СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № ПНМД-01-92/2023 г.
гр. София, 13.11.2023 г.
ОТНОСНО: Ред за унищожаване на регистрационни карти на чужденци с предоставена временна закрила, издадени от Държавната агенция за бежанците при Министерския съвет
Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 08.11.2023 г., разгледа писмо с рег. № ПНМД-01-92/19.10.2023 г. от председателя на Държавната агенция за бежанците при Министерския съвет (ДАБ при МС). В него се посочва, че на територията на Европейския съюз е въведена временна закрила с Решение за изпълнение (ЕС) 2022/382 на Съвета от 4 март 2022 година за установяване на съществуването на масово навлизане на разселени лица от Украйна по смисъла на член 5 от Директива 2001/55/ЕО и за въвеждане на временна закрила. Въз основа на посоченото решение и в съответствие с чл. 2, ал. 2 от Закона за убежището и бежанците (ЗУБ), с Решение № 144 от 10 март 22 г. на Министерския съвет, временна закрила в Република България се предоставя на разселените лица от Украйна, считано от 24.02.2022 г. Към настоящия момент срокът на действие на временната закрила в Република България е до 04.03.2024 г.
Съгласно Националния план за действие при временна закрила в Република България отговорностите на ДАБ при МС са свързани с изпълняване на функции по организиране на процесите по предоставяне на временна закрила.
На основание чл. 41, ал. 1 от ЗУБ ДАБ при МС издава регистрационна карта на чужденец, на когото е предоставена временна закрила за срока на действие на закрилата. Образецът на регистрационна карта на чужденец, на когото е предоставена временна закрила, е утвърден с Решение № 96 от 1 февруари 2023 г. за изменение на Решение № 642 на Министерския съвет от 2016 г. за утвърждаване на образци на регистрационни карти, които се издават от ДАБ при МС, изменено с Решение № 242 на Министерския съвет от 2022 г. Регистрационните карти, издавани от ДАБ при МС, не са документ за самоличност по смисъла на Закона за българските личните документи.
Регистрационните карти се издават в един екземпляр и съдържат следните данни – ЛНЧ; имена; дата и място на раждане; пол; гражданство; настоящ адрес; № на национален документ за самоличност; снимка и подпис на лицето; име, дата на раждане и ЛНЧ на придружаващи деца под 14-годишна възраст; дата на издаване и дата на валидност на регистрационната карта. Към настоящия момент всички регистрационни карти са със срок на валидност 04.03.2024 г.
Във връзка с необходимостта от създаване на организация за унищожаване на издадените регистрационни карти, чийто срок на валидност предстои да изтече и с оглед спазване разпоредбите на Регламент (ЕС) 2016/679 и Закона за защита на личните данни, от ДАБ молят за становище по следните въпроси:
1. Какъв е редът, по който следва да се осъществи физическото унищожаване на регистрационните карти след изтичане на срока им на валидност; след отпадане на основанието, поради което същите са издадени или след обявяването им за невалидни в Автоматизираната информационна система (АИС) поради технологични причини?
2. В какъв срок след изтичане на срока на валидност на регистрационните карти и обявяването им за невалидни в АИС – „Бежанци”, същите следва да бъдат физически унищожени?
Правен анализ:
Унищожаването на лични данни е една от операциите по тяхното обработване и традиционно се свързва с края на техния „жизнен цикъл” (арг. чл. 4, т. 2 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД)). Понятието „унищожаване” е легално дефинирано в § 1, т. 19 от Допълнителните разпоредби на Закона за защита на личните данни, според който то представлява необратимо физическо разрушаване на материалния носител на информацията, представляваща лични данни.
По общо правило администраторът пристъпва към това действие, когато е изтекъл срокът за тяхното съхранение. Съгласно принципа за „ограничение на съхранението”, прогласен в чл. 5, пар. 1, б. „д” от ОРЗД, личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват. Личните данни могат да се съхраняват и за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно условията на чл. 89, пар. 1 от ОРЗД, при условие че бъдат приложени подходящи технически и организационни мерки, с цел да бъдат гарантирани правата и свободите на субекта на данните.
Видно от разпоредбите на Закона за убежището и бежанците (ЗУБ) липсва нормативен ред, по който да се съхраняват и унищожават върнатите от бежанците техни регистрационни карти поради изтичане на срока им на валидност.
Решение за изпълнение (ЕС) 2022/382 на Съвета от 4 март 2022 година за установяване на съществуването на масово навлизане на разселени лица от Украйна по смисъла на член 5 от Директива 2001/55/ЕО и за въвеждане на временна закрила също не предвижда такива правила, но в съображение 19 от същото се посочва, че когато предоставят временна защита, държавите членки следва да гарантират, че при обработването на лични данни на лицата, ползващи се с временна закрила, се спазват изискванията, установени в достиженията на правото на Съюза в областта на защитата на данните, по-специално в Регламент (ЕС) 2016/679.
Доколкото липсват специални нормативни правила в това отношение, администраторът – ДАБ при МС, следва да приложи общите правила на ОРЗД за унищожаване на личните данни, съдържащи се във върнатите регистрационни карти на бежанците. За тази цел той трябва да въведе подходящи технически и организационни мерки, които да отчитат естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица (арг. чл. 24 от ОРЗД). Тези мерки трябва да включват вътрешни правила и процедури, чрез които да се регламентират фактическите и правните действия по унищожаване на регистрационните карти на бежанците.
Чрез нарочен акт (напр. заповед на председателя на ДАБ при МС) следва да се определят ангажираните с тази дейност длъжностни лица, сроковете, последователността от действия, както и надлежно документиране, с цел отчетност и пълна проследимост, на дейностите по унищожаване на всяка регистрационна карта. С оглед на това добра практика е унищожаването да се документира от специално определена за тази цел комисия, която да протоколира предприетите от нея действия. Доколкото в специалното законодателство не е предвиден и срок за съхранението и последващото унищожаване на върнатите от бежанците регистрационни карти, ДАБ при МС следва да определи такъв, като той трябва да е пропорционален, адекватен и подходящ. Разбира се, този срок трябва да отчита и въведената организация на работа по тяхното унищожение, за да бъде ефективен и реално изпълним.
От гледна точка на законодателството за защита на личните данни няма пречка унищожаването на регистрационните карти да се осъществява още към момента на тяхното връщане (на гише) в ДАБ при МС и нейните териториални поделения в страната. По този начин ще се избегне събирането на множество регистрационни карти, които да бъдат съхранявани (макар и за кратък срок) и впоследствие унищожавани. В такъв случай, след като съответните служители на ДАБ при МС се уверят, че при тях се връща именно регистрационна карта с изтекъл срок на валидност, преди да я унищожат, те трябва да направят съответното отбелязване за това в Автоматизираната информационна система (АИС). Системата следва да позволява пълна отчетност и проследимост за всяка върната карта, вкл. за действията по нейното унищожаване.
В случай че дейността по унищожаване на регистрационните карти бъде възложена на външен изпълнител, между ДАБ при МС и него ще възникне отношение администратор – обработващ лични данни. По силата на чл. 28 от ОРЗД то трябва да бъде скрепено чрез писмен договор (споразумение), който да е наличен вкл. в електронна форма и да съдържа всички реквизити, посочени изчерпателно в параграф 3, буква „а” до „з” от същата разпоредба. С цел улеснение на договарящите се страни, на основание чл. 28, пар. 7 от ОРЗД Европейската комисия е приела т.нар. стандартни договорни клаузи между администратори и обработващи лични данни1 (бланкови договорни клаузи), които отразяват всички изисквания на ОРЗД и могат да бъдат ползвани от тях напълно безплатно.
Не на последно място, при разработването и въвеждането на вътрешните си правила и процедури за унищожаване на регистрационните карти, ДАБ при МС би могла да се води (като добра практика) от режима на Инструкция № Iз-59 от 11.01.2011 г. за реда и условията за унищожаване на българските лични документи, издадена от министъра на вътрешните работи.
По тези съображения и на основание чл. 58, пар. 3, б. „б” от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 и чл. 12 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
От гледна точка на законодателството за защита на личните данни няма пречка унищожаването на регистрационните карти да се осъществява още към момента на тяхното връщане (на гише) в ДАБ при МС и нейните териториални поделения в страната. По този начин ще се избегне събирането на множество регистрационни карти, които да бъдат съхранявани (макар и за кратък срок) и впоследствие унищожавани.
В такъв случай, след като съответните служители на ДАБ при МС се уверят, че при тях се връща именно регистрационна карта с изтекъл срок на валидност, преди да я унищожат, те трябва да направят съответното отбелязване за това в Автоматизираната информационна система (АИС). Системата следва да осигурява пълна отчетност и проследимост за всяка върната карта, вкл. за действията по нейното унищожаване.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
______________
[1] Те са инкорпорирани в Решение за изпълнение (ЕС) 2021/915 на ЕК от 4 юни 2021 година относно стандартни договорни клаузи между администратори и обработващи лични данни съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и член 29, параграф 7 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета
