ОТНОСНО: Искане за становище с вх. № В-903/07.05.2009 г. от г-н Д. Георгиев – директор на Дирекция “Международно оперативно полицейско сътрудничество” към Министерството на вътрешните работи
Комисията за защита на личните данни в състав, председател: Венета Шопова, и членове: Валентин Енев и Веселин Целков, на заседание, проведено на 27.05.2009 г. постави за разглеждане искане за становищевх. № В-903/07.05.2009 г. подадено от г-н Д. Георгиев – директор на Дирекция “Международно оперативно полицейско сътрудничество” към Министерството на вътрешните работи. Искането за становище е постъпило по повод запитване от страна на г-н Майкъл Флин от Генералната дирекция “Правосъдие, свобода и сигурност” на Европейската комисия по отношение на параграф 2.8 от Наръчника на СИРЕНЕ за правото на достъп до данни и внасянето на поправки в тях.
Към искането са приложени превод на инициативата на Генералната дирекция “Правосъдие, свобода и сигурност” за осъществяване на общ преглед на процедурите, прилагани в държавите-членки на ЕС, и извадка от Наръчника на СИРЕНЕ, отнасяща се до правото на достъп до данни и внасянето на поправки в тях (член 41 от Регламента за ШИС ІІ и член 58 от Решението за ШИС ІІ).
В Наръчника на СИРЕНЕ се посочва, че правото на лицата да имат достъп до данни, свързани с тях, които са въведени в ШИС ІІ в съответствие с правните инструменти за ШИС ІІ, се упражнява в съответствие със законодателството на държавата-членка, пред която се позовават на това право.
С постъпилото искане се търси становището на Комисията за защита на личните данни относно това, кой ще разрешава правото на лицата за достъп до данните и внасянето на поправки във въведените сигнали сигнали за тях в ШИС ІІ според българското законодателство, както и кой метод ще се използва – “директен” или “индиректен достъп”.
Правото на достъп до лични данни в българското законодателство се урежда с разпоредбите на Глава пета на Закона за защита на личните данни.
Съгласно разпоредбата на чл. 26, ал.1 от ЗЗЛД всяко физическо лице има право на достъп до отнасящи се за него лични данни. По силата на чл.28а от ЗЗЛД физическото лице има право да поиска по всяко време от администратора:
1. да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
Според националното законодателство правото по чл. 26, ал.1 и правата по чл.28а от ЗЗЛД се упражняват директно, с писмено заявление до администратора на лични данни. В конкретния случай – до министъра на вътрешните работи, в случай, че не са делегирани специални права по предоставяне на достъп до лични данни на обработващ лични данни от органите на Министерството на вътрешните работи.
В чл.30, ал.1 от ЗЗЛД са предвидени задължителни реквизити на заявлението. То се подава лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно. Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.
След получаването му, администраторът на лични данни го завежда в регистър. Администраторът на лични данни или изрично упълномощено от него лице го разглежда и се произнася в 14-дневен срок от неговото подаване. При обективно необходим по-голям срок – с оглед събиране на всички искани данни и при условие, че това сериозно затруднява дейността на администратора, този срок може да бъде удължен до 30 дни.
Администраторът на лични данни писмено уведомява заявителя за решението си, с което му дава или отказва достъп и/или исканата от него информация. Липсата на такова уведомление се смята за отказ. Съгласно чл.34 от ЗЗЛД, администраторът на лични данни отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.
Всяко физическо лице може да упражни тези права и индиректно чрез сезиране на Комисията за защита на личните данни.
С нормата на чл. 34а от ЗЗЛД е предвидено правото на възражениена физическо лице срещу действията на администратора на лични данни. Това право може да бъде упражнено по повод искането за достъп и решението на администратора на лични данни и включва правото да възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това (когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани), както и да възрази срещу обработването за целите на директния маркетинг.
Едновременно с горните права, физическото лице следва да бъде уведомено, преди личните му данни да бъдат разкрити за първи път на трети лица или използвани от тяхно име за предходната цел, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.
Правото на всяко физическо лице да иска достъп до отнасящи се за него лични данни, обработвани в информационните фондове на Министерството на вътрешните работи (МВР), събирани без негово знание, реда за неговото упражняване и защита е регламентирано с нормата на чл.161 от Закона за министерство на вътрешните работи (ЗМВР).
Органите на МВР могат да откажат изцяло или частично предоставянето на данни, когато:
1. от това би възникнала опасност за националната сигурност или обществения ред, за опазването на информацията, класифицирана като държавна или служебна тайна, за разкриването на източниците на информацията или негласните методи и средства за нейното събиране;
2. предоставянето на тези данни на лицето би накърнило изпълнението на законово определените задачи на органите на МВР.
Уведомяването на заявителите за отказа се извършва писмено, като се посочва само правното основание. За отказ се смята и липсата на уведомление в предвидените от закона срокове. Съгласно чл.161 от ЗМВР отказът подлежи на обжалване по реда на АПК.
В случай, че органите на МВР не уважат искането за достъп или действат в нарушение на ЗЗЛД, физическото лице има право да отправи жалба до КЗЛД. В чл. 165 от ЗМВР изрично е указано, че контролът по защитата на правата на физическите лица при обработването на личните им данни и при осъществяването на достъп до тези данни се упражнява от Комисията за защита на личните данни при условията и по реда, определени със Закона за защита на личните данни.
Комисията за защита на личните данни разглежда жалбата и приема решение, което след влизането му в сила става задължително и за администратора на лични данни. С решението по жалбата КЗЛД може да задължи с предписания администратора да осъществи искания достъп или да извърши заличаване, коригиране или блокиране на съответни лични данни.
По отношение втория въпрос относно вида достъп – „директен” или “индиректен достъп” в полученото в Комисията искане не е пояснено за чий достъп се пита.
Следва да се отбележи, че достъпът до лични данни от страна на Комисията за защита на личните данни като надзорен орган по обработване на лични данни в ШИС се осъществява след предоставянето му от администратора на лични данни. Към момента КЗЛД няма право на автоматичен достъп по смисъла на чл. 101 на Шенгенската Конвенция върху националната част от ШИС. При осъществяване на проверки по жалби и сигнали, упълномощени служители на КЗЛД получават достъп до информационните системи и бази данни на органи в структурата на МВР в съответствие с чл. 22 от ЗЗЛД.
Във връзка с изложеното по-горе и на основание чл. 10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Правото на достъп, искане за заличаване, коригиране или блокиране на лични данни се упражнява от физическите лица директно, с писмено заявление до администратора на лични данни, който ги обработва.
При отказ на достъп, заличаване, коригиране или блокиране на лични данни от администратора на лични данни, Комисията за защита на личните данни има право на основание чл. 38, ал. 2 и чл. 10, ал. 1, т. 5 от Закона за защита на личните данни да издаде задължително предписание на съответния администратор за предоставяне на достъп в случай на основателност на искането на физическото лице, както и за заличаване, коригиране или блокиране на лични данни.
Достъпът на физическо лице до обработвани негови лични данни се осъществява при всички случаи чрез администратора на лични данни.
| ПРЕДСЕДАТЕЛ: | |
|
Венета Шопова /п/ |
|
