* Задължителни полета
Целите на законопроекта са насочени към осигуряване на ефективното прилагане на Общия регламент относно защитата на данните и изпълнение на задълженията на Република България като държава членка на ЕС във връзка с въвеждане в националното законодателство на законодателен акт (директива) на ЕС, с който се определят особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
Консултацията е удължена до 30 май 2018 г. и се провежда тук.
Считаме, че приложената към ЗИД на Закона за защита на личните данни (ЗЗЛД) предварителна оценка на въздействието не отговаря на методологическите изисквания, нито на българската правна уредба на института, нито на най-добрите практики на Европейската комисия в тази насока.
Вариантите на действие са класифицирани като "недопустим", "допустим" и "допустим и предпочитан". От една страна става въпрос за използване на неточна терминология, защото НОМИОВ говори за "възможни" варианти. От друга страна, противоречи на всякаква логика задължителният по чл. 16, т. 4, НОМИОВ за разглеждане вариант "Без действие" да бъде определян като "недопустим", доколкото това е правна категория, свързана с наличието на порок при прилагането на дадена процедура.
Големият проблем в случая обаче е, че тази класификация е направена още преди вариантите да бъдат описани (вж. т. 4 "Варианти на действие"). Оценката трябва да идентифицира проблема и да търси неговото разрешение, включително чрез получаване на позицията на заинтересованите страни непредубедено и безпристрастно, а не да фаворизира даден вариант още в самото си начало. Това я прави изначално предрешена и субективна и я лишава от нейното най-важно предназначение на обективно обосновано експертно становище относно най-доброто, от гледна точка на обществения интерес, разрешаване на проблема, извлечено на база доказателства и вариантен анализ.
На второ място, вариант 2 и 3 са всъщност под-варианти на едно и също разрешение на идентифицираните проблеми, а именно - регулиране чрез законов нормативен акт. При идентифицирането на вариантите е задължително да се осмислят възможностите за прилагане на подзаконова нормативна уредба, както и алтернативни подходи на регулиране като саморегулиране, съвместно регулиране, доброволни споразумения, информационни и образователни кампании, въвеждането на стандарти и други. Вариантите трябва да са разработени по начин, който да позволява диференцирането им на базата на тяхната функционалност чрез критериите за ефективност, ефикасност и съгласуваност с действащото законодателство и приоритетите на държавата.
Тенденциозността и едностранчивостта на оценката продължава и в частта, посветена на разглеждането на негативните и положителните въздействия на вариантите (съответно т. 5 и т. 6). Докато за първите два варианта подробно са описани възможните негативни въздействия, то за предварително обявения като "предпочитан" вариант е декларирано, че "такива не може да има" по всеки един от задължителните за разглеждане аспекти на въздействията (икономически, социален, екологичен). Каквато и да било обосновка, подкрепяща тези изводи липсва. Аналогична е ситуацията по отношение на положителните въздействия, където картината е огледална, като при вариант "Без действие" е посочено единствено, че "при този вариант не са идентифицирани положителни въздействия за нито една от заинтересованите страни". Икономическите, социалните и екологичните въздействия дори не са споменати. При вариант 2 съществува отчетено едно положително въздействие, а социални и екологични, според авторите на оценката, отново "не може да има". Въз основа на какви данни и информация се прави този категоричен извод - не става ясно.
Поради това считаме, че в този си вид - обусловена от предварително зададения краен резултат - оценката на въздействието не изпълнява своята основна цел: да даде обективен отговор на въпроса "Кое е най-подходящото разрешение на адресирания проблем?" и много ясно, точно и обосновано да обясни защо това е така.
Център за оценка на въздействието на законодателството
На последно място, считаме, че срокът на обществената консултация по проекта на нормативен акт следва да е 30 дни, защото в конкретната хипотеза не е налице изключителен случай. Посоченият в мотивите на ЗИД аргумент в полза на необходимостта от намаляване на срока на обществената консултация е: "В съответствие с чл. 26, ал. 2 и 4 от Закона за нормативните актове по законопроекта са проведени обществени консултации с гражданите и юридическите лица, като срокът за предложения и становища е намален на 14 дни, предвид обстоятелството, че наближава крайният срок за транспониране на Директива 2016/680/ЕС." Крайният срок за транспониране на Директивата е 4 май 2018 г. В същите тези мотиви е изрично посочена датата на публикуване на Директива 2016/680/ЕС - 6 май 2016 г., т.е. администрацията е разполагала с почти 2 години за транспониране на Директивата. В случая очевидно става въпрос за лоша организация и липса на планиране при работата на администрацията, а не за "изключително обстоятелство" по смисъла на чл. 26, ал. 4 ЗНА (форсмажорни обстоятелства като природни бедствия, аварии, война, терористичен акт и други подобни). Поради това считаме, че обществената консултация във връзка с конкретния проект на нормативен акт следва да се проведе в пълния 30-дневен срок, защото в противен случай не би отговаряла на изискванията на ЗНА.
В текста на § 6 при изписване на изменението на досегашната алинея 1 (която става алинея 2) следва изреждане на текстоне, като от № 1 директно се преминава към № 9, а никъде не е записано, че текстовете от № 2 до № 8 се отменят. Има ли вероятност, това да е техническа грешка?
Относно §18 (нов чл. 37а, ал. 2)
Проектът на ЗИД ЗЗЛД не съответства на целите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ, L119/1 от 4 май 2016 г.) за кратко регламента. същият не въвежда изискване да се променя законодателството или да се въвеждат някакви мерки с промени в законодателството. Регламента има пряко действие и същият е част от вътрешното право на държавите членки. Очевидно единствената преследвана цел е да се увеличат заплатите на чиновниците от Комисията за защита на личните данни, което се вижда от предложената изцяло нова редакция на чл.7, ал.4, а именно - заплатата на председателя и членовете на комисията се изчисляват по различен начин - вече ще са 90% съответно 80% от заплатата на председателя на Народното събрание, която към момента е 5487 лева т.е. заплатите ще станат 4938 лв и съответно 4389 лева. В предходната редкация заплатата на председателя на КЗЛД е била 2,5 средномесечни заплати увеличени с 30% или по данни на НСИ към декември 2017 г. средномесечната заплата в обществения сектор е била 1180 лева, което значи, че членовете на КЗЛД следва да получават по 2950 лева на месеца приблизително, а председателят 3835 лева т.е. с това изменение членовете на КЗЛД си увеличават заплатите с 30%. Това на фона на мизерните пенсии и заплати е гротесктно - едни чиновници да си правят каквото си искат. При изготвянето на мотивите е грубо нарушен чл.28 от ЗНА, а именно - Мотивите, съответно докладът, съдържат:
1. причините, които налагат приемането; 2. целите, които се поставят;
3. финансовите и други средства, необходими за прилагането на новата уредба;
4. очакваните резултати от прилагането, включително финансовите, ако има такива;
5. анализ за съответствие с правото на Европейския съюз.
Точки 3,4 и 5 липсват. Особено т.3 -финансовите и други средства, необходими за прилагането на новата уредба. Ми увеличенито на заплатите ако не е финансово средство не знам кое е.
Мотивите са напълно бланкетни, по никакъв начин не обясняват кое налага увеличението на заплатите на чиновниците от КЗЛД, как вносителя на законопроекта реши, че е задължително определяне на длъжностно лице по защита на данните и в случай, че се обработват лични данни на над 10 000 физически лица. Как е изчислена тази бройка от 10000? Това 10000 на годишна база ли е или въобще в исторически
план от освобождението до сега? Една община с 4000 души население ще трябва ли да има задължително длъжносно лице или не и как да определи на колко лица обработва личните данни? Мотивите трябва да обосноват коя редакция защо се налага да се приеме, а не да преразказва текста на ЗИД-а.
Като цяло предложените измения по никакъв начин не кореспондират с регламента. Мотивите за промяна на срока за обществени консултации от 30-дневен на 14-дневен са напълно несъстоятелни. Обясненията за изготвилия законопроекта е че крайният срок за транспониране на Директива (ЕС) 2016/680 е 6 май 2018 г. Следва да се има предвид, че тази директива е приета на 27.04.2016 г. т.е. преди цели 2 години. Не става ясно защо точно сега вносителят се е разбързал толкова. Очеидно се бърза с увеличенито на заплатите преди новия летен сезон....
В чл. 12а да се добави алинея, с която да се посочи изрично, че длъжностните лица, извършващи проверките, носят отговорност за неразпространение на полученото знание за защитена от закона тайна. В чл. 14 думите "печати и маркировки" да отпаднат - те представляват доста технологично неактуално средство за потвърждаване на сертификация. В чл. 16 да се добави алинея, че регистрите по ал. 1, т.2 и т.3 са публични и се публикуват на интернет страницата на комисията и на портала за отворени данни (по ЗДОИ) В чл. 25б, ал. 1 да се добави уточнение, че изискването не се прилага ако личните данни са единствено имейл адреси за целите на кореспонденцията (напр. изпълнителен директор на среден бизнес с 10 годишна история със сигурност има имейли от над 10 хиляди души, но това представлява нисък риск за правата и свободите им и не предполага мащабна и регулярна обработка). В по-общ смисъл, бих казал, че съм против разширяването на Регламента (макар той да допуска това). По-скоро бих предложил хипотезата на Чл. 37(1)(б) да се уточни с числото 10 хиляди, но да се запази искването обработката да бъде редовна и мащабна. В противен случай в оценката на въздействието трябва да се включи цената на наетите/преназначените/обучените длъжностни лица по защита на данните. В чл. 25г, ал. 1 думите "с цел недопускане неговата общодостъпност" да отпаднат. Те налагат схващането, че ЕГН-то е тайна, което води редица рискове със себе си. Когато специални закони изискват ЕГН-то да е публично (напр. ЗТР), то трябва да бъде именно общодостъпно. В чл. 25г, ал. 2 думата "идентификатор" да се замени с "средство за идентификация на физическото лице" (значението остава същото, но така се постига по-висока прецизност) В чл. 25и. думите "нормативен акт" да се заменят със "закон" В чл. 37а, ал. 2 да се добави "или чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответнтие за информационната система средства за идентификация". Целта е да може да има бутон "забрави ме", след като човек е влязъл с "потребителско име и парола". Може да се твърди, че според ЗЕДЕУУ (заб. вече не е ЗЕДЕП) това също би било електронно изявление, но тълкуванията на ЗЗЛД биха внесли несигурност, поради което предлагам уточнението. чл. 37б следва или да отпадне, или да се вземе предвид, че информационните системи ще предоставят опция за упражняване на права на субектите на данни след като те са влезели с потребителско име и парола. В този смисъл, част от реквизитите, като например подпис, следва да отпаднат (или да бъде уточнено, че за електронен подпис по смисъла на ЗЕДЕУУ се счита служебната ифнормация при самото изпращане, напр. сесиен идентификатор). Предлагам да се добави ал. 3. "В случай на подаване чрез потребителски интерфейс на информационна система след като лицето е идентифицирано, част от данните могат да бъдат попълнени автоматично". Рискът от налагането на ограничен механизъм за заявяване на правата на субектите е сериозен, тъй като редица информационни системи ще предлагат опцията "заявяване на права през потребителски интерфейс", но българските бизнеси, както и чуждестранните бизнеси, опериращи в България, ще тряба да предприемат допълнителни мерки. Това би нарушило и идеята за единния цифров пазар. Най-сигурният подход откъм принципите на единния цифров пазар е членът да отпадне и да останат валидни единствено изискванията на Регламента. В допълнителните разподреби е добре дефинициите да препращат към Регламента, вместо да бъде копирана или видоизменяна. В параграф 32 относно ал. 5 на чл. 42 от ЗОП, предлагам да се добави общ текст, който забранява събиране на ЕГН на лица в документи за кандидатстване по ЗОП, освен ако участникът не е ЕТ или физическо лице. В такъв случай изискването за заличаване на ЕГН е непропорционално, тъй като е важно за публичния интерес да е ясно кой е изпълнителят на съответната поръчка.
1. Относно чл. 25б, ал. 1: правилото представлява допълване на Регламента и е неясно - не дава указание какъв период от време следва да се има предвид при определяне броя на физическите лица, чиито лични данни се обработват.
2. Относно чл. 63: правилото е поместено в глава oсма и е приложимо обработване на лични данни от компетентните органи за целите на наказателно преследване, изпълнение на наказания и т.н., поради което не е общо приложимо за всички администратори и не създава общо задължение за водене на логове от всички организации. Изразеното разбиране на КЗЛД на проведени семинари е, че при проверка ще изисква от администраторите да предоставят логове за операциите по обработване. Задължение за воденето им обаче няма за администраторите в часния сектор според ЗИДЗЗЛД. Това означава ли, че няма да се изисква водене на логове от тях и представянето им при проверка? В допълнение, ЗИДЗЗЛД не указва минимален срок за съхранение и архивиране на логовете, което би създало трудност при определяне на подходящ такъв от администраторите и, ако е твърде дълъг - ангажиране на значителен финансов ресурс (поради необходимост от допълнителни сървъри).