Анализ и статистика на контролната и административно-наказателната дейност на КЗЛД

През отчетния период Комисията развива контролна дейност в следните направления:

• 
  анализира текущо дейността на администраторите за спазване на нормативните актове по защита на личните данни;
  
• 
  подпомага администраторите с консултации и указания по спазване на нормативните актове, по предприемане на мерки за защита на обработваните лични данни;
  
• 
  осъществява пряк контрол на администраторите на лични данни в публичния и частен сектор;
  
• 
  налага санкции по реда на ЗАНН за нарушаване на ЗЗЛД.
  

През 2012 г.:

Общ брой извършени проверки – 1 718, от тях:

предварителни – 1 616,

текущи – 71,

последващи – 32.

Съставени 1 673 бр. констативни акта, а 45 проверки са приключили само със съставянето на актове за установяване на административни нарушения.

За сравнение: през 2011 г. са приключени общо 1252 бр. проверки.

През 2012 г. КЗЛД продължи практиката по извършване на текущи проверки на администратори на лични данни с предмет на дейност в областта на хотелиерството. В резултат на извършените 36 проверки са съставени 5 констативни акта и 31 акта за установяване на административни нарушения.

Последващите проверки се извършват във връзка с изпълнение на решение или на задължително предписание на КЗЛД, както и по нейна инициатива, след подаден сигнал. През 2012 г. са извършени 32 бр. последващи проверки, срещу 27 бр. за 2011 г. Съставени са 19 констативни акта, издадени са 5 ЗП и са съставени 13 акта за установяване на административни нарушения.

Във връзка със специфичните условия, в които се обработват личните данни, е направено диференцирано разграничение по сектори. В изпълнение на своята дейност през 2012 г. Комисията извърши следните проверки по сектори:

През 2012 г. са разгледани 92 такива искания от физически лица и различни запитвания по актуални въпроси, касаещи правомощията на КЗЛД.

От разгледаните искания най-голям е делът на твърдения за нарушени права по ЗЗЛД в секторите: интернет (27 бр.), търговия и услуги (8 бр.), телекомуникации (5 бр.), пощенски услуги (5 бр.), избори (5 бр.), държавна администрация (4 бр.) и др. Значително по-малко са в туризъм, образование, съдебна власт, хазарт и др.

Като резултат от разглеждане на исканията са съставени 8 акта за установяване на административни нарушения, 3 искания са изпратени по компетентност на други органи, а 1 искане е прекратено поради непредоставяне на допълнителна информация. Съгласно Закона, на подателите са изпратени съответни отговори.

През 2012 г. са издадени ЗП на 16 администратори на лични данни, срещу 30 за 2011 г. Най-голям брой предписания са издадени в сферата на държавната администрация, следвани от финансов сектор и здравеопазване.

Най-често издадените предписания са свързани с констатации относно неизпълнение на задължението за предприемане на мерки по актуализиране на инструкцията по чл. 23, ал. 4 от ЗЗЛД във връзка с настъпили промени и определяне на конкретни мерки за осигуряване необходимото ниво на защита на личните данни. Важен момент в техническите и организационни мерки, които трябва да предприема АЛД, е неговото задължение, вменено с последното изменение на ЗЗЛД, обн. ДВ бр. 81 от 2011 г. да определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за тяхното заличаване.

Друго често срещано нарушение е свързано с нарушаване разпоредбите на Глава трета от ЗЗЛД, касаещи задълженията на АЛД по чл. 17, чл. 17б и чл. 18, ал. 3 за регистрация и/или актуализация в регистъра по чл. 10, ал. 1, т. 2 от ЗЗЛД.

През 2012 г. издадените ЗП са свързани със забрана за обработване на определени категории лични данни и нарушаване на разпоредбите на чл. 19 и чл. 20 от ЗЗЛД за информиране на физическите лица относно обработването на личните им данни.

От издадените ЗП - 7 АЛД са ги изпълнили в определените от Комисията срокове, а останалите 9 са в процес на изпълнение.

В изпълнение задължението си да осъществява цялостен контрол за спазване нормативните актове в областта на защитата на личните данни, през 2012 г. с актове за установяване на административни нарушения са установени 58 нарушения, въз основа на които председателят на КЗЛД е издал 52 наказателни постановления.

Най-често срещаното нарушение на ЗЗЛД е неизпълнение на задължението за актуализация на подадената информация по отношение на водените от АЛД регистри с лични данни. Нарушението се изразява в това, че администраторът обработва лични данни за целите на нов регистър, който не е заявен в КЗЛД и който не е вписан в регистъра по чл. 10, ал. 1 от ЗЗЛД.

На второ място при установените нарушения е липсата на инструкция по чл. 23, ал. 4 от ЗЗЛД, в която администраторът трябва да определи техническите и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

На следващо място е неизпълнение на задължението за регистрация по смисъла на чл. 17, както и чл. 17б от ЗЗЛД.

Често срещано е и нарушението на чл. 23, ал. 1 от ЗЗЛД, което се изразява в това, че администраторът не е предприел необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Издадени са 52 НП спрямо 32 бр. за 2011 г., като 9 НП са издадени въз основа на съставени актове за нарушения от 2011 г.

С издадените през 2012 г. НП са наложени глоби и имуществени санкции общо в размер на 161 600 лв. През 2012 г. НП са платени общо 67 000 лв. спрямо 57 000 лв. за 2011 г. Налице е трайна тенденция на увеличаване на влезлите в сила НП и постъпили суми.

През 2012 г.:

• 
  С мотивирани резолюции на председателя на КЗЛД е прекратено само едно административно-наказателно производство.
  
• 
  От издадените НП отменено от съда е 1 бр., 3 бр. са потвърдени, като по 2 от тях е постановено намаляване размера на санкцията.
  
• 
  От решените през 2012 г. в съдебна фаза дела по НП, издадени през 2010 и 2011 изцяло са отменени 4 бр. НП, потвърдени са 13 бр. НП, като по 8 от тях е постановено намаляване размера на санкцията. Предмет на съдебен контрол към момента са 32 бр. обжалвани НП.
  
• 
  Без да са обжалвани през 2012 г. са влезли в законна сила 8 бр. НП.
  

Посочените статистически данни показват увеличение на положителните резултати от административно-наказателната дейност по отношение на нейната ефективност и законосъобразност. Броят на отменените от съда НП на процесуално основание е сведен до минимум.

- Становища на КЗЛД по повод отправени искания за предоставяне на достъп до Национална база данни „Население”. В преобладаващия брой случаи администраторите на лични данни искат предоставяне на директен достъп до НБД „Население”. Исканията се мотивират с наличие на правен интерес. Постоянната практика на КЗЛД по поставените въпроси, свързани с искането за директен достъп до Национална база данни „Население” е, че следва да се направи разграничение между предоставянето на информация (данни) от НБД „Население” при доказан законов интерес и предоставянето на директен достъп до НБД „Население”.

- Становища на КЗЛД във връзка с отправени Заявления за достъп до обществена информация, касаещи основно информацията за получени възнаграждения от служители в органите на публичната и местната власт.

- През 2012 г. КЗЛД се произнесе и с обобщено становище във връзка със зачестилите сигнали и оплаквания на граждани срещу дейността на така наречените фирми за „Събиране на задължения”. В становището е анализирана практиката на КЗЛД при решаването на аналогични жалби, с които физически лица са сезирали Комисията за нарушаване на правата им по ЗЗЛД. Във връзка с обективната преценка на ситуацията е взета предвид и практиката на съда, в случаите, в които решенията на КЗЛД са обжалвани по съдебен ред.

Други интересни становища, с които КЗЛД се е произнесла през 2012 год., са становища по въпросите на помилването, становище по Закона за предотвратяване и установяване на конфликт на интереси, становище по повод искане от г-н Константин Пенчев – Омбудсман на Република България, по въпроси, касаещи „Софийска вода”АД и „Топлофикация София”ЕАД, становище във връзка със Закона за пряко участие на гражданите в държавната власт и местното самоуправление.
Искания за решения на трансфер на лични данни
През 2012 год. влязоха в сила изменения и допълнения в Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА), едни от които се отнасят до реда за осъществяване на трансфери на лични данни към трети държави. Съгласно чл. 53а от ПДКЗЛДНА, Комисията не се произнася с решение и администраторът може да предоставя лични данни в трета държава, когато е налице решение на Европейската комисия, с което тя се е произнесла, че:

- третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита, или

- определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

До влизане в сила на промените в Правилника, в Комисията за защита на личните данни са постъпили искания от администратори за разрешаване на трансфер на лични данни, във връзка с което през 2012 г. КЗЛД разгледа по стария ред тези искания за трансфери и се произнесе с 8 бр. решения. Може да се обобщи, че в своята цялост тези искания се отнасят до предоставянето на лични данни относно служители и клиенти на съответните администратори към трети държави – САЩ, Индия, Китайска Народна Република и др.

През 2012 год. Комисията за защита на личните данни издаде задължителни указания до задължените по Закона за електронните съобщения субекти относно запазването на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи. Задължителните указания се изготвиха с цел да се отговори на очакванията на Европейската комисия за предприемане на мерки за уеднаквяване на практиката в национален план в случаите на задържане на данни за целите на сигурността и наказателното производство. Това се изисква и предвид последствията и рисковете за вътрешния пазар, както и рисковете относно зачитане на правото на неприкосновеност на личния живот и защитата на личните данни. Страната ни трябва да продължи да гарантира чрез общи правила, че високите стандарти за съхраняване, извличане и използване на трафичните данни се поддържат последователно и законосъобразно. Задължителните указания се изпратиха до 160 заинтересовани страни в процеса по задържане и достъп до трафични данни, а именно: Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги; Главния прокурор на Република България; Председателя на Софийски градски съд; Председателите на районните съдилища в цялата страна; Комисията за регулиране на съобщения и Сдружението за електронни комуникации.
Реализирано обучение
В обучението, проведено от страна на КЗЛД, участие взеха администратори на лични данни от две групи – представители на публичния и на частния бизнес. Бяха проведени 9 обучителни семинара, от които 4 семинара с органи на местното самоуправление и местната администрация, 1 обучение за Съдебната власт, 1 обучение за Дипломатическия институт, 3 обучения за представители на търговски дружества (търговски банки). Общият брой на обучените е 462 администратори и обработващи на лични данни.

През 2012 г. КЗЛД подготви и подаде 2 проектни предложения по секторна програма „Леонардо да Винчи”, които бяха одобрени за финансиране. И по двата проекта Комисията си сътрудничи с чуждестранни надзорни органи по защита на данните – по проект „Обмяна на опит при провеждане на обучение в областта на защитата на личните данни” с органите на Република Полша и Федерална Република Германия, а по проект „Повишаване на осведомеността по въпросите свързани със защитата на личните данни на лицата работещи на пазара на труда в ЕС” – с надзорните органи на Хърватия, Чехия и Полша.

• 
  Пролетната конференция на Европейските органи по защита на личните данни, проведена в Люксембург през май 2012 г., на която ръководителите на европейските надзорни органи по защита на данните приемат резолюция относно реформата в европейската система за защита на данните.
  
• 
  На редовната годишна среща на органите за защита на личните данни за Централна и Източна Европа, която се проведе през месец май в гр. Киев, Украйна, е приветствано модернизирането на действащото европейско законодателство, наред с обсъждането на специфични въпроси, свързани с обработването и защитата на личните данни в рамките на масови мероприятия.
  
• 
  Модернизацията на европейското законодателство в областта на защита на данните е водещ мотив и на проведената през май 2012 г. в гр. Скопие международна конференция.
  

Развитието на информационните технологии за пренос и обработване на данни за различни цели и свързаните с това рискове пред защитата на личните данни, също намира централно място в настоящата законодателна реформа и е обстойно разисквано в редица международни форуми.

• 
  На проведеното през септември 2012 г. в Берлин заседание на Международната работна група в областта на телекомуникациите.
  
• 
  Възможностите на съвременните информационни технологии по отношението на автоматизираното събиране и обработване на лични данни в голям мащаб за целите на профилирането, много често без знанието на лицата, също е сред акцентите на проведената в Уругвай през октомври 34-та Международна конференция на органите по защита на данните и неприкосновеността под мотото „Неприкосновеност и технологии – в баланс”.
  
• 
  В контекста на защитата на личните данни в телекомуникациите, Комисията за защита на личните данни участва и в среща на Технологичната подгрупа на Работната група по чл. 29, организирана от Европейската агенция за мрежова и информационна сигурност (ENISA). Основната цел на организираната през октомври в Атина среща е обсъждане на методологията за преценка сериозността на нарушенията в сигурността на данните.
  
• 
  Защитата на информацията в онлайн пространството, международното взаимодействие при предотвратяване на кибер-престъпления, свързани с нарушаване сигурността на данните, и трансграничният характер на защитата на личните данни са част от дискутираните теми в рамките на проведената през ноември международна конференция за Защита на личните данни в Москва. По покана на Федералната служба за надзор в сферата на телекомуникациите, информационните технологии и масовите комуникации на Руската федерация (РОСКОМНАДЗОР), председателят на Комисията за защита на личните данни е лектор в първата сесия на конференцията – заседание на органите по защита на данните от 13 държави от Европейския съюз, Източна Европа, Централна Азия и Южна Америка, които представят своя национален опит при осъществяването на международно сътрудничество.
  
• 
  С оглед съвременните предизвикателства пред защитата на личните данни, Комисията бе отворена за контакти с представители на международния бизнес. Организирани са разговори с представители на Фейсбук и Майкрософт по въпроси, свързани с навлизането на облачните технологии и предвидените нови принципи за защита в онлайн пространството.
  

През 2012 година, основна част от взаимодействието на Комисията за защита на личните данни с надзорните органи на държавите-членки от Европейския съюз, се осъществи в рамките на Работната група по член 29 от Директива 95/46/ЕО. Работната група е основният форум за координирането на общи политики по въпросите, свързани с неприкосновеността на личния живот и защитата на личните данни.

В рамките на отчетния период, КЗЛД изпрати своя принос към Годишния отчет на Работната група по чл. 29 под формата на обобщена информация относно структурата и дейностите на Комисията, практиката на КЗЛД, трансфери на лични данни, въвеждане на Директива 2006/24/ЕО, обучение на администраторите на лични данни по прилагане на Закона за защита на личните данни и специфични казуси от практиката на КЗЛД.

На проведеното заседание на Комитета по член 31 от Директива 95/46/ЕО са обсъдени организационната структура и бъдещото функциониране на Комитета, като е приет проектът на становище на ЕК относно адекватното ниво на защита на данните в Нова Зеландия.

През 2012 г. Комисията за защита на личните данни участва в редовните заседания на Съвместните надзорни орган по Европол, Шенген, Митници и Работната група по полиция и правосъдие, както и на специализираните координационни групи за надзор на Евродак и Митническата информационна система.

Акцент в работата на Съвместния надзорен орган по Европол през годината е бъдещата стратегия за дейността на Европол. Въпроси от дневния ред на проведените през годината заседания са свързани с уеднаквяването на политиките за достъп до системата, проверката на звената, обработващи лични данни, връзка на Европол до останалите европейски бази данни по линия полицейското и международно сътрудничество и взаимодействието между отделните информационни системи, развитията по Споразумението със САЩ относно Програмата за проследяване на финансирането на тероризма, както и последните развития относно създаването на Европейски център за киберпрестъпленията. Във връзка с проучване на дейността на националните звена „Европол”, КЗЛД представи българския национален опит и информация относно приложимото национално законодателство.

Дискусиите в рамките на Съвместния надзорен орган по Шенген са концентрирани върху взаимодействието между правоприлагащите органи и достъпа до Шенгенската информационна система (ШИС), обработката и заличаването на информация, свързана с европейската заповед за арест, трудностите, произтичащи при подбирането на екип и организиране на проверките по Шенген, проблемите при прилагането на изискванията по отношение на предоставянето и получаването на информация от системите, състояние на преминаването от ШИС I+ към ШИС II. Освен оперативните въпроси, свързани с работата и контрола върху Шенгенската информационна система, са разгледани и въпроси, свързани с правото на достъп на физическите лица до лична информация в ШИС.

По отношение надзорните функции върху обработваните лични данни в Митническата информационна система (МИС), надзорната група концентрира усилията си върху създаването на работна рамка за защита на данните в МИС и изготвяне на справочник относно базата данни, съдържаща митнически идентификационни файлове. Дискутирани са различните обработки на лични данни в системата (съхраняване, задържане и други операции), кръгът от потребители, ползващи системата. Въпросът за правата на лицата по отношение на личните данни, съдържани в МИС, също е в полезрението на надзорната група с акцент върху работата по издаването на информационна брошура. Във връзка с проучване хода на въвеждане в националните законодателства на държавите-членки на ЕС на Решение 2009/917/ПВР относно използването на информационни технологии за митнически цели и на Рамково решение 2008/977/ПВР относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, КЗЛД представи подробна информация относно ситуацията в България.

Работата на Работната група по полиция и правосъдие през 2012 г. включва изготвянето на каталог за общи действия с другите групи от тази сфера, с фокус на дейността й върху международните и политически аспекти.

По отношение на Координационната група по надзор на Митническата информационна система, която се ръководи от Европейския надзорник по защита на данните, отново е третиран въпросът за правата на субектите на данни, както и изготвянето на оценка на въздействието по отношение оперирането на Митническата информационна система.

По линия на Европейския надзорник по защита на данните се провеждат и заседанията на Надзорната координационна група на системата ЕВРОДАК. През 2012 г. основни теми в работата на надзорната група са принципът за пропорционалност при събирането и трансфера на данни на бежанците, както и обработката на нечетливи отпечатъци. През 2012 г. е извършена проверка на Евродак и е изготвен проект на въпросник за одит по сигурността. Обсъждани са и промените в Регламента за Евродак.

През месец ноември, КЗЛД участва и в първото заседание на Координационната група за надзор на Визовата информационна система. Първото заседание на Групата премина в обсъждане на организационни и структурни въпроси. В рамките на заседанието, представители на Европейската комисия представят последни развития и редица добри практики на международно и междуинституционално взаимодействие във връзка с Визовата информационна система. Предоставена е и информация относно предстоящото стартиране на Европейска агенция за оперативното управление на широкомащабни информационни системи (базирана в Страсбург и Талин), която ще извършва операционното управление на системите ШИС, ВИС и Евродак и съдържа част за защита на данните.