С чл. 25м ЗЗЛД са ограничени правото на достъп, правото на коригиране, правото на ограничаване на обработването и правото на възражение, произтичащи съответно от чл. 15, 16, 18 и 21 от Регламент (ЕС) 2016/679, когато личните данни се обработват за статистически цели. Следва да се отбележи, че правото на изтриване (правото „да бъдеш забравен“) също е изключено при обработване на лични данни за архивирането в обществен интерес, за научни, статистически или исторически изследвания, но това произтича пряко от чл. 17, пар. 3, б. „г“ от Регламента, поради което не е предмет на уредба в законодателствата на държавите членки. В съответствие с принципа за ограничение на целите (чл. 5, пар. 1, б. „б“ от Регламента) се допуска лични данни, събрани първоначално за друга цел, да бъдат обработвани за целите на Националния архивен фонд, за целите на научни или исторически изследвания или за статистически цели. При всички случаи се изисква прилагане на подходящи технически и организационни мерки, които да гарантират правата и свободите на субекта на данни.
С чл. 25о ЗЗЛД обработването на лични данни е законосъобразно, когато се извършва за хуманитарни цели и в случаите на бедствия. При такива случаи са допустими ограничения на всички права на субекта на данни, установени в чл. 12-21 и 34 от Регламент (ЕС) 2016/679.
В. Избор между алтернативни възможности
1. Определяне на каква възраст дете може да изрази съгласие за обработване на лични данни
Държавите членки имат възможност да изберат каква да бъде възрастта, на която дете може да даде съгласие за обработване на личните му данни във връзка с услугите на информационното общество (чл. 8, пар. 1 от Регламента). За изясняване на обхвата на услугите на информационното общество, Регламентът препраща към Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета от 09.09.2015 г., установяваща процедура за предоставянето на информация в сферата на техническите регламенти и правила относно услугите на информационното общество. Според Директивата услуга на информационното общество е „каквато и да е услуга, нормално предоставяна срещу възнаграждение, от разстояние, чрез електронно средство и по индивидуална молба на получателя на услугите“. В чл. 25в ЗЗЛД е предвидено, че обработването на данни на субект на данни, ненавършил 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679, включително в случаите на пряко предлагане на услуги на информационното общество по смисъла на чл. 1, ал. 3 от Закона за електронната търговия, е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данни. Изборът на тази възраст съответства на чл. 3, ал. 2 от Закона за лицата и семейството, според който вместо малолетните и от тяхно име правни действия извършват техните законни представители. Следва да се отбележи обаче, че правилото на чл. 25в ЗЗЛД е приложимо не само за предоставянето на услуги на информационното общество на деца, но и във всички случаи, когато техните лични данни се обработват на основание съгласие на субекта на данни. Администраторът ще трябва да се съобразява с възрастта на детето и според обстоятелствата да изисква съгласието от родителя или настойника на дете под 14 години.
2. Обработване на лични данни на починали лица
В съображение 27 от Регламента неговото действие е изключено по отношение обработването на данните на починали лица, но е дадена възможност на държавите членки да предвидят правила за такова обработване. Следвайки логиката на Регламента, ЗЗЛД също изключва принципно действието си спрямо данните на починали лица (чл. 1, ал. 6), но в чл. 25е изисква това обработване да има правно основание и да са предприети подходящи мерки за недопускане неблагоприятно засягане на правата и свободите на други лица или на обществен интерес. Наред с това на наследниците на починалото лице или на други лица с правен интерес се гарантира правото на достъп до данните на починалия, което включва и предоставяне на копие от данните. Тази уредба е в интерес на наследниците на починалото лице, чиито данни се явяват свързани с данните на техния наследодател и по този начин се гарантират техните права на достъп до свързаната с тях информация.
3. Извършване на предварителна консултация с надзорен орган при обработване на лични данни в изпълнение на задача от обществен интерес
Член 36, пар. 5 от Регламента осигурява избор на държавите членки дали да предвидят в своето законодателство изискване за предварителна консултация с надзорния орган и получаване на предварително разрешение от администратори, които ще обработват лични данни в изпълнение на задача от обществен интерес, включително във връзка със социалната закрила и общественото здраве. Този избор е упражнен с чл. 12, ал. 2 и 3 ЗЗЛД, като в посочените случаи на обработване на лични данни ще се изисква предварителна консултация с надзорния орган. Особеност на българската уредба е, че КЗЛД може да разреши обработването и преди изтичането на срока по чл. 36, пар. 2 от Регламента, а именно до осем седмици от получаване на искането за консултация, който срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване.
4. Представителство на субекта на данни
Държавите членки имат право на преценка дали да уредят нормативно възможността структурите, организациите и сдруженията за защита на данните, независимо от възложения от субекта на данни мандат, да подават жалба до надзорния орган или пред съд, ако считат, че правата на субекта на данни са били нарушени (чл. 80, пар. 2 от Регламента). Средствата за правна защита са уредени в глава седма от ЗЗЛД, като са предвидени правото на жалба и сроковете за упражняването му, които са съкратени в сравнение с досегашните. По силата на чл. 38, ал. 1, съответно чл. 38б, ал. 1, сезирането на КЗЛД или ИВСС е допустимо в срок 6 месеца от узнаването на нарушението, но не по-късно от две години от извършването му. Необходимо е да се направи уточнението, че този срок ще се прилага за нарушения на закона и ОРЗД, извършени след влизането в сила на ЗИД ЗЗЛД, т. е. след 02.03.2019 г. По отношение на нарушения на закона и Регламента, извършени преди тази дата, срокът остава непроменен – една година от узнаване на нарушението, но не по-късно от 5 години от извършването му (§ 44, ал. 2 от Преходните и заключителните разпоредби на ЗИДЗЗЛД). С „преживяването“ на закона няма да се стигне до неблагоприятно засягане на правото на жалба до надзорен орган, гарантирано с Регламента. За нарушенията, извършени след промените в ЗЗЛД обаче, ще се прилага по-краткият срок за сезиране на надзорния орган, което налага надлежното информиране на субектите на данни.
При нарушаване на правата му по Регламента и по ЗЗЛД субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс, като в това производство може да се иска обезщетение за претърпените вреди вследствие на неправомерно обработване на лични данни. Както и досега, двата пътя на защита не могат да се кумулират, тъй като субектът на данни не може да сезира съда, когато има висящо производство през КЗЛД или ИВСС за същото нарушение или тяхното решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда (чл. 39, ал. 4 и 5 ЗЗЛД). По искане на субекта на данни или на съда КЗЛД, съответно ИВСС, удостоверява липсата на висящо производство по същия спор.
Прави впечатление, че при уредбата на средствата за правна защита по глава седма от ЗЗЛД не са предвидени правила относно представителството на субекта на данни, каквото се допуска държавите членки да предвидят по силата на чл. 80, пар. 2 от Регламента. Такова представителство обаче е уредено в глава осма, съдържаща правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване. В раздел V, посветен на надзора за спазване на правилата и средствата за правна защита при обработване на лични данни в полицейската и наказателната дейност, чл. 83 ЗЗЛД дава възможност на субекта на данни да възложи на юридическо лице с нестопанска цел, което има уставни цели от обществен интерес и развива дейност в областта на защитата на правата и свободите на физическите лица по отношение на защитата на техните лични данни, да подаде жалба от негово име и да упражни от негово име правата по чл. 38, ал. 1 и 6, чл. 38б, ал. 1, чл. 38в, ал. 4 и 5 и чл. 39, ал. 1. Това са правата, гарантирани в чл. 77-79 от Регламента и залегнали в глава седма от ЗЗЛД, а именно правото на жалба до надзорен орган, правото на ефективна съдебна защита срещу надзорен орган и правото на ефективна съдебна защита срещу администратор и обработващ лични данни. Прякото препращане към тях би следвало да се тълкува и на практика като възможност и в производствата, които се развиват пред надзорен орган или пред съд за нарушения на Регламента, субектът на данни да бъде представляват от неправителствена организация, отговаряща на изискванията на Регламента и на ЗЗЛД. Отчетено е съображение 142 от Регламента, като в чл. 83, ал. 2 ЗЗЛД е изключено субектът на данни да възложи на такава организация да упражнява правото му на обезщетение за претърпени вреди вследствие на неправомерно обработване на лични данни.
5. Налагане на административни наказания на публични органи и структури
Член 83, пар. 7 от Регламента дава възможност на държавите да съобразят техните законодателства относно налагането на административни наказания „глоба“ или „имуществена санкция“ на публични органи или структури. На практика само правните системи на Дания и Естония не позволяват налагането на такива санкции и именно към тях е ориентирана тази възможност. Допуска се предвиждането на процедурни правила, по които да се определят пропорционалните, ефективни и възпиращи санкции, каквито Регламентът изисква при нарушения. Предвид това в глава девета от ЗЗЛД са уредени административнонаказателните разпоредби, които включват не само реда за налагане на глоба или имуществена санкция, но и на принудителни административни мерки, каквито по същество са другите корективни правомощия, с които по Регламента разполагат надзорните органи (например отправяне на предупреждения и разпореждания на администраторите и обработващите, налагане на временна или окончателна забрана за обработване на лични данни). Нарушенията на Регламента ще се санкционират с предвидените в него санкции, но за други нарушения на закона е установена глоба или имуществена санкция до 5000 лева, която е в двоен размер при повторност (чл. 86 ЗЗЛД). Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления ще става по реда на Закона за административните нарушения и наказания.
С промените в ЗЗЛД българското законодателство отговаря на регулаторните задължения, произтичащи от Регламент (ЕС) 2016/679, като урежда и допустими от европейската уредба допълнителни условия, ограничения или изключения. За да бъде изградена уредбата в цялост, е необходимо да бъдат приети и подзаконовите нормативни актове, за които са предвидени съответни делегации в закона. Пред администраторите и обработващите лични данни стои нелеката задача да съблюдават приложимите за осъществяваното от тях обработване на лични данни правила и да съумеят да докажат съответствието на дейността си с тях.
Д-р Невин ФЕТИ, юрист
