Становище
на Програма Достъп до Информация относно
Законопроект За защита на личните данни

І. Общи съображения.

• Защитата на личната информация от неправомерно събиране и обработване е основно човешко право, неотменима част от правото на личен живот. Това право е изрично установено в редица международните актове - Конвенция за защита на лицата във връзка с автоматичната обработка на лични данни (наричана по-нататък Конвенцията) и Директива 95/46 на ЕС (наричана по-нататък Директивата), и в законите за защита на личните данни на отделни европейски държави, напр. на Германия и Унгария. Стандарти задава и чл.8 от Конвенция за защита правата на човека и основните свободи /наричана по-нататък ЕКПЧ/.

• Един закон за защита на личната информация следва ясно и точно да формулира своята цел, а именно - гарантирането на защитата на личните данни на всеки от неправомерно събиране и обработка. Конституционната основа на този тип законодателство е гарантирането на правото на личен живот , заложено в чл.32 на Конституцията на РБългария. Ал.2 от тази конституционна разпоредба забранява събирането на данни за личността без нейно знание или въпреки изричното й противопоставяне освен в случаите, предвидени в закон.

• Във връзка с двата внесени в Народното събрание законопроекта за защита на личните данни следва да се отбележи следното:

1. Целта на закона, формулирана в чл.1(2) т. 2 от проекта не съответства на обхвата на правно регулиране. Честта и достойнството не са предмет на защита от този вид законодателство.
2. Основната законова дефиниция - "лични данни", дадена в чл.2 ал.1 е неясна и съдържа двусмислици. Така например, възможно е понятието идентичност да се тълкува като обективна идентичност /т.е.как се идентифицира едно лице от държавата, от даден орган, от обществото/ или субективна идентичност /как се идентифицира самото лице/. Определения като "културна, обществена, психологическа и т.н., придадени към съществителното идентичност не създават никаква представа за смисъла на израза. Достатъчно е опростено определение като "лични данни са всички данни относно едно физическо лице" или "лични данни са всички данни, разкриващи характеристика или съвкупност от характеристики на личността, чрез които тя лесно може да бъде индивидуализирана".
3. Разпоредбата на чл.2 ал.2 от законопроекта на Министерския съвет /чл.1 ал.3 от законопроекта, внесен от група народни представители/ е неприемлива. Не са и не могат да бъдат предмет на защита данните на лицата, които участвуват в органите на управление и контрол на юридическите лица. От една страна, те не са свързани с личния живот, за да бъдат предмет на защита, а от друга - сигурността на стопанския оборот изисква те да бъдат публични. Ето защо тези данни се отразяват в редица публични регистри, напр. търговския регистър към окръжните съдилища.
4. С оглед принципа за прозрачност на управлението, информирания избор на избирателите, свободата на изразяване и достъпа до обществена информация е ОСОБЕНО ВАЖНО извън приложното поле на закона да остане една важна категория лични данни. Предлагаме да бъде включена разпоредба като:
"Не се считат за лични данни по смисъла на този закон данните на лицата, свързани с тяхната дейност при и по повод изпълняване на служебни задължения при осъществяване на държавната власт или местното самоуправление".
5. Систематично, уредбата на прехвърлянето на лични данни следва да бъде уредена на едно място в закона. Законът трябва да се прилага в случаи на прехвърляне на лична информация извън територията на страната без значение дали защитата, която предоставя законодателството на съответната държава на личните данни е равна по степен, по-голяма или по-малка. Законът трябва да осигурява различен правен режим на защита на личните данни при прехвърляне в зависимост от нивото на защита, което съответната държава предвижда. Цялата уредба на това прехвърляне обаче трябва да бъде в този закон.

ІІ. Конкретни бележки и предложения за изменение на Проекта:

1. чл. 1 ал.1: Да бъде изрично употребен изразът "гарантира правото на защита на личните данни като част от правото на неприкосновеност на личния живот" Предложение:
"Този закон гарантира правото на защита на личните данни на личността срещу незаконна намеса като част от правото на неприкосновеност на личния живот, при спазване на гарантираните в Конституцията и този закон принципи, права и свободи".

2. чл.1 ал.2: т.2 Следва да отпадне.

3. Чл.2 ал.2 от законопроекта на МС /чл.1 ал.3 от законопроекта, внесен от група народни представители/: Да отпадне. Излишно е да се прилагат принципите на този закон по отношение на посочените категории данни. Те или попадат под дефиницията за лични данни по смисъла на закона, или не попадат. Данни за лицата, участващи в органите по управление и надзор на търговските дружества се съдържат в търговският регистър, който изрично е публичен, за да гарантира сигурността на търговския оборот.
Разпоредбите на този закон се прилагат и по отношение на участие на физически лица в неперсонифицирани групи . Не съществува никаква дефиниция или дори намек какъв вид група се има в предвид. Групите не са правен субект в съществуващото законодателство в България освен ако не са регистрирани като юридически лица.

4. чл.2 ал.1: Понятието лични данни да бъде ясно дефинирано съобразно с развитите по-горе аргументи.

5. Чл.14 ал.2 от законопроекта на МС /чл.13 ал.1 от законопроекта, внесен от група народни представители/: унищожаването на личните данни след постигане на съответната цел е принцип на този вид законодателство. Думата "може" да отпадне и оперативната самостоятелност да се замени с императивно задължение. Дадената в ал.3 дискреция е достатъчна и трябва да бъде ясно очертана от императив.

6. Относно правомощията на Комисията при сезиране: "може" да се замени с "трябва" /напр. чл.42 ал.4, чл.43 ал.1 от законопроекта на МС/.

7. §1 т.3 от допълнителните разпоредби /двата законопроекта/: При подробното анализиране на законопроекта възникват някои въпроси, на които не може да се даде ясен отговор. Лични данни се съхраняват не само в документи, но и в бази данни, писма, и когато тези данни подлежат на автоматична обработка това дава възможност на държавните институции или частни компании да получават лична информация за гражданите. Ето защо е необходима дефиницията "регистър за лични данни" (Допълнителни разпоредби §1, т. 3). Но нашите специалисти смятат, че тази дефиниция трябва да се промени, като гласи следното "регистър за лични данни" е информационен фонд, структуриран на базата на специфичен критерий вместо структуриран според няколко специфични критерии.

8. Относно различието в някои от сроковете в двата проекта. В своите чл.28, ал1 и ал.4, чл.43, както и §3, ал3 проекта, внесен от Министерски съвет предвижда 14 дневни срокове за обжалване на актовете на комисията, за разлика от същите текстове на другият внесен проект, които предвиждат седем дневни срокове за обжалване.