Български
English
Народно събрание
на Република България
на Република България
Парламентарни комисии
Състав /
Заседания /
Новини /
Контакти и правила /
Документи /
Законопроекти / Проекторешения / Доклади / Стенограми / Становища /
Законопроекти / Проекторешения / Доклади / Стенограми / Становища /
Kомисия по вътрешна сигурност и обществен ред
Kомисия по вътрешна сигурност и обществен ред
27/11/2001
Консултативен съвет по законодателство
СТАНОВИЩЕ
ОТНОСНО: Законопроекта за защита на личните данни
№ 102-01-7/18.10.2001 г., внесен от Министерския съвет
Консултативен съвет по законодателство
ДО
ПРЕДСЕДАТЕЛЯ НА НАРОДНОТО СЪБРАНИЕ Проф. Огнян Герджиков
ДО
ПРЕДСЕДАТЕЛЯ НА КОМИСИЯТА ПО ВЪТРЕШНА СИГУРНОСТ И ОБЩЕСТВЕН РЕД Г-н Владимир Дончев
СТАНОВИЩЕ
ОТНОСНО: Законопроекта за защита на личните данни
№ 102-01-7/18.10.2001 г., внесен от Министерския съвет
На 22 ноември 2001 г., на свое заседание Консултативният съвет по законодателството при Народното събрание, обсъди Законопроекта за защита на личните данни, внесен от Министерския съвет. Въз основа на станалите разисквания предлагаме следните по-важни бележки за подобряване на законопроекта
I. Общи бележки
1. Законопроектът урежда нова за българското законодателство материя, по която липсва натрупан опит и традиция. Но има европейски стандарти: Конвенция № 108 на Съвета на Европа и Директива 95/46 на Европейския съюз. Законопроектът съдържа редица съществени недостатъци. Ако не бъдат отстранени между неговото I-во и II-ро гласуване, те ще създадат сериозни проблеми при прилагането му и ще намалят ефективността от неговото действие.
2. Правните разпоредби в законопроекта са твърде обстоятелствени и словесно претрупани. Това което крие опасност законопроектът да остане неразбран от адресатите си. Препоръчително е текстовете да се подобрят езиково и смислово преди второто четене.
3. В законопроекта не е точно определен предметът и обхватът на правно регулиране. Не е ясно дали предмет на закона е защитата на личните данни само при автоматизирана обработка, какъвто е смисълът на Конвенция 108 и на Директива 95/46 (Преамбюл, т.15; чл.3, ал.1), или обхваща всички случаи на събиране и обработка на лични данни (чл.2, ал.1, § 1, т. 1 от Допълнителната разпоредба). Този въпрос трябва да намери ясен отговор в закона.
4. Законопроектът не определя отношението си към заварените закони, които уреждат дейности по обработването и съхраняването на лични данни, както и лицата, които ги осъществяват. Едва заключителната разпоредба на § 3 урежда задължение за уведомяване на Комисията за защита на личните данни по гл. IV от лицата, които “поддържат регистри с лични данни”. А по данни на Министерския съвет в момента съществуват около 3000 регистъра на лични данни, които се
уреждат в около 40 закона. Ето защо, законопроектът би трябвало да определи отношението си към тези закони.
5. Глава Четвърта има устройствен характер и съгласно чл. 30, ал.2 от Указ № 883 за прилагането на Закона за нормативните актове би трябвало систематически да бъде разположена след Глава Първа.
6. В Глава Втора, Раздел I и Раздел II е препоръчително да бъдат обединени в Раздел I със заглавие “Право на достъп до лични данни”, а Раздел III да стане Раздел II със заглавие “Предоставяне на лични данни на трети лица”.
7. § 2 от Преходните и заключителните разпоредби е заключително правило и трябва да бъде разположено след преходните правила, включени в § 3 и 4.
8. Заглавието на самия закон не отразява точно неговата основна идея. Предмет на закона не е защитата на личните данни, а на правата на физическите лица при обработката и съхраняването на лични данни. В този смисъл е и заглавието на Директива 46/95.
От друга страна, самото понятие “лични данни” не е точно. Става въпрос всъщност за личностни данни, т.е. за данни, които характеризират същността на човешката личност и нейната индивидуалност.
9. Терминът “субект на данни” в § 1, т. 2 от Допълнителната разпоредба е препоръчително да се изостави и вместо него да се използва терминът “физическо лице” и “лицето, за което се отнасят данните”. Тези термини биха могли да бъдат въведени още в чл.1и тяхната употреба да се проведе във всички текстове на законопроекта, за да се създаде единство в правните понятия и правната терминология на закона.
10. Изразът “администратор на лични данни” (чл. 3) е с неясно нормативно съдържание на български език. Предлагаме да се изостави и замени с израза “разпоредител с лични данни”. Той е по-близък до смисъла, който се влага в него и , според нас, ще бъде по-разбираем за правоприложителите.
11. Понятията “трета страна”, “трето лице”, “трети лица”, “засегнати лица” и др. под., са твърде свободно използвани. Това създава неоправдано терминологично разнообразие. Предлагаме тези различни термини да бъдат заменени с израза “трети лица”, който е утвърден в правната терминология и има установено правно съдържание.
12. Навсякъде, където се говори за “защита на лични данни” всъщност се има предвид техническото осигуряване на данните. Ето защо предлагаме вместо него да се обсъди и възприеме за единно използване в закона изразът “съхраняване на данни”. (Вкл. и в заглавието на Раздел III от Глава Първа).
13. Вместо изразът “статут на лицата”, да се използва възприетия в нормативните актове израз “правното положение на лицата“.
14. В “таблицата” за съответствието на отделните текстове на законопроекта с разпоредбите на Директива 95/46, приложена към законопроекта преобладава оценката “пълно съответствие”. При сравняването с автентичния текст на Директивата на английски, френски и немски език с предлаганите в законопроекта разрешения, тази оценка не винаги се потвърждава.
II. Конкретни бележки
15. По чл. 1. ал. 1 - предметът на закона следва да бъде по- прецизно формулиран - не чрез “обработването и защитата на лични данни”, а чрез защитата на личността при обработването и предаването на лични данни.
16. В чл. 1, ал. 1 след думите “лични данни” да се добавят думите “за физически лица”.
17. В чл. 1, ал. 2 - целта на закона следва да бъде формулирана в отделен текст, ако това се счита за необходимо - за целите на телеологичното тълкуване на закона. Препоръчително е тази разпоредба да се формулира в едно изречение, а не чрез изброяване в точки. Предлагаме за обсъждане примерно следната редакция на ал. 2:
“ (2) Целта на закона е да защити правата на физическите лица при обработване на лични данни, които се отнасят за тях, да гарантира неприкосновеността на тяхната личност и личния им живот, да ги защити при посегателства върху честта, достойнството и доброто им име, както и да им осигури достъп до събраните и обработвани техни лични данни.”
18. По чл. 1, ал. 4. Обсъжданият законопроект е замислен като общ закон за защита на личните данни, който защищава правата на личността. Възможността в специални закони да се урежда нещо различно от уредбата по този закон имплицитно допуска да се установяват изключения от нея. Те трябва да бъдат минимални. В сегашния си вид ал. 4 на чл. 1 е твърде широко формулиран и не съответства на чл. 3, ал.2 от Директива 95/46, която допуска различна уредба единствено за целите на отбраната, публичния ред и националната сигурност. Ето защо, предлагаме ал. 4 да отпадне изцяло, или да се запази само т. 1.
19. В чл. 2, ал. 1 след думата “умствена” да се добави думата “семейна”. Това допълнение би следвало да се отрази и в § 4, т. 2 от Преходните и заключителни разпоредби.
20. Понятието “служебна информация” по чл. 4, ал. 2 трябва да бъде обяснено в Допълнителната разпоредба, защото в сегашния си вид то е неясно.
21. Чл. 6 да отпадне, тъй като се повтаря с чл. 32.
22. В чл. 8, т. 1 понятието “законосъобразно” би трябвало да се замени с по-широкото правно понятие “правомерно”, а в чл. 8, т. 1 - “нормативно” - с “установено със закон”, за да се ограничи събирането и обработването на “лични данни” по силата на подзаконови нормативни актове, което може да доведе до ограничаване на правата на гражданите. Това би противоречало и на целта на закона (вж. по-горе бележката по чл. 1, ал. 2).
23. Т. 4 на чл. 8 да отпадне, в т. 5 думите “или лица” да отпадне, а думата “които” да се замени с думата “което”.
24. В чл. 9 да отпадне ал. 3, тъй като преценката на разпоредителя за отказ може да се окаже произволна или неточна.
25. Чл. 10, ал. 1 предлагаме да се измени така:
“(1) Съгласието на лицето трябва да е свободно и недвусмислено. То може да бъде дадено за цялата или за част от обработката на данните. Съгласието е писмено, освен ако закон предвижда друго.”
Така разпоредбата става по-пълна и по-ясна.
26. Чл. 10, ал. 2 предлагаме да се измени като се внесат следните смислови и редакционни подобрения:
а) т. 2 да придобие следната редакция: “се извършва само за нуждите на научни изследвания или на статистиката и данните са анонимни”;
б) т. 3 да придобие следната редакция: “е необходима, за да се защити животът или здравето на лицето или на друго лице, както и когато състоянието му не му позволява да даде съгласието си или съществуват законни пречки за това”;
в) т. 4 и 5 - да отпаднат, тъй като те се съдържат в т. 1
27. Заглавието на Раздел III на гл. I предлагаме да се промени в “Съхраняване на личните данни”. Това заглавие по-точно отговаря на съдържанието на раздела.
28. Чл. 12, ал. 3 предлагаме да се измени така:
“(3) Министерският съвет определя минимално необходимите технически и организационни мерки, както и минимално необходимия вид защита на данните.”
29. Ал. 5 и 6 на чл. 13 да отпаднат, тъй като това не са въпроси за законова уредба.
30. Предлагаме разпоредбата на чл. 14 да се прередактира, така че да се изрази ясно, че правилото е: унищожаване на данните, освен ако в закон е предвидено те да бъдат съхранявани или предадени на друг разпоредител. По този начин се пресича възможността за злоупотреба със събирани лични данни, след като е приключило тяхното обработване.
31. Предлагаме Раздел V “Специални видове лични данни”, който се състои само от един член, да отпадне като самостоятелен раздел и съдържащата се в него уредба да се влее в сегашния Раздел III.
32. По чл. 15, ал. 1 и в други разпоредби вместо “сексуалния” да се използва по-широкото понятие “личния живот”. Понятието “личен живот” е конституционно (чл. 32, ал. 1 от Конституцията) и това създава последователност и единство в правната терминология на Конституцията и текущото законодателство.
33. В чл. 15, ал. 1 изброяването на различните видове организации, съобразно предмета им на дейност, да се замени с обобщаващия израз “сдружения с нестопанска цел”.
34. В чл. 15, ал. 2 да се възпроизведе коректно чл.8, т.2 от Директива 95/46 за защита на личността срещу обработка на лични данни и за свободно движение на тези данни, за да се постигне пълно съответствие с Директивата.
35. В чл. 15, ал. 2, т. 2:
а) вместо “живота или здравето” да се използва терминът от Директивата “жизненоважни интереси”,
б) изразът “физическото състояние” да се замени с израза: “когато лицето не е в състояние да даде съгласието си”.
36. В чл. 15, ал. 2, т. 3 е неясен. Предлагаме да се възпроизведе чл. 8, т. 2, б. ”д” от Директива 95/46.
37. Една обща бележка за гл. II: в случаите, когато се допуска изрично упълномощаване с оглед депозиране на искане или получаване на достъп до лични данни, да се предвидят повече гаранции за физическото лице, за когото се отнасят личните данни.
38. Чл. 16, ал. 2 предлагаме да добие следната редакция:
“(2) Когато при достъпа могат да се разкрият лични данни и за трето лице, разпоредителят е длъжен да предостави на лицето само частта от данните, които се отнасят до него.”
39. По чл. 17 предлагаме следната обобщена нова формулировка:
“Чл. 17. Правото на достъп до лични данни не може да бъде упражнявано във вреда на други лица, както и срещу националната сигурност и обществения ред.”
40. По чл. 18 и навсякъде в закона вместо “заявление” да се употребява терминът “искане”, който отговаря на същността на изразената воля.
41. По чл. 18 предлагаме още следните подобрения:
а) т. 2, б. ”б” в израза “ако са в нарушение на закона или ...” да се добави думата “обработването”, така че да придобие следната редакция: “ако обработването е в нарушение на закона или ...”;
б) по т. 3 след думите “специален закон” да се постави точка и останалата част на изречението да отпадне;
в) т. 4 да бъде прередактирана по следния начин:
“4. да забрани на разпоредителя с данни да предоставя част от данните за търговска информация, реклама или за пазарно проучване.”;
г) ал. 3 да отпадне, тъй като дублира чл.19, ал.3;
д) ал. 4 да отпадне, тъй като дублира чл. 22, ал.1;
е) ал. 5 да отпадне, тъй като дублира Глава Трета.
42. По чл. 19 предлагаме:
а) ал. 1 да се прередактира така:
“(1) Достъп до лични данни се предоставя въз основа на писмено искане от лицето, до което се отнасят данните, до разпоредителя с тях”;
б) в ал. 3 изразът “от субекта на данните” да отпадне;
в) ал. 4 да придобие следната редакция:
“ (4) Искането е безплатно.”.
43. По чл. 20 предлагаме ал. 1 да отпадне, тъй като съдържа уредба на елементарни въпроси, които не са за закон.
44. По чл. 21 предлагаме следните изменения:
а) в ал. 1 думата “преглед” да се употреби “проверка”, тъй като това е смисълът на законовата разпоредба;
б) ал. 2 да придобие следната редакция:
“(2) Лицето може да поиска копие на предпочитан носител или предоставяне по електронен път, ако това не е забранено от закон.”
в) ал. 3 да отпадне, тъй като открива широки възможности за разпоредителя на лични данни да не удовлетвори искането на лицето.
45. По чл. 22 предлагаме разпоредбата да се прередактира като задължение за осигуряване на достъп до личните данни и да придобие следната редакция:.
“(1) Достъпът се предоставя в ...-дневен срок след подаване на искането.
(2) Срокът по ал. 1 може да бъде удължен до ... дни, когато събирането на исканите данни е сериозно затруднено.”
Предлагаме също така, установените в законопроекта дълги срокове да отпаднат и да се съобразят със сроковете по ЗАП.
46. По чл. 23 предлагаме ал. 1 да се раздели на две изречения и да придобие следната редакция:
“(1) Разпоредителят с лични данни писмено уведомява лицето за предоставянето на пълен или частичен достъп. Отказът за предоставяне на данни или за удължаване на срока по чл. 22 се мотивира.”
47. Предлагаме чл. 24 да отпадне. Неговата ал. 1 е саморазбираема, а ал. 2 се отнася до мълчаливия отказ, който е уреден в ЗАП и в гл. III на законопроекта.
48. По чл. 25 предлагаме:
а) в ал. 1, т. 4: изразът “нормативно установено” да се замени с думите “когато е предвидено в закон”;
б) ал. 1, т. 6 да отпадне, тъй като това следва от Кодекса на труда;
в) ал. 2, т. 3: да се прередактира, както следва:
“3. когато противоречи на обществения интерес.”
г) ал. 4 да отпадне, тъй като измененията в т. 4 и 6 на ал. 1 я прави ненужна.
49. В чл. 26, ал. 1 предоставянето на данни между разпоредители, както и прехвърлянето на данни от един разпоредител на друг следва да се уреди по-подробно и на подходящо систематично място.
50. По чл. 27 предлагаме:
а) в ал. 1 да се предвиди симетрична уредба на тази в чл. 22 и 23;
б) ал. 2 да отпадне, тъй като ще важат общите правила за административния контрол.
51. По чл. 28:
а) Когато предмет на жалбата по чл. 28, ал. 1 е административен акт, съответно - отказ да се издаде административен акт, срокът за обжалване трябва да тече от съобщението за издаване на акта - съответно от съобщението за постановяване на решението за отказ да се издаде акт.
Само когато е налице мълчалив отказ срокът за обжалване следва да тече от изтичането на срока за произнасяне на компетентния орган (арг. чл. 22 и 37 ЗАП).
б) Решението на Комисията за защита на личните данни (чл. 28, ал. 4 във вр. с ал. 2) може да се обжалва пред Върховния административен съд само когато предмет на жалбата до комисията е бил административен акт. В останалите случаи - когато са налице “други нарушения”, които не са юридически изразени в административни актове или в откази да се издадат такива актове, няма годен предмет за съдебно обжалване.
52. По чл. 29:
а) Ал. 2 на чл. 29 предлагаме да придобие следната редакция:
“(2) Жалба до съда може да се подаде само след изчерпване на възможността са обжалване пред Комисията за защита на личните данни.”
53. Изпълнението на задължителните указания на Комисията за защита на личните данни по чл. 28, ал. 2 (а не по чл. 29, ал. 2) трябва да се обезпечи със средствата на административнонаказателната отговорност - чрез предвиждане в чл. 44, ал. 2 на административно наказание “глоба” и за неизпълнението на тези указания.
В такъв случай няма годен предмет за съдебно обжалване по ЗАП или ЗВАС, затова ал. 3 на чл. 29 следва да отпадне.
54. По чл. 30:
а) Въпросът за правомощията на съда в административния процес е уреден подробно и задоволително в ЗАП (чл. 42) и ЗВАС (чл. 28) и няма защо да се възпроизвежда под една или друга форма и в Закона за защита на личните данни (чл. 30, ал. 1 и 4 от законопроекта).
б) По сегашния български административен процес за отмяна на административни актове административният съд не може да присъжда обезщетения. Увреденото лице в резултат на незаконосъобразни действия на администратора на лични данни следва да потърси обезщетение било по реда на Закона за отговорността на държавата за вреди, причинени на граждани, било по чл. 49 от Закона за задълженията и договорите, но и в двата случая - по общия исков ред, в граждански процес.
По тези съображения ал. 2 на чл. 30 следва да отпадне.
55. Не бихме могли да споделим установилата се през последните години продължаваща и с този законопроект, линия на често възлагани със закон оперативни правомощия на Народното събрание за избиране на държавни органи по прилагането на закона, дейност, която по естеството си е присъща на изпълнителната власт. Тази тенденция води до увеличаване на държавната администрация и поставя деликатни въпроси за съответствието й с конституционния принцип за разделението на властите по чл. 8 от Конституцията. Тази линия в законопроекта е намерила израз в избора на Комисията за лични данни от Народното събрание (чл. IV, чл. 33 от законопроекта).
56. В законопроекта не е уреден въпросът за режима на регистрацията на разпоредителите с лични данни пред комисията. Е ли този режим уведомителен, разрешителен или някакъв друг вид? Законът дължи ясен отговор по този въпрос.
57. По чл. 34 предлагаме:
а) в ал. 2, т. 1 да отпадне ’’акционери” и “и организации с нестопанска цел”;
б) ал. 3 да се прередактира примерно така:
“(3) Членовете на Комисията се освобождават по реда, по който са избрани.”;
в) ал. 3, т. 3 да придобие следната редакция:
“3. при осъждане за умишлено престъпление от общ характер;”
г) ал. 3, т. 5 да отпадне;
д) ал. 4 текстът да придобие следната редакция:
“(4) В случаите по ал. 3 се избира нов член за срока до края на мандата на освободения.”.
58. По чл. 35:
а) ал. 2, т. 1: да отпадне изразът “и отговаря за цялостното изпълнение на задълженията й”; както и т. 3. Съдържащите се в тях правила следват от разпоредбата на т. 1.
59. Ал. 1 на чл. 36 да отпадне. Вместо нея предлагаме да се предвиди: “Министерският съвет по предложение на Комисията приема правилник за устройството и дейността й”.
60. Чл. 37 да отпадне. Ако се приеме предлаганата редакция на чл. 36, чл. 37 е излишен.
61. В сегашния им вид в чл. 36 и чл. 37 се очертава известна непоследователност в законодателните разрешения: от една страна, се прокламира независимостта на Комисията, а, от друга, се предвижда приемането на втори правилник за дейността на администрацията на “независимия орган” от Министерския съвет. Изобщо би следвало да се внесе концептуална яснота относно статута на Комисията. Изискването на Директива 95/46 е Комисията да бъде изградена като независим от изпълнителната власт орган.
62. Ал. 3 на чл. 44 трябва да отиде след ал. 5, защото създава специален състав на административно нарушение спрямо общия състав на ал. 5.
63. В ал. 6 на чл. 44 би трябвало да се възприеме друг подход за определяне на наказанието при повторно нарушение: всеки отделен състав на административно нарушение да се последва от състав на повторно нарушение със съответно по-тежко наказание или да се създаде един общ текст за повторно нарушение по чл. 44, ал. 1-5.
Възприетият сега в ал. 6 на чл. 44 от законопроекта подход не дава възможност за индивидуализиране на наказанието за повторното нарушение. Възможно е например първото нарушение да е извършено при смекчаващи вината обстоятелства, а второто нарушение - при отегчаващи. При възприетия в законопроекта подход във втория случай няма да може да се наложи законосъобразно и справедливо наказание.
64. В чл. 45 думите “специално упълномощени” трябва да се заменят с “определени от комисията”.
65. В законопроекта не е указано кой определя лицата, овластени да съставят актовете за установяване на административните нарушения. Този въпрос трябва да намери изрична законова уредба.
66. В § 1, ал. 1, т. 6 легалната дефиниция на “предоставянето на лични данни” да бъде редактирана примерно така:
“6. Предоставяне на лични данни е всяко действие по пренасяне на данни от един разпоредител към друг, както и изнасяне на лични данни на трети лица.”.
67. В § 3, ал. 3 да отпадне. Предвиденият 14-дневен срок на обжалване пред ВАС е общият срок за обжалване пред ВАС, предвиден в чл. 13, ал. 2 ЗВАС.
68. В Преходните и заключителни разпоредби да се предвиди нов § 6 със следното съдържание:
СТАНОВИЩЕ
ОТНОСНО: Законопроекта за защита на личните данни
№ 102-01-7/18.10.2001 г., внесен от Министерския съвет
Консултативен съвет по законодателство
ДО
ПРЕДСЕДАТЕЛЯ НА НАРОДНОТО СЪБРАНИЕ Проф. Огнян Герджиков
ДО
ПРЕДСЕДАТЕЛЯ НА КОМИСИЯТА ПО ВЪТРЕШНА СИГУРНОСТ И ОБЩЕСТВЕН РЕД Г-н Владимир Дончев
СТАНОВИЩЕ
ОТНОСНО: Законопроекта за защита на личните данни
№ 102-01-7/18.10.2001 г., внесен от Министерския съвет
На 22 ноември 2001 г., на свое заседание Консултативният съвет по законодателството при Народното събрание, обсъди Законопроекта за защита на личните данни, внесен от Министерския съвет. Въз основа на станалите разисквания предлагаме следните по-важни бележки за подобряване на законопроекта
I. Общи бележки
1. Законопроектът урежда нова за българското законодателство материя, по която липсва натрупан опит и традиция. Но има европейски стандарти: Конвенция № 108 на Съвета на Европа и Директива 95/46 на Европейския съюз. Законопроектът съдържа редица съществени недостатъци. Ако не бъдат отстранени между неговото I-во и II-ро гласуване, те ще създадат сериозни проблеми при прилагането му и ще намалят ефективността от неговото действие.
2. Правните разпоредби в законопроекта са твърде обстоятелствени и словесно претрупани. Това което крие опасност законопроектът да остане неразбран от адресатите си. Препоръчително е текстовете да се подобрят езиково и смислово преди второто четене.
3. В законопроекта не е точно определен предметът и обхватът на правно регулиране. Не е ясно дали предмет на закона е защитата на личните данни само при автоматизирана обработка, какъвто е смисълът на Конвенция 108 и на Директива 95/46 (Преамбюл, т.15; чл.3, ал.1), или обхваща всички случаи на събиране и обработка на лични данни (чл.2, ал.1, § 1, т. 1 от Допълнителната разпоредба). Този въпрос трябва да намери ясен отговор в закона.
4. Законопроектът не определя отношението си към заварените закони, които уреждат дейности по обработването и съхраняването на лични данни, както и лицата, които ги осъществяват. Едва заключителната разпоредба на § 3 урежда задължение за уведомяване на Комисията за защита на личните данни по гл. IV от лицата, които “поддържат регистри с лични данни”. А по данни на Министерския съвет в момента съществуват около 3000 регистъра на лични данни, които се
уреждат в около 40 закона. Ето защо, законопроектът би трябвало да определи отношението си към тези закони.
5. Глава Четвърта има устройствен характер и съгласно чл. 30, ал.2 от Указ № 883 за прилагането на Закона за нормативните актове би трябвало систематически да бъде разположена след Глава Първа.
6. В Глава Втора, Раздел I и Раздел II е препоръчително да бъдат обединени в Раздел I със заглавие “Право на достъп до лични данни”, а Раздел III да стане Раздел II със заглавие “Предоставяне на лични данни на трети лица”.
7. § 2 от Преходните и заключителните разпоредби е заключително правило и трябва да бъде разположено след преходните правила, включени в § 3 и 4.
8. Заглавието на самия закон не отразява точно неговата основна идея. Предмет на закона не е защитата на личните данни, а на правата на физическите лица при обработката и съхраняването на лични данни. В този смисъл е и заглавието на Директива 46/95.
От друга страна, самото понятие “лични данни” не е точно. Става въпрос всъщност за личностни данни, т.е. за данни, които характеризират същността на човешката личност и нейната индивидуалност.
9. Терминът “субект на данни” в § 1, т. 2 от Допълнителната разпоредба е препоръчително да се изостави и вместо него да се използва терминът “физическо лице” и “лицето, за което се отнасят данните”. Тези термини биха могли да бъдат въведени още в чл.1и тяхната употреба да се проведе във всички текстове на законопроекта, за да се създаде единство в правните понятия и правната терминология на закона.
10. Изразът “администратор на лични данни” (чл. 3) е с неясно нормативно съдържание на български език. Предлагаме да се изостави и замени с израза “разпоредител с лични данни”. Той е по-близък до смисъла, който се влага в него и , според нас, ще бъде по-разбираем за правоприложителите.
11. Понятията “трета страна”, “трето лице”, “трети лица”, “засегнати лица” и др. под., са твърде свободно използвани. Това създава неоправдано терминологично разнообразие. Предлагаме тези различни термини да бъдат заменени с израза “трети лица”, който е утвърден в правната терминология и има установено правно съдържание.
12. Навсякъде, където се говори за “защита на лични данни” всъщност се има предвид техническото осигуряване на данните. Ето защо предлагаме вместо него да се обсъди и възприеме за единно използване в закона изразът “съхраняване на данни”. (Вкл. и в заглавието на Раздел III от Глава Първа).
13. Вместо изразът “статут на лицата”, да се използва възприетия в нормативните актове израз “правното положение на лицата“.
14. В “таблицата” за съответствието на отделните текстове на законопроекта с разпоредбите на Директива 95/46, приложена към законопроекта преобладава оценката “пълно съответствие”. При сравняването с автентичния текст на Директивата на английски, френски и немски език с предлаганите в законопроекта разрешения, тази оценка не винаги се потвърждава.
II. Конкретни бележки
15. По чл. 1. ал. 1 - предметът на закона следва да бъде по- прецизно формулиран - не чрез “обработването и защитата на лични данни”, а чрез защитата на личността при обработването и предаването на лични данни.
16. В чл. 1, ал. 1 след думите “лични данни” да се добавят думите “за физически лица”.
17. В чл. 1, ал. 2 - целта на закона следва да бъде формулирана в отделен текст, ако това се счита за необходимо - за целите на телеологичното тълкуване на закона. Препоръчително е тази разпоредба да се формулира в едно изречение, а не чрез изброяване в точки. Предлагаме за обсъждане примерно следната редакция на ал. 2:
“ (2) Целта на закона е да защити правата на физическите лица при обработване на лични данни, които се отнасят за тях, да гарантира неприкосновеността на тяхната личност и личния им живот, да ги защити при посегателства върху честта, достойнството и доброто им име, както и да им осигури достъп до събраните и обработвани техни лични данни.”
18. По чл. 1, ал. 4. Обсъжданият законопроект е замислен като общ закон за защита на личните данни, който защищава правата на личността. Възможността в специални закони да се урежда нещо различно от уредбата по този закон имплицитно допуска да се установяват изключения от нея. Те трябва да бъдат минимални. В сегашния си вид ал. 4 на чл. 1 е твърде широко формулиран и не съответства на чл. 3, ал.2 от Директива 95/46, която допуска различна уредба единствено за целите на отбраната, публичния ред и националната сигурност. Ето защо, предлагаме ал. 4 да отпадне изцяло, или да се запази само т. 1.
19. В чл. 2, ал. 1 след думата “умствена” да се добави думата “семейна”. Това допълнение би следвало да се отрази и в § 4, т. 2 от Преходните и заключителни разпоредби.
20. Понятието “служебна информация” по чл. 4, ал. 2 трябва да бъде обяснено в Допълнителната разпоредба, защото в сегашния си вид то е неясно.
21. Чл. 6 да отпадне, тъй като се повтаря с чл. 32.
22. В чл. 8, т. 1 понятието “законосъобразно” би трябвало да се замени с по-широкото правно понятие “правомерно”, а в чл. 8, т. 1 - “нормативно” - с “установено със закон”, за да се ограничи събирането и обработването на “лични данни” по силата на подзаконови нормативни актове, което може да доведе до ограничаване на правата на гражданите. Това би противоречало и на целта на закона (вж. по-горе бележката по чл. 1, ал. 2).
23. Т. 4 на чл. 8 да отпадне, в т. 5 думите “или лица” да отпадне, а думата “които” да се замени с думата “което”.
24. В чл. 9 да отпадне ал. 3, тъй като преценката на разпоредителя за отказ може да се окаже произволна или неточна.
25. Чл. 10, ал. 1 предлагаме да се измени така:
“(1) Съгласието на лицето трябва да е свободно и недвусмислено. То може да бъде дадено за цялата или за част от обработката на данните. Съгласието е писмено, освен ако закон предвижда друго.”
Така разпоредбата става по-пълна и по-ясна.
26. Чл. 10, ал. 2 предлагаме да се измени като се внесат следните смислови и редакционни подобрения:
а) т. 2 да придобие следната редакция: “се извършва само за нуждите на научни изследвания или на статистиката и данните са анонимни”;
б) т. 3 да придобие следната редакция: “е необходима, за да се защити животът или здравето на лицето или на друго лице, както и когато състоянието му не му позволява да даде съгласието си или съществуват законни пречки за това”;
в) т. 4 и 5 - да отпаднат, тъй като те се съдържат в т. 1
27. Заглавието на Раздел III на гл. I предлагаме да се промени в “Съхраняване на личните данни”. Това заглавие по-точно отговаря на съдържанието на раздела.
28. Чл. 12, ал. 3 предлагаме да се измени така:
“(3) Министерският съвет определя минимално необходимите технически и организационни мерки, както и минимално необходимия вид защита на данните.”
29. Ал. 5 и 6 на чл. 13 да отпаднат, тъй като това не са въпроси за законова уредба.
30. Предлагаме разпоредбата на чл. 14 да се прередактира, така че да се изрази ясно, че правилото е: унищожаване на данните, освен ако в закон е предвидено те да бъдат съхранявани или предадени на друг разпоредител. По този начин се пресича възможността за злоупотреба със събирани лични данни, след като е приключило тяхното обработване.
31. Предлагаме Раздел V “Специални видове лични данни”, който се състои само от един член, да отпадне като самостоятелен раздел и съдържащата се в него уредба да се влее в сегашния Раздел III.
32. По чл. 15, ал. 1 и в други разпоредби вместо “сексуалния” да се използва по-широкото понятие “личния живот”. Понятието “личен живот” е конституционно (чл. 32, ал. 1 от Конституцията) и това създава последователност и единство в правната терминология на Конституцията и текущото законодателство.
33. В чл. 15, ал. 1 изброяването на различните видове организации, съобразно предмета им на дейност, да се замени с обобщаващия израз “сдружения с нестопанска цел”.
34. В чл. 15, ал. 2 да се възпроизведе коректно чл.8, т.2 от Директива 95/46 за защита на личността срещу обработка на лични данни и за свободно движение на тези данни, за да се постигне пълно съответствие с Директивата.
35. В чл. 15, ал. 2, т. 2:
а) вместо “живота или здравето” да се използва терминът от Директивата “жизненоважни интереси”,
б) изразът “физическото състояние” да се замени с израза: “когато лицето не е в състояние да даде съгласието си”.
36. В чл. 15, ал. 2, т. 3 е неясен. Предлагаме да се възпроизведе чл. 8, т. 2, б. ”д” от Директива 95/46.
37. Една обща бележка за гл. II: в случаите, когато се допуска изрично упълномощаване с оглед депозиране на искане или получаване на достъп до лични данни, да се предвидят повече гаранции за физическото лице, за когото се отнасят личните данни.
38. Чл. 16, ал. 2 предлагаме да добие следната редакция:
“(2) Когато при достъпа могат да се разкрият лични данни и за трето лице, разпоредителят е длъжен да предостави на лицето само частта от данните, които се отнасят до него.”
39. По чл. 17 предлагаме следната обобщена нова формулировка:
“Чл. 17. Правото на достъп до лични данни не може да бъде упражнявано във вреда на други лица, както и срещу националната сигурност и обществения ред.”
40. По чл. 18 и навсякъде в закона вместо “заявление” да се употребява терминът “искане”, който отговаря на същността на изразената воля.
41. По чл. 18 предлагаме още следните подобрения:
а) т. 2, б. ”б” в израза “ако са в нарушение на закона или ...” да се добави думата “обработването”, така че да придобие следната редакция: “ако обработването е в нарушение на закона или ...”;
б) по т. 3 след думите “специален закон” да се постави точка и останалата част на изречението да отпадне;
в) т. 4 да бъде прередактирана по следния начин:
“4. да забрани на разпоредителя с данни да предоставя част от данните за търговска информация, реклама или за пазарно проучване.”;
г) ал. 3 да отпадне, тъй като дублира чл.19, ал.3;
д) ал. 4 да отпадне, тъй като дублира чл. 22, ал.1;
е) ал. 5 да отпадне, тъй като дублира Глава Трета.
42. По чл. 19 предлагаме:
а) ал. 1 да се прередактира така:
“(1) Достъп до лични данни се предоставя въз основа на писмено искане от лицето, до което се отнасят данните, до разпоредителя с тях”;
б) в ал. 3 изразът “от субекта на данните” да отпадне;
в) ал. 4 да придобие следната редакция:
“ (4) Искането е безплатно.”.
43. По чл. 20 предлагаме ал. 1 да отпадне, тъй като съдържа уредба на елементарни въпроси, които не са за закон.
44. По чл. 21 предлагаме следните изменения:
а) в ал. 1 думата “преглед” да се употреби “проверка”, тъй като това е смисълът на законовата разпоредба;
б) ал. 2 да придобие следната редакция:
“(2) Лицето може да поиска копие на предпочитан носител или предоставяне по електронен път, ако това не е забранено от закон.”
в) ал. 3 да отпадне, тъй като открива широки възможности за разпоредителя на лични данни да не удовлетвори искането на лицето.
45. По чл. 22 предлагаме разпоредбата да се прередактира като задължение за осигуряване на достъп до личните данни и да придобие следната редакция:.
“(1) Достъпът се предоставя в ...-дневен срок след подаване на искането.
(2) Срокът по ал. 1 може да бъде удължен до ... дни, когато събирането на исканите данни е сериозно затруднено.”
Предлагаме също така, установените в законопроекта дълги срокове да отпаднат и да се съобразят със сроковете по ЗАП.
46. По чл. 23 предлагаме ал. 1 да се раздели на две изречения и да придобие следната редакция:
“(1) Разпоредителят с лични данни писмено уведомява лицето за предоставянето на пълен или частичен достъп. Отказът за предоставяне на данни или за удължаване на срока по чл. 22 се мотивира.”
47. Предлагаме чл. 24 да отпадне. Неговата ал. 1 е саморазбираема, а ал. 2 се отнася до мълчаливия отказ, който е уреден в ЗАП и в гл. III на законопроекта.
48. По чл. 25 предлагаме:
а) в ал. 1, т. 4: изразът “нормативно установено” да се замени с думите “когато е предвидено в закон”;
б) ал. 1, т. 6 да отпадне, тъй като това следва от Кодекса на труда;
в) ал. 2, т. 3: да се прередактира, както следва:
“3. когато противоречи на обществения интерес.”
г) ал. 4 да отпадне, тъй като измененията в т. 4 и 6 на ал. 1 я прави ненужна.
49. В чл. 26, ал. 1 предоставянето на данни между разпоредители, както и прехвърлянето на данни от един разпоредител на друг следва да се уреди по-подробно и на подходящо систематично място.
50. По чл. 27 предлагаме:
а) в ал. 1 да се предвиди симетрична уредба на тази в чл. 22 и 23;
б) ал. 2 да отпадне, тъй като ще важат общите правила за административния контрол.
51. По чл. 28:
а) Когато предмет на жалбата по чл. 28, ал. 1 е административен акт, съответно - отказ да се издаде административен акт, срокът за обжалване трябва да тече от съобщението за издаване на акта - съответно от съобщението за постановяване на решението за отказ да се издаде акт.
Само когато е налице мълчалив отказ срокът за обжалване следва да тече от изтичането на срока за произнасяне на компетентния орган (арг. чл. 22 и 37 ЗАП).
б) Решението на Комисията за защита на личните данни (чл. 28, ал. 4 във вр. с ал. 2) може да се обжалва пред Върховния административен съд само когато предмет на жалбата до комисията е бил административен акт. В останалите случаи - когато са налице “други нарушения”, които не са юридически изразени в административни актове или в откази да се издадат такива актове, няма годен предмет за съдебно обжалване.
52. По чл. 29:
а) Ал. 2 на чл. 29 предлагаме да придобие следната редакция:
“(2) Жалба до съда може да се подаде само след изчерпване на възможността са обжалване пред Комисията за защита на личните данни.”
53. Изпълнението на задължителните указания на Комисията за защита на личните данни по чл. 28, ал. 2 (а не по чл. 29, ал. 2) трябва да се обезпечи със средствата на административнонаказателната отговорност - чрез предвиждане в чл. 44, ал. 2 на административно наказание “глоба” и за неизпълнението на тези указания.
В такъв случай няма годен предмет за съдебно обжалване по ЗАП или ЗВАС, затова ал. 3 на чл. 29 следва да отпадне.
54. По чл. 30:
а) Въпросът за правомощията на съда в административния процес е уреден подробно и задоволително в ЗАП (чл. 42) и ЗВАС (чл. 28) и няма защо да се възпроизвежда под една или друга форма и в Закона за защита на личните данни (чл. 30, ал. 1 и 4 от законопроекта).
б) По сегашния български административен процес за отмяна на административни актове административният съд не може да присъжда обезщетения. Увреденото лице в резултат на незаконосъобразни действия на администратора на лични данни следва да потърси обезщетение било по реда на Закона за отговорността на държавата за вреди, причинени на граждани, било по чл. 49 от Закона за задълженията и договорите, но и в двата случая - по общия исков ред, в граждански процес.
По тези съображения ал. 2 на чл. 30 следва да отпадне.
55. Не бихме могли да споделим установилата се през последните години продължаваща и с този законопроект, линия на често възлагани със закон оперативни правомощия на Народното събрание за избиране на държавни органи по прилагането на закона, дейност, която по естеството си е присъща на изпълнителната власт. Тази тенденция води до увеличаване на държавната администрация и поставя деликатни въпроси за съответствието й с конституционния принцип за разделението на властите по чл. 8 от Конституцията. Тази линия в законопроекта е намерила израз в избора на Комисията за лични данни от Народното събрание (чл. IV, чл. 33 от законопроекта).
56. В законопроекта не е уреден въпросът за режима на регистрацията на разпоредителите с лични данни пред комисията. Е ли този режим уведомителен, разрешителен или някакъв друг вид? Законът дължи ясен отговор по този въпрос.
57. По чл. 34 предлагаме:
а) в ал. 2, т. 1 да отпадне ’’акционери” и “и организации с нестопанска цел”;
б) ал. 3 да се прередактира примерно така:
“(3) Членовете на Комисията се освобождават по реда, по който са избрани.”;
в) ал. 3, т. 3 да придобие следната редакция:
“3. при осъждане за умишлено престъпление от общ характер;”
г) ал. 3, т. 5 да отпадне;
д) ал. 4 текстът да придобие следната редакция:
“(4) В случаите по ал. 3 се избира нов член за срока до края на мандата на освободения.”.
58. По чл. 35:
а) ал. 2, т. 1: да отпадне изразът “и отговаря за цялостното изпълнение на задълженията й”; както и т. 3. Съдържащите се в тях правила следват от разпоредбата на т. 1.
59. Ал. 1 на чл. 36 да отпадне. Вместо нея предлагаме да се предвиди: “Министерският съвет по предложение на Комисията приема правилник за устройството и дейността й”.
60. Чл. 37 да отпадне. Ако се приеме предлаганата редакция на чл. 36, чл. 37 е излишен.
61. В сегашния им вид в чл. 36 и чл. 37 се очертава известна непоследователност в законодателните разрешения: от една страна, се прокламира независимостта на Комисията, а, от друга, се предвижда приемането на втори правилник за дейността на администрацията на “независимия орган” от Министерския съвет. Изобщо би следвало да се внесе концептуална яснота относно статута на Комисията. Изискването на Директива 95/46 е Комисията да бъде изградена като независим от изпълнителната власт орган.
62. Ал. 3 на чл. 44 трябва да отиде след ал. 5, защото създава специален състав на административно нарушение спрямо общия състав на ал. 5.
63. В ал. 6 на чл. 44 би трябвало да се възприеме друг подход за определяне на наказанието при повторно нарушение: всеки отделен състав на административно нарушение да се последва от състав на повторно нарушение със съответно по-тежко наказание или да се създаде един общ текст за повторно нарушение по чл. 44, ал. 1-5.
Възприетият сега в ал. 6 на чл. 44 от законопроекта подход не дава възможност за индивидуализиране на наказанието за повторното нарушение. Възможно е например първото нарушение да е извършено при смекчаващи вината обстоятелства, а второто нарушение - при отегчаващи. При възприетия в законопроекта подход във втория случай няма да може да се наложи законосъобразно и справедливо наказание.
64. В чл. 45 думите “специално упълномощени” трябва да се заменят с “определени от комисията”.
65. В законопроекта не е указано кой определя лицата, овластени да съставят актовете за установяване на административните нарушения. Този въпрос трябва да намери изрична законова уредба.
66. В § 1, ал. 1, т. 6 легалната дефиниция на “предоставянето на лични данни” да бъде редактирана примерно така:
“6. Предоставяне на лични данни е всяко действие по пренасяне на данни от един разпоредител към друг, както и изнасяне на лични данни на трети лица.”.
67. В § 3, ал. 3 да отпадне. Предвиденият 14-дневен срок на обжалване пред ВАС е общият срок за обжалване пред ВАС, предвиден в чл. 13, ал. 2 ЗВАС.
68. В Преходните и заключителни разпоредби да се предвиди нов § 6 със следното съдържание:
