Стефан Ангелов, ПДИ
Стефан Ангелов
Стефан Ангелов

Миналата седмица Народното събрание гласува на първо четене проект на нов Закон за Министерство на вътрешните работи. Изглежда основните мотиви за създаването на изцяло нов закон са свързани със структурните промени в „сектор сигурност”, с които започна мандата си настоящият парламент. Извън разписването на новата структура на МВР обаче остават доста въпроси за качеството на предлаганата уредба. Сред областите, нуждаещи се от внимание и промяна на второ четене, е тази на защита на личните данни, като част от информационната дейност на МВР.

 

В България правото на защита на личните данни е основно уредено от Закона за защита на личните данни (ЗЗЛД). Проектът на ЗМВР въвежда специални правила за обработването на лични данни от органите на МВР. Наистина дейността по противодействие на престъпността и осигуряване на обществената сигурност е специфична и полицейските органи се нуждаят от възможности да обработват лични данни за тези цели при режим, който е специален спрямо общия, разписан в ЗЗЛД. Срещана практика е и разпределянето на уредбата на тази материя в два различни закона, заради различните дейности, които те регулират. Иначе казано, напълно нормално е ЗЗЛД да дава общите принципи на обработване лични данни от администраторите на лични данни, а ЗМВР да определя как полицейските органи обработват лични данни. За съжаление, това ясно разпределяне на урежданата материя между двата закона не е възможно. ЗЗЛД се прилага и в областта на вътрешните работи, отбраната и националната сигурност, както и в областта на полицейското и съдебно сътрудничество с другите държави-членки на ЕС след изменението си от 2011. Сега действащият ЗМВР вече съдържа специални разпоредби, отнасящи се до обработването на лични данни от органите на МВР. Това означава, че и в момента и двата закона (ЗЗЛД и ЗМВР) регулират една и съща материя, което създава риск от колизии и вероятности от нарушение на правото на защита на лични данни в определени случаи.

 

Вместо да разпредели по-ясно областите на приложение на различните законови режими, новият законопроект за МВР внася допълнително объркване и подразделяне на случаите на приложение на отделните закони. От една страна дава право на органите на МВР да обработват лични данни, а от друга – оставя на ЗЗЛД уредбата на правото на всеки на достъп до неговите лични данни, обработвани от органите на МВР. В същото време проектът за ЗМВР дава специални и доста широки основания на служителите на министерството да отказват предоставянето на данни, но тези основания са приложими само, ако данните са събрани в България от МВР. Ако те са част от Шенгенската информационна система (ШИС) или са предоставени от „европейските ни партньори”, тогава основанията за отказ от предоставяне са различни и доста по-ограничени.

 

Приложението на тези и някои други разпоредби от раздел „Информационна дейност” вероятно ще бъде практически невъзможно. Сложността на препратките между двата закона и тяхното алтернативно приложение почти сигурно няма да бъдат лесно разбираеми. Това личи още сега от конкретните разпоредби, които ще разгледаме по-долу.

 

Трудноразбираеми разпоредби

 

Защитата на личните данни, като част от защитата на личния живот или самостоятелно, е уредена от член 32 от Конституцията на РБългария, чл. 8 от Европейската конвенция за правата на човека (ЕКПЧ / КЗПЧОС), чл. 8 от Хартата на основните права на Европейския съюз, Конвенция 108 на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни. Приложение на европейските стандарти в сферата на вътрешните работи намираме в Рамково решение 2008/997/ПВР на Съвета на ЕС от 27 ноември 2008 за защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси и в Конвенцията за прилагане на споразумението от Шенген. Това са двата основни документа, с които ще сравняваме текстовете от проектозакона за МВР.

 

1. Разпоредбата на чл. 25, ал. 1 от проекта дава на органите на МВР правото да обработват лични данни за изпълнение на дейностите си. Алинея 3 от същия член препраща относно режима на обработване и към Закона за защита на личните данни. В проекта обаче блести с отсъствието си каквото и да е изрично уреждане на правото за всяко лице да иска достъп до неговите лични данни. Това право е изрично признато в Хартата на основните права на ЕС (чл. 8, пар. 2). Стандартите на неговото приложение в областта на вътрешните работи са изразени в чл. 17 от Рамковото решение 2008/997/ПВР на Съвета и в чл. 109 и чл. 110 от Конвенцията за прилагане на споразумението от Шенген. В сега действащия ЗМВР също има такава изрична разпоредба – чл. 161, ал. 4. Интересно е, че по-голямата част от текстовете на чл. 161 от ЗМВР намират своето място и в предлагания проект на нов закон за МВР с изключение на разпоредбата на чл. 161, ал. 4, която урежда субективното право на достъп до лични данни. Подобна липса в евентуалния нов закон би изглеждала почти като отмяна на това субективно право, което е противоконституционно (чл. 57, ал. 1 от Конституцията).

 

Защо разпоредбата на чл. 161, ал. 4 от действащия ЗМВР, или аналогична на нея, не намира място в проектозакона за МВР? Изключително кратките и недостатъчни мотиви към законопроекта не предоставят информация в това отношение, затова сме принудени да гадаем идеята на неговите съставители. Изглежда ключът към замисленото бъдещо функциониране на разглежданите текстове се крие в препратката в чл. 25, ал. 3 от законопроекта: „Обработването на лични данни се осъществява при условията и по реда на този закон и на Закона за защита на личните данни”. Изменението на ЗЗЛД от 2011 (ДВ бр. 81 от 2011) в член 1 от ЗЗЛД разширява приложното поле на този закон върху областта на вътрешните работи, отбраната и националната сигурност „доколкото в специален закон не е предвидено друго” (ал. 5). Явно авторите на законопроекта предполагат, че е ясно, че индивидуалното право на всеки на достъп до неговите лични данни се включва в понятието обработване на лични данни. И тъй като законопроектът за МВР не предвижда индивидуално право на достъп до собствени лични данни, то приложение биха намерили чл. 26 и следващ от ЗЗЛД. Ако тази наша интерпретация е вярна, то законопроектът не отменя правото на всеки на достъп до събраните и обработвани от органите на МВР негови лични данни, а просто изключително неясно препраща за това право като принцип към ЗЗЛД. От друга страна, като специален закон, проектът на ЗМВР добавя доста основания за ограничаване на използването на това право. Дори тази наша интерпретация да съвпада с виждането на съставителите на законопроекта, ако той стане закон в този си вид, е възможно приложението му от компетентните органи да бъде затруднено, поради неразбиране на всички препратки между ЗМВР и ЗЗЛД и тяхното алтернативно прилагане. Във всички случаи на упражняване или опит за упражняване на правото на достъп до собствени лични данни, обработвани от органите на МВР, ще трябва да се прилагат разпоредби и от двата закона. Сложността на приложението на разглежданите разпоредби може да доведе до практическа невъзможност на упражняването на правото на достъп до собствени лични данни, обработвани от органите на МВР. Това би било принципно нарушение както на посочените европейски стандарти, така и на Конституцията.

 

Подходът на чл. 17 от Рамковото решение 2008/997/ПВР на Съвета и чл. 109 от Конвенцията за прилагане на споразумението от Шенген е коренно различен. И двете наднационални разпоредби първо залагат принципа на правото на всеки на достъп до неговите лични данни и в следващите изречения и параграфи дават основанията за евентуални изключения. Така, който чете и прилага тези норми, разбира, че всеки има право на достъп по принцип, освен ако в дадения случай не се налага някакво ограничение.

 

2. Липсата на изрично уреждане на правото на достъп до лични данни в предложения законопроект е подчертана и от контрастиращото изрично разписване на изключенията от това право в чл. 28: „(1) Органите на МВР отказват изцяло или частично предоставянето на данни, когато…”.

 

Приемаме, че думата „данни” препраща към понятието „лични данни”, тъй като от предходните и следващите членове на законопроекта става ясно, че разглежданата област е тази на обработването на лични данни. Надяваме се, че законодателят ще поясни, че думата „данни” не препраща и към понятието „информация” или „обществена информация”, защото иначе чл. 28 от законопроекта за МВР би могъл да бъде тълкуван и като предоставящ допълнителни основания за отказ на достъп до обществена информация.

 

Член 28 от законопроекта: „(1) Органите на МВР отказват изцяло или частично предоставянето на данни, когато…”. Тази разпоредба постановява изключения на едно основно право (защитено от Конституцията, ЕКПЧ, Хартата на основните права на ЕС и т.н.) – правото на всеки на достъп до отнасящите се за него лични данни, обработвани от органите на МВР. Тук действа описаната по-горе логика на препращанията. Тъй като разглежданият проект не предвижда индивидуално право на достъп до собствени лични данни, то това право се урежда от чл. 26 и следващи от ЗЗЛД, като субсидиарно приложими според чл. 25, ал. 3 от законопроекта за МВР. Ограниченията на правото на всеки на достъп до отнасящите се за него лични данни са изброени в чл. 34 от ЗЗЛД, чиито алинеи 1 и 3 препращат към специален закон. Член 28 от законопроекта за МВР изрично предвижда случаи, в които органите на МВР отказват изцяло или частично предоставянето на лични данни. Явно по отношение на обработването на лични данни ЗМВР е считан за специален спрямо ЗЗЛД. Следователно в общия случай на отказ на достъп до собствени лични данни от органите на МВР би бил приложим чл. 28 от законопроекта, чиито текстове са с доста широко приложно поле. Ако обаче личните данни на лицето, до които то иска достъп, са получени или съставени в рамките на полицейско или съдебно сътрудничество с европейски партньори, ограничения на това право са изрично предвидени и в чл. 34, ал. 4 от ЗЗЛД. Коя разпоредба би била приложима в този случай? Член 28 от законопроекта е разпоредба от специален закон и като такава се прилага с предимство над общия закон – в случая ЗЗЛД. Член 28, както ще видим по-долу, има доста по-всеобхватно приложно поле от разпоредбите на чл. 34, ал. 4 от ЗЗЛД, т.е. създава повече и по-широки основания за отказ на достъп до собствени лични данни. В същото време, чл. 34, ал. 4 от ЗЗЛД е приет като част от въвеждането в българското законодателство на Рамковото решение 2008/997/ПВР на Съвета според Преходните и Заключителни разпоредби на ЗИД на ЗЗЛД от 2011 (ДВ бр. 81 от 2011). Разпоредбите на чл. 34, ал. 4 от ЗЗЛД предвиждат по-широко приложение на едно основно право и като приложение на международни норми (Рамковото решение и европейските договори ДЕС и ДФЕС) трябва да имат предимство пред тези норми на вътрешното законодателство, които им противоречат (чл. 5, ал. 4 от Конституцията). Следователно, в случаите на търсене на достъп до собствени лични данни, създадени или получени от органите на МВР в рамките на полицейското или съдебно сътрудничество с европейските ни партньори, като основания за отказ би следвало да бъдат приложими разпоредбите на чл. 34, ал. 4 от ЗЗЛД, а не на специалния закон – чл. 28 от законопроекта.

 

От една страна отново е заложена серия препратки, понякога двойни, между двата закона, създаващи опасност от неразбиране и недобро (или по-вероятно никакво) приложение. От друга страна, изобщо не е ясна нуждата от създаване на двоен стандарт за упражняването на универсално основно право – правото на всеки на достъп до отнасящите се за него лични данни. РБългария и според своята Конституция, и като страна по Конвенцията за защита на правата на човека и основните свободи (ЕКПЧ), и като държава-членка на ЕС, част от чието първично право е Хартата на основните права на ЕС, трябва да прилага режим за защита на личните данни, който да покрива минималните европейски стандарти. Начинът на конкретно приложение, разбира се, следва да бъде определен на вътрешно ниво чрез закон. Срещана е практиката в един закон да е разписан общият режим на защита на личните данни, а в друг – режимът на обработване на лични данни от органите на полицията. Допълнително подразделяне на режима на обработване на лични данни, прилаган от органите на вътрешните работи, обаче изглежда, меко казано, иновативно. Още по-странно изглежда положението, каквото предлага законопроекта за МВР, за осигуряване на по-високо ниво на гаранции за защитата на личните данни в рамките на полицейско или съдебно сътрудничество с европейските ни партньори и рязко занижаване на тези гаранции на вътрешно ниво. С цел да покажем ясно разликите между предложените разпоредби в проекта на ЗМВР и стандартите на Рамковото решение 2008/997/ПВР на Съвета и на Конвенцията за прилагане на споразумението от Шенген, в следващите редове ще разгледаме конкретните разпоредби на чл. 28 успоредно с тези на европейските актове. Тук трябва да се има предвид, че разглежданите европейски актове също представят прилагането на едно минимално ниво на защита на основните права, което държавите-членки могат да решат да повишат в своето законодателство.

 

2.1. По принцип изключенията от основно право трябва да бъдат прилагани стриктно и да отговарят на условията на необходимост, пропорционалност и да преследват цели от обществен интерес, установени в закон (чл. 52 от Хартата, чл. 8, ал. 2 от ЕКПЧ, приложени в чл. 17, пар. 2 от Рамковото решение 2008/997/ПВР на Съвета). Тези условия не са отразени нито в общия начален текст на чл. 28, нито в конкретните основания на неговата алинея 1, които ще разгледаме по-долу. Още повече, условната формулировка на чл. 28, ал. 1, т. 1 „Органите на МВР отказват изцяло или частично предоставянето на данни, когато от това би възникнала опасност: …” не отразява в достатъчна степен принципа, че изпълнението на условията за всеки отделен случай трябва да бъде разглеждано конкретно, а не хипотетично.

 

2.2. Първото основание за отказ от предоставяне на данни намира приложение, ако би възникнала опасност за „националната сигурност и обществения ред” (чл. 28, ал. 1, т. 1, б. а) от проекта на ЗМВР). Описаната хипотеза е прекалено широка. От една страна в българското право се срещат няколко различни определения на „национална сигурност”, които превръщат понятието в неясен сбор от случаи. От друга страна, понятието „обществен ред” е също прекалено широко и покрива практически всички останали области на дейност на МВР. За сравнение чл. 17, пар. 2, б. в) от Рамковото решение 2008/997/ПВР на Съвета приема като основание за отказ защитата на „обществената сигурност”. Обществената сигурност е част от обществения ред и в този смисъл заплаха за обществената сигурност е по-тясно понятие от използваното в проекта. Ако текстът бъде приет от НС непроменен, ще се създаде опасност от евентуално бъдещо нарушение на европейските стандарти, изброени по-горе.

2.3. Третото основание за отказ от предоставяне на достъп до данни намира приложение, ако би възникнала опасност „от разкриване на източниците на информацията или негласните методи и средства за нейното събиране” (чл. 28, ал. 1, т. 1, б. в) от законопроекта). Тази разпоредба изглежда дава защита на агентурата и конспиративните методи за събиране на информация от органите на МВР. Тя изглежда като наследство от миналото и вероятно други основания или формулировки с по-ясни критерии на приложимост биха могли да изпълнят целите й. Като допълнително ограничение на основното право на достъп до лични данни и това основание може да се окаже в нарушение на конституционните и европейските стандарти.

 

2.4. Основанието за отказ на достъп до данни от органите на МВР, вписано в чл. 28, ал. 1, т. 2 от законопроекта, е най-всеобхватното от разглежданите. Според него органите на МВР отказват изцяло или частично предоставянето на данни, когато „предоставянето на тези данни на лицето би накърнило изпълнението на законово определените дейности на органите на МВР”. МВР като правоохранителна институция всъщност има единствено дейности, определени от закона и то от Закона за МВР. Всички дейности на органите на МВР са „законово определени дейности”. Освен това не е ясно как точно би могло да се прецени дали предоставянето на данни „би накърнило” някоя от тези дейности. Не е заложен например някакъв праг на чувствителност. Следователно, разглежданият проект на разпоредба в практиката би предоставил напълно бланкетно основание за отказ на достъп до собствени лични данни, с възможност за произволно приложение. А това приложение би било в нарушение на всички гореизброени изисквания към ограниченията на основни права и изрично на чл. 32 от Конституцията, чл. 8, пар. 2 от ЕКПЧ, чл. 8 във връзка с чл. 52 от Хартата на основните права на ЕС, както и на чл. 17, пар. 2 от Рамковото решение 2008/997/ПВР на Съвета.

 

2.5. Процедурата по уведомяването на заявителите за отказа по чл. 28, ал. 1 от проекта на ЗМВР е разписана в алинея втора. Този текст изглежда противоречив. Не става ясно кога би се приложил изричният отказ от първото изречение и кога – мълчаливият от второто изречение. В тази ситуация изниква сериозното подозрение, че практиката би могла да възприеме като принцип прилагането единствено на мълчалив отказ, който би изисквал доста по-малко усилия от страна на служителите и органите на МВР. Това е и най-лошият възможен сценарий, тъй като влиза в пряка колизия с изискванията на чл. 17, пар. 1, б. а) и б) от Рамковото решение 2008/997/ПВР на Съвета, които дори в случаите на най-строго ограничение на основното право на достъп до лични данни, предполагат някакво минимално количество информация, която заявителят трябва да получи. Също така изричен отговор е нужен на заявителя и за да го уведоми за неговото право на обжалване на решението за отказ (чл. 17, пар. 3 от Рамковото решение 2008/997/ПВР на Съвета, също и чл. 111 от Конвенцията за прилагане на споразумението от Шенген). Иначе казано – мълчаливият отказ е недопустим според европейските стандарти.

Относно особеностите на изричния отказ в първото изречение на чл. 28, ал. 2 от проекта, като принцип е заложена мотивация на отказа чрез посочване само на правното основание. Това ограничаване на изискването за мотивация на индивидуален административен акт, който стеснява основно право, за да бъде съобразно на конституционните и европейските стандарти, следва да бъде прилагано не като принцип, а като изключение. То трябва да бъде преценявано за всеки конкретен случай, трябва да бъде необходимо и пропорционално за защитата на конкретния законово защитен интерес в дадения случай. Мотивирането на отказите единствено чрез посочване на правното основание, като принцип на мотивиране на всички откази противоречи на чл. 32 от Конституцията, чл. 8, пар. 2 от ЕКПЧ, чл. 8 във връзка с чл. 52 от Хартата на основните права на ЕС, както и на чл. 17 от Рамковото решение 2008/997/ПВР на Съвета.

 

3. Правото на обжалване на постановения отказ е заложено в чл. 28, ал. 3 от законопроекта. Тази разпоредба също не е достатъчно изчерпателна. Липсва задължение за изрично уведомяване на заявителя за възможността да обжалва постановения отказ – в какъв срок и пред кой орган. Следователно, не изглежда да са задоволени принципите на яснота и достъпност на процедурата за всички страни, заложени и в Шенгенския каталог „Препоръки и добри практики” от 2010, в приложение на принципа на ефективни средства за правна защита, заложен в чл. 20 от Рамковото решение 2008/997/ПВР на Съвета, чл. 111 от Конвенцията за прилагане на споразумението от Шенген, които прилагат принципите на чл. 56 от Конституцията, чл. 13 от ЕКПЧ, чл. 47 от Хартата на основните права на ЕС.

 

4. В законопроекта липсва дори споменаване за индивидуалното правото на обезщетение при нарушение на правото на защита на личните данни. Такъв стандарт е изрично заложен в чл. 19 от Рамковото решение 2008/997/ПВР на Съвета и чл. 111 от Конвенцията за прилагане на споразумението от Шенген. Възможността за предявяване на подобен иск не е предвидена и в ЗЗЛД. Не е ясно дали общия ред по българското право за обезщетение на вреди, причинени от държавата или общините е достатъчен, за да задоволи изискванията на европейските стандарти. Изричното признаване на това право от Рамковото решение и Конвенцията сочат, че този вид иск може и да се явява специален на общия ред и следователно би било удачно да бъде уреден в специален закон, например ЗМВР или ЗЗЛД.

 

Заключение

 

Този пространен анализ на предлаганите разпоредби е съсредоточен върху една страница и 3 члена от законопроекта. Пълният обем на законопроекта за МВР е 121 страници разпоредби (268 члена) плюс 6 страници мотиви. Дори текстовете, които коментирахме да страдат от пороци, произтичащи по-скоро от „техниката на писане”, тяхното обсъждане и обмисляне е изключително недостатъчно. Проектът на нов Закон за МВР бе представен за минималния срок на обществено обсъждане (14 дни) през септември 2013. Тогава мотиви към него нямаше, но нямаше и доста други документи и оценки, които чл. 28 от Закона за нормативните актове предвижда (причините, които налагат приемането; целите, които се поставят; финансовите и други средства, необходими за прилагането на новата уредба; очакваните резултати от прилагането, включително финансовите, ако има такива; анализ за съответствие с правото на Европейския съюз). Ясно е, че едно истинско и обстойно обществено обсъждане би предвидило и решило редица проблеми, които един нормативен акт може да срещне. Не е ясно защо обществено обсъждане на законопроекта за МВР не бе надлежно организирано.

 

© 2014 Програма Достъп до Информация
Материалите в Информационния бюлетин на Програма Достъп до Информация са обект на авторско право.
При цитиране позоваването на източника е задължително.