Предговор
Стратегията на Комисия за защита на личните данни за развитие в областта на защитата на личните данни взима предвид преимуществата на натрупания над 10-годишен опит на Комисията, отчита слабостите в досегашното прилагане на нормативната уредба в областта на защитата на личните данни, възможностите за по-нататъшно устойчиво развитие на практиката на Комисията, както изаплахите свързани с обработката и защитата на личните данни. Стратегията отчита изискванията на Закона за защита на личните данни, както и новото европейско законодателство в областта – Регламент (ЕС) 2016/679, Директива (ЕС) 2016/680 и Директива (ЕС) 2016/681.
Комисията за защита на личните данни, в съответствие с Националната програма за развитие: България 2020 и вземайки предвид Стратегията за развитие на държавната администрация (2014 – 2020), разработи настоящата стратегия. Стремежът на КЗЛД е изграждането на доверие в гражданите при защитата на личните им данни като основно право на всички европейци.
Въведение
Процесът на глобализация, който обхваща всички сфери на обществения живот, води и до глобализация на заплахите и предизвикателствата, които стоят пред защитата на личните данни. Това налага координиран отговор от страна на всички страни в процеса, което от своя страна води до нуждата от прилагане на единни стандарти и подходи за действие. В своята дейност Комисията за защита на личните данни залага на два утвърдени европейски принципа. Безпристрастност – Комисията работи независимо и обективно, като се стреми да намира баланса между различните конфронтиращи се интереси, в рамките на законовите норми. Освен това КЗЛД прилага принципа на прозрачност в своята работа, комуникирайки своята дейност към обществото на лесен и достъпен език. Всичко това се извършва при зачитане на легитимните интереси на заинтересованите страни и търсене на прагматични решения, които да са от полза на гражданите и бизнеса.
Основно предизвикателство пред защитата на личните данни в началото на 21 век е дигиталната революция. Като надзорен орган по защита на данните Комисията се стреми да защити публичния интерес. Предизвикателства пред тази задача са разнообразни и следва да бъдат решени чрез систематичен подход. За тази цел Комисията ще търси партньорство със сродни органи, представители на публичния и частния сектор, както и гражданското общество.
В изпълнението на своите задължения Комисията се стреми да бъде в максимална степен в крак с новите предизвикателства, да не затруднява иновациите и бизнеса и да прилага проактивен подход при хармонизирането на законодателството и политиките в сферата на защита на данните на национално и европейско ниво.
Стратегическият документ съдържа разписани средства и индикатори за оценка на изпълнение, които следва да се опишат в План за изпълнение. Конкретните стъпки за достигането на желаните резултати са заложени в годишните планове за дейността на КЗЛД и изпълнение на длъжността на ръководителите и служителите.
По своята същност Стратегията на КЗЛД е замислена като отворен документ, който може да отговори адекватно на променящите се обществени отношения, породени от възникващи глобални заплахи и бурното развитие на сектора на комуникациите и високите технологии.
Стратегията съдържа в себе си механизъм за мониторинг и оценка на изпълнението. Предвидено е изготвянето на междинна оценка и анализ на изпълнението. Целта на този механизъм е коригиращи действия за постигане на очакваните резултати и стратегическата цел на КЗЛД възможно най-ефективно.
Наличието на стратегически документ дава възможност за устойчиво развитие в областта на защита на личните данни. Стратегията е основа за дългосрочната дейност на Комисията. Предвид динамиката на новите тенденции за развитие в областта на защитата на личните данни, Стратегията (Хоризонт 2022) съдържа в себе си механизъм за преосмисляне на тактическите и краткосрочни действия на Комисията, който да послужи като основа за разработване на надграждаща стратегия от следващия състав на КЗЛД.
1. Мисия и визия
Мисията е гарантиране на основното право на гражданите за защита на правата на физическите лица при обработване на личните им данни.
Визия – КЗЛД се стреми да изгражда и развива обществена среда, в която неприкосновеността на личността и личното пространство на гражданите се гарантира чрез система от мерки за превенция, отчетност и контрол срещу неправомерното обработване на лични данни.
2. Анализ на текущото състояние на сектора
При провеждането на стратегическо планиране следва да се направи анализ на досега постигнатите резултати и състоянието в сектора по защита на личните данни. За времето на своето съществуване Комисията за защита на личните данни успя да постигне значими резултати, свързани с изграждането на своя административен капацитет и формирането на система за защита на личните данни, действаща на територията на страната. Понастоящем тенденциите за развитие на световно и европейско ниво поставят Комисията в ролята й на надзорен орган, пред сериозни предизвикателства, свързани с изпълнението на нейните задължения, но също така предоставят и нови възможности за справяне с възникналите трудности.
2.1. Постигнати резултати до момента
· Създадена и оформена законова и подзаконова правна рамка. С приемането на Закона за защита на личните данни през 2002 г. бе поставено началото на нормативното изграждане на системата за защита на личните данни. През следващите години КЗЛД активно участва в нейното надграждане и оформяне – както чрез изменения и допълнения ЗЗЛД, така и чрез приемането на Наредба 1 за минималните технически и организационни мерки за защита и съгласуването на множество нормативни актове, имащи отношение към защитата на личните данни;
· Изграден административен капацитет и създадена функционираща институция със завършен и ефективен човешки ресурс. През 14-те години на своето съществуване КЗЛД успя да набере, обучи и специализира голям брой експерти в сферата на защита на личните данни. През този период бе натрупан и значителен опит, в следствие на задълбочената работа по различни казуси в областта на неприкосновеността.
· Създадени и утвърдени механизми за работа и взаимодействие. Комисията е приела Правилник за своята дейност, който се допълва и актуализира, при необходимост, съгласно опита на институцията.
· Постигната разпознаваемост в обществото. За 15-те години на своята работа КЗЛД се утвърди като разпознаваема институция сред гражданите и администраторите на лични данни. Това се доказва от непрекъснатото увеличаване броя жалбите и сигналите, подадени към КЗЛД от страна на гражданите и броя на поискани консултации и други административни услуги;
· Постигнато високо ниво на междуинституционално сътрудничество. Чрез участието си в множество междуинституционални формати и работни групи КЗЛД успя да изгради стабилна мрежа от партньори (на национално и международно ниво).
· Повишена информираност на обществото (информационни кампании, международни конференции, брошури, проведени обучения и медийна активност). Комисията непрекъснато се стреми да осигури публичност и откритост на своята дейност свързана със защитата на личните данни на физическите лица. Част от инструментите за това са информационните и разяснителни кампании, които КЗЛД многократно е провеждала по различни теми и поводи.
2.2. SWOT анализ
2.2.1 Силни страни
· Изградена национална правна рамка в областта на защитата на личните данни;
· Натрупана богата практика за превенция (уеднаквяване на практиката в областта на защитата на личните данни чрез изразяване на становища и провеждане на обучения) и надзор (извършване на проверки, разглеждане на жалби и административно-наказателна дейност);
· Добра вътрешноорганизационна структура на администрацията и подготвени професионални кадри;
· Предоставяните административни услуги от КЗЛД-част от електронното управление на Република България;
· Разпознаваемост на КЗЛД като национален надзорен орган в Република България.
2.2.2 Слаби страни
· Ограничен финансов ресурс (бюджет и заплати);
· Малка щатна численост и голямо текучество на персонал;
· Недостатъчен брой тясно специализирани IT специалисти в администрацията на КЛЗД в областта на защитата на личните данни;
· Недостатъчна чуждоезикова подготовка на администрацията;
· Липса на териториални структури;
· Отдалеченост от органите на централната администрация и недостатъчна транспортна обезпеченост.
2.2.3 Възможности за развитие
· Предстоящо модернизиране на националната правна рамка, което ще позволи да се отстранят досегашни слабости;
· Стандартизиране на добри практики в отделните направления и дейности на Комисията;
· Създаване на национален обучителен център в областта на защитата на личните данни;
· Разширяване на възможностите за външно финансиране;
· Непрекъснато подобряване и повишаване на удовлетвореността на гражданите, организациите и партньорите от предоставяните услуги;
· Изграждане на система за получаване на регулярна обратна връзка от голям брой заинтересовани страни;
· Задълбочаване и разширяване на сътрудничеството с неправителствения сектор и академичната общност;
· Засилено участие в инициативи, форуми и структури на ниво ЕС и международен план.
2.2.4 Заплахи
· Подценяване на заплахите и рисковете, свързани със защитата на личните данни от страна на обществото;
· Недостатъчно финансово осигуряване в средно срочен план;
· Създаване на правна несигурност в резултат на евентуално забавяне на процеса на законодателни промени в областта на защитата на личните данни;
· Възникване на нови заплахи за личната неприкосновеност и личните данни в резултат на развитието на ИТ-технологиите;
· Опасност от затруднения или невъзможност от изпълнение на функции и задачи в случай на запазване на тенденцията за регулярно текучество на високо квалифицирани кадри.
3. Стратегически цели за периода 2017 – 2022:
· Реализирана система за предотвратяване и ограничаване на незаконните форми на обработване на лични данни и нарушаване правата на физическите лица;
· Ефективно приложен механизъм за надзор;
· Разгърната всеобхватна система от обучения в областта на защитата на личните данни, мероприятия и инициативи за повишаване на осведомеността на обществото;
· Реализирана устойчивост на административните услуги, предоставяни на гражданите и администраторите на лични данни;
· Приложен проактивен подход в международното сътрудничеството;
· Разгърната система от инициативи за повишаване на професионална квалификация на КЗЛД и нейната администрация;
· Усъвършенствани процеси по откритост и прозрачност;
4. Целеви политики на КЗЛД
За изпълнението на своите стратегически цели Комисията изработи и утвърди набор от политики, които отговарят на европейските стандарти и добри практики. Политиките са съобразени също така и с относими стратегически документи на национално ниво.
Политика на европейска свързаност
Развитието на системата за защита на личните данни в България е неразривно свързано с развитието на сектора в световен и най-вече европейски план. Основополагащите рамки и регулации се изработват на ниво Европейски съюз и едва по-късно се прилагат на национално ниво от съответните надзорни органи. За това са нужни адекватни действия за уеднаквяване и хармонизиране на прилагането на тези правила на национално ниво. Освен това Общият регламент за защита на личните данни създава качествено нова среда за взаимодействие между надзорните органи в рамките на ЕС. След прилагането на Регламента през май 2018 г. от тях се изисква не просто да обменят информация, а да работят активно съвместно за решаване проблемите на администраторите и субектите на лични данни в Европа. В тази връзка политиката на европейска свързаност е задължителен елемент от стратегията на КЗЛД, с цел изпълнение на изискванията на регламента, както и утвърждаването на водещите позиции на българския надзорен орган в европейската архитектура по защита на данните.
Политиката на европейска свързаност засяга и международните формати в сферата на защита на данните, които са сериозна платформа за обмен на идеи и добри практики, свързани с най-новите тенденции за развитие. Това налага активен подход при участие в международните срещи на органите по защита на личните данни, тъй като по този начин най-добре може да бъдат защитени правата и интересите на българските граждани, а самата КЗЛД би получила възможност да бъде част от съвременното развитие в областта.
За да приложи проактивен подход в международното сътрудничество и да изпълни адекватно своите задължения КЗЛД ще продължи да подпомага активно изготвянето на насоки и становища на европейско ниво, да взема дейно участие в обмена на информация със сродни органи и да упражнява активно новите си правомощия свързани с изпълнението на съвместни операции. Основно място в приложението на тази политика заема и подготовката и формирането на административен капацитет за успешното провеждане на българското председателство на Съвета на ЕС, което включва серия от обучения и инициативи за служителите на Комисията.
Политиката на европейска свързаност има конкретна насоченост към Комисията и нейните международни партньори и се явява инструмент за оказване на влияние върху регулационните и координационни процеси, касаещи личните данни, на възможно най-високо ниво.
Политика по управление на качеството
Настоящата политика има за цел съчетаването на ефективното и ефикасно използване на ресурсите на КЗЛД с поставените цели и задължения на институцията при непрекъснато подобряване на работата й. Тази политика пряко допринася за осигуряване на необходимата подготовка на екипа на КЗЛД за Българското председателство на Съвета на Европейския съюз. Не на последно място, в своята дейност Комисията непрекъснато взаимодейства с останалите субектив системата за защита на личните данни (граждани и администратори), чиято удовлетвореност е пряко свързана с качеството на предлаганите от КЗЛД административни услуги.
Политиката за управление на качеството е насочена към разгръщане на пълния потенциал на служителите на КЗЛД. Чрез приемане на ясни и устойчиви правила за работа се гарантира сигурността в кариерното развитие и се поставят ясно условия както за кариерно развитие, така и за развитие на професионалните умения и компетентности. Политиката отразява стремежа за постигане на максимално високо качество, което да отговаря на европейските и световни стандарти.
Политика на превенция
Еднаот основните политики, чрез които КЗЛД се стреми да повиши нивото за защита на личните данни, е тази на превенцията. Опитът сочи, че мероприятията свързани с превенцията имат много по-голяма ефективност по отношение спада на нарушенията отколкото останалите мерки. Освен това превенцията спестява времеви, човешки и финансов ресурс и подпомага повишаването нивото на защита на личните данни и неприкосновеността. Тя е особено ефективна при предотвратяване на нарушенията в сферата на защитата на личните данни, извършвани поради незнание (целева група – АЛД);
Основните насоки по отношението на превенцията са провеждането на обучения и повишаването на осведомеността в сферата на защита на личните данни, както и издаването на указания, насочени към администраторите на лични данни. Една от най-значимите и мащабни мерки, с които ще се търси прилагане на тази политика, е изграждането на национален обучителен център, който да позволи осигури максимално добри възможности за обучение и сертифициране на лицата по защита на данните и администраторите на лични данни в България. Сред мерките свързани с политиката попадат и задълбочаване на взаимодействието с всички заинтересовани страни сред администраторите на лични данни, както и цялостно затвърждаване на разпознаваемостта на КЗЛД, с цел подобряване разбирането относно въпросите свързани със защитата на личните данни.
Политиката на превенция е сред най-всеобхватните и мащабни политики, които КЗЛД е избрала да прилага. Тъй като нейната цел е оказване на цялостно влияние върху сектора на защита на личните данни, тя е насочена към всички актьори в него (администратори, обработващи, физически лица, дори самата Комисия).
Политика на контрол и отчетност
Сред основните правомощия на Комисията за защита на личните данни е осъществяването на надзорна дейност по спазването на Закона за защита на личните данни. В нейните правомощия влизат извършването на проверки и налагането на административни наказания. В съзвучие с най-новите тенденции за развитие в сферата на защита на личните данни Комисията залага и на принципа на отчетността, който най-общо представлява набор от утвърдени мерки и процедури, които следва да се спазват от администраторите на лични данни, с цел постигането на прозрачност и достъпност на процеса по обработване на данни.
Регламент (ЕС) 679/2016 разширява и уеднаквява правомощията на надзорните органи по защита на личните данни във връзка с правомощията им да осъществяват надзор. Освен традиционната и вече добре развита дейност по осъществяване на контрол чрез проверки на администратори и обработващи, особено внимание при изпълнението на тази политика ще бъде обърнато на процесите по сертифициране на операциите на обработване на администраторите на лични данни, както и на въвеждането на института „длъжностно лице за защита на данните“.
Политиката на контрол и отчетност е една от основните политики, насочени към администраторите на лични данни.
Политика на партньорство
В своята дейност Комисията се стреми да изгради стабилни партньорски отношения с гражданите, бизнеса, държавните институции, неправителствения сектор и международните партньори в сферата на защита на данните. Задълбочаването на сътрудничеството със сродни органи на международно ниво, както и с всички заинтересовани страни на национално ниво, е една от основните цели на КЗЛД, която би довела до унифициране на работните процеси в сферата на защитата на личните данни (целева група- сродни органи и заинтересовани страни). Сериозни възможности за развитие на тази политика се крият в сферата на нормативното, проектното, международното взаимодействие на КЗЛД и останалите субекти, имащи отношение към защита на неприкосновеността и защитата на личните данни.
Политиката на партньорство е неразривно свързана с тенденциите за развитие в сектора за защита на личните данни. В свят на глобални заплахи и предизвикателства, осигуряването на партньорско взаимодействие е наложително. КЗЛД има изградена мрежа от партньори на национално и европейско ниво, като част от стратегията на Комисията е нейното разширяване и надграждане.
Политика на публичност и приобщаване
Защитата на личните данни и неприкосновеността на личния живот е една от модерните тенденции в защитата на правата на гражданите. Цялостното разбиране на гражданите и бизнеса за механизмите и средствата за защита на личните данни е от основно значение за постигането на успешна превенция. В съответствие с целите на Стратегията за развитие на държавната администрация 2020 КЗЛД предприема последователни мерки за създаване на условия за максимална видимост за обществото на механизмите и резултатите от функционирането на институцията. Процесът на откритост въвлича всички заинтересовани страни във взимането на важните решения свързани със защитата на личните данни.
Прилагането на политика по публичност и приобщаване е насочено най-вече към гражданите и бизнеса. Следвайки принципите на ефективност и ефикасност в разходването на бюджетни средства, КЗЛД планира да използва разнообразни канали за повишаване на осведомеността на обществото.
Политика на достъпност
Тази политика се изразява в максимално улесняване на достъпа на гражданите до административните услуги, предоставяни от КЗЛД. Тя се явява подпомагаща изпълнението на някои от основните политики на Комисията, сред които тази по контролната дейност, превенцията и партньорството. Политиката на достъпност ще спомогне за адекватното изпълнение на основните задължения на КЗЛД свързани с осигуряването защитата на физическите лица.
Политиката включва осигуряване на достъп до стандартизирани форми за комуникация и взаимодействие с институцията, ясни насоки на физическите лица относно това как те могат да упражняват правата си, както и недвусмислена и достъпна процедура по жалване, винаги на разположение за физическите лица, когато те смятат, че администраторите на лични данни не са изпълнили своите задължения. Основната част от мерките, които ще бъдат приложени в рамката на политиката, касаят прилагането на концепциите за електронно правителство и подхода на „opendata“.
Политика на мониторинг
Чрез провеждането на политика на мониторинг Комисията се стреми да окаже влияние върху регулаторната среда на национално ниво, с цел предотвратяване нарушаването на правата на физическите лица и осигуряването на адекватната им защита.
Политиката включва осъществяване на мониторинг на развитието и измененията в националната правна рамка, с цел привеждането й в съответствие с принципите на защита на личните данни (целева група – органи на държавната власт, които имат отношение към съответната част на изменящата се правна рамка) както и участие в подготовката и задължително даване на становища по проекти на закони и подзаконови нормативни актове свързани със защитата на личните данни. Проектите на нормативни актове следва да преминават през оценка на въздействието – в съответствие с Ръководство за изготвяне на оценка на въздействието от Министерския съвет.
Политиката на мониторинг е насочена към субектите участващи в нормотворческия процес в България и налага установяването на тясно сътрудничество с тях
Политика на устойчиво развитие и управление на промяната
С оглед на факта, че резкият технологичен прогрес в информационните технологии създава качествено нова среда, в която трябва да се осъществява процесът по защита на личните данни, съществува нуждата от мониторинг на тенденциите за развитие и привеждане на работния процес и функционирането на институцията в съответствие с новите промени в социалната и технологичната сфера, с цел посрещане на възникналите предизвикателства. С цел затвърждаване и надграждане на досега постигнатите резултати Комисията прилага политика на устойчиво развитие и управление на промяната.
Настоящата политика е насочена едновременно към ключови партньорства за диверсификация на финансирането на Комисията, така и към вътрешните правила за противодействие на корупционните практики и усъвършенстване на механизмите и технологиите за информиране на заинтересованите страни за дейността на КЗЛД.
5. Ресурсна осигуреност
За успешното прилагане на стратегията е нужно адекватно ресурсно обезпечаване. Тъй като Стратегията е неразривно свързана с изпълнението на функциите на КЗЛД, Комисията ще посвети в цялост наличния човешки и финансов ресурс на нейното изпълнение.
Човешки ресурси
Прилагането на стратегията е отговорност на Комисията за защита на личните данни и нейната администрация. За нейното успешно изпълнение ще допринесе целият личен състав на КЗЛД. За провеждането на начертаните политики и изпълнението на набелязаните действия ще бъдат определени конкретни административни звена, които ще трябва да ги приложат на практика.
Финансови ресурси
За изпълнението на стратегията ще се използва отпуснатият национален финансов ресурс в бюджета на Комисията, както и външно финансиране на проектен принцип.
6. План за действие и прилагане на стратегията
Стратегията ще се прилага от КЗЛД и нейната администрация, като за целта настоящият план залага конкретни действия и отговорници за изпълнение. (Приложение1). На база на стратегическите цели в настоящия документ, всяка година до 31декември, административните звена изготвят предложения за работен план за следващата календарна година. Предложенията за годишни работни планове се докладват от главния секретар на заседание на КЗЛД. При изготвянето на индивидуалните работни планове на служителите от администрацията се отчитат стратегически цели и конкретните цели, заложени в годишните работни планове на административните звена.
Екип за мониторинг на прилагане на стратегията
Мониторингът по текущото изпълнение на стратегията ще се извършват от отдел „Планиране, обучение и управление на проекти“ в дирекция „Нормативна дейност, международно сътрудничество, планиране и обучение“, под ръководството на главния секретар на КЗЛД. Всяка година до 15юни, отговорниците предоставят информация на отдел „Планиране, обучение и управление на проекти“ по текущото изпълнение на мерките и дейностите чрез посочване на конкретните индикатори, съгласно Приложение1.
Отделът под ръководството на главния секретар ще има за задача да измерва постигнатите индикатори и да следи за отклонения от стратегията, като ще се отчита пред Комисията на годишна основа (към 30ноември на текущата година). Информация за напредъка по изпълнението на Стратегията се включва в ежегодните отчети на КЗЛД за нейната дейност.
Преглед и актуализация на Стратегията
Стратегията подлежи на актуализация по предложение на мониторинговия екип, във връзка с настъпили изменения, които могат да бъдат породени от външни (изменения в държавната политика, промени в правната рамка на европейско и национално ниво) и вътрешни фактори (изменения в ресурсната осигуреност на КЗЛД, преоценка на заложените цели) до месец март всяка година.
Контролът по изпълнението на стратегията се осъществява от КЗЛД.
15.05.2017 г.
