В Комисията за защита на личните данни (КЗЛД) постъпиха въпроси във връзка със започнала процедура по събиране на подписи за национален референдум. Предвид високата обществена значимост на въпросите, свързани със законосъобразното обработване на лични данни на гражданите при събирането на данни за подписка с цел произвеждане на референдум, същите бяха разгледани на редовно заседание на КЗЛД, проведено на 25.01.2023г.
Въз основа на направения анализ на законодателството, могат да бъдат изведени следните принципни положения:
Законът за пряко участие на гражданите в държавната власт и местното самоуправление (ЗПУГДВМС) е нормативният акт, уреждащ условията, организацията и реда за пряко участие на гражданите на Република България при осъществяване на държавната и местната власт. С него се въвеждат и мерките за изпълнение на Регламент(ЕС) 2019/788 на Европейския парламент и на Съвета от 17 април 2019г. относно европейската гражданска инициатива.
Европейската гражданска инициатива допринася за укрепването на демократичното функциониране на Европейския съюз чрез участието на гражданите в неговия демократичен и политически живот. На национално ниво това се изразява чрез възможността за пряко участие на гражданите в референдуми и граждански инициативи. Прякото участие на гражданите в процеса по вземане на решения за управлението е задача, която се изпълнява в обществен интерес. Според ЗПУГДВМС, прякото участие на гражданите се осъществява при съблюдаване на следните принципи:
1. свободно изразяване на волята;
2. общо, равно и пряко участие с тайно гласуване;
3. равен достъп до информация по поставения за решаване въпрос;
4. еднакви условия за представяне на различните становища.
Съгласно чл.12 от ЗПУГДВМС предложението за произвеждане на национален референдум от граждани, се организира чрез подписка от инициативен комитет на граждани, състоящ се от 5 до 15 членове. Инициативният комитет организира и координира подписката, като:
1. подготвя бланките, върху които се събират подписите;
2. след съгласуване с кмета на общината определя общодостъпни места, където ще се събират подписите;
3. уведомява писмено председателя на Народното събрание за започването на подписката за референдум и за поставения за гласуване на референдума въпрос;
4. комплектова необходимите документи и внася подписката в Народното събрание.
Бланката, на която се събират подписите, трябва да съдържа на всяка страница искането с въпроса или въпросите за референдума. Всяка бланка е с пореден номер.
Гражданин, който иска да подкрепи предложението, вписва в бланката:
1. трите си имена;
2. единния граждански номер (ЕГН);
3. постоянния адрес;
4. подпис.
На отделен ред в бланката се отбелязва, че личните данни няма да се използват за други цели, освен за референдума. В графа „забележки” се вписват и данните на придружителя, ако лицето е с физически или зрителни увреждания и има нужда от помощ при изразяване на волята си.
Всеки гражданин може да положи подписа си еднократно в подписката, организирана по реда на този закон, включително и на място, различно от посоченото в неговия постоянен адрес.
Подписката на инициативния комитет на гражданите трябва да съдържа:
1. предложението за произвеждане на референдум с формулиране на въпроса за гласуване, трите имена, ЕГН, постоянния адрес и подписите на членовете на инициативния комитет и адрес за контакт с инициативния комитет;
2. мотивите на предложението;
3. бланките със събраните подписи на граждани.
Събирането на данни в подписката за целите на произвеждане на национален референдум по чл.12 от ЗПУГДВМС, представлява операция по обработване на лични данни по смисъла на чл.4, т.2) от Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД). За да е законосъобразно обработването на лични данни, същото следва да отговаря на някое от условията за допустимост, посочени в чл.6, пар.1 и/или чл.9, пар.2 от ОРЗД. Същевременно трябва да са изпълнени и принципите, прогласени в чл.5 от ОРЗД.
Следва да се има предвид, че обработването на лични данни в изборния процес попада в обхвата на законодателството за защита на лични данни (вж. дело С-306/21 на Съда на Европейския съюз).
Доколкото прякото участие на гражданите в процесите по вземане на решение за управлението представлява задача от обществен интерес, регламентирана със закон (Регламент(ЕС) 2019/788 и ЗПУГДВМС), съгласието за обработване на лични данни не може да представлява валидно правно основание за администратора – инициативния комитет при събирането на данни за подписката. В конкретния случай, редът и условията за събирането на лични данни за нуждите на подписката са нормативно установени и не зависят от свободната воля на субекта на данни. По тези съображения, основанието за обработване на лични данни от инициативния комитет за произвеждането на референдум е изпълнението на задача от обществен интерес в хипотезата на чл.6, пар.1, б.д), пр. 1 във връзка с чл.6, пар.2 и пар.3 от Регламент(ЕС) 2016/679. Следователно събирането на данните за подписката е също необходимо за изпълнението на задача в обществен интерес, която произтича от ЗПУГДВМС.
Свободата за изразяване на гражданска позиция за подкрепа на референдум не може да бъде приравнена на съгласието, което Общият регламент за защита на данните въвежда като едно от правните основания за обработване на лични данни. По дефиниция съгласието е свързано с осъществяването на контрол от субекта на данни върху обработването на личните му данни. При валидно съгласие субектът на данни трябва да може да го оттегля ефективно, както и да бъде предпоставка за упражняване на свързаните с него права, като напр. правото на изтриване или коригиране на данните. В случая такъв контрол от субекта на данни не може да бъде упражняван, тъй като е приложим принципът на публичното право, според който „разрешено е само това, което е изрично предвидено в закона”.
Въпреки че редът и условията за събиране на лични данни за целите на подписката са законово установени, участието на гражданите в подписката следва да е доброволно, т.е. лицето, което желае да участва в подписката свободно изразява волята си.
Ролята на инициативния комитет по чл.12, ал.2 от ЗПУГДВМС по отношение на обработването на лични данни, е да създаде правила и въведе ред личните данни да се обработват при спазване на основните принципи, предвидени в ОРЗД: данните да са точни (така както са посочени в личната карта на лицето) и обработени добросъвестно– след като лицето е уведомено за целта на подписката и факта, че следва да попълни данните си, съгласно одобрения образец и да се подпише саморъчно. Добросъвестното обработване на лични данни изисква от членовете на инициативния комитет и оторизираните от него представители, да уведомят желаещите да се включат в подписката, че тези от тях които не присъстват лично и откажат възможността да бъде проверена попълнената от тях информация, ще отпаднат от списъка на желаещите да инициират конкретния референдум. Това задължение произлиза от принципа, че за да изрази свободно волята си, лицето следва да е наясно както с целта, така и с условията, при които дава своята подкрепа за поставения въпрос.
Гражданите, които не са членове на инициативния комитет, но са оторизирани от него и събират данни за подписката, не могат да бъдат определени като администратори на лични данни, поради факта, че не определят целите и средствата за обработването. Тези граждани имат качеството на лица, действащи под ръководството на администратора, имат достъп до личните данни и ги обработват само по указание на администратора (арг. чл.29 от ОРЗД). По аргумент от чл.12, ал. 2 от ЗПУГДВМС1, администратор на лични данни е самият инициативен комитет, тъй като по силата на закона той е отговорен за организирането и координирането на подписката. В този смисъл отговорността за законосъобразното обработване на данни е на инициативния комитет и неговите членове.
Това обаче не означава, че лицата, които на практика събират данни за подписката, нямат ангажименти по отношение на защитата на личните данни, които събират за нуждите на подписката за референдум. Напротив, по общо правило, всеки администратор е длъжен да предприеме подходящи технически и организационни мерки за защита на личните данни, като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Чрез въведените мерки, администраторът следва да е в състояние да докаже, че обработването се извършва в съответствие със законодателството за защита на личните данните (ОРЗД и ЗЗЛД). Тези задължения са отговорност на администратора, а лицата, които събират или по друг начин обработват данните под негово ръководство, следва да бъдат обвързани с тях и да ги изпълняват съобразно дадените от него указания и въведените вътрешни правила и процедури.
По отношение на въпроса за упълномощаване на лицата, събиращи подписи за референдум:
ЗПУГДВМС не въвежда изискване за инициативните комитети да упълномощават лицата, събиращи подписи за референдум. Въпреки това обаче законът посочва, че за всички неуредени въпроси относно произвеждането на национален и местен референдум се прилагат съответните разпоредби на Изборния кодекс (§2 от Преходните и заключителни разпоредби на ЗПУГДВМС).
Субсидиарното приложение на Изборния кодекс обаче налага извода, че лицата, които не са членове на инициативния комитет и имат желание да събират данни за подписката, следва да бъдат упълномощени за тази цел от инициативния комитет, който по силата на закона организира и координира подписката. В случай че неупълномощени от инициативния комитет граждани събират лични данни за нуждите на подписката, същите ще се явяват администратори на лични данни, обработващи ги без правно основание. Това обстоятелство е предпоставка за ангажирането на тяхната административнонаказателна отговорност, произтичаща от Регламент(ЕС) 2016/679 и Закона за защита на личните данни.
В обобщение, основанието за обработване на лични данни от инициативния комитет за целите на произвеждането на референдум, е изпълнението на задача от обществен интерес, регламентирана в ЗПУГДВМС, в съответствие с хипотезата на чл.6, пар.1, б.д), пр.1 във вр. с пар.2 и 3 от Регламент(ЕС) 2016/679. Тъй като събираните данни биха могли допълнително да разкрият или да направят връзка със специални категории данни, приложение може да намери и хипотезата на чл.9, пар.2, б.ж) от Регламент(ЕС) 2016/679. В този смисъл съгласието на субектите на данни за обработване на личните им данни не е приложимо.
Гражданите, които не са членове на инициативния комитет, имат желание да събират данни за подписката, но не са упълномощени от него, се явяват администратори на лични данни, обработващи ги без правно основание.
Отговорността за спазване на законодателството за защита на личните данни е на инициативния комитет, в качеството му на администратор на лични данни, а лицата, които събират или по друг начин обработват данните под негово ръководство, следва да бъдат обвързани с въведените от него технически и организационни мерки и да ги изпълняват съобразно дадените указания и приетите вътрешни правила и процедури. За да докажат представителната си власт, гражданите, събиращи подписи трябва да бъдат изрично упълномощени.
Водена от горното КЗЛД счита, че:
• Гражданите, които не са членове на инициативния комитет и имат желание да събират данни за подписката по ЗПУГДВМС, следва да бъдат упълномощени за тази цел от инициативния комитет, който по силата на закона организира и координира подписката. В случай че неупълномощени от инициативния комитет граждани събират лични данни за нуждите на подписка, същите се явяват администратори на лични данни, обработващи ги без правно основание. Това обстоятелство е предпоставка за ангажирането на тяхната административнонаказателна отговорност, произтичаща от Регламент(ЕС) 2016/679 и Закона за защита на личните данни.
• За нуждите на постигането на принципа за отчетност по смисъла на чл.5, пар.2 от Регламент(ЕС) 2016/679 администраторът на лични данни носи отговорност и следва да е в състояние да докаже спазването на всички принципи, прогласени със същата разпоредба. Законодателството за защита на данните не определя нито минимум, нито максимум на необходимите документи. Администраторът е длъжен да предприеме подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни, като същите бъдат обективирани в съответните политики, правила, процедури и пр. за обработване на лични данни.
• Съгласието не е приложимо основание за обработване на личните данни, събирани за целите на подписката за референдум.
• Събирането на лични данни се основава единствено на свободната воля на гражданите и тяхното желание за доброволно участие в подписката за референдум.
_________
1 Инициативният комитет организира и координира подписката.
