СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №НДМСПО-17-723/2018 год.
гр. София, 22.02.2019г.
ОТНОСНО: Принципен подход на КЗЛД по отношение на представените за одобрение проекти на кодекси за поведение
Комисията за защита на личните данни (КЗЛД) в състав: Венцислав Караджов, Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на 15.02.2019г., при разглеждането на искане с вх. №НДМСПО-17-723#5/31.10.2018г. установи, че след започването на прилагането на Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните) на 25май 2018г., в КЗЛД са постъпили за одобрение 11проекта на кодекси за поведение по смисъла на чл.40 от Общия регламент. От тях 10 са върнати на вносителите поради констатирани пропуски и несъответствия с нормативните изисквания на чл.40 и чл.41 от на Регламент(ЕС) 2016/679 , както и с приетите и публикувани от КЗЛД критерии и процедури, а един от тях е все още в процедура по разглеждане. Впоследствие, в комисията са внесени за повторно разглеждане 4проекта на кодекси за поведение, в които според вносителите им са отразени направените от надзорния орган забележки и препоръки.
Законът за изменение и допълнение на Закона за защита на личните данни (ЗИД ЗЗЛД), приет на второ четене на 24.01.2019г., но все още необнародван, предвижда в чл.14а, че условията, редът и критериите за одобряване на кодексите за поведение ще се определят с Правилника за дейността на КЗЛД, а изискванията за акредитация на наблюдаващ орган в съответствие с чл.41 от Общия регламент ще бъдат разписани с наредба, приета от комисията.
При така описаната ситуация, е налице обективна пречка за формално одобряване на кодекси за поведение по реда на чл.40, пар.5 от Регламент(ЕС) 2016/679 . В същото време, предвид значителния обществен интерес към този важен инструмент за практическо прилагане на Общия регламент, илюстриран и от големия брой подадени проекти, е удачно да се установят възможностите за действие на КЗЛД с цел придаване на положителна динамика на процеса при пълно зачитане на актуалната нормативна рамка. В тази връзка КЗЛД приема принципен подход по отношение на представените за одобрение проекти на кодекси за поведение.
Правен анализ:
Кодекс за поведение по смисъла на Регламент(ЕС) 2016/679 е доброволен инструмент, който има за цел да улесни ефективното прилагане на регламента, както и да спомогне за доказването на факта на спазване на нормативните изисквания в съответствие с принципа за отчетност, като се отчитат особеностите на обработването на данни в определени сектори или професии. Той се изготвя за отделна категория администратори/обработващи лични данни (АЛД/ОЛД), по-специално ако същите принадлежат към един и същ сектор или бранш.
Общият регламент вменява на надзорните органи задължението да насърчават съставянето на кодекси за поведение, като се вземат предвид особеностите на обработването на данни в определени сектори и специфичните потребности на микропредприятията и малките и средните предприятия. Задължение на КЗЛД е да даде становище дали проект за кодекс, негово изменение или допълнение съответства на Регламента и да одобри този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции. Едновременно с това, КЗЛД има правомощието да акредитира орган за наблюдение на кодекс за поведение.
С цел създаване на улеснение при изготвянето на кодексите за поведение, през юли 2018г. КЗЛД прие и публикува критерии и процедури по одобряване на кодекси за поведение. Приетите критерии и процедури уточняват нормативните изисквания на регламента, за да се подпомогне еднаквото им разбиране и прилагане при изготвянето на кодекси за поведение. В допълнение, на 12.02.2019г. Европейският комитет за защита на данните (ЕКЗД) прие Насоки относно кодексите за поведение и наблюдаващите органи, като предстои обществено обсъждане на документа преди окончателното му приемане от комитета.
Елементите на процедурата по одобряване на кодекси за поведение, които изискват по-специално внимание, са следните:
На първо място, процедурата по одобряване на кодекс за поведение с обхват единствено на територията на една държава членка на ЕС се развива изцяло пред националния надзорен органбез да се налага прилагането на механизма за съгласуваност по Общия регламент (чл.40, пар.6 от регламента). В тази връзка следва да се отбележи, че всички представени пред КЗЛД проекти са с национален обхват и не предвиждат трансгранично обработване на лични данни.
На второ място, независимо, че Общият регламент не е напълно ясен по въпроса, категоричното разбиране както на ЕКЗД, така и на КЗЛД е, че наличието на акредитиран орган по наблюдение по смисъла на чл.41 от Регламент(ЕС) 2016/679 е задължително условие за окончателно одобряване на кодекс на поведение на непублични администратори или обработващи лични данни (conditio sine qua non). В същото време, по силата на чл.41, пар.3 от Общия регламент, проектокритериите за акредитацията на такъв орган следва да бъдат одобрени от ЕКЗД в съответствие с механизма за съгласуваност.
При тази ситуация, единствената възможност да се продължи работата по проектите на кодекси за поведение е КЗЛД да вземе отношение само по съдържанието на съответния кодекс, на основата на нормативните изискания в чл.40 от Регламент(ЕС) 2016/679 и критериите на КЗЛД, при отчитане и на Насоките на ЕКЗД, без да прави оценка на този етап на предложения наблюдаващ орган.
Като се има предвид, че производството по чл.40, пар. 5 от Регламента е двуфазно и включва на първи етап становище за съответствие с регламена и едва след това одобрение на акредитиран орган за наблюдение, поради липсата на необходимите нормативни условия за формално одобрение по смисъла на същия текст, актът на комисията би могъл да бъде само становище, не и решение. В същото време, последният етап от фактическия състав на одобрението – акредитиране на наблюдаващ орган, следва да бъде отложен до обнародването на наредбата по чл.14а от ЗИД ЗЗЛД и съгласуване на критериите от ЕКЗД по механизма за съгласуваност.
Ползите от подобен принципен подход се изразяват на първо място в осигуряването на положителна динамика на процеса, независимо от обективните нормативни ограничения. Разделянето във времето на процеса на одобряване на съдържанието на кодекса от процеса на акредитиране на наблюдаващ орган позволява по-добре разпределение на натоварването на експертния състав, ангажиран с процеса. Не на последно място, този подход осигурява по-голяма яснота за вносителите какво се очаква от тях и кога ще могат да се възползват изцяло от съответния кодекс.
С оглед гореизложеното и на основание чл.58, пар. 3, б.„г” от Регламент(ЕС) 2016/679, Комисията за защита на личните данни изрази следното
СТАНОВИЩЕ:
1. Независимо от обстоятелството, че ЗИД ЗЗЛД и предвидените от него подзаконови актове все още не са влезли в сила, Комисията за защита на личните данни продължава разглеждането на проекти на кодекси за поведение по смисъла на чл.40 от Регламент(ЕС) 2016/679, чиито териториален обхват е ограничен единствено до Република България и не включват трансгранично обработване на лични данни.
2. Като се има предвид, че производството по чл.40, пар.5 от Регламент(ЕС) 2016/679 е двуфазно, първоначалното становище ще бъде относимо единствено до съответствието на съдържанието на даден кодекс с Общия регламент.
3. При положително становище относно съответствието на съдържащите се в кодекса правила с изискванията на Регламент(ЕС) 2016/679, окончателното му одобрение с решение на КЗЛД по реда на чл.58, пар. 3, б.„г”, вр. чл.40, пар.5 от регламента, и съответно пълният му правен ефект като инструмент за демонстриране и доказване на съответствие с изискванията на приложимото законодателство в областта на защитата на личните данни и неприкосновеността, ще бъдат възможни само след акредитиране на орган за неговото наблюдение по реда на чл.41 от Общия регламент.
Гласували петима членове на КЗЛД– Венцислав Караджов, Цанко Цолов, Цветелин Софрониев, Мария Матева– за, Веселин Целков- против.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Цветелин Софрониев /п/ | ||
| Мария Матева /п/ | ||
| O.M. Веселин Целков /п/ |
