Прилагане на разпоредбите за защита на данните през 2021 г. в България
Общ преглед
Изминалата година може да се класифицира като относително инертна по отношение на регулаторната дейност по защита на данните в България. От 22 публикувани значими решения на Комисията за защита на личните данни (КЗЛД), регулаторът е наложил глоба в едва четири случая. Дори и най-голямата глоба от 5 000 лв., наложена на „Сиела Норма“ АД – доставчик на правно-информационни системи – за нарушаване на принципа за точност на данните, заложен в чл. 5, параграф 1, буква „г.“ от ОРЗД, чрез погрешно идентифициране на жена като ликвидатор на няколко компании и посочване на единния й граждански номер във връзка с тях,[1] изглежда като незначителна санкция в сферата на защитата на личните данни.
По отношение на вътрешните практики на КЗЛД, Комисията направи ход към създаване на унифицирана рамка за прилагане на надзорните си правомощия, като публикува Инструкция за практическото осъществяване на надзорната дейност на КЗЛД през септември 2021 г. [2] Тя установява методологията за извършване на различни видове проверки и има за цел да заложи единен подход за провеждане на надзорната дейност на КЗЛД. В приложения към Инструкцията, КЗЛД публикува и Методика за определяне на нивото на риска при нарушения на сигурността на личните данни (важен инструмент за разглеждане на уведомления за нарушения на сигурността на личните данни по чл. 33 ОРЗД). Публикуван е и Въпросник за извършване на проверки (насочен към събиране на предварителна информация относно контекста на обработката на данни и изясняване на ключови факти, свързани с проверката).[3]
Статистика
Следните ключови цифри могат да бъдат използвани за синтезиране на дейностите на КЗЛД през 2021 г. През тази година КЗЛД:
- Предприе действия по 427 искания и запитвания.
- Извърши общо 206 проверки, 68 от които са започнати по сигнал и 138 след решение на КЗЛД.
- Издаде 9 официални предупреждения по чл. 58, ал. 2 ОРЗД.
Имаше общо 22 значими случая, които могат да бъдат сортирани в следните категории:
- Финансови услуги – 1
- Държавно управление – 4
- Журналистика – 3
- Трудови отношения – 4
- Политически партии – 1
- Частно съдебно изпълнение – 2
- Имоти в рамките на една сграда – 1
- Телекомуникации – 3
- Туризъм – 1
- Видеонаблюдение – 2
Тенденции
През 2021 г. КЗЛД беше предимно заета с въпроси, свързани с държавното управление, трудовите отношения, журналистиката и телекомуникациите. Като цяло Комисията показва предпочитание към издаването на разпореждания и отправянето на предупреждения пред налагането на глоби. Глобите, които налага, обикновено са малки дори при съществени нарушения.
Открояват се два случая за неразрешено използване на лични данни на граждани от служители на централната и местната власт за лични цели, които не са свързани с изпълнението на служебните им задължения.
В единия случай служител на МВР е използвал статута си на държавен служител за достъп до специална база данни, за да намери собственика на автомобил, паркиран на неговата улица, и да се свърже с него.[4] В друг случай общински служител неправомерно е използвал достъпа си до определена документация, съдържаща лични данни на две физически лица, за да възпроизведе и разпространи тази документация във Фейсбук.[5] И в двата случая е налице груба злоупотреба с правомощия от държавни служители чрез използване на лични данни на граждани за цели, несвързани със служебните им задължения. Въпреки че подобна злоупотреба обикновено би заслужила по-твърд и назидателен отговор от страна на органа за защита на данните, КЗЛД се ограничава само до разпореждане и в двата случая.
Имаше и важни решения относно баланса между правото на личен живот (както и правото на възражение срещу обработката на лични данни) и правото на свобода на изразяване и информация. Открояват се две решения на КЗЛД в областта на журналистиката. Първото се отнася до публикуването на статия относно наказателно производство срещу бизнесмен по обвинение в подкуп на държавен служител, което е завършило с оправдателна присъда.[6] КЗЛД подчертава факта, че статията включва информация за оправдателната присъда и обръща внимание, че обществеността има право да бъде информирана за минали, както и за настоящи събития. Тъй като статията дава пълен и обективен отчет на фактите и се отнася до въпрос от обществен интерес (възможен подкуп на длъжностно лице), КЗЛД решава, че обработката само на две имена и изображение (в съответствие с принципа за минимизиране на данните) е законосъобразна. От друга страна, във втория случай КЗЛД решава, че статия, в която се твърди, че надзирател е нанесъл сексуален тормоз върху свои колежки, включва неправомерно обработване на личните данни на надзирателя.[7]Решаващата разлика между двата случая е, че втората статия не дава пълен и обективен отчет на фактите – по-специално, не включва факта, че заповедта за порицание на надзирателя е отменена от съда и всъщност няма доказателства, които да предполагат, че той е извършил описаните в статията деяния. Следователно КЗЛД счита, че данните не са обработвани за журналистически цели (чл. 25з от ЗЗЛД) и не е налице законосъобразно основание за обработка. Освен това е нарушен и принципът за точност на данните на ОРЗД.
Отново в областта на журналистиката, решение на Върховния административен съд от ноември 2021 г.[8] допълнително разви критериите за преценка на баланса между правото на защита на данните и правото на свобода на изразяване. Съдът набляга на принципа за минимизиране на данните (чл. 5, параграф 1, буква „в.“ от ОРЗД), като изисква журналистическите издания да включват в своите статии само такива лични данни, които са необходими и достатъчни за упражняване на свободата им на изразяване. Всичко повече би било непропорционална намеса в личния живот на субектите на данни.
КЗЛД дава и становища. През 2021 г. бяха разгледани два важни въпроса.
Първият се отнася до електронните подписи и видимостта на единния граждански номер (ЕГН) на подписващия, за всеки, който отвори подписания документ. КЗЛД прави преглед на приложимото законодателство за електронна идентификация и стига до заключението, че макар ЕГН-то да може да бъде събирано от доставчика за услугата с цел да се идентифицира по недвусмислен начин притежателя на подписа, няма правно основание или необходимост ЕГН-то да бъде видимо като част от електронния подпис. [9]
Второто становище разглежда една от най-противоречивите теми в българския обществен дискурс напоследък – Цифровия COVID Сертификат, който дава информация за ваксинационния статус на гражданите – специална категория данни, защитени по чл. 9 от ОРЗД – и към момента е предпоставка за достъп до повечето обществени места и събития. КЗЛД посочва, че като мярка, насочена към опазване здравето на работещите в съответното заведение, чл. 9, параграф 2, букви „б.”, „ж.” и „и.“ от ОРЗД могат да бъдат приложими като законно основание за обработване на данните.[10] Комисията също така подчертава, че автоматизираната проверка на сертификатите с цел предоставяне на достъп до места, без човешка намеса при вземането на решения, е забранена. Освен това, когато удостоверенията се използват по този начин за разрешаване или отказ на достъп до места, КЗЛД посочва, че почти винаги ще е необходима оценка на въздействието по чл. 35. В становището се заключава, че за постигане на баланс между изпълнението на заповедите на Министерството на здравеопазването и правата на субектите на данни, резултатите от проверките на ковид сертификата не трябва да се съхраняват.
Междувременно и ЕKЗД и ЕНОЗД засегнаха използването на цифровия COVID сертификат за цели извън улесняването на свободното движение между държавите-членки в съвместно становище.[11]ЕКЗД и ЕНОЗД подчертават, че всяко възможно по-нататъшно използване на цифровия зелен сертификат и свързаните с него лични данни на ниво държави-членки трябва да спазва членове 7 и 8 от Хартата и трябва да е в съответствие с ОРЗД, включително член 6, параграф 4 ОРЗД. Това предполага необходимостта от подходящо правно основание в законодателството на държавите-членки, съобразено с принципите на ефективност, необходимост и пропорционалност и включващо силни и специфични мерки за сигурност, приложени след подходяща оценка на въздействието, по-специално за избягване на всякакъв риск от дискриминация и забрана на всякакво съхранение на данни в контекста на процеса на проверка.
[1] Решение № ППН-01-871/2020, гр. София, 27.09.2021 г.
[2] https://www.cpdp.bg/index.php?p=news_view&aid=1795
[3] https://www.cpdp.bg/index.php?p=element&aid=1325
[4] Решение № ППН-01-1238/2019, гр. София, 03.06.2021 г.
[5] Решение № ППН-01-582/2020, гр. София, 13.08.2021 г.
[6] Решение № ППН-01-332/2020, гр. София, 11.02.2021 г.
[7] Решение № ПП Н-01-1800/2019, гр. София, 13.01.2021 г.
[8] Решение на ВАС № 11636 по дело № 7104/2021 от 16.11.2021 г.
[9] Становище № ПНМД-01-11/2021/17.06.2021 г., гр. София.
[10] Становище № ПНМД-01-93/2021/06.10.2021 г., гр. София.
[11] EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate).