СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-2238/ 2015 г.
гр. София, 24.03.2015 г.
ОТНОСНО: Законопроект за изменение и допълнение на Закона за електронните съобщения.
Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, наоснование чл.12 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, взе неприсъствено решение, с което прие настоящото становище.
Комисията за защита на личните данни е сезирана с писмо с вх.№П-2238/18.03.2015 год. от г-н Димитър Лазаров– Председател на Комисията за контрол над службите за сигурност, прилагането и използването на специалните разузнавателни средства и достъпа до данни по Закона за електронните съобщения (ККССПИСРСДДЗЕС) към Народното събрание на Република България, с молба за становище по приложения към писмото Закон за изменение и допълнение на Закона за електронните съобщения (ЗИДЗЕС). Законопроектът касае изменения и допълнения във връзка с обявените от Конституционния съд за противоконституционни разпоредби на чл.250а-250е, чл.251 и чл.251а от Закона за електронните съобщения.
При преглед на представения законопроект и при отчитане на мотивите на решението на Съда на Европейския съюз (ЕС) по съединени дела С-293/12 и С-594/12, с което Директива2006/24/ЕО на Европейския Парламент и на Съвета за запазване на данни, създадени или обработени във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи, и за изменение на директива2002/58/ЕО (Директива2006/24/ЕО) е обявена за невалидна и Решение №2 по конституционно дело №8/2014г. на Конституционния съд на Република България изразяваме следното становище:
1. Относно необходимост и допустимост на съхранението на трафични данни
Хартата на основните права на Европейския съюз прогласява правото на свобода и сигурност и правото на зачитане на личния и семейния живот и защитата на личните данни като две самостоятелни фундаментални права на гражданите. Държавите-членки са длъжни да гарантират в еднаква степен тяхното упражняване и защита. Едновременното им упражняване обаче може да доведе до опасност от конфликт между тях, който следва да бъде преодолян чрез законови гаранции, при спазване на принципа на пропорционалност и баланс.
Съвременните предизвикателства пред обществената сигурност и борбата с тежката престъпност изискват въвеждането на адекватни законови механизми за гарантиране ефективната защита на фундаменталните права на гражданите. Осигуряването на високо равнище на сигурност чрез мерки за предотвратяване на престъпността и за борбата с нея е признато за легитимна цел на Европейския съюз, която следва да бъде реализирана в националните законодателства на държавите-членки.
Съхраняването на данни за трафика от предприятията, предоставящи обществени електронни съобщителни услуги, за целите на националната сигурност и борбата с тежката престъпност е вид такава мярка, поради това, че тези данни са „особено важни и следователно са ценно средство за предотвратяване на престъпността и най-вече на организираната престъпност” (решение на Съда на ЕС по съединени дела С-293/12 и С-594/12). Въпреки че Съдът на ЕС обяви за невалидна Директива2006/24/ЕО, той не отрича необходимостта от въвеждането на подобни мерки. В този смисъл се произнася и българският Конституционен съд в решението си по дело №8 от 2014г., когато коментира целесъобразността и необходимостта от съществуването на подобни разпоредби.
В становище с рег.№П-3654/2014г. на Комисията за защита на личните данни, което тя изразява в качеството си на заинтересована страна по конституционно дело №8/2014г., Комисията също приема, че задържането на трафични данни не противоречи на Конституцията на Република България, но процедурите, залегнали в Закона за електронните съобщения (в частта, обявена с решение №2/2015г. на Конституционния съд за противоконституционна) не гарантират пропорционалността при ограничаване на личната неприкосновеност.
Предвид горното, считаме, че регламентирането със Закона за електронните съобщения на съхраняването на трафични данни за целите на националната сигурност и за предотвратяване, разкриване, разследване и преследване на тежки престъпления е допустимо от гледна точка на ограниченията в защитата на личните данни, още повече че и към настоящия момент съществува валидно правно основание в европейското законодателство, което позволява въвеждането на подобни мерки на национално ниво– чл.15 от Директива2002/58/ЕО относно обработката на лични данни и защитата на правото на неприкосновеност на личния живот в сектора на електронните комуникации.
Принципите, които националният законодател следва да съблюдава при въвеждането на подобни ограничения в сектора на електронните комуникации, съгласно чл.15 от Директива2002/58/ЕО, са необходимост, съотносимост и пропорционалност. Текстовете на предложения ЗИДЗЕС са съобразени с тези принципи.
2. Относно пропорционалност на предложените мерки в законопроекта
Принципът на пропорционалност означава баланс между две различни права, при което никое от двете няма превес. Този баланс може да бъде постигнат чрез въвеждането на ясни и точни правила, които в конкретния случай обхващат: целите, за които се съхраняват данните, обхвата на мерките спрямо лицата, условията за достъп до данните, срокът на съхранение на данните, задължението за унищожаване на трафичните данни и справките от тях, въвеждането на ефективен контрол върху обработването на трафични данни.
· Относно целите на съхранение на трафични данни
Предложените разпоредби в чл.250а, ал.2 от проекта на ЗИДЗЕС ясно дефинират целите, за които следва да се съхраняват трафични данни от страна на предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги. Освен че произтичат и съответстват на чл.15 от Директивата 2002/58/ЕО, тези цели обслужват и обществен интерес.
· Относно обхвата на мерките спрямо лицата
Изводът, който прави Съдът на ЕС по отношение обхвата на засегнатите от съхранението на трафични данни лица е, че със съхраняването на тези данни на практика се засягат правата на всички лица, използващи електронни съобщителни средства, както и за всички данни за трафик, без да се въвежда никакво разграничение, ограничение и изключение с оглед целта на обработването. По отношение на отменените национални разпоредби Конституционният съд на Република България достига до същите изводи, но признава, че „практически не съществува друг способ”, който да преодолее този дисбаланс.
Считаме, че посочените притеснения до известна степен са преодолени чрез въвеждането в ЗИДЗЕС на конкретни правила по отношение на процедурата за достъп до трафични данни.
· Относно условията за достъп до данните
Въвеждането на единен режим за достъп до трафични данни от всички оправомощени органи, а именно след мотивирано разпореждане на съд, независимо дали се касае за органи по чл.250б, ал.1 от законопроекта или за органи на досъдебното производство, съгласно предложението за нов чл.159а от НПК, привежда предложените правила в съответствие с чл.34, ал.2 от Конституцията на Република България. Изискването за мотивиране на достъпа до трафични данни по отношение на необходимостта и конкретните факти и обстоятелства, които го налагат, както и задължението на съда също да мотивира своето разрешение, са съществена гаранция за недопускане на възможни злоупотреби от отделни органи спрямо личната неприкосновеност на гражданите.
· Относно срока на съхранение на данните
Намаленият срок на съхранение на трафични данни от 1 година на 6 месеца с проекта на ЗИДЗЕС кореспондира с изводите, които КЗЛД прави с доклада си до Народното събрание от 2014г. с обобщена статистическа информация по чл.261а, ал.5 от ЗЕС за наличие на прекомерност в срока на задържане на данни.Въз основа на получената статистическа информация от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, комисията е констатирала, чеоптимално необходимата възраст на данните, е по правило 3 (три) месеца и е направила препоръка за бъдещи законодателни промени в тази връзка.
· Относно задължението за унищожаване на трафичните данни и справките от тях
Проектът на ЗИДЗЕС отчита изискването в областта на защитата на личните данни същите да бъдат унищожени след постигане на целта, за която са били събрани. В случая се въвежда задължение за предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, да унищожават данните след изтичането на 6-месечния срок на съхранение, за което да представят доказателства пред КЗЛД. Това е една допълнителна гаранция, че обработването на данните ще бъде извършвано по законосъобразен начин.
По аналогичен начин е уредено задължението на органите, получили достъп до трафични данни, да унищожават издадените справки, които не са използвани при образуване на досъдебно производство. Гаранциите се състоят в намаляване на срока от 6 месеца на 3 месеца и предоставяне на доказателства за това обстоятелство пред съответния съд, издал разпореждането за достъп.
Въведените нови разпоредби са в съответствие с правилото за обработване на данни за минимално необходимия период от време.
По отношение на сроковете за съхранение по чл.250а, ал.4 (продължаване на срока за съхранение за максимум 6 месеца, след като е осъществен достъп до данните) следва да се отбележи, че в проекта на ЗИДЗЕС не е отчетено съображението на Конституционния съд за необходимост от упражняване на контрол от съд или друг независим орган за продължаване на съхранението. Считаме, че в тази хипотеза следва да бъде запазен подходът за разрешение от съда, издал първоначалното разпореждане, като това следва да става по правилата в чл.250б, ал.2, а именно: мотивирано писмено искане, респ. мотивирано писмено разпореждане.
· Относно ефективен контрол върху обработването на трафични данни
Съществен елемент от ефективния контрол върху обработването на трафични данни е въвеждането на изискване предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, ежемесечно да предоставят на КЗЛД доказателства относно унищожаването на данните след изтичане на сроковете за съхранение.
Задължението за служебно уведомяване на гражданите, когато спрямо тях са били съхранявани, обработвани или предоставени неправомерно трафични данни, е важна гаранция за ефективен контрол върху обработването на трафични данни. В предложения проект на ЗИДЗЕС (чл. 250е, ал.1) това задължение е вменено на КЗЛД. Обръщаме внимание обаче, че аналогичен текст съществува в сега действащата разпоредба на чл.261б, ал.5 и ал.6 от ЗЕС, като задължение на Комисия към Народното събрание. В случай, че редакциите на двата текста не бъдат синхронизирани, на практика правомощията на КЗЛД и съответната парламентарна комисия ще се припокриват, което може да доведе до противоречиви резултати.
В заключение, бихме искали да обърнем внимание на възможността, до която прибягват повечето европейски предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги, да съхраняват трафични данни на сървъри, които са извън територията на ЕС и Европейското икономическо пространство. Това създава обективни пречки за упражняване на ефективен контрол от съответните национални органи за защита на данните и е предпоставка за недостатъчни гаранции за законосъобразното и добросъвестно обработване. Във връзка с това препоръчваме, след окончателното приемане на европейския регламент за защита на личните данни, чиято дискусия е на финален етап, този въпрос да бъде дискутиран с всички заинтересовани страни преди предприемане на конкретни законодателни мерки на национално ниво.
С оглед на гореизложеното, Комисията за защита на личните данни съгласува предложения проектна Закон за изменение и допълнение на Закона за електронните съобщения със следната забележка:
Ако се запази възприетият от вносителя подход за служебно уведомяване, от страна на Комисията за защита на личните данни, на гражданите за неправомерно съхраняване, обработване или предоставяне на трафични данни, предлагаме текстовете на чл.261б ал.5 и ал.6 от Закона за електронните съобщения да бъдат заличени.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венцислав Караджов /п/ |
Цанко Цолов /п/ |