„Новата“ защита на личните данни минава на второ четене

Defakto.bg

Мащабните промени в Закона за защита на личните данни, които го синхронизират с еврорегламента (GDPR), в сила от 25 май м.г., минават на второ и последно четене в парламента.

Преди обедната си почивка депутатите гласуваха основни текстове, свързани с работата на магистратите, адвокатите, нотариусите, ЧСИ, журналистите.

Вносител на проекта е Министерският съвет, като след сериозни критики от правните професии и журналистите, миналото лято голяма част от спорните разпоредби бяха редактирани и приети на първо четене от НС през септември 2018 г.

Свои редакции и допълнения за второ четене са направили и депутатите. Защитата на личните данни е под егидата на парламентарната комисия по вътрешна сигурност и обществен ред, оглавявана от Цветан Цветанов.

Критиките на нотариуси и частни съдебни изпълнители в обществения дебат по Закона за защита на личните данни (ЗЗЛД) бяха, че заради спецификите на тяхната дейност трябва да ги изключат от общите правила за защита на данните в закона. Адвокатите сочеха недопустимостта за разкриване на адвокатската тайна, било и по поискване на Комисията за защита на личните данни.

Журналистите имаха обосновани съмнения, че промените в ЗЗЛД могат да се превърнат в недопустима цензура на професията.

За съдебната власт бе ясно, че се движи по правилата на Закона за съдебната власт. Сега изрично се разписват правомощия на Инспектората към ВСС в тази област.

Иначе надзорът и контролът се осъществяват от Комисията за защита на личните данни.

Като че ли основните критики са съобразени, а сериозните опасения – преодолени. Още за първо четене бяха изчезнали и конкретните суми на глобите като минимум и максимум, които също бунеха духовете, правят се директни препратки към регламента (където те са назовани само в максималните размери). Тогава Де факто детайлно информира за промените.

Но знаем – действието на закона най-добре се проверява в практиката. Ясно е и друго – GDPR като еврорегламент има директно действие и е с превес над нормите на вътрешното право.

Без претенции за изчерпателност, някои основни моменти от гласуваните на второ четене текстове.

За професионалната тайна

В закона окончателно се записва:

Чл. 12а. (1) При поискване администраторът и обработващият лични данни оказват съдействие на комисията при изпълнение на нейните задачи и правомощия.

(2) Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви „д“ и „е“ от Регламент (ЕС) 2016/679 може да се наруши задължение на  администратора или обработващия за опазване на професионална тайна или друго равностойно задължение за опазване на тайна, произтичащо от закон, администраторът или обработващият отказва предоставяне или достъп само до информацията, защитена като тайна.

Изключенията (включително за нотариуси и ЧСИ)

Кога защитата на личните данни не се прилага?

Чл. 37а. (1) Администраторът или обработващият може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-22 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679, когато упражняването им би създало риск за:

1. националната сигурност;
2. отбраната;
3. обществения ред и сигурност;
4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
6. защитата на независимостта на съдебната власт и съдебните производства; (за това настояваха нотариусите)
7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;
8. защитата на субекта на данните или на правата и свободите на други лица;
9. изпълнението по гражданскоправни искове. (За това настояваше Камарата на ЧСИ).

(2) Условията и редът  за прилагане на ал. 1 се уреждат със закон и в съответствие с чл. 23, параграф 2 от Регламент (ЕС) 2016/679.

За свободата на словото и правото на информация

Приетите разпоредби гласят:

Чл. 25з. (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.

(2) При разкриване чрез предаване, разпространяване или по друг начин, по който личните данни, събрани за целите на ал. 1, стават достъпни, балансът между свободата на изразяване и правото на информация и правото на защита на личните данни се предоставя въз основа на следните критерии, доколкото са относими (на това пояснения държаха от Програма Достъп до информация, за да няма опити за цензура):

1. естеството на личните данни;
2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;
3. обстоятелствата, при които личните данни са станали известни на администратора;
4. характера и естеството на изявлението, чрез което се упражняват правата по ал.1;
5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;
6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност, или чиито действия имат влияние върху обществото;
7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;
8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;
9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;
10. други обстоятелства, относими към конкретния случай.

(3) При обработване на лични данни за целите по ал. 1:

1. не се прилагат чл. 6, чл. 8-10, чл. 30, чл. 34 и глава пета от Регламент (ЕС) 2016/679;
2. администраторът или обработващият може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-21 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679.

(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.

(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение, чрез заснемане на лице в хода на обществената му дейност или на обществено място, не се прилагат чл. 6, чл. 12-21, чл. 30 и чл. 34 от Регламент (ЕС) 2016/679.

Инспекторатът става надзорник за личните данни в Темида

Инспекторатът към ВСС е органът, който ще осъществява надзор и ще осигурява спазването на Регламента (GDPR), на Закона за защита на личните данни и на нормативните актове при обработка на лични данни от:

1. съда при изпълнение на функциите му на орган на съдебната власт и
2. прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването ли наказателното преследване на престъпления или изпълнението на наказания.

Това се записва в чл. 17 от ЗЗЛД. Редът за осъществяване на тази дейност, включително за извършване на проверки и за разглеждане на производствата пред Инспектората се регламентират в правилника за дейността му по ЗСВ.

Записва се също, че проверките за защита на личните данни могат да са както планови, така и  по сигнали, включително от медиите. Проверката приключва с акт за резултати, в който могат да се отправят и перпоръки. При установено нарушение, с решение на Инспектората се налагат административни наказания.

И още – там се водят непублични регистри на нарушенията на GDPR и на ЗЗЛД, както и предприетите мерки; регистър на уведомленията за нарушаване на сигурността на личните данни.