![]() |
![]() |
|
Становище І. Общи съображения. Защитата на личната информация от неправомерно събиране и обработване е основно човешко право, неотменима част от правото на личен живот. Това право е изрично установено в редица международните актове - Конвенция за защита на лицата във връзка с автоматичната обработка на лични данни (наричана по-нататък Конвенцията) и Директива 95/46 на ЕС (наричана по-нататък Директивата), и в законите за защита на личните данни на отделни европейски държави, напр. на Германия и Унгария. Стандарти задава и чл.8 от Конвенция за защита правата на човека и основните свободи /наричана по-нататък ЕКПЧ/. Един закон за защита на личната информация следва ясно и точно да формулира своята цел, а именно - гарантирането на защитата на личните данни на всеки от неправомерно събиране и обработка. Конституционната основа на този тип законодателство е гарантирането на правото на личен живот , заложено в чл.32 на Конституцията на РБългария. Ал.2 от тази конституционна разпоредба забранява събирането на данни за личността без нейно знание или въпреки изричното й противопоставяне освен в случаите, предвидени в закон. · Във връзка със съществуващия Проектозакон за защита на личните данни (14.09.2000) следва да се отбележи следното: 1. Целта на закона, формулирана в чл.1(2) т. 2 от проекта
не съответства на обхвата на правно регулиране. Честта и достойнството
не са предмет на защита от този вид законодателство. 2. С оглед на по-голяма прецизност, препоръчваме изразът
"лична информация" да се замени с "лични данни" и да се ползва само като
помощно понятие /напр. при определянето на "лични данни/. 3. Понятието "обработване" на личните данни обхваща както събирането,
така и фактическото обработване на данните. В проекта липсвалегална дефиниция
на понятието и това създава доста неясноти. Считаме, че този пропуск следва
да бъде поправен, а уредбата на съотношението обработване към събиране
трябва да бъде като вид към род. 4. Цялостната структура на закона следва да бъде променена
и опростена. Събирането и обработването трябва да бъдат подчинени на едни
и същи изисквания, а изискванията, които се прилагат само за събирането
на лични данни, трябва да са уредени като отклонения от общия режим. 5. Уредбата на прехвърлянето на лични данни
следва да бъде уредена на едно място в закона. Законът трябва да се прилага
в случаи на прехвърляне на лична информация извън територията на страната
без значение дали защитата, която предоставя законодателството на съответната
държава на личните данни е равна по степен, по-голяма или по-малка. Законът
трябва да осигурява различен правен режим на защита на личните данни при
прехвърляне в зависимост от нивото на защита, което съответната държава
предвижда. Цялата уредба на това прехвърляне обаче трябва да бъде в този
закон. 6. Основната законова дефиниция - "лични данни", дадена
в чл.2 ал.1 е неясна и съдържа двусмислици. Така например, възможно е
понятието идентичност да се тълкува като обективна идентичност /т.е.как
се идентифицира едно лице от държавата, от даден орган, от обществото/
или субективна идентичност /как се идентифицира самото лице/. Определения
като "културна, обществена, психологическа и т.н., придадени към съществителното
идентичност не създават никаква представа за смисъла на израза. Достатъчно
е опростено определение като "лични данни са всички данни относно едно
физическо лице" или "лични данни са всички данни, разкриващи характеристика
или съвкупност от характеристики на личността, чрез които тя лесно може
да бъде индивидуализирана". 7. С оглед принципа за прозрачност на управлението, информирания
избор на избирателите, свободата на изразяване и достъпа до обществена
информация е ОСОБЕНО ВАЖНО извън приложното поле на закона да остане една
важна категория лични данни. Предлагаме разпоредба като "Не се считат
за лични данни по смисъла на този закон данните на лицата, свързани с
тяхната дейност при и по повод изпълняване на служебни задължения при
осъществяване на държавната власт или местното самоуправление". 8. Разпоредбата на Чл.11 ал.2 от проекта въвежда НЕДОПУСТИМО ограничение на правото на защита на личните данни в разрез и с конституционната разпоредба на Чл.32.
9. Унищожаването на лични данни след постигане на целта,
за която са били обработвани, е принцип на този вид законодателство и
не може да бъде въпрос на оперативна самостоятелност на съответния "титуляр"
на лични данни. Необходимо е императивно задължение,установено от законова
норма в този смисъл. 10. Разпространяването на лични данни не е предмет на регулиране от този закон. Такива изисквания не се поставят и от международните актове. Тук се засяга правото на разпространяване на информация, което е част от правото на свобода на изразяване. По същество разлика между "разкриване" и "разгласяване" няма. Ако лични данни са разгласени незаконно, това е най-малкото административно нарушение, а някои законодателства /напр. унгарското/ предвиждат и наказателна отговорност. Разпространяването на лични данни може да бъде квалифициран административно-наказателен или наказателен състав, но друг смисъл на горното разграничение няма. ІІ. Конкретни бележки и предложения за изменение на Проекта: 1. чл. 1 ал.1: Да бъде изрично употребен изразът "гарантира
правото на защита на личните данни като част от правото на неприкосновеност
на личния живот". 2. чл.1 ал.2: т.2 Следва да отпадне. Съдържанието на разпоредбата
на ал.2 да се формулира като принцип на закона. Да се предвидят други
основания, засягащи съгласието при обработването на данните, правно технически,
оформени като точки към същата алинея. Само със закон да се уреждат изключенията.
Да се посочи като принцип определянето на целта за обработване на лични
данни. Т.3 да се промени - "събираната" да се замени с "обработваната".
3. чл.1 ал.3: Да отпадне. Излишно е да се прилагат принципите на този закон по отношение на посочените категории данни. Те или попадат под дефиницията за лични данни по смисъла на закона, или не попадат. Данни за лицата, участващи в органите по управление и надзор на търговските дружества се съдържат в търговският регистър, който изрично е публичен, за да гарантира сигурността на търговския оборот. Разпоредбите на този закон се прилагат и по отношение на участие на физически лица в неперсонифицирани групи . Не съществува никаква дефиниция или дори намек какъв вид група се има в предвид. Групите не са правен субект в съществуващото законодателство в България освен ако не са регистрирани като юридически лица. 4. чл.1 ал.7: текста от "при условие" нататък да отпадне предвид развитите по-горе аргументи. 5. чл.2 ал.1: Понятието лични данни да бъде ясно дефинирано съобразно с развитите по-горе аргументи. 6. чл.3 ал.1: Използването на понятието "титуляр" е твърде неточно. Титуляр се използва за обозначаване на носителят на дадено право. Законът разглежда лицето, чиито данни се обработват, като титуляр на правото. Следователно терминът не съответства на вложения в него смисъл. Буквалният превод на международните актове би бил "контрольор" или "контролиращ" личните данни, т.е. обозначава се не субектът носител на правото, а субектът, в чиято фактическа власт са тези лични данни. 7. чл.3 ал.2: Текстът да се прецизира: законът се прилага както за автоматизирано, така и за ръчно обработваните данни. 8. чл.3 ал.3: да се добави "само" преди "в случаите, определени със закон". 9. чл.4 ал.1: прекалено тежко задължение е да се създава регистър за всеки случай на обработка на лични данни. Всеки, който обработва лични данни, следва да се съобразява с изискванията на закона, но регистри следва да поддържат само по-големи по капацитет институции и организации. Същото се отнася и до изискването за регистрация като "титуляр". 10. чл.5 ал.1: текстът след "този закон" да отпадне. Смисълът на закона е да регулира изцяло дадената материя. Следователно регулацията на обработването на информация обхваща изцяло това обработване. Още повече, че след като законът е основан на Конституцията, той по начало е свързан с конституционни права. 11. чл.6 ал.2: да отпадне текста след "при условие" на основа същите аргументи, както при чл.1 ал.7. 12. чл.7 и 8: да се обединят в изисквания за обработване на информация. Относно целите за обработване следва те да се определят изрично и точно от титуляра на лични данни и обработването да се основава на закон. 13. чл.9: ал.1 и ал.4 създават различен режим в зависимост от това дали данните са събрани от субекта или от трето лице. Няма основание за такова различие. 14. чл.11 ал.2: СЛЕДВА ДА ОТПАДНЕ. Вж. аргументацията по-горе. 15. чл.15 ал.3: да се вземе предвид забележката от по-горе. 16. чл.16 ал.1: унищожаването на личните данни след постигане на съответната цел е принцип на този вид законодателство. Думата "може" да отпадне и оперативната самостоятелност да се замени с императивно задължение. 17. Относно правомощията на Комисията при сезиране: "може" да се замени с "трябва". 18. §1 т.4 от допълнителните разпоредби: При подробното анализиране на законопроекта възникват някои въпроси, на които не може да се даде ясен отговор. Лични данни се съхраняват не само в документи, но и в бази данни, писма, и когато тези данни подлежат на автоматична обработка това дава възможност на държавните институции или частни компании да получават лична информация за гражданите. Ето защо е необходима дефиницията "система за класификация на данните" (Допълнителни разпоредби §1, параграф 4). Но нашите специалисти смятат, че тази дефиниция трябва да се промени, като гласи следното "система за класификация на данните" е всеки набор от лични данни структурирани на базата на специфичен критерий вместо структурирани според няколко специфични критерии. Бележки от работната среща НАЧАЛО | ПДИ | ЗДОИ | НОРМАТИВНА УРЕДБА | ПРАВНА ПОМОЩ | ОБУЧЕНИЯ | ПУБЛИКАЦИИ | ВЪПРОСИ | ВРЪЗКИ | ТЪРСИ Българска версия Последно обновяване: 31.10.2001 © 1999 Copyright by Interia & AIP |