СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № ПНМД-01-102/2023 г.
гр. София, 31.01.2024 г.
ОТНОСНО: Националната информационна система (НИС) на ДАЗД и достъпа на Агенцията до лични данни в нея
Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 31.01.2024 г., разгледа писмо с вх. № ПНМД-01-102/06.11.2023 г. от председателя на Държавната агенция за закрила на детето (ДАЗД). В писмото се посочва, че в съответствие с разпоредбите, посочени в чл. 17а, ал. 1, т. 9 от Закона за закрила на детето (ЗЗДт) и последвалите изменения, реализирани чрез Постановление № 84 от 31 май 2023 г. за изменение и допълнение на Правилника за прилагане на 33Дт, ДАЗД започва създаването на Национална информационна система (НИС) по проект № BG05SFPR002-2.004-0001 „Ефективни политики за всички деца“ и процедура на директно предоставяне BG05SFPR002-2.004 „Изграждане на капацитет на системите за закрила на детето“. Съгласно действащата нормативна уредба, системата следва да съдържа данни за: децата в риск; децата с изявени дарби; от регистрите, водени от регионалните дирекции за социално подпомагане към Агенцията за социално подпомагане (АСП) по реда на Семейния кодекс; юридически лица с нестопанска цел, работещи по програми за детето; децата, необхванати от училище и други данни от значение за закрила на детето.
От ДАЗД споделят, че в рамките на техните усилия за създаване на Национална информационна система (НИС) са изправени пред същественото предизвикателство на дублирането на данни. Това не само натоварва инфраструктурата им с излишна информация, но и поражда опасения относно ефективността и ефикасността на мерките за закрила на детето. Същността на това предизвикателство се крие в множеството данни, които се въвеждат от различни органи за закрила на детето, което може да доведе до неефективност и до възможност за противоречива информация.
ДАЗД заявява, че като администратор на лични данни съгласно Общия регламент относно защитата на данните (ОРЗД) и съответните национални закони, носи значителна отговорност за управлението на личните данни. Именно в рамките на това си качество ДАЗД се застъпва за практическото прилагане на принципа „само веднъж“. Този принцип не е просто въпрос на намаляване на административната тежест, той е решаващ фактор за гарантиране на точността и надеждността на данните, които са ключови елементи на ефективната политика и мерки в областта на закрилата на детето.
Чрез рационализиране на достъпа до данни и премахване на дублиращите се усилия за събиране на данни, от ДАЗД се стремят да спазват ангажимента си към разпоредбите на ОРЗД относно минимизирането на данните и ограничаването на техния обхват и цел. Този подход им позволява да обработват само данните, необходими за техните законово утвърдени цели, като по този начин повишават защитата на личните данни и укрепват доверието в техните практики за управление на данните.
НИС е замислена като новаторски технологичен инструмент, създаден с цел да регистрира и анализира различни явления, рискове и тенденции, свързани с живота и благосъстоянието на децата, като по този начин служи за основен стълб в процеса на формулиране, разработване и адаптиране на политики, насочени към децата и техните семейства. Основната цел, която стои зад създаването на НИС, е да се подобрят системите за събиране на данни във всички области, касаещи децата в Република България, да се улесни обменът на данни и показатели между компетентните министерства и отговорните институции, посочени в чл. 6 от 33Дт, и да се осигури формулирането, наблюдението, оценката и ефективното прилагане на системата за закрила на детето, като по този начин се допринесе за качествения ѝ напредък и развитие.
В този контекст и предвид ролята на администратор на лични данни, особено на данни, свързани с деца, от ДАЗД се обръщат към КЗЛД с молба за предоставяне на официалното експертно становище относно няколко ключови аспекта, свързани с успешното и качествено разработване на НИС:
-
- Разяснения относно достъпността на данните: По отношение на НИС от ДАЗД търсят информация за потенциалните пречки пред достъпа до информация от други институции, определени като органи за закрила на детето в чл. 6 от 33Дт – включително дирекциите за социално подпомагане и различни министерски структури.
- Споразумения за обмен на данни: В момента са създадени множество междуинституционални работни групи с цел сключване на споразумения по чл. 65, ал. 4 от 33Дет, отнасящи се до обмена на данни с други заинтересовани структури, като се има предвид определения краен срок – 01.12.2023 г., съгласно Параграф 25 от преходните и заключителните разпоредби на Постановление № 84 на Министерски съвет. В тази връзка вече е сключено споразумение с Държавната агенция за бежанците (ДАБ) и се провеждат множеството работни диалози с останалите институции, органи за закрила на детето.
- Обосновка на достъпа до данни: В стремежа да се гарантира цялостната ефикасност и приложимост на НИС, достъпът до определените подмножества от данни от гореспоменатите структури е необходим. Данните ще послужат за идентифициране на съществуващи и нововъзникващи модели, рискове и тенденции, свързани с живота на децата, като по този начин ще улеснят разработването и усъвършенстването на информирана политика. Чрез НИС се предвижда значително подобряване на състоянието на системата за закрилата на детето в Република България, като политиките и инициативите се обвържат с надеждни, точни и навременни данни. ДАЗД има за цел отговорно да използва тези данни, за да засили ефективността на националната система за закрила на детето, поддържайки най-високите стандарти за защита и гарантира, че всички използвани данни се управляват с най-голямо съображение към неприкосновеността на личния живот и спазването на закона.
В този контекст от ДАЗД се обръщат към КЗЛД с молба за представяне на експертно становище по въпроса за управлението на данните, по-специално относно улесняването на обмена на данни между ДАЗД и институциите, очертани в чл. 6 от 33Дт. В писмото се подчертава, че като администратор на лични данни, особено на данни, отнасящи се до деца, ДАЗД се придържа стриктно към етичните, правните и процедурните норми. Въпреки това, функционалната ефективност на НИС зависи от прозрачния и безпроблемен достъп до съответните данни от други органи за закрила на детето.
Във връзка с искането и с цел изясняване на фактите и обстоятелствата при обработването на лични данни на деца в НИС на 16 януари 2024 г. се проведе среща на експертно ниво между двете ведомства, на която се обсъдиха практическите предизвикателства при изграждането и функционирането на системата.
Правен анализ:
Със Закона за закрила на детето (ЗЗДт) се уреждат правата, принципите и мерките за закрила на детето, органите на държавата и общините и тяхното взаимодействие при осъществяване на дейностите по закрила на детето, както и участието на юридически лица и физически лица в такива дейности. Държавата защитава и гарантира основните права на детето във всички сфери на обществения живот за всички групи деца съобразно възрастта, социалния статус, физическото, здравословно и психическо състояние, като осигурява на всички подходяща икономическа, социална и културна среда, образование, свобода на възгледите и сигурност.
Специализиран орган на Министерския съвет за ръководство, координиране и контрол в областта на закрилата на детето е председателят на Държавната агенция за закрила на детето (ДАЗД) (чл. 17, ал. 1 от ЗЗДт). Тъй като закрилата на детето е всеобхватна държавна политика, освен ДАЗД, с нея са ангажирани и други държавни органи, посочени в чл. 6 от ЗЗДт, а именно – дирекции „Социално подпомагане“, министърът на труда и социалната политика, министърът на вътрешните работи, министърът на образованието и науката, министърът на правосъдието, министърът на външните работи, министърът на културата, министърът на здравеопазването и кметовете на общини.
Тези органи разработват и участват в провеждането на държавната политика в областта на закрилата на детето, разработват и участват в изпълнението и отчитането на Националната стратегия за детето и Националната програма за закрила на детето, както и съвместно с председателя на ДАЗД разработват координационен механизъм за взаимодействие в съответствие с компетентностите си в областта на закрилата на детето за осигуряване на ефективна система за превенция и контрол по спазване правата на децата. Като елемент от това взаимодействие следва да се резглежда и създаването и администрирането на НИС, отчитайки в това отношение водещата роля на председателя на ДАЗД. С чл. 6а, ал. 4 от ЗЗДт се уреждат изчерпателно съответните задачи и правомощия на тези органи, като ясно очертават мястото им в рамките на системата за закрила на детето.
Съгласно чл. 17а, ал. 1, т. 9 от ЗЗДт председателят на ДАЗД има правомощие да създаде и поддържа национална информационна система (НИС), чието функциониране е предвидено да се урежда с правилника за прилагане на ЗЗДт. В съответствие със закона НИС трябва да съдържа данни:
а) за децата в риск;
б) за децата с изявени дарби;
в) от Националната електронна информационна система за пълно осиновяване по чл. 83, ал. 1 от Семейния кодекс;
г) (отм. – ДВ, бр. 24 от 2019 г., в сила от 01.07.2020 г., изм. относно влизането в сила – ДВ, бр. 101 от 2019 г.)
д) за юридически лица с нестопанска цел, работещи по програми за детето;
е) за децата, необхванати от училище;
ж) (отм. – ДВ, бр. 24 от 2019 г., в сила от 01.07.2020 г., изм. относно влизането в сила – ДВ, бр. 101 от 2019 г.)
з) други данни от значение за закрила на детето.
По дефиниция НИС е интегрирана информационна инфраструктура, която се състои от функционални и системни модули, интеграции и бази данни (арг. чл. 65, ал. 1 от Правилника за прилагане на ЗЗДт). Функционалността на НИС трябва да осигурява данни за разработване, наблюдение, анализ и контрол на изпълнението на национални и регионални програми за закрила на детето чрез събиране, обработка и съхранение на информацията, която законът повелява да се обработва чрез системата.
Съгласно чл. 65, ал. 3 от Правилника за прилагане на ЗЗДт за целите на функционирането на НИС органите по закрила на детето по чл. 6, т. 2 и 3 от ЗЗДт трябва да предоставят на ДАЗД данни, съдържащи се в информационните им системи, бази от данни и/или регистри в съответствие с изискванията за защита на личните данни. Обхватът на обмена на предоставяните данни и начинът им на обмен се определят със споразумения, сключени между председателя на ДАЗД и останалите органи по закрила на детето, включително тези по чл. 7, ал. 5 от ЗЗДт. С чл. 65, ал. 6 от Правилника за прилагане на ЗЗДт се въвежда задължение за всички органи, които обработват данни необходими за целите на НИС, да ги предоставят в актуално състояние с цел ефективното изпълнение на държавната политика за закрила на детето. Изпълнението ѝ е поверено на горепосочените органи, които следва да осъществяват своите правомощия съвместно с председателя на ДАЗД, в рамките на координирано взаимодействие помежду им, включително и чрез предоставянето на вътрешноадминистративни услуги.
Разпоредбата на чл. 66 от Правилника за прилагане на ЗЗДт предвижда, че НИС може да осигурява обмен на информация с други регистри и бази данни чрез средствата на системната интеграция или чрез ресурсите, осигурявани от Министерството на електронното управление. Системата може да осигурява и интеграция с други информационни системи, поддържани от Министерството на електронното управление, с информационни системи на органите по чл. 6, т. 2 и 3 от Закона за закрила на детето, както и с други органи, когато закон предвижда това в съответствие с изискванията за защита на личните данни. Интеграцията и обменът на информация се реализират по начин, който осигурява актуални и достоверни данни по чл. 17, ал. 1, т. 9 от ЗЗДт от системите, регистрите и базите данни, необходими за реализиране и анализиране на програмите за закрила на детето.
Съгласно чл. 67 от Правилника за прилагане на ЗЗДт на национално ниво председателят на ДАЗД ръководи и координира функционирането на НИС. Председателят на ДАЗД определя със заповед длъжностните лица от агенцията, които отговарят за правилното функциониране и поддържане на НИС и лица от агенцията, които имат право на достъп до системата. Компонентите на НИС оперират в Държавния хибриден частен облак, поддържан от Министерството на електронното управление.
С оглед повдигнатите въпроси относно риска от дублиране на информация по случаите на деца, подавана до/от различни институции/органи за закрила, следва да се вземе предвид, че единният граждански номер (ЕГН) е официалният административен идентификатор на подлежащите на регистрация физически лица съгласно Закона за гражданската регистрация (ЗГР). Същата функция има и личният номер на чужденец (ЛНЧ)1. Чрез тези идентификатори физическите лица се определят еднозначно както в гражданския и търговския оборот, така и в административните производства. Интеграцията с НИС на различните информационни системи, поддържани от органите по закрила на детето, следва да се осъществява именно на базата на ЕГН/ЛНЧ. Този подход осигурява пълнота на данните, отнасящи се към едно дете, проследимост и отчетност на преписките, водени от различните органи по закрила, както и способства за поддържането на актуални и достоверни данни, като се изключва рискът от дублиране.
От друга страна обаче, трябва да се отбележи и изискването на чл. 25ж, ал. 2 от Закона за защита на личните данни (ЗЗЛД), според който администраторите, предоставящи услуги по електронен път (за външни потребители), предприемат подходящи технически и организационни мерки, които не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга.
В изпълнение на задълженията си по Правилника за прилагане на ЗЗДт чрез предвидените в него споразумения за обмен на данни органите за закрила трябва да предоставят на ДАЗД данни, съдържащи се в информационните им системи, бази от данни и/или регистри. За да се изпълнят целите на ЗЗДт всеки от органите по закрила трябва да осигури предоставянето на поддържаната от него информация, включително личните данни, необходими за функционирането на НИС. Предоставянето на конкретен набор от данни следва да е обусловено от компетентността и правомощията по закрила на детето на всеки от органите, ангажирани с тази дейност, като се отчитат и действително събраните, налични и относими данни.
По тези съображения и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
В изпълнение на задълженията си по Закона за закрила на детето (ЗЗДт) и Правилника за неговото прилагане, чрез предвидените в него споразумения за обмен на данни, органите за закрила трябва да предоставят на ДАЗД данни, съдържащи се в информационните им системи, бази от данни и/или регистри. За да се изпълнят целите на ЗЗДт, всеки от органите по закрила трябва да осигури предоставянето на поддържаната от него информация, включително личните данни, необходими за функционирането на НИС. Предоставянето на конкретен набор от данни следва да е обусловено от компетентността и правомощията по закрила на детето на всеки от органите, ангажирани с тази дейност, като се отчитат и действително събраните, налични и относими данни.
Споразуменията за обмен на данни между ДАЗД и всеки от другите органи по закрила на детето трябва да определят по прозрачен начин съответните отговорности при предоставянето на лични данни, по-специално що се отнася до упражняването на правата на субектите на данни и съответните им задължения за предоставяне на информацията, посочена в чл. 12, чл. 13 и чл. 14 от Регламент (ЕС) 2016/679.
Съгласно чл. 67, ал. 3 от Правилника за прилагане на ЗЗДт право на достъп до НИС имат единствено длъжностни лица от ДАЗД, определени със заповед от председателя ѝ. Поради това, НИС се администрира от ДАЗД, а останалите органи по закрила на децата, които предоставят данни в системата, могат да имат достъп единствено до данните, относими към случаите, по които работят. Ако е налице необходимост за разширяването на този достъп, това може да се реализира единствено чрез нормативна промяна.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
____________________
[1] Чл. 16, ал. 4 от Закона за българските лични документи: Личният номер за чужденец (ЛНЧ) идентифицира еднозначно продължително, постоянно и дългосрочно пребиваващите чужденци в Република България, както и военнослужещите и членовете на цивилния компонент на структура на НАТО, разположена в Република България, и техните зависими лица. Начинът на неговото формиране се определя от Министерския съвет.
