Както вече многократно информирахме на страниците на списанието, от 25.05.2018 г. започва да се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните – ОРЗД). Въпреки че по принцип пренасянето на правилата на регламентите в националните законодателства е недопустимо, според т. 8 от Встъпителните съображения на ОРЗД „държавите членки могат, доколкото това е необходимо с оглед на последователността и разбираемостта на националните разпоредби за лицата, по отношение на които те се прилагат, да включат елементи на настоящия регламент в собственото си право“. Регламентът делегира и създаването на уредба по определени въпроси на националния законодател, затова измененията във вътрешното право са наложителни.
Макар и с голямо закъснение спрямо първоначално анонсираните си намерения, на 30.04.2018 г. Комисията за защита на личните данни (КЗЛД) публикува на интернет-страницата си проект на Закон за изменение и допълнение на Закона за защита на личните данни (ЗИД на ЗЗЛД) за обществено обсъждане, чийто срок изтича на 30 май. За момента е трудно да се прогнозира дали предложението ще претърпи изменения и в какъв окончателен вид ще бъде прието, но все пак ще се опитаме да насочим вниманието към някои от по-важните разпоредби в публикувания проектозакон.
- Проектът цели привеждането на българското законодателство в съответствие с две групи норми на европейското право:
1.1. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), и
1.2. Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27.04.2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета.
Според разработената от вносителите на проекта частична предварителна оценка на въздействието, възможен вариант за действие би бил и приемането на два самостоятелни закона – общ и специален. В такъв случай следва да се приемат изменения и допълнения в ЗЗЛД и нов Закон за защита на личните данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване. Този вариант на действие е допустим, тъй като и при него ще се стигне до въвеждане на мерките по изпълнение на Регламент 2016/679 и транспонирането на изискванията на Директива 2016/680. Правилно обаче е отчетено, че при него има опасност от ненужна фрагментарност на правната уредба в областта на защитата на личните данни на национално ниво и евентуална несъгласуваност между двата нормативни акта.
От тази гледна точка заслужава подкрепа избраният подход уредбата да се актуализира с изменения само на ЗЗЛД. Логично и лесно обяснимо е също, че превес в проектозакона има транспонирането на Директива 2016/680, а уредбата, свързана с Регламента, е по-малко като обем. Както беше посочено, за разлика от директивите, за регламентите е не само ненужно, а и недопустимо да се пренасят в националните законодателства. Вътрешноправна уредба е мислима само дотолкова, доколкото самият регламент допуска това – например по отношение на статуса и функциите на националния надзорен орган (КЗЛД).
Прави впечатление обаче, че в проектозакона уредбата по двата основни въпроса е обединена механично, без да се държи сметка за връзката между тях. Директива 2016/680 е транспонирана основно в разпоредбите на глава осма от законопроекта (чл. 42-83), а в новия § 1а от ДР на ЗЗЛД е предвидено въвеждането на легални дефиниции „по смисъла на глава осма от този закон“. Така например, по смисъла на глава осма:
- „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице;
- „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни, или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване и т.н.
Анализът на дадените дефиниции „по смисъла на глава осма“ показва, че съдържанието на понятията се припокрива с това, което имат те и в Регламента. В чл. 4 от Регламента дефинициите за „лични данни“ и „обработване“ са дословно същите като цитираните по-горе, затова остава открит въпросът – щом тези дефиниции в националния ни закон са относими само за глава осма, какво се влага в същите понятия, когато те се употребяват в останалите глави?
- Без съмнение, по-голямо практическо значение има частта от проектозакона, регламентираща правила, свързани с Регламента, защото те засягат по-широк кръг адресати. Затова и следващите бележки са съсредоточени върху тези правила.
2.1. Може би най-важното отклонение от разпоредбите на Регламента на национално ниво е предвидената допълнителна хипотеза на задължително определяне на длъжностно лице по защита на данните (чл. 25б, ал. 1 – извън случаите по чл. 37, пар. 1 от Регламент (ЕС) 2016/679 администраторът или обработващият лични данни задължително определя длъжностно лице по защита на данните, когато обработва лични данни на над
10 000 физически лица).
Въвеждането на такова правило на национално ниво не може да се оцени като целесъобразно, защото създава допълнителни тежести за много широк кръг администратори и обработващи. Дори на пръв поглед прагът от 10 000 физически лица да изглежда висок, той се достига лесно, когато се обединят всички категории лица, чиито данни обработва един администратор/обработващ – работници и служители, клиенти, контрагенти и т.н. При това трябва да се държи сметка, че данните се „натрупват“ в исторически план, т.е. тук трябва да се отчитат и данните например на бивши служители, които всеки работодател съхранява за пенсионноосигурителни и други цели. Така на практика прекомерно ще бъде разширен кръгът на администраторите и обработващите, задължени да определят длъжностно лице по защита на данните, и да инвестират съответния организационен и финансов ресурс, което не кореспондира с правилата на Регламента.
Разпоредбата на чл. 15 от проектозакона създава само правна възможност, но не и задължение за КЗЛД да провежда обучения на тези длъжностни лица. („Комисията може да организира и провежда обучение на лицата, определени за заемане на длъжността „длъжностно лице по защита на данните“ или на лица, желаещи да бъдат обучени за заемане на тази длъжност.) Очевидно формулировката е предпазлива, тъй като авторите на проекта трудно биха могли да предвидят какъв ще е бюджетът на КЗЛД в следващите години и дали той ще позволи изграждането на учебен център и провеждането на обучения. Едва ли е особено социално справедливо обаче вменяването на задължение на широк кръг от администратори и обработващи да определят длъжностни лица по защита на данните и твърде лесното абдикиране на държавата от отговорността за тяхната квалификация.
Неясна е и формулировката на ал. 2 на чл. 15 – „Обучението по ал. 1, когато е по искане на администраторите, обработващите или обучаващите се, е за тяхна сметка и се заплаща по тарифа, определена от министъра на финансите.“ Вероятно се има предвид, че във всички хипотези на задължително определяне на длъжностно лице по защита на данните обучението е безплатно, а ако такова лице е определено на доброволен принцип, обучението е платено. Разпоредбата обаче оставя и възможността за друго тълкуване, а именно, че администраторът трябва винаги да поиска определеното от него длъжностно лице да премине обучение и да заплати таксата. Желателно е правилото да се поясни, за да не създава обърквания.
2.2. Най-голям брой специални правила са предвидени при обработването на лични данни в контекста на трудовите и служебните правоотношения. Това не е изненадващо, доколкото Регламентът запази възможността, предвидена и в завареното законодателство по защита на личните данни, да се допускат отклонения от общите правила, когато става дума за обработване на данни на персонала. Тази възможност е заложена в разпоредбата на чл. 88 на Регламент (ЕС) 2016/679, според която държавите членки могат със закон или с колективни споразумения да предвидят по-конкретни правила, за да гарантират защитата на правата и свободите по отношение на обработването на личните данни на наетите лица по трудово или служебно правоотношение, по-специално за целите на набирането на персонал, изпълнението на трудовия договор, включително изпълнението на задълженията, установени със закон или с колективни споразумения, управлението, планирането и организацията на работата, равенството и многообразието на работното място, здравословните и безопасни условия на труд, защитата на имуществото на работодателя или на клиента, както и за целите на упражняване и ползване на индивидуална или колективна основа на правата и облагите от заетостта, а също и за целите на прекратяване на трудовото или служебното правоотношение. Тези правила включват подходящи и конкретни мерки за защита на човешкото достойнство, законните интереси и основните права на субекта на данните, по-специално по отношение на прозрачността на обработването, предаването на лични данни в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност, и системите за наблюдение на работното място. Всяка държава членка е длъжна да уведоми Европейската комисия за такива разпоредби във вътрешното си право, които е приела до 25.05.2018 г., както и за всяко последващо тяхно изменение.
У нас към момента са предвидени следните специални правила:
- В чл. 25е е въведена изрична забрана за работодателя/органа по назначаването да копира документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник/държавен служител, освен ако закон предвижда това.
- В чл. 25ж се предвижда работодателят/органът по назначаването да приема правила и процедури при използване на система за докладване на нарушения; ограничения при използване на вътрешнофирмени ресурси; въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина. Те съдържат информация относно обхвата, задълженията и методите за прилагането им на практика и се довеждат до знанието на работниците и служителите.
- Според чл. 25з работодателят определя срок за съхранение на лични данни на участници в процедури по подбор на персонала, който не може да бъде по-дълъг от три години. Когато в процедура по подбор работодателят е изискал да се представят оригинали или нотариално заверени копия на документи, удостоверяващи физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, субектът на данните, който не е одобрен за назначаване, може да поиска в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи. Работодателят връща документите по начина, по който са подадени.
- Според чл. 25и работодателят може да обработва лични данни на работник/служител, които не е поискал или които не се изискват от нормативен акт, ако субектът на данни е дал своето изрично съгласие и няма забрана за това в нормативен акт.
Специалните правила при обработването на лични данни в контекста на трудовите и служебните правоотношения като цяло са разумни и заслужават подкрепа, но е желателно известно правно-техническо прецизиране на уредбата. Така например всички цитирани разпоредби посочват работодателя и органа по назначаването, но като насрещна страна по правоотношението на места включват работника/служителя или държавния служител, а на други – само работника или служителя.
Прави впечатление също, че на фона на практическите затруднения, свързани с определянето на срокове за съхранение на различни документи с трудовоправно значение, в проекта са засегнати единствено личните данни на участници в процедурите по подбор на персонала. При това е твърде съмнително дали във всички случаи тригодишният период на съхранение е удачен, особено ако кандидатстването е за конкретна позиция, и кандидатът не е изразил желание работодателят/органът по назначаването да се свързва с него при разкриване на други работни места.
2.3. Разпоредбата на чл. 12а от проектозакона предвижда, че наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора при осъществяване задачите и правомощията на комисията. Въведено е само едно изключение: когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.
Удачно е тук да се помисли и за съотношението между ЗЗЛД и Закона за адвокатурата (ЗАдв), като последният също би следвало да се счита за специален спрямо ЗЗЛД. Съгласно чл. 33 ЗАдв адвокатските книжа, досиета, електронни документи, компютърна техника и други носители на информация са неприкосновени и не подлежат на преглеждане, копиране, проверка и изземване.Кореспонденцията между адвоката и неговия клиент, без оглед на начина, по който се осъществява, включително по електронен път, не подлежи на преглеждане, копиране, проверка и изземване и не може да бъде използвана като доказателство.
С оглед на посоченото по-горе, адвокатът може законосъобразно да откаже достъп на контролен орган до адвокатските си книжа. За яснота е препоръчително това изрично да се посочи и в ЗЗЛД.
Доц. д-р Андрей АЛЕКСАНДРОВ, директор на Дирекция „Трудово право“ в Адвокатско дружество „Камбуров и съдружници“