Позицията на АЗЛД по Законопроекта за допълнение на Закона за защита на личните данни

В следващите редове можете да се запознаете с позицията на АЗЛД по Законопроекта за допълнение на Закона за защита на личните данни от месец май 2020 г. :

 

ПОЗИЦИЯ

на „АСОЦИАЦИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ“

Относно: Законопроект за допълнение на Закона за защита на личните данни

(сигнатура: 054-01-47, дата на постъпване на законопроекта: 28.05.2020 г.)

 

Считаме, че предложените със законопроекта промени в Закона за защита на личните данни (ЗЗЛД) не следва да бъдат приемани в този вариант, още повече като част от законодателството, уреждащо защитата на личните данни.

Аргументите си излагаме подробно по-долу.

 

I. Предложените текстове противоречат на законодателството за защита на личните данни. 

С новосъздадения чл. 25п, ал. 1 на ЗЗЛД се предлага всички „собственици на интернет сайтове, онлайн платформи, профили в социалните мрежи и онлайн блогове“ да оповестят „на видно място на интернет сайтове, онлайн платформи, профили в социалните мрежи и онлайн блогове информация за себе си, в качеството си на администратора на личните данни“.

Нововъведеното понятие „собственик на интернет сайт, онлайн платформа, профил в социална мрежа“ и т.н. (който „собственик“ се явява задължено лице по смисъла на законодателството за защита на личните данни) е в несъответствие както с националното, така и с европейското законодателство в областта. Правилата на Закона за защита на личните данни (ЗЗЛД) и Регламент (ЕС) 2016/679 („Регламент/-ът/-а“) не са предназначени (и в този смисъл задължителни) само за собственици на сайтове, платформи, профили и др., а за всички администратори и обработващи лични данни по смисъла на законодателството за защита на личните данни.

Съгласно § 1, т. 2 от ДР на ЗЗЛД, „Администратор“, с изключение на администратора по глава осма от закона, е понятието по чл. 4, т. 7 от Регламент (ЕС) 2016/679, а именно: „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“.

В тази връзка, не всички собственици на профили в социалните мрежи, например, отговарят на определението за „администратор на лични данни“.

Освен това, не е задължително понятието „собственик на сайт, профил в социална мрежа, онлайн платформа“ и др. (каквото и да се влага като смисъл в думата „собственик“ в случая) да съвпада и да се припокрива с термина „администратор“ на лични данни.

Два са основните аргументи в тази посока:

На първо място, трябва да бъде взето предвид приложното поле на рецитал 18 от Регламент (ЕС) 2016/679. Съгласно последно цитирания рецитал, Регламентът не се прилага за обработването на лични данни от физическо лице в рамките на изцяло лична дейност или дейност в рамките на домакинството, която следователно няма връзка с професионална или търговска дейност, като личните дейности или дейностите в рамките на домакинството биха могли да включват воденето на кореспонденция и поддържането на адресни указатели или участието в социални мрежи и онлайн дейности, предприети в контекста на тези дейности.

На второ място, съгласно дефиницията на Регламента по чл. 4, т. 7, за да има едно лице качеството „администратор“ на лични данни (без значение дали това лице е собственик или не на сайт, на профил в социална мрежа, на онлайн платформа и т.н.), то трябва да обработва лични данни. Понятието „лични данни“ също е дефинирано в Регламента (в чл. 4, т. 1 от него), като не е  непременно задължително информационен интернет сайт, онлайн блог или профил в социална мрежа да обработва и лични данни.

Като цяло, предложените текстове създават впечатление за липса на съобразяването им с понятия, термини и дефиниции на законодателството за защита на личните данни. Това несъответствие би създало и погрешно разбиране за наличие на задължения у лица, които не са в обхвата на законодателната рамка, очертана още на европейско ниво, при това с регламент.

Също така, възниква и реторичният въпрос: по какъв начин ще бъдат защитени личните данни на физическите лица (собственици на профили в социалните мрежи, например), за които Регламент (ЕС) 2016/679 не намира приложение, но, които, съгласно формулировката на чл. 25п, ал. 1 от законопроекта, биха били задължени да публикуват на видно място в профила си три имена, адрес или телефон и електронна поща за контакт?

 

II. Предложените текстове биха подвели определени администратори на лични данни, че спрямо тях са налице по-занижени изисквания от вече въведените с Регламента. Дори още по-лошо – спазването на предложените текстове би означавало директно нарушаване от тяхна страна на задълженията им по Регламента. 

Съгласно действащия от 25.05.2018 г. Регламент (ЕС) 2016/679, лицата, които по смисъла на чл. 4, т. 7 от същия са администратори на лични данни, са задължени при обработването на лични данни да спазват определени принципи, измежду които и „принципът на прозрачност“ (чл. 5, пар. 1, б. „а“). По-нататък текстовете на Регламента посочват, че спазването на този принцип означава предоставянето на прозрачна информация и то изрично определената в Регламента информация (чл. 12 – 14 от Регламента). Именно тези разпоредби на Регламента посочват каква информация следва да бъде предоставена на субектите на данни от страна на администратора на лични данни. Несъобразените с тях текстове на т. 1 и т. 2 на чл. 25п, ал. 1 от законопроекта водят до нарушение на Регламента и до непредоставяне на цялостна прозрачна информация на субектите на данни. В този ред на мисли, изначално не разбираме смисъла на предложеното допълнение на ЗЗЛД. Самите мотиви към законопроекта също не дават яснота в тази посока, още повече имайки предвид, че горепосочените изисквания вече съществуват в закона и то в доста по-широк обхват.

 

III. „Дезинформация“ и лични данни.

Законодателството за защита на личните данни поставя изисквания към администраторите обработваните от тях лични данни да са точни и актуални. За тази цел задължените лица следва да въвеждат механизми, чрез които да спазват посоченото изискване. Обработването на „невярна“ информация (без да е дадено определение на това понятие) от страна на администраторите, макар и донякъде да може да се припокрие с обработването на „неточни данни“ в частта информация за физическо лице, не може да се отъждествява с предложената дефиниция за „дезинформация“. Разпространението на невярна информация (като цяло) и в момента е предмет на различна регулация в правния мир.

Заедно с това, чл. 25р цели да обвърже разпространението на невярна информация непременно с обработването на лични данни, което не е задължително да бъде така.

Невярната информация може и да не се отнася до личните данни на едно лице. Както всички сме били свидетели покрай извънредната ситуация с Covid-19 (и което споменават и вносителите на законопроекта), невярната информация може да се отнася до медицински факти или други факти и събития, които нямат никаква връзка с конкретно физическо лице и съответно със законодателството за защита на личните данни.

Борбата с дезинформацията безспорно е важна и все по-актуална тема. Както се вижда от световната и европейската сцена, регулацията по въпроса е изключително сложна задача. Темата е предмет на много дискусии и изисква включването на много широк кръг от експерти, организирането на всеобщи международни инициативи, вкл. създаването на саморегулиращи се такива на браншово ниво. При всички положения тази задача може да бъде реализирана само при познаване на стандартите в специфични браншове, новите дигитални реалности и закономерности, както и при задължителното спазване и отчитане на основни правила и фундаменти в правния ред.

 

С оглед на всичко гореизложено, считаме, че предложените промени със Законопроекта за допълнение на Закона за защита на личните данни (сигнатура: 054-01-47, дата на постъпване: 28.05.2020 г.) не следва да бъдат приемани.

 

Изготвили позицията:

Адв. Деница Люнчева, почетен председател на АЗЛД

Юлия Пригонча, председател на УС на АЗЛД

Адв. Иванка Атанасова – правен съветник на АЗЛД