Към главното съдържание

Становище относно обработване на лични данни, съдържащи се в подлежащи на обнародване в „Държавен вестник“ актове

С Т А Н О В И Щ Е
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № ПНМД-01-39/2024 г.
гр. София, 10.04.2024 г.

 

Относно: Обработване на лични данни, съдържащи се в подлежащи на обнародване в „Държавен вестник“ актове

 

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 10.04.2024 г., разгледа писмо с вх. № ПНМД-01-39/26.03.2024 г. от главния секретар на Народното събрание (НС). В писмото са посочени предпоставките за отправяне на искането, както следва:

На 08.03.2024 г. в НС е получено Разпореждане № 2516 от 07.03.2024 г., от Административен съд – София-град, първо отделение, 34 състав, във връзка с образувано адм. дело № 2407/24 г. по искова молба на П.З., съдържаща искане за осъждане на ответниците Върховен административен съд (ВАС) и Народното събрание да премахнат безусловно личните му данни от Решение № 11214/16.11.2023 г. по адм. д. № 1245/2021 г. на ВАС, което е обнародвано в бр. 107 от 29.12.2023 г. на „Държавен вестник“ (съгласно Приложение № 1 към писмото, получено по-късно).

На 13.03.2024 г. на електронната поща на Редакцията на „Държавен вестник“ е постъпило писмо от ВАС, регистрирано с № ДВ-49-412-00-1/14.03.24 г. (Приложение № 2), с искане „публикуваният на официалната интернет страница на „Държавен вестник“ /https://dv.parliament.bg/DVWeb/broeveList.faces/ текст на обнародваното в бр. 107 от 29 декември 2023 г. Решение № 11214 от 16.11.2023 г. по административно дело № 1245/2021 г., да бъде изцяло заменен с приложения препис на решението със заличени лични данни на жалбоподателите“, на основание чл. 5, пар. 1, б. „в“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).

В писмото се посочва, че в резултат на постъпилите разпореждане на АССГ и искане на ВАС, НС незабавно, на 08.03.2024 г., с писмо № АД-49-455-00242/08.03.2024 г., е изпълнило цитираното разпореждане, като на съда са представени данни относно основанието за обнародване на съдебното решение, с приложения, съгласно текста на писмото.

Във връзка с постъпилото разпореждане е свикана Комисия за действие при нарушаване на сигурността на личните данни в Народното събрание, определена със Заповед № АД 95-005-121/05.06.2019 г., изм. със заповед № АД-050-05-156/31.07.2020 г. на главния секретар на Народното събрание, като резултатите от работата ѝ са отразени в Протокол № 01/08.03.2024 г. (Приложение № 3).

От Народното събрание информират, че при извършения преглед на съдържанието на обнародваното съдебно решение, комисията е установила, че в обнародвания акт се съдържат лични данни, представляващи три имена и адрес на жалбоподателя Я.Ш. и три имена, ЕГН, адрес, марка и модел на лек автомобил и № на свидетелство за управление на МПС на жалбоподателя П.З.

По-нататък в писмото се посочва, че при извършената съпоставка на текста на изпратеното за обнародване съдебно решение и публикувания текст, комисията установява тяхната пълна идентичност.

На основание разпореждане на председателя на Народното събрание от 14.03.2024 г. по докладна записка с № АД-49-455-00-242/14.03.2024 г., експертна комисия, определена със Заповед № 9-450-05-6714.03.2024 г. на председателя на Народното събрание, е извършила незабавно заличаване на личните данни от публикуваното в официалната интернет страница на „Държавен вестник“ /https://dv.parliament.bg/DVWeb/broeveList.faces съдебно решение. Публикуваното в електронна форма съдебно решение е свалено от публичен достъп и на негово място е публикуван приложения към искането на ВАС текст, в който са заличени:

  1. Личните данни на г-н П.З.: имена (частично), ЕГН, адрес (частично), марка и модел на лек автомобил, № на свидетелство за управление на моторно превозно средство.
  2. Личните данни на г-н Я.Ш.: имена (частично) и адрес (частично).

Действията по заличаване са отразени в Протокол № 1 от 14.03.2024 г. от работата на експертната комисия (Приложение № 4).

Извършеното заличаване е вписано в Регистъра на унищожените документи (Приложение № 3 към чл. 16, ал. 4 от Вътрешните правила за съхранение и унищожаване на лични данни на Народното събрание).

На основание чл. 12, пар. 3 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) и на основание чл. 17, ал. 3 от Вътрешните правила за упражняване на права на субектите на данни, утвърдени със заповед № АД-950-09-11/12.03.2019 г. на председателя на Народното събрание, на субектите на данни са изпратени уведомления с информация за предприетите от Народното събрание действия във връзка с упражнените от тях права.

За смекчаване на негативните последици за субектите на данни и на основание чл. 17, пар. 2 от ОРЗД, Народното събрание предприема стъпки за уведомяване на други администратори за извършеното заличаване, както и за изтриване от тези администратори на всички връзки и копия до личните данни.

Във връзка с постъпилото на 13.03.2024 г. искане на ВАС с № 50-77/13.03.2024 г. отново е свикана Комисията за действие при нарушаване на сигурността на личните данни в Народното събрание, определена със Заповед № АД 95-005-121/05.06.2019 г., изм. със заповед № АД-050-05-156/31.07.2020 г. на главния секретар на Народното събрание, като резултатите от работата и са отразени в Протокол № 02/15.03.2024 г. (Приложение № 5).

От Народното събрание посочват в писмото, че в резултат от работата на комисията, са направени следните изводи:

Нарушението е извършено в периода от 29.12.2023 г. до 14.03.2024 г.

Установен е видът на нарушение на личните данни, което се изразява в нарушение на поверителността на личните данни чрез тяхното разкриване.

В резултат на извършената проверка е установено засягане на 2 файла с лични данни на 2 лица. Видовете лични данни засегнати от нарушението са, три имена, ЕГН, адрес, марка и модел на лек автомобил, № на свидетелство за управление на моторно превозно средство. Не са открити засегнати чувствителни лични данни.

Въз основа на събраната информация и данни, и на основание чл. 14, ал. 1 от Вътрешни правила за действие при нарушение на сигурността на личните данни, във връзка с чл. 19, ал. 2 от Вътрешните правила за защита на личните данни на Народното събрание Комисията е извършила оценка на риска за правата и свободите на субектите на данни.

Оценката, извършена от Народното събрание показва, че потенциалните последици за засегнатите субекти на данни, предвид последващия публичен достъп, могат да се изразят в причиняване на неудобства от засягане на репутацията, като притеснения, несигурност, също така, може да доведе до кражба на самоличност, което предпоставя висок риск за правата на субектите на данни.

Независимо от становището, което изразяват в писмото си, подробно аргументирано по-долу, че Народното събрание не може да бъде квалифицирано като администратор на личните данни, които се съдържат в изпратените до „Държавен вестник“ с искане за обнародване актове, посочените действия на комисията са извършени и в хипотезата на евентуалност от квалифициране на Народното събрание като администратор на лични данни по смисъла на чл. 4, пар. 7 от ОРЗД, като съдържащата се в настоящото искане относима информация, в съответствие с чл. 33, пар. 3 от ОРЗД, НС счита, че следва да се приеме от КЗЛД и като уведомление за нарушение на сигурността на личните данни, на основание чл. 33, ал. 1 от Регламент (ЕС) 2016/679, със следните данни за връзка с Комисията за действие при нарушаване на сигурността на личните данни в Народното събрание.

****** ******* – ръководител на Комисията за действие при нарушаване на сигурността на личните данни в Народното събрание

тел.: **********, *************

Електронна поща: ***************

****** ******* – Длъжностно лице по защита на данните на НС

тел.: **********, *************

Електронна поща: ***************

Заедно с това, съгласно разпореждане на председателя от 14.03.2024 г. Народното събрание ще предприеме мерки за:

Иницииране на промени в Закона за „Държавен вестник“ (ЗДВ), уреждащи процедурите по обнародване в „Държавен вестник“ и издаването му освен като печатно издание, така и в електронен вид.

Изработване на вътрешен акт, който детайлно да уреди дейността на дирекция „Държавен вестник“ по изготвяне и обработка съдържанието на „Държавен вестник“ и на постъпващите материали за обнародване.

По същество на отправеното искане от Народното събрание изразяват и следните аргументи:

Съгласно чл. 4, ал. 1, т. 11 от ЗДВ в официалния раздел на „Държавен вестник“ се обнародват решенията на ВАС, с които се отменят нормативни актове на Министерския съвет.

В чл. 10 от Закона за „Държавен вестник“ подробно е разписана процедурата, прилагана за обнародване на съответен акт/известие. Анализът ѝ показва, че при посочено валидно правно основание за обнародване, при подготовката на текстовете за обнародване от страна на редакцията на „Държавен вестник“ могат да се извършват само действия по отстраняване на технически несъответствия или грешки в тях. Разпоредбата на чл. 10 от Закона за „Държавен вестник“ не може да се тълкува разширително. Тя не предполага действия по заличаване на част от информацията – в т.ч. лични данни, от предоставените текстове за обнародване.

В конкретния случай е налице валидното правно основание за обнародване по чл. 194 от АПК, посочено от ВАС. Решението е обнародвано със съдържание, предоставено от компетентния орган, след минимални технически корекции. Съгласно чл. 10 от Закона за „Държавен вестник“ текстът на акта, изготвен от съответния орган, в случая ВАС, се прилага ведно с документа за платена такса, към съпроводително писмо с искане за обнародване. Според Народното събрание неслучайно законодателят е предвидил искането да се подписва от ръководителя на органа или организацията, чието известие се предлага за обнародване, или от упълномощено от него лице, като върху него се полага и печатът на органа или организацията, или се подава по електронен път по реда на Закона за електронното управление.

В писмото се посочва, че ВАС, а не Народното събрание, отговаря за съдържанието на изпратения от него текст.

Съгласно т. 3 от Вътрешни правила за заличаване на лични данни от съдържанието на съдебните актове и документи, които се публикуват на интернет страницата на Върховния административен съд или се изпращат за обнародване в „Държавен вестник“, утвърдени със Заповед № 240 от 01.02.2021 г. на председателя на ВАС (https://sac.justice.bg/pages/bg/internal%20rules), „Подлежащите на обнародване в „Държавен вестник“ съдебни актове и обявления се изпращат до Народното събрание на Република България, дирекция „Държавен вестник“ след извършено заличаване на съдържащите се в тях лични данни на физическите лица страни и участници в производството“.

Горното налага следните изводи свързани с упражняване на права от субекта на данни в разглежданата хипотеза:

Отправените до „Държавен вестник“ искания за обнародване в официалния раздел съдържат конкретно нормативно основание, което е правно обвързващо за издателя на акта, подлежащ на обнародване.

Всички получени в „Държавен вестник“ актове се обнародват със съдържанието, което е изпратено, като отговорността за неговото съответствие с действителната воля на издаващия орган, както и спазването на специалното законодателство, включително в областта на защита на личните данни, за целите на обнародването, се носи от подаващия искането, издател на акта.

В писмото се излагат принципните положения, че обнародването е част от фактически състав, с изпълването на който възникват определени правни последици от обнародвания акт, с които се засягат права и интереси на субектите – адресати на акта. От тази гледна точка преценката относно степента на ограничаване на обработката на лични данни чрез тяхно минимизиране, за целите на обнародване на акта, може да бъде направена единствено от издателя на акта, в качеството му на администратор и това е гаранция за правна стабилност и сигурност.

Възможността „Държавен вестник“ да извършва каквато и да е промяна по същество в изпратеното за обнародване съдържание, не намира правно основание в Закона за „Държавен вестник“. Допуска се единствено техническо съгласуване на текста преди неговото обнародване, като в чл. 10, ал. 4, във вр. с ал. 2 ЗДВ е определен редът за това.

При подаване на искане за обнародване, издателят на акта определя целите и средствата за обработването на лични данни, в случай че същият съдържа такива. В този смисъл, органът, отправил искането е администратор на личните данни, съдържащи се в акта, подлежащ на обнародване (по арг. на чл. 4, т. 7 от Регламент (ЕС) 2016/679), какъвто е и разглежданият случай.

В качеството си на администратор на личните данни съдържащи се в Решение № 11214 от 16.11.2023 г., по административно дело № 1245/2021 г., ВАС е определил, съгласно целите на обработката (обнародване и публикуване в „Държавен вестник“) кои от тези данни са подходящи, свързани със и ограничени до необходимото в съответствие с принципа за „свеждане на данните до минимум“ (чл. 5, пар. 1, б. „в“ от Регламент (ЕС) 2016/679) и съгласно своите вътрешните правила, цитирани по-горе.

На основание чл. 288 ДФЕС Регламент (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) намира пряко приложение. Съгласно чл. 17 от него субектите на данни могат да упражнят своите права като поискат изтриване на личните данни.

От Народното събрание подчертават, че предприемането на действия от страна на „Държавен вестник“ по искане на субекта на данните за упражняване на правата му по чл. 17 от Регламент (ЕС) 2016/679 не може да бъде извършено без санкцията на издаващия орган. Аргументът за това са казуистично изброените в чл. 17, пар. 1 от Регламента основания, при които за администратора възниква задължението да изтрие личните данни. Наличието на някое от изброените в текста основания може да бъде определено само от подалия искането за обнародване на акта, но не и от „Държавен вестник“. Издателят на акта е този, който може да извърши преценка доколко минимизирането на лични данни в подлежащ на обнародване акт, съответства на материалните и процесуалните норми, които този орган прилага и доколко ще бъдат постигнати целените правни последици от обнародването на акта за нуждите на съответното производство, което се развива пред и ръководи от този орган.

Във връзка с обнародването в неофициалния раздел на „Държавен вестник“ на съобщения, известия, покани и други, от Народното събрание споделят, че възникват следните казуси:

Съдилищата изпращат за обнародване материали с лични данни — три имена, ЕГН или ЛНЧ, адреси, вкл. бл., вх., ап., ет., № номер на документ за самоличност, банкови сметки и други. Тъй като материалите са различни — съдебни решения, включително за производства по искане на КПКОНПИ за отнемане на имущества, призовки, покани за връчване на съдебни книжа и др., редакцията на ДВ не може да преценява дали обнародването на посочените лични данни е необходимо за съдебното производство, т.е. дали обработването е законосъобразно с оглед постигане на целите на обнародването. НАП изпращат съобщения на основание чл. 253 от Данъчно-осигурителния процесуален кодекс с постановление за възлагане на недвижим имот, в които също се съдържат лични данни на лицата, на които се възлага имотът, както и подробен адрес на възлагания имот.

Заличаването на информацията, представляваща лични данни на физически лица в обявленията и съдебните актове, подлежащи на обнародване в „Държавен вестник“, не трябва да променя по никакъв начин оригиналния текст на обявлението или съдебния акт, които се изпращат за обнародване в „Държавен вестник“, както и да обезсмисля обнародването. Ако лице с неизвестен адрес се призовава чрез обявление в ДВ, то явно трябва да бъде идентифицирано, в противен случай призоваването чрез ДВ може да бъде атакувано като незаконосъобразно във всеки отделен случай.

В писмото се твърди, че искането на ВАС е прецедент в практиката на ДВ. Редакцията на ДВ никога не е извършвала корекции във вече публикувани материали на интернет страницата си и не е допускала несъответствие между хартиеното издание и това на интернет страницата.

На интернет страницата на ДВ се публикува в PDF отпечатаният на хартия и даден за разпространение брой на ДВ.

Всяка корекция в интернет страницата, в т.ч. исканата от ВАС, би довела до несъответствие между печатното издание и това на интернет страницата. Такава възможност, очевидно е предвидена от законодателя, който изрично е посочил в чл. 3, ал. 2, изречение второ от ЗДВ, че „при несъответствие между печатното издание и изданието в интернет страницата правно значение има текстът на печатното издание, освен в случаите по чл. 6.“

От Народното събрание намират цитираната разпоредба за приложима по разглеждания казус, но считат, че това следва да бъде изключение с оглед специалния статут на „Държавен вестник“, като официално издание на Република България, определен в чл. 1 от ЗДВ, и произтичащите от това характеристики на изданието, като фактор по осигуряване на основни принципи на държавността, в т.ч. на защитата на правната сигурност и публичния интерес.

Предвид горното, в писмото се изразява позиция, че Народното събрание не може да бъде квалифицирано като администратор на личните данни, които се съдържат в изпратените до „Държавен вестник“ с искане за обнародване актове, дирекция „Държавен вестник“ не определя целите и средствата за обработването на лични данни, както и в законодателството не са установени специални критерии за неговото определяне като такъв, по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на данните.

От Народното събрание считат, че разглежданият въпрос разкрива празнота в Закона за „Държавен вестник“, който не предвижда ред и условия за изтриване на части от вече обнародвани актове. Поправка на грешка във вече обнародван акт може да се извърши само при условията на чл. 10, ал. 5 от Закона за „Държавен вестник“. Последното не удовлетворява целения с изтриването резултат, тъй като с поправката не се извършва намеса в първоначално обнародвания текст. От друга страна, създаването на практика от такъв характер (промяна чрез изтриване на вече обнародвани текстове) крие сериозен риск за правната сигурност и стабилност на обнародваните актове.

Промяната в обществените отношения и пряката приложимост на разпоредбите на Регламент (ЕС) 2016/679, с особен акцент върху упражняването на правата на субектите на данни, предпоставя необходимостта от допълнителна нормативна уредба в текстовете на Закона за „Държавен вестник“.

В обобщение и с оглед изложеното от Народното събрание отправят молба:

  1. На основание чл. 57, пар. 1, буква „в“ и чл. 58, пар. 3, буква „б“ от Регламент (ЕС) 2016/679, чл. 26, ал. 1, т. 3 във връзка с чл. 51, т. 2 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация, КЗЛД да даде своето становище по поставените въпроси, свързани със защита на личните данни, обработвани за целите на обнародване на актове в „Държавен вестник“ и по-специално:

Във връзка с посочената празнота в Закона за „Държавен вестник“ и предприетите от Народното събрание мерки за иницииране на промени в текстовете, уреждащи процедурите по обнародване в „Държавен вестник”, КЗЛД да даде предварително становище относно установяване на нормативни правила за реда и условията за приемане на искания за обнародване, в хипотезата на отговорност на издателя на акта за съответствие на изпратения за обнародване текст с принципите на ОРЗД, както и за реда и условията за изтриване на части от вече обнародвани актове, при отправено искане за упражняване на права от субектите на данни и/или от органа, издал акта.

Уточнява се, че становището на КЗЛД трябва да съобразява отговорите със законоустановения статут на „Държавен вестник“, като официално издание на Република България, с изключително правно значение за държавата, което се издава и разпространява както в печатен вариант, така и в електронен вид, между които принципно следва да има съответствие.

  1. На основание чл. 58, пар. 6 от Регламент (ЕС) 2016/679 във връзка с чл. 10а, ал. 2, т. 2 от Закона за защита на личните данни и в съответствие със становището на КЗЛД по т. 1 от настоящото искане, КЗЛД да даде указания във връзка с изработване на вътрешен акт на Народното събрание/„Държавен вестник“, с който да бъде уредена дейността на дирекция „Държавен вестник“ по изготвяне и обработка съдържанието на „Държавен вестник“ и на постъпващите материали за обнародване, както и в случаите на упражняване на права от субектите на данни. В този контекст, към КЗЛД се отправя молба за указания, които да обхванат и предложенията на Комисията за действие при нарушаване на сигурността на личните данни в Народното събрание, отразени в Протокол № 1 от 08.03.2024 г. (Приложение № 3).

Приложения: 1. Решение № 11214/16.11.2023 г. по адм. д. № 1245/2021 г. на ВАС, което е обнародвано в бр. 107 от 29.12.2023 г. на „Държавен вестник“; 2. Писмо от ВАС до „Държавен вестник“ с № ДВ-49-412-00-1/14.03.24 г.; 3. Протокол № 01/08.03.2024 г. на Комисия за действие при нарушаване на сигурността на личните данни в Народното събрание, определена със Заповед № АД 95-005-121/05.06.2019 г., изм. със заповед № АД-050-05-156/31.07.2020 г. на главния секретар на Народното събрание; 4. Протокол № 1 от 14.03.2024 г. от работата на експертна комисия, определена със Заповед № 9-450-05-6714.03.2024 г. на председателя на Народното събрание; 5. Протокол № 02/15.03.2024 г. на Комисия за действие при нарушаване на сигурността на личните данни в Народното събрание, определена със Заповед № АД 95-005-121/05.06.2019 г., изм. със заповед № АД-050-05-156/31.07.2020 г. на главния секретар на Народното събрание.

На 04.04.2024 г. се проведе експертна среща между представители на Народното събрание и КЗЛД по изложените в искането въпроси, на която се обсъдиха допълнителни съображения и обстоятелства. Към преписката бяха приобщени и липсващите приложения на искането, както са посочени по-горе. В рамките на срещата, от страна на НС бяха изразени опасения за прогресивното нарастване на броя на постъпващите жалби за упражняване на права, както и искания за заличаване от органи, изпращащи документи за обнародване, което, от една страна, затруднява и забавя работата му, а от друга – поставя под съмнение гарантирането на правната стабилност и сигурност на обнародването.

 

Правен анализ:

Съгласно Закона за „Държавен вестник“ (ЗДВ) той е официално издание на Република България и се издава от Народното събрание. Поддържа се на интернет страница, достъпът до която е свободен и безплатен. Издаването на „Държавен вестник“ (ДВ) се подготвя и извършва от редакция под контрола на председателя на Народното събрание.

„Държавен вестник“ има официален и неофициален раздел, които се публикуват и в интернет страницата на вестника. При несъответствие между печатното издание и изданието в интернет страницата правно значение има текстът на печатното издание. Печатното издание на „Държавен вестник“ се разпространява чрез абонамент, който към момента, по данни на експертите от НС, е с тираж около 1000 броя.

Процедурата за обнародването в „Държавен вестник“ е разписана в чл. 10 от ЗДВ. Според нея за обнародването на актовете в официалния раздел и на известията в неофициалния раздел, се представя текстът на съответния акт или известие и документът за внесена такса, приложени към съпроводително писмо с искане за обнародване. Искането се подписва от ръководителя на органа или организацията, чийто акт или известие се предлага за обнародване, или от упълномощено от него лице, като върху него се полага и печатът на органа или организацията. Искането може да се подаде и по електронен път по реда на Закона за електронното управление.

В съпроводителното писмо се посочват правното основание за обнародването, длъжностните лица, отговорни за техническото съгласуване на текста преди обнародването му, и телефон за връзка.

В редакцията на „Държавен вестник“ се води входящ регистър на съпроводителните писма с искане за обнародване, който е публичен. Редът за воденето на регистъра се определя с разпореждане на председателя на Народното събрание.

При подготовката на текстовете на актовете за обнародване редакцията изисква съдействието на длъжностните лица, отговорни за техническото съгласуване на текста преди обнародването му за отстраняването на техническите несъответствия или грешки в тях.

Поправките на грешки в обнародваните актове се обнародват в съответния раздел на „Държавен вестник“, в който е бил обнародван актът, чиято поправка се прави. Незаличаването на лични данни в актовете и документите, които се изпращат за обнародване, което по своето естество представлява неизпълнение на принципа за „свеждане на данните до минимум“ (арг. чл. 5 от ОРЗД), не може да бъде приравнено на техническа грешка по смисъла на ЗДВ. То следва да се разглежда като нарушение на сигурността на данните по см. на чл. 4, т. 12 във вр. с чл. 33 и сл. от ОРЗД.

В конкретния случай обнародването на решението на ВАС е част от фактическия състав, с изпълнението на който възникват определени правни последици, с които се засягат права и интереси на адресатите на акта. От тази гледна точка, преценката относно степента на ограничаване на обработването на лични данни, чрез тяхно минимизиране, за целите на обнародване на акта, може да бъде направена единствено от неговия издател, в качеството му на администратор и това е гаранция за правната стабилност и сигурност.

Народното събрание, като издател на „Държавен вестник“ обаче, е длъжно да обнародва официалните документи във вида, в който са му предоставени, без да взема решение за заличаването на личните данни, съдържащи се в тях. Това решение се взема единствено от органа/организацията (изпращачи), съставили/издали/приели съответния документ/акт, преди да бъде изпратен за обнародване съобразно целите и изискванията на относимото специално законодателство. Вземането на решението за заличаване на личните данни обуславя и отговорността на изпращача на документ за обнародване, в качеството му на администратор.

Ролята на „Държавен вестник“ при обнародването на документи/актове, съдържащи лични данни

Съгласно Решение на Съда на ЕС от 11 януари 2024 г. по дело C‑231/22 (État belge срещу Autorité de protection des données)[1] „чл. 4, т. 7 от ОРЗД трябва да се тълкува в смисъл, че агенцията или структурата, която отговаря за държавния вестник на държава членка и която съгласно законодателството на тази държава е длъжна по-специално да обнародва във вида, в който са представени, официални документи, изготвени от трети лица с оглед на тяхната собствена отговорност при спазване на приложимите норми и подадени впоследствие до съдебен орган, който ги изпраща за обнародване до въпросната агенция или структура, може – макар да е неперсонифицирана — да се квалифицира като „администратор“ на съдържащите се в тези документи лични данни, когато съответното национално право определя целите и средствата на обработването на личните данни в този държавен вестник.“

Обнародването на документи/актове от „Държавен вестник“, без възможност за контрол и изменение на съдържанието им, е тясно свързано с определените в националното право цели и средства на обработването, като ролята му е само да информира обществеността за съществуването на тези документи/актове във вида, в който са му изпратени под формата на копие в съответствие с приложимото национално право, така че да могат да бъдат противопоставени на трети лица. От друга страна, изключването от обхвата на понятието „администратор“ на „Държавен вестник“ с мотива, че той не упражнява контрол върху личните данни, съдържащи се в публикациите му, би противоречало на целта на чл. 4, т. 7 от ОРЗД – понятието да се тълкува в широк смисъл (вж. по аналогия решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 34)[2].

В качеството си на администратор на лични данни ДВ извършва следните операции по обработване на лични данни: цифровото преобразуване на данните, съдържащи се в представените му документи/актове, обнародването, предоставянето на широк достъп на обществеността и съхраняването на тези данни, като такива операции съставляват „обработване“ по смисъла на чл. 4, т. 2 от ОРЗД. От друга страна, изпращачите на документи/актове за обнародване извършват операции по събиране, записване, съхранение, разкриване чрез предаване и разпространение.

В своето решение по дело С-231/22 СЕС разглежда и възможността, при която държавният вестник може да бъде и съвместен администратор с органа или организацията, която му изпраща документ/акт за обнародване.

Следва да се има предвид, че по аналогия с казуса, разгледан от СЕС, операциите по обработване, извършвани от ДВ, са му възложени с националното законодателство и включват по-специално цифровото преобразуване на данните, съдържащи се в представените му документи/актове или извлечения от документи, обнародването, предоставянето на широк достъп на обществеността и съхраняването на тези данни.

През призмата на законодателството за защита на личните данни, сложният фактически състав на обнародване представлява верига от обработвания, извършвани от различни лица или субекти (администратори) и засягащи едни и същи лични данни. Съвместната отговорност на няколко субекта по тази верига на едни и същи лични данни може да бъде установена в националното право, стига различните операции по обработване да са обединени от определени от това право цели и средства и това право да определя съответните задължения на всеки от съвместните администратори.

В т. 48 от решението си СЕС изразява мотиви, че „от една страна, е достатъчно дадено лице да влияе за собствени цели върху обработването на лични данни и по този начин да участва в определянето на целите и средствата на това обработване, за да може да се счита за съвместен администратор, и от друга страна, че съвместната отговорност на няколко субекта за една и съща обработка не предполага всеки от тях да има достъп до съответните лични данни (вж. в този смисъл решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 40—43 и цитираната съдебна практика).“

По изложените съображения СЕС прави заключение, че съгласно чл. 5, пар. 2 (отчетност) във връзка с чл. 4, т. 7 (администратор) и чл. 26, пар. 1 (съвместни администратори) от ОРЗД, само държавният вестник, който се квалифицира като „администратор“, е отговорен за спазването на принципите за обработване на лични данни, що се отнася до операциите по обработване на лични данни, които той е длъжен да извършва по силата на националното право, освен ако от това право произтича съвместна отговорност с други субекти по отношение на въпросните операции. Доколкото НС констатира нормативна празнота в ЗДВ в този смисъл, но действителните фактически отношения обуславят наличието на съвместност при обработването, целесъобразно и необходимо е допълването на нормативната уредба да следва този подход. Съвместно обработване на лични данни възниква между ДВ и всеки един от изпращачите на документи/актове за обработване, но не и между всички тях. Отношенията на съвместност в случая не следва да се уреждат в споразумение, тъй като ще произтичат от бъдещите изменения и допълнения на ЗДВ.

Най-ясно проявление съвместността намира именно в режима за упражняването на права от страна на субектите на данни, тъй като в тази ситуация администраторите не могат да предприемат действия по удовлетворяване на исканията един без друг. Така на практика нито ДВ може сам да заличи данните без санкцията на изпращача, нито последният може да пристъпи към ефективни действия за заличаване, без съдействието на ДВ.

По първия въпрос от искането, касаещ необходимостта от нормативни промени

Установената от НС празнота в ЗДВ обуславя необходимостта от предприемане на мерки за неговото изменение и допълнение с оглед постигането на съответствие с изискванията на ОРЗД. Тези мерки трябва да уреждат по ясен и прозрачен начин ролите и отговорностите, включително задължения за предоставяне на информацията, посочена в чл. 13 и 14, както и уведомяването при нарушения на сигурността по чл. 33 и сл. от ОРЗД на всички участници във „веригата от операции по обработване“[3] на лични данни при обнародването. Като крайна цел въведените мерки следва да гарантират ефективното упражняване на правата от страна на субектите на данни.

За да бъдат уредени тези въпроси, при бъдещи промени на ЗДВ, следва да се предвидят разпоредби, които да:

  • Задължават изрично изпращачите на документи/актове за обнародване да заличават съдържащите се в тях лични данни, които не са относими към специфичните цели на обнародването.
  • Регламентират взаимодействието между ДВ и съответния изпращач на документа/акта при и по повод разглеждането на постъпили искания за упражняване на права от субектите на данни. В изпълнение на чл. 26, пар. 3 от ОРЗД субектът на данни може да упражнява своите права по отношение на всеки и срещу всеки от съвместните администратори.

Съгласно т. 179 от Насоки 07/2020 на Европейския комитет по защита на данните (ЕКЗД) относно понятията „администратор“ и „обработващ лични данни“ в ОРЗД, приети на 7 юли 2021 г., „субектът на данни трябва да е напълно наясно кой администратор на данни служи като точка за контакт за упражняването на правата му (независимо от факта, че той може да упражнява правата си по отношение на и срещу всеки съвместен администратор)“. В случая обаче се взема предвид посоченото по-горе, че решението за заличаване трябва да се вземе само от изпращача на документа/акта.

  • Уреждат ангажиментите за предоставянето на информацията по чл. 13 и чл. 14 от ОРЗД.
  • Уреждат задълженията на всеки от съвместните администратори да подават уведомление за нарушение на сигурността на личните данни към съответния компетентен надзорен орган, както и да комуникират със субектите на данни при наличие на условията по чл. 34 от ОРЗД.

По втория въпрос от искането, касаещ необходимостта от вътрешни правила за изготвяне и обработка на съдържанието на ДВ

По принцип, вътрешните правила, политики и процедури са обвързващи единствено за администратора, който ги приема.

До бъдещото изменение и допълнение на ЗДВ обаче, НС следва да въведе привременни мерки, които да отразяват фактическите отношения и произтичащата от тях необходимост за привеждане на дейността му в съответствие с ОРЗД.

Въпреки че НС няма право да взема решения за заличаване на лични данни в изпратените за обнародване документи/актове, може да въведе механизъм за предварителен контрол чрез изискване на потвърждение от изпращача за решението му относно подходящото заличаване на лични данни. Това може да стане чрез предварително изготвена бланка към съпроводителното писмо, в която ясно да се насочи вниманието на изпращача и да се изиска неговото активно действие, напр. чрез отбелязване, за това дали документът/актът се обнародва в цялост или със заличени лични данни.

В случай че на етапа на техническата подготовка на текстовете ДВ има съмнение, че личните данни в документите/актовете, предоставени за обнародване, надхвърлят неговите цели, с оглед принципа на добросъвестност, следва да осъществи допълнителна комуникация с изпращача им, като поиска неговото изрично писмено решение/потвърждение.

Този подход би осигурил добросъвестност при обработването, както и отчетността, като основен принцип и задължение на администратора – НС. В същото време ще спомогне за ясното разграничаване на отговорността на всеки от съвместните администратори за незаконосъобразното разкриване на данните.

По тези съображения и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното

СТАНОВИЩЕ:

  1. Народното събрание, което отговаря за издаването на „Държавен вестник“, като официално издание на Република България, е администратор по отношение на личните данни, съдържащите се в официалните документи/актове, които са му предоставени за обнародване както в официалния, така и в неофициалния му раздел.
  2. Народното събрание, като издател на „Държавен вестник“ обаче, е длъжно да обнародва официалните документи/актове във вида, в който са му предоставени, без да взема решение за заличаването на личните данни, съдържащи се в тях. Това решение се взема единствено от органа/организацията, съставили/издали/приели съответния документ/акт, преди да бъде изпратен за обнародване съобразно целите и изискванията на относимото специално законодателство.
  3. Вземането на решението за заличаване на личните данни обуславя и отговорността на изпращача на документ/акт за обнародване, в качеството му на администратор.
  4. Констатираната нормативна празнота в ЗДВ и действителните фактически отношения между НС, като издател на ДВ, и съответния изпращач на документ/акт за обнародване, обуславят наличието на съвместност при обработването по чл. 26 от ОРЗД. Най-ясно проявление съвместността намира в режима за упражняването на права от страна на субектите на данни, тъй като в тази ситуация администраторите не могат да предприемат самостоятелно действия по удовлетворяване на исканията. Така на практика нито ДВ може сам да заличи данните без санкцията на изпращача, нито последният може да пристъпи към ефективни действия за заличаване, без съдействието на ДВ.
  5. Целесъобразно и необходимо е изменението и допълването на нормативната уредба да следва фактическите отношения, като при бъдещи промени на ЗДВ, следва да се предвидят разпоредби, които да:
  • Задължават изрично изпращачите на документи/актове за обнародване да заличават съдържащите се в тях лични данни, които не са относими към специфичните цели на обнародването.
  • Регламентират взаимодействието между ДВ и съответния изпращач на документа/акта при и по повод разглеждането на постъпили искания за упражняване на права от субектите на данни. В изпълнение на чл. 26, пар. 3 от ОРЗД субектът на данни може да упражнява своите права по отношение на всеки и срещу всеки от съвместните администратори.
  • Уреждат ангажиментите за предоставянето на информацията по чл. 13 и чл. 14 от ОРЗД.
  • Уреждат задълженията на всеки от съвместните администратори да подават уведомление за нарушение на сигурността на личните данни към съответния компетентен надзорен орган, както и да комуникират със субектите на данни при наличие на условията по чл. 34 от ОРЗД.
  1. До бъдещото изменение и допълнение на ЗДВ НС следва да въведе привременни мерки, които да отразяват фактическите отношения и произтичащата от тях необходимост за привеждане на дейността му в съответствие с ОРЗД.
  2. Изхождайки от принципа, че НС няма право да взема решения за заличаването на лични данни в изпратените за обнародване документи/актове, то може да въведе механизъм за предварителен контрол чрез изискване на потвърждение от изпращача за решението му относно подходящото заличаване на лични данни. Това може да стане чрез предварително изготвена бланка към съпроводителното писмо, в която ясно да се насочи вниманието на изпращача и да се изиска неговото активно действие, напр. чрез отбелязване дали документът/актът се обнародва в цялост или със заличени лични данни.

В случай че на етапа на техническата подготовка на текстовете ДВ има съмнение, че личните данни в документите/актовете, предоставени за обнародване, надхвърлят неговите цели, с оглед принципа на добросъвестност, следва да осъществи допълнителна комуникация с изпращача им, като поиска неговото изрично писмено решение/потвърждение.

С цел да осигури правната стабилност и сигурност на обнародването, този подход ще осигури и добросъвестността при обработването, както и отчетността, като основен принцип и задължение на администратора – НС. В същото време това ще спомогне за ясното разграничаване на отговорността на всеки от съвместните администратори при незаконосъобразно разкриване на данните.

 

 ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ:
      Венцислав Караджов /п/
       Цанко Цолов /п/
      Мария Матева /п/
      Веселин Целков /п/

 

[1] С решенията си Съдът на ЕС не решава националния спор. Националната юрисдикция трябва да се произнесе по делото в съответствие с решението на Съда на ЕС. Решенията на СЕС обвързват по същия начин останалите национални юрисдикции, когато са сезирани с подобен въпрос.

[2] т. 38 от Решение на Съда на ЕС от 11 януари 2024 година по дело C‑231/22 (État belge срещу Autorité de protection des données)

[3] т. 50 от Решение на Съда на ЕС от 11 януари 2024 година по дело C‑231/22 (État belge срещу Autorité de protection des données)

Търсене

Провери статус на преписка
Декември 2024
ПВСЧПСН
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
     
< Ное Яну >
Забравена парола?