УКАЗАНИЯ ОТНОСНО ОБРАБОТВАНЕТО И ЗАЩИТАТА НА
ЛИЧНИТЕ ДАННИ В ИЗБОРНИЯ ПРОЦЕС
Приети съвместно от Централната избирателна комисия и Комисията за защита на личните данни, на основание чл. 57, ал. 1, т. 49 от Изборния кодекс
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В ИЗБОРНИЯ ПРОЦЕС
I. ОБЩИ ПОЛОЖЕНИЯ
От 25 май 2018 г. в Европейския съюз се прилагат нови правила за защита на личните данни. Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) е нормативният акт, който определя изискванията и задълженията на всички публични органи, частни дружества и физически лица – администратори на лични данни, свързани със защитата на личните данни при тяхното обработване.
Общият регламент отчита факта, че за целите на изборния процес, включително по време на предизборната дейност, политическите партии, компетентните институции и други структури събират и/или имат достъп до лични данни, включително за политическите възгледи на гражданите, които по правило се считат за чувствителни данни и подлежат на завишена защита. Застъпници, представители на партии и наблюдатели, а също и средствата за масово осведомяване, имат достъп и могат да обработват лични данни във връзка с ролята им в изборния процес. Поради тази причина настоящите указания целят да дадат насоки на всички участници в изборния процес относно приложимите правни норми и конкретните им права и задължения във връзка с обработването на лични данни.
Документът е изготвен въз основа на разпоредбите на Регламент (ЕС) 2016/679, Насоките на Европейската комисия относно прилагането на правото на Съюза в областта на защитата на данните в контекста на избори от 12.09.2018 г., както и практиката на Комисията за защита на личните данни (КЗЛД).
1. Приложимо законодателство
Обработването на лични данни в изборния процес следва да е съобразено с няколко нормативни акта:
На първо място, Регламент (ЕС) 2016/679 (Регламента) е пряко приложим и задължителен в своята цялост. Мерките за неговото изпълнение се въвеждат със Закона за защита на личните данни.
Изборният кодекс урежда изрично правата и задълженията на всички участници в изборния процес– политически партии, коалиции от партии, инициативни комитети, кандидати, представители, застъпници, наблюдатели, представители на средствата за масово осведомяване и избирателни комисии в различните видове избори.
Обработването на лични данни в изборния процес се извършва при спазване правилата на Регламент (ЕС) 2016/679 при отчитане спецификата на изборния процес и приложимото към него законодателство.
2. Администратори, обработващи лични данни и лица, които обработват лични данни в изборния процес по указания на администратора.
От съществено значение за правилното разбиране и спазване на изискванията за защита на личните данни е определянето на ролята на всеки един от участниците в изборния процес от гледна точка на Общия регламент.
Съгласно Регламент (ЕС) 2016/679, „администратор на лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Администраторът, както и целите и средствата за обработване, могат да бъдат определени от правото на ЕС или законодателството на Република България (чл. 4, т. 7 от Общия регламент), какъвто е случая с обработване на лични данни в изборния процес.
Качеството администратор е пряко следствие от обстоятелството, че конкретно юридическо или физическо лице или друга структура (напр. инициативен комитет, гражданско сдружение и др.) обработва лични данни за цели, които са регламентирани с нормативен акт (напр. по силата на ИК, за целите на финансовото отчитане, за изготвяне на списък с дарителите при спазване на ограниченията за физически лица и др.).Качеството администратор се придобива и ако съответните субекти сами са избрали да обработват лични данни за други свои законни цели, независимо дали са пряко свързани с избори (в изпълнение на договор, обработване на лични данни при спазване изискванията на Кодекса на труда, за счетоводни цели илиосъществяване на видеонаблюдение с цел охрана и т.н).
Общият регламент вменява на администратора определен кръг от задължения. Той трябва да предприеме подходящи технически и организационни мерки, свързани със сигурността на данните, като вземе предвид естеството, обхвата, контекста и целите на обработването на данните, както и съществуващите рискове за правата и свободите на субектите на данните. Освен това, съгласно принципа за отчетност, администраторът следва във всеки един момент да бъде способен да докаже, че спазва изискванията, залегнали в Регламента, т.е. да документира извършените от него действия по обработване на лични данни.
Регламент (ЕС) 2016/679 въвежда и понятието „обработващ лични данни“. Съгласно дефиницията, обработващ е всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (чл. 4, т. 8 от Общия регламент)
Основната разлика между администратор и обработващ се състои в това, че вторият действа не самостоятелно, а от името на администратора на лични данни. Техните отношения се уреждат с договор или друг правен акт (примерно: споразумението за създаване на коалиция от партии), който регламентира предмета, срока на действията по обработването, естеството и целта на обработването, вида лични данни и задълженията и правата на администратора, вкл. да извършва проверки за спазване на изискванията за обработване на лични данни. Общият регламент въвежда и специфични задължения за обработващия данните, които не се ограничават само и единствено до осигуряване на сигурност на данните. Така например, той е длъжен да обработва лични данни само по документално (писмено или доказуемо по друг начин) нареждане от страна на администратора. В случаите, когато е необходимо привличането на друг обработващ данните, това става само с изричното писмено съгласие на администратора.В допълнение, с оглед още по-голяма яснота, Регламентът изрично предвижда, ако обработващият започне сам да определя целите и средствата на обработване, той автоматично започва да се счита за самостоятелен администратор и носи съответната отговорност. За разлика от стария режим, Регламентът въвежда солидарна отговорност за администратора и обработващия за нарушения при обработване на лични данни. Това означава, че физическото лице, чиито лични данни са незаконосъобразно обработени, може да насочи претенцията си към всеки един от тях по свой избор.
Разпределението на ролите и отговорностите между администратора и обработващия се преценява във всеки отделен случай. То не е правна формалност и има за цел да гарантира, че обработването на лични данни протича в съответствие с изискванията на Регламента и съответно осигурява защита на правата на физическите лица – субекти на данни.
Предвид горното, основните участници в изборния процес имат следните роли и отговорности по отношение обработването на лични данни:
• Партии– те са основни участници в изборния процес. Целите и средствата за обработване на лични данни от политическите партии са определени от закона или самостоятелно от тях и следователно те имат качеството на администратори на лични данни.
• Коалиции– коалицията от партии би могла да бъде самостоятелен администратор на лични данни в случаите, когато тя съществува трайно във времето като самостоятелен субект и в нея са налице работещи и устойчиви механизми за вземане на решения, имащи отношение към обработването на лични данни. Тези механизми следва да се определят със сключване на коалиционно споразумение. В него може да се определи, че само един или няколко от членовете на коалицията обработват лични данни за целите на регистрацията на коалицията или за целите на коалицията изобщо. В последния случай, коалицията, в качеството й на администратор на лични данни, следва да упражнява вътрешен контрол върху обработващите членове на коалицията, тъй като отговорността е за коалицията като субект.
Разпределението на ролите в рамките на дадена коалиция е различно в периода преди и след нейната регистрация в ЦИК:
– в периода от сключването на коалиционното споразумение до влизане в сила на решението за регистрация на коалицията, партиите в нея имат качеството на съвместни администратори и споделят солидарна отговорност при обработването на лични данни по смисъла на чл. 26 от Общия регламент, дори и в коалиционното споразумение да е предвидено друго;
– от момента на възникване на коалицията, т.е. след влизане в сила на решението на ЦИК, тя придобива качеството на самостоятелен администратор.
В случай, че коалицията престане да съществува в правния мир или настъпят изменения в първоначалния ѝ вид (смяна на наименование, смяна на състава на членовете и т.н.), членувалите в нея партии се явяват съвместни администратори по смисъла на чл. 26 от Общия регламент по отношение на всички операции по обработване на лични данни, извършени през периода на съществуването ѝ, дори и в коалиционният договор да е предвидено друго, тъй като нормата на чл. 26 от Регламента е императивна. В тази хипотеза субектът на данни може да упражни своите права, съответно КЗЛД може да насочи санкционните си правомощия по Общия регламент, срещу всяка една от партиите в коалицията (чл. 26, параграф 3 от Регламент (ЕС) 2016/679).
• Инициативни комитети– Инициативнитекомитети издигат кандидати за народни представители, президент и вицепрезидент, кметове и общински съветници. Инициативните комитети съгласно Изборния кодекс нямат трайно съществуване след приключване на изборите от съответния вид. Поради тази причина ИК определя като администратори на лични данни членовете на инициативния комитет.
Всеки член на инициативния комитет, който заверява с подписа си списъка с лични данни на избирателите и носи лична отговорност за обработването и съхранението на данните, включително и когато не събира подписите лично, а с посредничеството на трети лица.
Отговорността за обработване на данните от списъците остава в инициативния комитет и неговите членове и след като списъците са предадени в ЦИК.
Във всички останали действия, извън списъците за регистрация, членовете на инициативния комитет имат качеството на съвместни администратори по смисъла на чл. 26 от Общия регламент– включително при работа със социологически агенции, социални медии, застъпници и т.н. Това остава валидно и след преустановяване на съществуването на инициативния комитет, включително при заличаване на регистрацията му по чл. 155 от ИК. В случай на жалба или сигнал физическите лица– негови членове, продължават да се разглеждат като съвместни администратори.
• Избирателни комисии– Централната избирателна комисия (ЦИК), районните избирателни комисии (РИК), секционните избирателни комисии (СИК) в страната и извън нея, а в хипотезата на местни избори – общинските избирателни комисии (ОИК), са самостоятелни администратори на лични данни, определени от националното законодателство.
• Частноправни субекти– в изборния процес участват в една или друга форма и частноправни субекти, – медии, социологически агенции, рекламни компании, социални медии и др. С оглед конкретната им роля и правоотношения с останалите участници и изборния процес, те биха могли да бъдат самостоятелни администратори на лични данни (напр. печатна или електронна медия, отразяваща предизборната кампания) или обработващи лични данни (напр. „Информационна обслужване“ АД като обработващ данните от гласуването, рекламни компании, които обработват лични данни от името на политическа партия и по нейно документирано нареждане за целите на предизборна агитация; социологически агенции, извършващи таргетирано проучване на избиратели на базата на предварително предоставени от политическия субект лични данни и др).
• Други публични органи, имащи задачи и правомощия по силата на Изборния кодекс, са органите на местното самоуправление, органи на изпълнителната власт (МВР, МРРБ и др.), други институции (МВнР, съответно дипломатически и консулски представителства; Министерството на правосъдието, съответно местата за лишаване от свобода и за задържане, и др.). По правило те също се явяват самостоятелни администратори на лични данни, при които целите и средствата за обработване в рамките на изборния процес са определени от законодателството на Република България.
• Застъпници, наблюдатели и представители на политически парии и коалиции и инициативни комитети. Тези участници в изборния процес обработват лични данни на основание чл. 29 от Общия регламент, т.е. явяват се лица действащи под ръководството на посочените по-горе администратори и имат достъп до личните данни.Те нямат качеството на администратори или обработващи лични данни. Правата и задълженията им по отношение обработване на личните данни са ограничени, доколкото правата и задълженията им в изборния процес са изчерпателно и лимитативно изброени. Случаите, когато тези субекти обработват лични данни са изрично определени в ИК ( право на пряка видимост при установяване на резултатите от гласуването, право на получаване на копие от секционния протокол и др.). При обработване на лични данни тези субекти не могат да излизат извън предвидените в ИК права и задължения.
• Средства за масово осведомяване. Те обработват законосъобразно лични данни за осъществяване на свободата на изразяване и правото на информация при зачитане на неприкосновеността на личния живот (чл. 25з, ал. 1 ЗЗЛД). Медиите като средства за масово осведомяване са администратори по смисъла на Общия регламент. Журналистите и операторите, които са служители на медия действат по указания на администратора по смисъла на чл. 29 от Общия регламент и не носят самостоятелна отговорност като администратори или обработващи на лични данни. В случаите когато тези журналисти, видео оператори или фотографи са лица на свободна практика и сами определят целите и средствата за обработване на лични данни (не действат от името и по указания на администратор на лични данни), те придобиват качеството на администратор или обработващ, с произтичащите от това задължения и отговорности. Тези субекти обработват лични данни само и единствено за упражняване на правата им при откриване на изборния ден– чл. 230, ал. 1 ИК, и при отваряне на избирателните кутии– чл. 272 ИК. С оглед на техния предмет на дейност да предоставят информация при спазване принципа на свобода на изразяване медиите обработват лични данни, вкл. чрез видеозаснемане при зачитане неприкосновеността на личния живот на физическите лица и при спазване тайната на вота.
II. УКАЗАНИЯ КЪМ АДМИНИСТРАТОРИТЕ НА ЛИЧНИ ДАННИ
1. Отпаднало задължение за регистрация в КЗЛД
Считано от 25 май 2018 г., когато започна да се прилага Регламент (ЕС) 2016/679, отпадна задължението за всички администратори на лични данни да се регистрират в КЗЛД. То бе заменено от изискването за спазване на принципа на отчетност, включително чрез изготвяне и поддържане на вътрешна документация, по-специално на регистър на дейностите по обработване на лични данни по чл. 30 от Общия регламент.
2. Принципи на обработване на лични данни
Всички участници в изборния процес, независимо дали са публични органи или частно правни субекти, са задължени да обработват лични данни в съответствие с принципите по чл. 5 от Регламент (ЕС) 2016/679:
•Законосъобразност, добросъвестност и прозрачност;
• Ограничение на целите– събраните данни се обработват само за целта, за която са събрани (напр. лични данни, събрани за целите на сключване на трудов или граждански договор или за предоставяне на стоки и услуги, не могат да бъдат използвани за целите на списъка за регистрация или за предизборна агитация);
• Свеждане на данните до минимум– целта следва да бъде постигната с минимално необходимите за това лични данни (напр. личните данни, събрани за целите на регистрация в ЦИК, не може да са повече от определените в ИК);
• Ограничение на срока на съхранение– данните не могат да се обработват след като е отпаднало основанието за тяхното обработване;
• Точност, цялостност и поверителност (напр. за да се гарантира, че се обработват коректни данни, с последните изменения и допълнения в ИК се предвиди извършване на проверка на самоличността на лицето, положило подпис в списъка за регистрация);
• Отчетност– ясно документиране на предприетите действия по обработване на данните.
3. Правни основания за обработване на лични данни
Обработването на лични данни от администратори на лични данни както в публичната, така и в частната сфера, е законосъобразно само ако е налице някое от правните основания, изчерпателно изброени в чл. 6, параграф 1 от Регламент (ЕС) 2016/679:
• съгласие;
• сключване или изпълнение на договор;
• законово задължение за администратора;
• защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
• изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
• легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).
Важно е да се има предвид, че когато личните данни са събрани или по друг начин обработени по силата на нормативен акт, като например Изборния кодекс, не е нужно и не следва да се изисква съгласие на субектите на данни. Такива хипотези са съставянето, обявяването и публикуването на избирателните списъци, удостоверяването на самоличността на гласоподавателя от СИК и отразяването на гласуването му и т.н.
Съществуват и случаи, при които съгласието е основното или единственото възможно основание за обработване на лични данни, като например при събиране на подписи в подкрепа на регистрация на политически субект в съответният вид избор, провеждане на социологически проучвания или изпращане на персонални електронни съобщения от политически субект или наета от него фирма по електронна поща, телефонни обаждания, кратки съобщения (SMS) или факс с цел предизборна агитация. Когато съгласието се използва като правно основание, Общият регламент изисква то да бъде дадено посредством ясно потвърждаващо действие и да е свободно изразено и информирано. Във всички случай, следва да е ясно указана възможността на субекта да оттегли по всяко време своето съгласие. Липсата на такава възможност е нарушение на правилата за обработване на лични данни. В същото време съгласно Общият регламент оттеглянето на съгласието има действие само за напред и не засяга законосъобразността на обработването преди това.
4. Обработване на „чувствителни“ лични данни
Определени категории лични данни по своето естество са особено чувствителни от гледна точка на основните права и свободи на лицата и за тях е предвидена специална защита. Към тях спадат и политическите възгледи (чл. 9, параграф 1 от Регламент (ЕС) 2016/679). Тяхното обработване е допустимо само ако е налице някое от условията по чл. 9, параграф 2 от Общия регламент.
Съгласно чл. 9, пар. 2, б. „г“ от Регламент (ЕС) 2016/679 политическите партии могат да обработват подобни чувствителни данни при наличие на подходящи гаранции и ако са спазени едновременно следните условия:
– обработването е свързано единствено с членовете или бившите членове на партията или с лица, които поддържат редовни контакти с нея във връзка с дейността и целите ѝ;
– личните данни не се разкриват на трети лица без съгласието на субектите на данните.
Тази разпоредба обаче не може да се използва от политическа партия да обработва данни на потенциални членове, симпатизанти или избиратели, тъй като в случая липсва ясна и трайна обвързаност с политическия субект. В тези случаи следва да е налице друго валидно правно основание, като напр. изрично съгласие на субекта на данни.
В контекста на изборите основното правно основание за обработване на чувствителни данни е наличието на важен обществен интерес, на основание правото на ЕС или законодателството на Република България (Конституцията, Изборния кодекс), който е пропорционален на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните (чл. 9, пар. 2, б. „ж“ от Регламент (ЕС) 2016/679).
Други възможни основания са лицето да е дало изричното си съгласие или да е направило данните обществено достояние (чл. 9, пар. 2, б. „а“ и б. „д“ от Регламент (ЕС) 2016/679).
5. Срокове на съхранение на личните данни
Съгласно общият принцип на „ограничение на съхранението“ в чл. 5, параграф 1, б. „д“ от Общия регламент, личните данни следва да се съхраняват за срок не по-дълъг от необходимото за постигане на целите, за които те се обработват, след което следва да бъдат изтрити.
По правило, сроковете за съхранение на лични данни, събрани за целите на съответните избори или референдум, са определени в Изборния кодекс (напр. чл. 135 и чл. 142 от ИК) и всички администратори на лични данни, участващи в изборния процес, са длъжни да се съобразяват с тях.
В определени случаи данните могат да бъдат съхранявани и за по-дълъг срок, когато това е оправдано от обществен интерес или легитимен интерес на администратора, който надделява над интересите на субекта на данни. Подобни хипотези са:
• установяването, упражняването или защитата на правни претенции– например законосъобразно и пропорционално би било съответният администратор– участник в изборния процес, да съхрани личните данни при подаване на жалба до приключване на съответното административно или съдебно производство;
• за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели– при осигуряване на достатъчно гаранции за защита на правата на субектите на данни, напр. чрез анонимизация на данните (подобна хипотеза е например изготвянето на вътрешнопартийна статистика за резултатите от изборите по изборни райони);
• за упражняване на правото на свобода на изразяването и правото на информация– по принцип от това основание за съхранение могат да се възползват медиите, които отразяват изборния процес.
6. Сигурност на данните
Сигурността е от особено значение в контекста на изборите, предвид големия обем от лични данни, които се обработват и чувствителния им характер. Общият регламент изисква както от администраторите, така и от обработващите лични данни да прилагат подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съобразено с рисковете, които обработването поражда за правата и свободите на физическите лица.
Регламентът въвежда задължение за администраторите на лични данни да уведомят КЗЛД за нарушения на сигурността на личните данни в срок от 72 часа. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът трябва да предприеме действия да информира и лицата, засегнати от това нарушение.
7. Информираност на субектите на данни
Принципите на добросъвестно и прозрачно обработване изискват физическите лица да бъдат информирани за съществуването на операции по обработване на личните им данни и за техните цели. Общият регламент изяснява задълженията на администраторите на лични данни в това отношение. Те трябва да информират лицата относно ключови аспекти, свързани с обработването на личните им данни, като например:
• идентифициране на администратора на лични данни– наименование и начин за контакт;
• какви категории лични данни се обработват (само в случаите ако данните не са събрани пряко от лицето);
• за какви цели се обработват (определените от ИК или от самия администратор);
• категориите получатели на лични данни (ЦИК, РИК, ОИК, СИК, Сметната палата, областна администрация и т.н..);
• срока за съхранение на данните;
• съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването или възражение срещу обработването) и реда за упражняването им;
• правото на субектите на данни да подадатжалба до КЗЛД или до съда;
• дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;
• (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.
• всяка друга информация, необходима за осигуряване на добросъвестно и прозрачно обработване.
Освен това Общият регламент относно защитата на данните изисква информацията да се предоставя в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и разбираем език. Информация трябва да се предоставя на лицата на всеки етап от обработването, а не само при събирането на данните.
Общият регламент допуска и изключения от задължението за предоставяне на информация, по-специално когато:
• субектът на данните вече разполага с информацията;
• предоставянето на такава информация е невъзможно или изисква несъразмерно големи усилия (напр. предоставяне на нова или допълнителна информация на лицата, подписали се в списъка за регистрация);
• получаването или разкриването на личните данни е изрично разрешено от правото на ЕС или законодателството на Република България (напр. публикуване на избирателните списъци, предоставяне на данните на КЗЛД или на съответния съд и др.).
8. Права на субектите на данни
Регламент (ЕС) 2016/679 предоставя на физическите лица допълнителни и засилени права, сред които в контекста на избори особено релевантни са:
• правото на достъп до собствените им лични данни, обработвани от администратора или обработващия лични данни;
• правото да поискат заличаване на техните лични данни, ако обработването се основава на съгласие и съгласието е оттеглено, ако данните повече не са необходими или ако обработването е незаконосъобразно. Оттеглянето на съгласието има действие за в бъдеще, следователно обработването преди този момент остава законосъобразно;
• правото на коригиране на неверни, неточни или непълни лични данни;
• правото на възражение срещу конкретна форма на обработване от политически субект (напр. данни събрани в списъка за регистрация, се обработват за друга цел като предизборна агитация);
• правото на жалба до КЗЛД или директно до компетентния съд.
Следва обаче да се има предвид, че правата на субектите на данните не са абсолютни и следва да бъдат съотнесени и балансирани с правата на другите засегнати лица, както и с обществения интерес, когато това е приложимо. Така например, администраторът на лични данни би могъл откаже да уважи искане за изтриване (право „да бъдеш забравен“), ако личните данни са необходими:
• за спазване на правно задължение, предвидено в правото на ЕС или законодателството на Република България (напр. в Изборния кодекс), или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора (ЦИК, РИК, общинска и областна администрация, МВР, МВнР и пр.);
• за установяването, упражняването или защитата на правни претенции (напр. за защита на администратора при жалба срещу него в КЗЛД или в съда);
• за упражняване на правото на свобода на изразяването и правото на информация (медии и др.).
ЦИК и всички ангажирани в изборния процес администратори на лични данни трябва да информират субектите на данни/избирателите как могат да упражнят описаните по-горе права.
9. Обработване на лични данни чрез видеозаснемане и/или разпространение (запис и/или предаване на живо)
Средствата за масово осведомяване обработват лични данни чрез видеозаснемане и/или разпространение само в хипотезите на чл. 230, чл. 232 и чл. 272 ИК (при откриване на изборния ден, закриване на изборния ден, и установяване на резултатите от гласуването), както и при теглене на жребий за определяне на поредните номера в бюлетините. Видеозаснемането/разпространението се извършва след легитимация, при спазване на указанията на председателя на СИК и по начин, който не пречи на гласуването и установяването на изборните резултати.
Целта за обработване на лични данни в изборния процес чрез видеозаснемане и/или разпространение е гарантиране на прозрачност, обективност, законосъобразност на изборния процес,равнопоставеност на субектите в него и осигуряване свободата на изразяване и правото на информация.
При обработване на личния данни в изборния процес, средствата за масово осведомяване, фотографите, журналистите и видеооператорите на свободна практика спазват правилата и принципите на Регламент (ЕС) 2016/679 и ЗЗЛД и носят отговорността, предвидена в тях.
Всички останали участници в изборния процес не могат да обработват лични данни чрез видеозаснемане и/или разпространение поради несъвместимост на ролята им в изборния процес с целта на обработване на лични данни чрез видеозаснемане в изборния процес. Функциите и ролите на тези участници в изборния процес са изрично и лимитативно определени в ИК.
10. Санкции за нарушения на правилата за защита на данните
10.1. Санкции на национално ниво
Регламент (ЕС) 2016/679 предвижда много високи административни наказания за нарушения на правилата за защита на личните данни, достигащи до 20 милиона евро. Важно е да се знае, че преди да наложи „глоба“ на администратор или обработващ – физическо лице, или „имуществена санкция“ на администратор или обработващ– юридическо лице, КЗЛД преценява редица фактори и обстоятелства, включително:
• естеството, тежестта и продължителността на нарушението, като взема предвид обхвата и целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
• дали нарушението е извършено умишлено или по небрежност;
• действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;
• степента на отговорност на администратора или обработващия лични данни като се вземат предвид техническите и организационните мерки, предприети от него;
• предишни нарушения, извършени от администратора или обработващия лични данни;
• степента на сътрудничество с КЗЛД с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;
• начина, по който нарушението е станало известно на надзорния орган, по-специално дали администраторът или обработващият лични данни сам е уведомил за нарушението;
• други утежняващи или смекчаващи фактори, приложими към случая.
10.2. Санкции на ниво ЕС
Регламент № 1141/2014 на Европейския парламент и на Съвета от 22 октомври 2014г. относно статута и финансирането на европейските политически партии и на европейските политически фондации има за цел да повиши видимостта, признаването, ефективността, прозрачността и отчетността на европейските политически партии и свързаните с тях политически фондации. С него на ниво ЕС е създаден независим Орган за европейските политически партии и фондации, натоварен с регистрирането, наблюдението и при необходимост санкционирането на европейските политически партии и фондации.
III. ДОПЪЛНИТЕЛНИ НАСОКИ ОТ СТРАНА НА ЕВРОПЕЙСКАТА КОМИСИЯ
През септември 2018 г. Европейската комисия публикува Насоки на Комисията относно прилагането на правото на Съюза в областта на защитата на данните в контекста на избори, в които формулира някои допълнителни задължения за политическите партии и останалите участници в изборния процес. Тези нови ангажименти произтичат от Общият регламент относно защитата на данните, както и от рисковете, свързани с използването на нови технологии.
1. Използване на профилиране, автоматично вземане на решения и социални мрежи
Съгласно Общия регламент, „профилирането“ е форма на автоматизирано обработване на данни, свързани с физическо лице, която се използва за анализиране и прогнозиране на определени лични аспекти на лицето, като например лични предпочитания, интереси, икономическо състояние, поведение и др. (чл. 4, т. 4 от Общия регламент).
Автоматизирано вземане на решение“ по смисъла на Общия регламент означава приемане на решение от администратор на лични данни, основаващо се единствено на автоматизирано обработване на данни, включително профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен (чл. 22 от Общия регламент).
Динамичното развитие на технологиите и все по-широкото използване на различни алгоритми, вкл. изкуствен интелект, създават възможности за безпрецедентно по обем и дълбочина навлизане в личното пространство и личната неприкосновеност на физическите лица. Случаят с Cambridge Analytica и Фейсбук разкри особените предизвикателства, свързани с методите за микротаргетиране в социалните медии. Както търговски, така и политически организации могат да извършат интелигентен анализ на данните, събирани чрез потребители на социални медии, за да създават профили на избиратели. Това би позволило на тези организации да набележат избиратели, върху които може по-лесно да се влияе, а оттам и да влияят върху резултатите от изборите.
По принцип, Регламент (ЕС) 2016/679 не забранява използването на профилиране и автоматизираното вземане на решение, но предвид високото ниво на риск, което тези форми на обработване създават за правата и свободите на физическите лица, са предвидени завишени изискания и специфични задължения за администраторите на лични данни, както и конкретни права на субектите на данни.
Автоматизираното вземане на решения и профилирането на базата на специални категории лични данни, включително политически възгледи, е обект на още по-строги условия, а именно наличие на изрично съгласие на субекта на данни или на важен обществен интерес на основание правото на ЕС или законодателството на Република България, който е пропорционален на преследваната цел.
Предвид липсата на правна регламентация на подобни форми на обработване на лични данни в изборното законодателство и на подходящи и ефективни гаранции за правата и свободите на физическите лица, евентуалното използване на профилиране и автоматично вземане на решения в изборния процес в Република България би било високо рисково обработване на лични данни и при неспазване на завишените условия за обработване на лични данни ще е в противоречие с правилата за обработване на данните.
2. Оценка на въздействието върху защитата на данните
Регламент (ЕС) 2016/679 въвежда ново задължение за администраторите на лични данни, включително за тези, които участват в изборния процес – оценка на въздействието върху защитата на личните данни на определени операции по обработване. Такава оценка задължително се извършва, когато съществува вероятност определен вид обработване, предвид неговото естество, обхват, контекст и цели, да породи висок риск за правата и свободите на физическите лица (чл. 35, параграф 1 от Регламент (ЕС) 2016/679).
Насоките на Европейската комисия относно прилагането на правото на Съюза в областта на защитата на данните в контекста на избори налагат на всички политически партии и други участници в изборите да осъществят такава оценка на въздействието върху защитата на данните.
Оценката на въздействието следва да съдържа най-малко:
• системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;
• оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
• оценка на рисковете за правата и свободите на субектите на данни; и
• мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на Регламента, като се вземат предвид правата и законните интереси на субектите на данни и на другите заинтересовани лица.
Общият регламент приема, че една от хипотезите, когато подобен висок риск е налице, е мащабното обработване на специални категории данни, към които спадат и политическите убеждения.
Допустимо изключение от задължението за извършване на оценка на въздействието е ако обработването се извършва в изпълнение на законово задължение или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, и вече е извършена подобна оценка като част от общата оценка на въздействието в контекста на приемането на съответния нормативен акт (чл. 35, параграф 10 от Регламент (ЕС) 2016/679). В тази връзка може да се приеме, че ЦИК и другите избирателни комисии, както и останалите публични органи с конкретни задължения по провеждане на изборите, попадат в изключението и не следват да извършват оценка на въздействието върху защитата на личните данни. Другите участници в изборния процес, включително партиите, не са освободени от това задължение.
3. Директен маркетинг и непоискани търговски съобщения
За разлика от предходни избори, Общият регламент разглежда изпращането на персонални електронни съобщения по електронна поща, телефонни обаждания, кратки съобщения (SMS) или факс като директен маркетинг. Европейската комисия предвижда завишени изискванията спрямо този тип обработване на лични данни и ги приравнява на „непоискани търговски съобщения“ по смисъла на чл. 6 от Закона за електронната търговия, съответно на чл. 261 от Закона за електронните съобщения. За този тип съобщения се изисква предварителното съгласие на лицето, включително в случаите, когато те са изпратени с цел предизборна агитация по реда на чл. 181 от Изборния кодекс. Политическите партии трябва да спазват общите правила относно директния маркетинг и непоисканите търговски съобщения и да предоставят лесна и ефективна възможност за отказ от получаване на подобни съобщения, съответно за оттегляне на съгласието на лицето, чрез изпращане на съобщение на електронна поща, с кратко съобщение, чрез използване на „връзка“ към електронна страница или друг подходящ начин.
публикувано на 12.02.2021 г.
