ОТНОСНО: ПРОЕКТ НА ЗИД НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Изх. № 05-04-4#1 /28.05.2018 г.
ДО
Г-Н ВАЛЕНТИН РАДЕВ
МИНИСТЪР НА
ВЪТРЕШНИТЕ РАБОТИ
НА РЕПУБЛИКА БЪЛГАРИЯ
С Т А Н О В И Щ Е
Относно: Проект на Закон за изменение и допълнение на Закона за защита на личните данни (ЗИД на ЗЗЛД)
УВАЖАЕМИ Г-Н МИНИСТЪР,
Във връзка с публикувания на Портала за обществени консултации проект на Закон за изменение и допълнение на Закона за защита на личните данни изразяваме следното становище:
Динамичните промени в световен мащаб и навлизането с бързи темпове на нови технологии поставят пред обществото и бизнеса, като част от него, нови отговорности и по-високи изисквания относно защитата на личните данни на физическите лица.
Необходимостта от промяна на вътрешното ни законодателство в областта на защитата на личните данни е продиктувано от влизането в сила на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година[1] (Общия регламент) и на Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година[2].
Българска стопанска камара (БСК) счита, че предложените изменения и допълнения на Закона за защита на личните данни (ЗЗЛД) са с голяма обществена значимост за обществено-икономическия живот в страната и засягат правата и интересите на всички български граждани и юридически лица. Проектът се вписва в много добрата информационна кампания на Комисията за защита на личните данни (Комисията), от която се възползвахме и за което благодарим. Промените в законопроекта надграждат съществуващата повече от 15 години национална правна уредба и уточняват на национално ниво реда за прилагане на правилата на Общия регламент.
Предлагаме на Вашето внимание следните бележки на БСК по наименованието, структурата и съдържанието на законопроекта:
- Наименованието на законопроекта следва да отразява неговата същност, а именно защитата на физическите лица във връзка с обработването на лични данни.
- Прегледът на ЗИД на ЗЗЛД показва, че са направени значителни изменения и допълнения на действащия закон. Единствените разпоредби, които не се променят са членове 8 и 13 от действащия закон. Останалите членове са или изменени и допълнени, или отменени (изцяло са отменени глава трета, четвърта, пета и шеста), създадени са над 50 нови текста. В тази връзка считаме, че направените промени са многобройни и важни по смисъла на чл. 11, ал. 1 от Закона за нормативните актове (ЗНА) и би следвало да бъдат оформени в изцяло нов закон.
- Съгласно чл. 32, ал. 2, т. 4, б. „б“ от Указ № 883 от 24.04.1974 г. за прилагане на Закона за нормативните актове, разпоредби, които посочват „нормативните актове и актовете на Европейския съюз, чиито изисквания са въведени с тях и към които препраща съответния акт“, се включват в допълнителните разпоредби. В този смисъл систематичното място на предложения текст на чл. 1, ал. 1 от законопроекта е в допълнителните разпоредби на ЗЗЛД.
- Положително оценяваме отбелязаните в чл. 1, ал. 6 от ЗИД на ЗЗЛД специални потребности на микропредприятията, малките и средни предприятия, но считаме, че разпоредбата има декларативен характер. В тази връзка същата трябва да бъде допълнително обмислена и доразвита.
5. По чл. 25 б, ал. 1 на глава четвърта „а“
Текстът въвежда задължение за определяне на длъжностно лице по защита на данните, когато администраторът или обработващият, обработва лични данни на над 10 000 физически лица. Такова изискване не се съдържа в чл. 37, пар. 1 от Регламент (ЕС) 2016/ 679, според който такова длъжностно лице трябва да бъде назначено само от публични органи, субекти с основна дейност обработване на данни, които изискват систематично мащабно наблюдение или мащабно обработване на данни. Предвид силно разширения обхват на понятието „лични данни“, които включват не само признаци относно идентичността на едно физическо лице, но и множество допълнителни данни, като местонахождение, он лайн идентификатор и пр., в задължените лица по чл. 25б ще попаднат широк кръг субекти. Редакцията на текста не съдържа период на обработване – следователно към датата на влизане на закона в сила всички данни, които са били обект на обработване и съхранение от момента на учредяване на юридическо лице или на функциониране на физическо лице като администратор или обработващ, влизат в броя на посочения минимум. Определеният брой от 10 000 лица би създал неоправдана административна и финансова тежест за множество български предприятия, които ще бъдат задължени да определят длъжностно лице по защита на данните. Необходимостта от установяване във всеки един момент на броя на лицата, чиито данни се обработват, означава създаване на механизъм за броене и осигуряване на допълнителни трудови ресурси, които го осъществяват. Нормата на чл. 25б, ал. 1 от законопроекта е непропорционална с оглед постигане целите на Общия регламент.
В тази връзка считаме, че предложеният текст на чл.25б, ал. 1 следва да отпадне.
6. По чл. 25г, ал. 2
Съгласно чл. 11, ал. 1 от Закона за гражданската регистрация Единият граждански номер (ЕГН) е уникален административен идентификатор на подлежащите на регистрация физически лица по чл. 3, ал. 2 от закона. В тази връзка ЕГН служи за еднозначно идентифициране на всяко физическо лице, което е български гражданин. ЕГН е част от базите данни на регистъра БУЛСТАТ, на имотния регистър и други публични регистри.
Считаме, че текстът на чл. 25г, ал. 2 е неясен и ще породи затруднения и колизия с други нормативни актове. Създава се реална възможност достъпът до публичните регистри да бъде ограничен, а това от своя страна ще затрудни извършването на справки за вписаните в регистрите обстоятелства. Не става ясно какви са целите за въвеждането на тази разпоредба и по какъв начин се защитават личните данни на физическите лица. Смятаме, че разпоредбата на чл. 25г, ал. 2 от ЗИД на ЗЗЛД се нуждае от нова по-ясна редакция.
7. По чл. 85, ал. 1 и 2
Чл. 85, ал. 1 от ЗИД на ЗЗЛД определя минимален размер на глобата или имуществената санкция от 10 000, а ал. 2 – от 5000, като не е посочено дали сумите са определени в евро или в левовата равностойност. Определянето на минимален размер на имуществената санкция не кореспондира на чл. 83, пар. 4 и пар. 6 от Общия регламент, които определят изрично само максимални размери на глоби за съответните нарушения. Регламентът не предоставя дискреция на държавите по отношение на санкциите в чл. 83, за разлика от чл. 84, в който се предвижда възможност държавите членки да предвидят санкции за други нарушения, извън тези по чл.83. Определянето на минимален размер на глобата би възпрепятствало надзорния орган да наложи справедлива санкция под този размер, съответстваща на резултатите от проверката по параграф 2 на чл. 83 от Общия регламент. Определянето на минимален размер на глобата или имуществената санкция не отчита особеностите на дейността, оборота и доходите на микро- и малките предприятия в страната. Със съображение 148 от Общия регламент се въвежда възможността „при леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание“. В тази връзка предлагаме да бъде създадена нова ал. 4 на чл. 85 с идентично съдържание на цитирания текст „При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание“.
С уважение,
/п/
БОЖИДАР ДАНЕВ
Изпълнителен председател
__________________________
[1] Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
[2] Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година[2] относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета.
