Обществени консултации

Проект на Закон за изменение и допълненеие на Закона за защита на личните данни

Целите на законопроекта са насочени към осигуряване на ефективното прилагане на Общия регламент относно защитата на данните и изпълнение на задълженията на Република България като държава членка на ЕС във връзка с въвеждане в националното законодателство на законодателен акт (директива) на ЕС, с който се определят особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Консултацията е удължена до 30 май 2018 г. и се провежда тук.


Дата на откриване: 30.4.2018 г.
Целева група: Всички заинтересовани
Сфера на действие: Правосъдие и вътрешни работи
Дата на приключване: 14.5.2018 г.
Коментари
Коментари
Добави коментар
 
30 април 2018 г. 15:20:27 ч.
RIA

Становище относно предварителната ОВ по ЗИД и срока на обществената консултация - част 1

Считаме, че приложената към ЗИД на Закона за защита на личните данни (ЗЗЛД) предварителна оценка на въздействието не отговаря на методологическите изисквания, нито на българската правна уредба на института, нито на най-добрите практики на Европейската комисия в тази насока.

Вариантите на действие са класифицирани като "недопустим", "допустим" и "допустим и предпочитан". От една страна става въпрос за използване на неточна терминология, защото НОМИОВ говори за "възможни" варианти. От друга страна, противоречи на всякаква логика задължителният по чл. 16, т. 4, НОМИОВ за разглеждане вариант "Без действие" да бъде определян като "недопустим", доколкото това е правна категория, свързана с наличието на порок при прилагането на дадена процедура.

Големият проблем в случая обаче е, че тази класификация е направена още преди вариантите да бъдат описани (вж. т. 4 "Варианти на действие"). Оценката трябва да идентифицира проблема и да търси неговото разрешение, включително чрез получаване на позицията на заинтересованите страни непредубедено и безпристрастно, а не да фаворизира даден вариант още в самото си начало. Това я прави изначално предрешена и субективна и я лишава от нейното най-важно предназначение на обективно обосновано експертно становище относно най-доброто, от гледна точка на обществения интерес, разрешаване на проблема, извлечено на база доказателства и вариантен анализ.

На второ място, вариант 2 и 3 са всъщност под-варианти на едно и също разрешение на идентифицираните проблеми, а именно - регулиране чрез законов нормативен акт. При идентифицирането на вариантите е задължително да се осмислят възможностите за прилагане на подзаконова нормативна уредба, както и алтернативни подходи на регулиране като саморегулиране, съвместно регулиране, доброволни споразумения, информационни и образователни кампании, въвеждането на стандарти и други. Вариантите трябва да са разработени по начин, който да позволява диференцирането им на базата на тяхната функционалност чрез критериите за ефективност, ефикасност и съгласуваност с действащото законодателство и приоритетите на държавата.

Тенденциозността и едностранчивостта на оценката продължава и в частта, посветена на разглеждането на негативните и положителните въздействия на вариантите (съответно т. 5 и т. 6). Докато за първите два варианта подробно са описани възможните негативни въздействия, то за предварително обявения като "предпочитан" вариант е декларирано, че "такива не може да има" по всеки един от задължителните за разглеждане аспекти на въздействията (икономически, социален, екологичен). Каквато и да било обосновка, подкрепяща тези изводи липсва. Аналогична е ситуацията по отношение на положителните въздействия, където картината е огледална, като при вариант "Без действие" е посочено единствено, че "при този вариант не са идентифицирани положителни въздействия за нито една от заинтересованите страни". Икономическите, социалните и екологичните въздействия дори не са споменати. При вариант 2 съществува отчетено едно положително въздействие, а социални и екологични, според авторите на оценката, отново "не може да има". Въз основа на какви данни и информация се прави този категоричен извод - не става ясно.

Поради това считаме, че в този си вид - обусловена от предварително зададения краен резултат - оценката на въздействието не изпълнява своята основна цел: да даде обективен отговор на въпроса "Кое е най-подходящото разрешение на адресирания проблем?" и много ясно, точно и обосновано да обясни защо това е така.

Център за оценка на въздействието на законодателството

30 април 2018 г. 15:21:12 ч.
RIA

Становище относно предварителната ОВ по ЗИД и срока на обществената консултация - част 2

На последно място, считаме, че срокът на обществената консултация по проекта на нормативен акт следва да е 30 дни, защото в конкретната хипотеза не е налице изключителен случай. Посоченият в мотивите на ЗИД аргумент в полза на необходимостта от намаляване на срока на обществената консултация е: "В съответствие с чл. 26, ал. 2 и 4 от Закона за нормативните актове по законопроекта са проведени обществени консултации с гражданите и юридическите лица, като срокът за предложения и становища е намален на 14 дни, предвид обстоятелството, че наближава крайният срок за транспониране на Директива 2016/680/ЕС." Крайният срок за транспониране на Директивата е  4 май 2018 г. В същите тези мотиви е изрично посочена датата на публикуване на Директива 2016/680/ЕС - 6 май 2016 г., т.е. администрацията е разполагала с почти 2 години за транспониране на Директивата. В случая очевидно става въпрос за лоша организация и липса на планиране при работата на администрацията, а не за "изключително обстоятелство" по смисъла на чл. 26, ал. 4 ЗНА (форсмажорни обстоятелства като природни бедствия, аварии, война, терористичен акт и други подобни). Поради това считаме, че обществената консултация във връзка с конкретния проект на нормативен акт следва да се проведе в пълния 30-дневен срок, защото в противен случай не би отговаряла на изискванията на ЗНА.

 

Център за оценка на въздействието на законодателството

30 април 2018 г. 19:06:11 ч.
poptolev

ИМА ЛИ ВЕРОЯТНОСТ ДА Е ДОПУСНАТА ТЕХНИЧЕСКА ГРЕШКА?

В текста на § 6 при изписване на изменението на досегашната алинея 1 (която става алинея 2) следва изреждане на текстоне, като от № 1 директно се преминава към № 9, а никъде не е записано, че текстовете от № 2 до № 8 се отменят.



Има ли вероятност, това да е техническа грешка?

02 май 2018 г. 11:21:56 ч.
Sir Humphrey

Електронно подаване на заявления

Относно §18 (нов чл. 37а, ал. 2)

 

  1. От повече от половин година насам Закон за електронния документ и електронния подпис не съществува. Заглавието е изменено с ДВ бр. 85/2017 г. и законът вече се казва Закон за електронния документ и електронните удостоверителни услуги (ЗЕДЕУУ).
  2. Предлаганият текст на ал. 2 на новия чл. 37а "Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис." е некоректен. ЗЕДЕУУ не предвижда никакъв ред за такова нещо. Редът за подаване на електронни изявления/документи е разписан в Закона за електронното управление (Глава Втора, Раздел II, чл. 19 и следващите). В ЗЕУ е разписан и ред за приемане на електронни изявления/документи от страна на администрацията. Поради описаните причини текстът на на ал. 2 на новия чл. 37а трябва да се промени както следва: "Заявление може да бъде отправено и по електронен път по реда на Закона за електронното управление."  ****   Вносителите на законопроекта следва да имат предвид, че предлаганите с §18 нови разпоредби създават нова административна услуга, тъй като част от легалната дефиниция на "административна услуга" (съгласно Допълнителните разпоредби на Закона за администрацията и Закона за електронното управление) е: "в) извършване на други административни действия, които представляват законен интерес за физическо или юридическо лице".

06 май 2018 г. 11:12:02 ч.
xpert

Предложение част 1

Проектът на ЗИД ЗЗЛД не съответства на целите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ, L119/1 от 4 май 2016 г.) за кратко регламента. същият не въвежда изискване да се променя законодателството или да се въвеждат някакви мерки с промени в законодателството. Регламента има пряко действие и същият е част от вътрешното право на държавите членки. Очевидно единствената преследвана цел е да се увеличат заплатите на чиновниците от Комисията за защита на личните данни, което се вижда от предложената изцяло нова редакция на чл.7, ал.4, а именно - заплатата на председателя и членовете на комисията се изчисляват по различен начин - вече ще са 90% съответно 80% от заплатата на председателя на Народното събрание, която към момента е 5487 лева т.е. заплатите ще станат 4938 лв и съответно 4389 лева. В предходната редкация заплатата на председателя на КЗЛД е била 2,5 средномесечни заплати увеличени с 30% или по данни на НСИ към декември 2017 г. средномесечната заплата в обществения сектор е била 1180 лева, което значи, че членовете на КЗЛД следва да получават по 2950 лева на месеца приблизително, а председателят 3835 лева т.е. с това изменение членовете на КЗЛД си увеличават заплатите с 30%. Това на фона на мизерните пенсии и заплати е гротесктно - едни чиновници да си правят каквото си искат. При изготвянето на мотивите е грубо нарушен чл.28 от ЗНА, а именно - Мотивите, съответно докладът, съдържат:

06 май 2018 г. 11:13:51 ч.
xpert

Предложение част 2

1. причините, които налагат приемането; 2. целите, които се поставят;

 3. финансовите и други средства, необходими за прилагането на новата уредба;

 4. очакваните резултати от прилагането, включително финансовите, ако има такива;

 5. анализ за съответствие с правото на Европейския съюз.

Точки 3,4 и 5 липсват. Особено т.3 -финансовите и други средства, необходими за прилагането на новата уредба. Ми увеличенито на заплатите ако не е финансово средство не знам кое е.

Мотивите са напълно бланкетни, по никакъв начин не обясняват кое налага увеличението на заплатите на чиновниците от КЗЛД, как вносителя на законопроекта реши, че е задължително определяне на длъжностно лице по защита на данните и в случай, че се обработват лични данни на над 10 000 физически лица. Как е изчислена тази бройка от 10000? Това 10000 на годишна база ли е или въобще в исторически 

06 май 2018 г. 11:14:20 ч.
xpert

Предложение част 3

план от освобождението до сега? Една община с 4000 души население ще трябва ли да има задължително длъжносно лице или не и как да определи на колко лица обработва личните данни? Мотивите трябва да обосноват коя редакция защо се налага да се приеме, а не да преразказва текста на ЗИД-а.

Като цяло предложените измения по никакъв начин не кореспондират с регламента. Мотивите за промяна на срока за обществени консултации от 30-дневен на 14-дневен са напълно несъстоятелни. Обясненията за изготвилия законопроекта е че крайният срок за транспониране на Директива (ЕС) 2016/680 е 6 май 2018 г. Следва да се има предвид, че тази директива е приета на 27.04.2016 г. т.е. преди цели 2 години. Не става ясно защо точно сега вносителят се е разбързал толкова. Очеидно се бърза с увеличенито на заплатите преди новия летен сезон....

07 май 2018 г. 13:13:17 ч.
kotsalova

Становище по проекта на ЗИД на ЗЗЛД

  1. Относно §6: В чл. 10, ал. 2 от законопроекта е допусната техническа грешка, като от т. 1 текстът преминава към т. 9 и слд.
  2. Относно §9: В законопроекта липсва дефиниция на понятието “заинтересовано лице” по смисъла на чл. 12, ал. 4.
  3. Относно § 22: В чл. 61, ал. 2 законопроектът използва термина “добавя” друг обработващ лични данни. В ал. 3, т. 6 от същата разпоредба се появява термина “включване” на друг обработващ. Предвид необходимостта от унифицирнане на терминологията е препоръчително законопроектът да използва термина, предпочетен и в официалния превод на Регламента, а именно: “включва/не”.
  4. Относно § 22: Разпоредбата на чл. 62, ал. 1 от законопроекта вменява задължение  за всеки администратор да поддържа регистър с всички категории дейности по обработване /респ. ал. 2 - за обработващите/. Тази разпоредба противоречи на чл. 1, ал. 6 от същия проектозакон, както и на духа и смисъла на Регламента, според които политиката за защита на лични данни следва да отчита специалните потребности на микропредприятията, малките и средни предприятия. Именно поради тази причина съображение (13) от Регламента въвежда дерогация за организации с по-малко от 250 служители по отношение на воденото на регистър. Тази дерогация следва да бъде отразена и в законопроекта.

 

07 май 2018 г. 23:43:31 ч.
bozho

Становище

В чл. 12а да се добави алинея, с която да се посочи изрично, че длъжностните лица, извършващи проверките, носят отговорност за неразпространение на полученото знание за защитена от закона тайна.



В чл. 14 думите "печати и маркировки" да отпаднат - те представляват доста технологично неактуално средство за потвърждаване на сертификация.



В чл. 16 да се добави алинея, че регистрите по ал. 1, т.2 и т.3 са публични и се публикуват на интернет страницата на комисията и на портала за отворени данни (по ЗДОИ)



В чл. 25б, ал. 1 да се добави уточнение, че изискването не се прилага ако личните данни са единствено имейл адреси за целите на кореспонденцията (напр. изпълнителен директор на среден бизнес с 10 годишна история със сигурност има имейли от над 10 хиляди души, но това представлява нисък риск за правата и свободите им и не предполага мащабна и регулярна обработка).

В по-общ смисъл, бих казал, че съм против разширяването на Регламента (макар той да допуска това). По-скоро бих предложил хипотезата на Чл. 37(1)(б) да се уточни с числото 10 хиляди, но да се запази искването обработката да бъде редовна и мащабна. В противен случай в оценката на въздействието трябва да се включи цената на наетите/преназначените/обучените длъжностни лица по защита на данните.



В чл. 25г, ал. 1 думите "с цел недопускане неговата общодостъпност" да отпаднат. Те налагат схващането, че ЕГН-то е тайна, което води редица рискове със себе си. Когато специални закони изискват ЕГН-то да е публично (напр. ЗТР), то трябва да бъде именно общодостъпно.



В чл. 25г, ал. 2 думата "идентификатор" да се замени с "средство за идентификация на физическото лице" (значението остава същото, но така се постига по-висока прецизност)



В чл. 25и. думите "нормативен акт" да се заменят със "закон"



В чл. 37а, ал. 2 да се добави "или чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответнтие за информационната система средства за идентификация". Целта е да може да има бутон "забрави ме", след като човек е влязъл с "потребителско име и парола". Може да се твърди, че според ЗЕДЕУУ (заб. вече не е ЗЕДЕП) това също би било електронно изявление, но тълкуванията на ЗЗЛД биха внесли несигурност, поради което предлагам уточнението.



чл. 37б следва или да отпадне, или да се вземе предвид, че информационните системи ще предоставят опция за упражняване на права на субектите на данни след като те са влезели с потребителско име и парола. В този смисъл, част от реквизитите, като например подпис, следва да отпаднат (или да бъде уточнено, че за електронен подпис по смисъла на ЗЕДЕУУ се счита служебната ифнормация при самото изпращане, напр. сесиен идентификатор). Предлагам да се добави ал. 3. "В случай на подаване чрез потребителски интерфейс на информационна система след като лицето е идентифицирано, част от данните могат да бъдат попълнени автоматично".

Рискът от налагането на ограничен механизъм за заявяване на правата на субектите е сериозен, тъй като редица информационни системи ще предлагат опцията "заявяване на права през потребителски интерфейс", но българските бизнеси, както и чуждестранните бизнеси, опериращи в България, ще тряба да предприемат допълнителни мерки. Това би нарушило и идеята за единния цифров пазар. Най-сигурният подход откъм принципите на единния цифров пазар е членът да отпадне и да останат валидни единствено изискванията на Регламента.



В допълнителните разподреби е добре дефинициите да препращат към Регламента, вместо да бъде копирана или видоизменяна.



В параграф 32 относно ал. 5 на чл. 42 от ЗОП, предлагам да се добави общ текст, който забранява събиране на ЕГН на лица в документи за кандидатстване по ЗОП, освен ако участникът не е ЕТ или физическо лице. В такъв случай изискването за заличаване на ЕГН е непропорционално, тъй като е важно за публичния интерес да е ясно кой е изпълнителят на съответната поръчка.

14 май 2018 г. 14:27:09 ч.
Анонимен

Въвеждане на нови идентификатори

Хората трябва да могат да се представят и анонимно или полуанонимно с нов вид идентификатори пред държавата и обществото, за да не изтичат лични данни към престъпници, както и към самата държава. Днес престъпниците са в непрекъсната готовност и очакване някой да подаде сигнал до държавата срещу тях, за да могат да му вземат имената и адреса от този сигнал, след което да го посетят на място и да го "посъветват"! Подобни неща правят и медиите без да се съобразяват, че рушат личния живот на хората, да не говорим, че и държавната мафия най-вече използва този инструмент срещу населението. Тези идентификатори могат да бъдат неограничен брой - като имейл или биткойн адреси за еднократна употреба дори. Дори само въвеждането на възможност за използването на имейл адрес като идентификатор, без никакви други лични данни като ИМЕНА (които СА лични данни), инициали дори само, и т.н., в официалната кореспонденция с държавата, вече е доста голям напредък. Може да има и няколко нива на анонимност.
 

 

14 май 2018 г. 16:35:23 ч.
koleva

Становище

1. Относно чл. 25б, ал. 1: правилото представлява допълване на Регламента и е неясно - не дава указание какъв период от време следва да се има предвид при определяне броя на физическите лица, чиито лични данни се обработват.

2. Относно чл. 63: правилото е поместено в глава oсма и е приложимо обработване на лични данни от компетентните органи за целите на наказателно преследване, изпълнение на наказания и т.н., поради което не е общо приложимо за всички администратори и не създава общо задължение за водене на логове от всички организации. Изразеното разбиране на КЗЛД на проведени семинари е, че при проверка ще изисква от администраторите да предоставят логове за операциите по обработване. Задължение за воденето им обаче няма за администраторите в часния сектор според ЗИДЗЗЛД. Това означава ли, че няма да се изисква водене на логове от тях и представянето им при проверка? В допълнение, ЗИДЗЗЛД не указва минимален срок за съхранение и архивиране на логовете, което би създало трудност при определяне на подходящ такъв от администраторите и, ако е твърде дълъг - ангажиране на значителен финансов ресурс (поради необходимост от допълнителни сървъри).

 

14 май 2018 г. 20:37:43 ч.
Анонимен

Наличието на изключения - пробиви

В момента по мнение на юристи, които се занимават с материята, има Закон за защита на личните данни, но няма защита на личните данни. Абсурдно е да се приема такъв закон, след като изрично от неговото действие се изключват цели области, чрез които личните данни изтичат. А именно:
 
ЗС и Правилника по вписванията (ПВ) противоречат на идеята на ЗЗЛД и на Правото да бъдеш забравен. Нужна е нова концепция и нови закони. Ние считаме, че имотите не трябва да бъдат на различен режим от банковите и финансовите транзакции например. А последните би трябвало да се пазят само за някакъв срок - например 5 години назад. И далеч не са публични. Друг е въпросът дали не се пазят повече. С какво имотите са по-различни от трансферите на големи суми?
 
Вписването трябва да бъде доброволно, както и изобщо съхраняването на нотариалните актове на централно място.
Трябва да има възможност и за отписване, заличаване, изтегляне на внесени и вписани документи.
Алтернатива е и да се въведе засекретяване, както се направи в някои страни, но считаме, че това е по-лошата алтернатива.
По наши данни, в някои страни ползването на нотариус за имотни сделки също е доброволно! Това трябва да се въведе!
 
Аргументи за промяната - запазване личните данни поверителни, правото да бъдеш забравен, защита на личния живот от любопитни лица.
 
Аргументи против - потенциални възможности за имотни измами, неистинни претенции за собственост, затрудняване разследването на престъления - корупционни и др., затрудняване разследващите журналисти - папараци, да навлизат в живота на всеки - както на престъпници, така и на обикновени обекти на папарашки атаки.
 
Считаме, че аргумените ЗА надделяват, а за останалото трябва да има и други решения.
 
Подобно важи и за публикуването на съдебните решения! В момента има лица, които изцяло се издържат с този "бизнес" да изваждат информация от съдебни решения, съдържащи много лични данни и информация от личния живот, като, за да не го правят, получават достатъчна издръжка. (Я.Я.)