Становищата по законовите промени заради GDPR
Недопустим долен праг на глобите, дописване на регламента и погазване на адвокатската тайна
Въвеждане на долен праг на санкциите в разрез с Общия регламент за защита на данните (GDPR) и то в неясна валута, погазване на адвокатската тайна, дописване на европейските правила с изискване за назначаване на длъжностно лице по защита на данните (data protection officer – DPO) при обработване на информация за над 10 000 души. Това са само част от критичните бележки, които заинтересованите успяха да направят в срока за обществена консултация на проекта за изменения в Закона за защита на личните данни (ЗЗЛД), който изтече вчера. С пълния текст на всички становища и със законопроекта можете да се запознаете тук.
Проектът беше огласен от МВР на 30 април, по-малко от месец преди влизането в сила на Общия регламент за защита на данните на 25 май. Основен автор на законопроекта е Комисията за защита на личните данни (КЗЛД), която обаче няма законодателна инициатива и затова вносител ще бъде министерството.
Съкратеният срок от 14 дни за общественото му обсъждане, вместо обичайният от 30 дни, е подложен на критика от Програма „Достъп до информация“. „Смятаме за абсолютно необходимо за обществения интерес, качеството на проекта на закон и съхраняването на основните права срокът за обществено обсъждане да бъде продължен“, заявяват от организацията. И посочват, че ЗЗЛД в момента е 25 страници, а проектът за изменението му е 38 страници т.е. новите текстове значително надхвърлят обема на действащия нормативен акт. Освен това промените засягат 7 млн. граждани и около 2 млн. юридически лица, изтъкват от ПДИ.
Едно от най-детайлните становища е на Висшия адвокатски съвет (ВАдС). В него от адвокатурата изтъкват десетки проблеми в проекта, както и сериозни противоречия със самия регламент, който той въвежда.
Недопустим минимален праг на санкциите
GDPR доби голяма известност още преди влизането си в сила заради огромните санкции, които въвежда за някои нарушения при обработването и съхраняването на личните данни. В регламента те достигат 20 млн. евро или при предприятията до 4% от оборота за предходната година, която сума от двете е по-голяма. В него има и хипотеза, в която санкциите са с фиксиран таван от 10 млн. евро или до 2% от оборота.
В българския законопроект обаче са определени и минимуми. „За нарушения, посочени в чл. 83, параграф 5 и параграф 6 от Регламент (ЕС) 2016/679 и за нарушения на чл. 45, ал. 1, чл. 49, ал. 1, чл. 52, чл. 54-56, чл. 80, ал. 1, т. 1, б. „а“, т. 2, б. „б“ и б. „в“ от глава осма администраторът или обработващият лични данни се наказва с глоба или имуществена санкция от 10 000 до левовата равностойност на 20 000 000 евро“, предвижда чл. 85 от него.
От Висшия адвокатски съвет посочват, че в регламента не просто няма долен праг на глобите, но и той не допуска държавите да определят минимални размери на санкциите и въвеждането им в българския закон е в пряко противоречие с GDPR. „Липсата на минимални размери на санкциите в Регламента не е случайна – по този начин европейският законодател предоставя свобода на националните надзорни органи да налагат санкции в размер, съобразен с вида и интензитета на нарушенията и със специфичните обществено-икономически условия, които са различни в отделните държави – очевидно условията в източноевропейските държави членки са различни от държавите от западна Европа – Германия, Франция, Люксембург, Холандия и пр.“, обясняват от адвокатурата.
Те изтъкват и друг проблем – от разпоредбата не се разбира дали този долен праг на глобите е в лева, или в евро. Но в каквато и валута да е, становището на адвокатурата е, че минимум от 10 000 лв. (или евро) или 5000 лв. (или евро) е прекомерен, непропорционален и не отговаря на икономическите реалности в България, където минималната работна заплата е 510 лв. А наказващият орган няма да има право да пада под минимума.
„Държави като Великобритания и Франция, не са предвидили минимални размери на санкциите за нарушенията по чл. 83 от Регламента. Не намираме за разумно и обосновано нито от житейска, нито от правна гледна точка именно България – държавата с най-нисък стандарт в ЕС, да въвежда долна граница на санкциите, при това в нетипично висок за страната размер“, посочват от адвокатурата. И предлагат чл. 85, ал. 1 от ЗЗЛД да придобие следната редакция: „Размерите на предвидените в Регламент (ЕС) 2016/679 глоби и имуществени санкции се определят съобразно посочените в него критерии и се налагат в тяхната левова равностойност“.
От Конфедерацията на работодателите и индустриалците (КРИБ) също изтъкват, че в регламента няма долен праг на санкциите. И заявяват: „Ножицата” между 10 000 и 20 млн. евро е огромна и без наличието на законово закрепени критерии за степента на нарушението и последиците от него, ще означава непредвидимо свободно субективно определяне на размера на глобата и санкцията от страна на административнонаказващия орган“.
Критериите за назначаване на DPO и режимът
Една от най-често повтарящите се критики в становищата е, че в регламента няма изискване за назначаване на длъжностно лице по защита на данните, ако се обработват такива на 10 000 души, както предвижда българският проект.
Чл. 25б, ал. 1 от проекта гласи: „Извън случаите по чл. 37, пар. 1 от Регламент (ЕС) 2016/679 администраторът или обработващият лични данни задължително определя длъжностно лице по защита на данните, когато обработва лични данни на над 10 000 физически лица“.
Според КРИБ тълкуването при прилагането му може да доведе до нормативен хаос. „Не става ясно с каква цел се обработват данните на над 10 000 физически лица и най вече за какъв период от време се отнася този брой. Излизането извън ясните правила на регламента, който е с пряко действие, представлява разширително тълкуване или такова по аналогия на правни норми, което ще доведе до недопустимо субективно установяване и санкциониране на „нарушения”, посочват работодателите.
Адвокатурата дава и пример: „Без да се въведат допълнителни критерии, включително за вида обработване и времето на обработване, може да се окаже, че едно предприятие със 100 души персонал към момента, заради 50 годишната си история и задължението да съхранява ведомостите за заплати 50 години, ще съхранява (което при всички случаи е вид обработване) данните на повече от 10 000 лица (работниците в 50 годишната му история) и ще се окаже длъжно да назначи ДЛЗД – резултат, който е явно несъвместим с целите на Регламента и ще бъде несъразмерна административна и финансова тежест“.
Затова ВАдС предлага следната редакция на текста на чл. 25б, ал. 1: „Извън случаите по чл. 37, пар. 1 от Регламент (ЕС) 2016/679 администраторът или обработващият лични данни задължително определя длъжностно лице по защита на данните, когато основната му дейност включва обработване на лични данни на над 30 000 физически лица“.
В становищата по законопроекта се изтъква и чл. 16 от него, който предвижда, че КЗЛД води регистър на длъжностните лица по защита на данните, позволява тълкуване, че включването в този регистър е условие за упражняване на новата професия. „Това би било равнозначно на въвеждането на регистрационен режим за упражняване на професията ДЛЗД. Това противоречи на регламента, тъй като в ОРЗД е предвиден единствено уведомителен режим за изпълняване на дейността/заемане на длъжността ДЛЗД – по силата на чл. 37, пар. 7 ОРЗД администраторът/ обработващият следва да съобщи данните за контакт на ДЛЗД на надзорния орган“, изтъква Висшият адвокатски съвет.
КРИБ коментира и разпоредбата, която предвижда, че КЗЛД може да провежда обучения на длъжностните лица по защита на данните и посочва, че има опасност от ограничаване правото на избор на администраторите и на обработващите данни при определяне на DPO. „Съществува възможност за създаването на практика за длъжностни лица по защита на данните да бъдат определяни само лица, които са преминали обучение, проведено от КЗЛД. Тази опасност би се засилила, ако комисията предвиди и „сертифициране” на обучените лица“, обясняват работодателите.
Адвокатската тайна, контролът над нотариуси и ЧСИ
Важен акцент в становището на ВАдС е, че според съвета проектът за изменение на ЗЗЛД не зачита адвокатската тайна. Чл. 12а от него предвижда: „Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора при осъществяване задачите и правомощията на комисията“. Той е сходен на вече съществуващия чл. 22, ал. 3 от ЗЗЛД, но според адвокатурата, новият чл. 12а, съчетан с прякото приложение на регламента, който не изключва адвокатската професия от приложното си поле и се ползва с предимство пред нормите на вътрешното право на държавите членки, поставя под съмнение изпълнението на задължението на адвокатите да опазват адекватно тайната на своите клиенти.
„На практика тази разпоредба, съчетана с прякото действие на Регламента, позволява на надзорния орган в сферата на защитата на личните данни – Комисията за защита на личните данни, при извършване на проверка в определена адвокатска кантора да получи достъп до книжа и други информационни носители, които са обхванати от задължението на адвоката за опазване на адвокатската тайна, което пряко противоречи на разпоредбите на чл. 33 и 34 от Закона за адвокатурата“, се казва в становището подписано от председателката на съвета Ралица Негенцова.
От ВАдС правят съпоставка на уредбата на адвокатската тайна и предлагания нов чл. 12а в ЗЗЛД и стигат до извода, че единственият орган, които би имал неограничен достъп до книжата на адвоката и цялата получена от него информация, е КЗЛД. „Подобно правомощие на КЗЛД, освен че недопустимо посяга на адвокатската тайна, е и непропорционално – правото на защита на личните данни, макар да е уредено като основно право, не може да противостои и да надделее над друго основно право – правото на адвокатска защита, което гарантира в най-пълна степен всички основни права и свободи и поради това е основно право от по-висш порядък“, сочат от адвокатурата.
И предлагат за адвокатите и събираните от тях данни, които представляват адвокатска тайна, да бъдат въведени специални правила, които да изключват контролните правомощия на КЗЛД.
Нотариусите имат сходно искане, което не е заради тайната на клиента, а заради съдебния характер на производството пред тях. В становището си по проекта от Нотариалната камара предлагат първо да се предвиди (в чл. 78), че КЗЛД „не е компетентна да осъществява надзор на дейностите по обработване, извършвани от съдилищата при изпълнение на съдебните им функции“. А след това да се добави, че това важи и по отношение на нотариусите и частните съдебни изпълнители „при изпълнение на предоставените им от държавата съдебно-охранителни функции, с оглед защитата на независимостта на съдебните производства“.
12
Коментирайте
прекалявате с тези чувствителни лични данни.. точно пък на някой клошар му е все тая колко са чувствителни намерените от него лични данни. Въпросът е като си сложи листовете под якето да го топлят…
личните данни си ги пазете от google и facebook, а не от работодател, който има 1 магазинче за дрехи и един умрял остарял сайт…
Това недоносче на европейския законодател тепърва ще поражда абсурдни ситуации и казуси.
Не, аз не подкрепям становището на ВАдвС – то не е САМО на Ралица Негенцова.Този ВАдвС, който с нищо не защитава Адвокатите на РБ, преследва ги с дисциплинарни производства.Не променя правни норми от ЗА, за които отдавна се говори, че са непълни, противоконституционни, а вече и противо Европейски.Дори нещо повече-увеличи дължимите вноски на Адвокатите към ВАдвС точно сега, когато в тази „немотия“гражданите нямат средства да заплащат за Адвокат, освен за служебни защити.И ДОРИ НЕЩО ПОВЕЧЕ-с измененията на ГПК се „посяга“върху минималните възнаграждения на Адвокатурата като ОП – нито дума, нито „вопъл“, нито стон от Р.Негенцова.А СЕГА СЕ ИЗЯВЯВА, и то… Покажи целия коментар »
Ами естествено, че Ралица не е съгласна-но трябва вече да се засрами-КОЛЕЖКЕ ПРЕДСЕДАТЕЛ, нямаш функции да се изявяваш в името на собствените си клиенти, като използваш становището на ВАдвС относно този Регламент.Имаш задължения към Адвокатите на РБ.Това е.И се поправи.Защото можеш.А депутатите ТОЧНО ТУК са се постарали и са създали нещо добро-за каква адвокатска тайна става дума-та живота и професията на Адвокатите „ЗАГИВА“от твоето бездействие.Пък ти за „…….ТАЙНАТА се тревожиш.Несъвместими понятия и категории, нали.
Благодаря за изчерпателната информация, дано да се променят недомислиците.
Не може току-така да се погазва адвокатската тайна. Така се накърняват правата на клиента.
За сетен път губя надежда за малките и средните фирми. Стана невъзможно оцеляването ни.
За това всички такси, глоби и т.н. трябва да са пропорционални с печалбата.
а дали няма да има укрити доходи
Напълно се солидаризирам със становището на Висшия адвокатски съвет. Този законопроект не стига, че беше забавен толкова време, а и е пълен с недомислици
Напълно подкрепям становището на адвокатурата.
Нямам никаква симпатия към бюрократичната и бавна комисия за ЗЛД, но трябва да се има предвид че Регламента позволява да се детаилизират санкциите. В други страни ДЛЗД също се вписва в регистър към регулатора- Словакия и Чехия- което не е регистрационен режим, а уведомителен, един вид допълнителна гаранция за експертиза. Всяко DPO може да се регистрира, а може и не. А това за адвокатската тайна също е буря в чаша вода- регулатора ще има право на достъп до системата за управление на личните данни, Комисията не се интересува какви разговори адвокатите са водили с клиентите, какви инкриминиращи факти съществуват или… Покажи целия коментар »