Защита на личните данни  

Защитата на личните данни и зачитането на правото на личен живот са важни основни права. Европейският парламент винаги е настоявал за необходимостта от намиране на баланс между засилването на сигурността и защитата на правата на човека, в т.ч. защитата на личните данни и личния живот. Новите правила на ЕС за защита на данните, които укрепват основните права на гражданите и опростяват правилата, приложими за дружествата в цифровата епоха, влязоха в сила през май 2018 г.

Правно основание  

Член 16 от Договора за функционирането на Европейския съюз (ДФЕС);

Членове 7 и 8 от Хартата на основните права на ЕС.

Цели  

Съюзът трябва да гарантира последователното прилагане на основното право на защита на данните, заложено в Хартата на основните права на ЕС. Необходимо е да се затвърди позицията на ЕС относно защитата на личните данни на физическите лица в контекста на всички политики на ЕС, включително по отношение на правоприлагането и превенцията на престъпността, както и в международните отношения, особено в световно общество, характеризиращо се с резки технологични промени.

Постижения  

A. Институционална рамка

1. Договорът от Лисабон

Преди влизането в сила на Договора от Лисабон законодателството в областта на пространството на свобода, сигурност и правосъдие беше разделено между първия стълб (защита на данните за лична или търговска цел чрез използване на метода на Общността) и третия стълб (защита на данните за целите на правоприлагането, на междуправителствено равнище). Оттук и процесът на вземане на решения следваше два различни набора правила. Структурата на стълбовете изчезна с Договора от Лисабон, който предоставя по-стабилна основа за развитието на по-ясна и по-ефективна система за защита на данните, като същевременно предвижда нови правомощия за Европейския парламент, който става съзаконодател. Член 16 от ДФЕС постановява, че Парламентът и Съветът определят правилата за защита на физическите лица по отношение на обработката на личните данни от страна на институциите, органите, службите и агенциите на Съюза, както и от държавите членки при извършване на дейности, които попадат в обхвата на правото на Съюза.

2. Стратегическите насоки за пространството на свобода, сигурност и правосъдие

След програмите от Тампере и Хага (съответно от октомври 1999 г. и ноември 2004 г.) през декември 2009 г. Европейският съвет одобри многогодишната програма за пространството на свобода, сигурност и правосъдие за периода 2010 – 2014 г.: В заключенията си от юни 2014 г. Европейският съвет определи стратегическите насоки за законодателното и оперативното планиране за идните години в рамките на пространството на свобода, сигурност и правосъдие съгласно член 68 от ДФЕС. Една от ключовите цели е по-добрата защита на личните данни в ЕС. През 2017 г. започна средносрочен преглед на насоките.

B. Основни нормативни актове за защита на данните

1. Харта на основните права на Европейския съюз

В членове 7 и 8 от Хартата на основните права на ЕС се признава зачитането на правото на личен живот и защитата на личните данни като тясно свързани помежду си, но отделни основни права. Хартата е неразделна част от Договора от Лисабон и е правно обвързваща за институциите и органите на Европейския съюз и неговите държави членки при прилагане от тяхна страна на правото на ЕС.

2. Съвет на Европа

a. Конвенция 108 от 1981 г.

Конвенция 108 на Съвета на Европа от 28 януари 1981 г. за защита на лицата при автоматизираната обработка на лични данни е първият правно обвързващ международен акт, приет в областта на защитата на данните. Целта ѝ е „да гарантира ... за всяко физическо лице ... зачитане на неговите права и основни свободи и по-конкретно правото му на личен живот по отношение на автоматизираната обработка на лични данни, отнасящи се до него“.

b. Европейска конвенция за правата на човека (ЕКПЧ)

Член 8 от Конвенцията от 4 ноември 1950 г. за защита на правата на човека и основните свободи въвежда правото на зачитане на личния и семейния живот, като постановява: „Всеки има право на неприкосновеност на личния и семейния си живот, на жилището и на тайната на кореспонденцията“.

3. Действащи законодателни актове на ЕС за защита на личните данни

Вследствие на старата структура на стълбовете защитата на данни на равнището на ЕС доскоро беше регулирана от различни законодателни инструменти. Те включват инструменти по бившия първи стълб, като Директива 95/46/EО относно защитата на данните (заменена от Общия регламент относно защитата на данните през май 2018 г.), Директива 2002/58/EО относно правото на неприкосновеност на личния живот в сектора на електронните комуникации (изменена през 2009 г., ново предложение е понастоящем в процес на разглеждане), Директива 2006/24/ЕО за запазването на данни (обявена за недействителна от Съда на Европейския съюз на 8 април 2014 г. поради сериозния риск от намеса в личния живот и защитата на данните) и Регламент (ЕО) 45/2001 относно обработката на лични данни от институции и органи на Общността (ново предложение е понастоящем в процес на разглеждане), както и инструменти по бившия трети стълб като Рамковото решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (заменена от Директивата относно правоприлагането в областта на защитата на данните през май 2018 г.).

a. Общ регламент относно защитата на данните

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) влезе в сила през май 2018 г. Правилата имат за цел да защитават всички граждани на ЕС от нарушения на неприкосновеността на личния живот и на данните в един все по-зависим от данните свят, като същевременно се създава все по-ясна и по-последователна рамка за предприятията. Новите права за гражданите включват ясно и потвърждаващо съгласие данните им да бъдат обработвани, както и правото да получат ясна и разбираема информация за това; правото да бъдеш забравен: всеки гражданин може да поиска данните му да се заличат; правото на предаване на данни към друг доставчик на услуги (например при преминаване от една социална мрежа към друга); правото да се знае кога личните данни са разкрити вследствие на хакерска атака. Новите правила се прилагат за всички дружества, осъществяващи дейност в ЕС, дори ако тези дружества са установени извън ЕС. Освен това ще бъде възможно на дружествата, които нарушават правилата, да се налагат коригиращи мерки, например предупреждения и нареждания или глоби.

b. Директивата относно правоприлагането в областта на защитата на данните

Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета влезе в сила през май 2018 г. Директивата защитава основното право на гражданите на защита на данните при използването на лични данни от правоприлагащите органи. Тя гарантира надлежната защита на личните данни на жертвите, свидетелите на престъпления и заподозрените в престъпление лица, и улеснява трансграничното сътрудничество в борбата с престъпността и тероризма.

4. Европейски надзорен орган по защита на данните (ЕНОЗД) и Европейски комитет по защита на данните (ЕКЗД)

Европейският надзорен орган по защита на данните (ЕНОЗД) е независим надзорен орган, който гарантира, че институциите и органите на ЕС спазват задълженията си във връзка със защитата на данните. Основните задължения на ЕНОЗД са упражняване на надзор, консултиране и сътрудничество. Европейският комитет по защита на данните (ЕКЗД), бившата работна група по член 29, е със статут на орган на ЕС, който има правосубектност и разполага с независим секретариат. ЕКЗД обединява националните контролни органи, ЕНОЗД и Комисията. ЕКЗД има широки правомощия да разрешава спорове между националните надзорни органи и да дава съвети и насоки относно ключови понятия от Общия регламент относно защитата на данните и Директивата относно правоприлагането в областта на защитата на данните.

Роля на Европейския парламент  

Парламентът винаги е настоявал на необходимостта от баланс между засилването на сигурността и защитата на неприкосновеността на личния живот и личните данни. Той е приел различни решения по тези чувствителни въпроси, особено във връзка с етническото и расово профилиране, Решението на Съвета от Прюм за трансграничното сътрудничество в борбата срещу тероризма и трансграничната престъпност, използването на телесни скенери за увеличаване на сигурността на въздухоплаването, биометричните данни в паспортите и общите консулски инструкции, управлението на границите, интернет и извличането на данни.

В рамките на процедурата за одобрение през февруари 2010 г. Парламентът отхвърли временното прилагане на споразумението за програмата за проследяване на финансирането на тероризма (ППФТ) (известно преди като споразумението SWIFT) относно предаването на банкови данни на САЩ за целите на борбата с тероризма. След приемането на резолюцията на Парламента от 8 юли 2010 г. споразумението за ППФТ влезе в сила през август 2010 г. През юли 2011 г. Комисията прие съобщение относно основните възможни варианти за създаване на Европейска система за проследяване на финансирането на тероризма (СПФТ на ЕС), във връзка с което Парламентът изрази някои съмнения. През ноември 2013 г. Комисията обяви намерението си да не представя предложение за СПФТ на ЕС на този етап.

Друг въпрос от решаващо значение е споразумението относно резервационните данни на пътниците (PNR) между ЕС и САЩ за обработването и предаването на резервационни данни на пътниците между въздушните превозвачи и Министерството на вътрешната сигурност на САЩ. След одобрението от страна на Парламента Съветът прие през април 2012 г. решение за сключване на новото споразумение, което замести предишното временно действащо от 2007 г. споразумение между ЕС и САЩ за резервационните данни на пътниците.

През февруари 2011 г. Комисията внесе предложение за директива относно използването на резервационните данни на пътниците за предотвратяване, разкриване, разследване и наказателно преследване на престъпления, свързани с тероризъм, и на тежки престъпления (EU PNR). През юни 2013 г. Парламентът реши на пленарно заседание да отнесе въпроса отново до комисията по граждански свободи, правосъдие и вътрешни работи, която през април 2013 г. беше гласувала срещу предложението на ЕС за резервационни данни на пътниците, като беше оспорила неговата пропорционалност и съответствие с основните права. След терористичните нападения в Париж през 2015 г. и новите тревоги във връзка с възможни заплахи за вътрешната сигурност на ЕС от „чуждестранни бойци“ дебатът за предложението на ЕС за резервационните данни на пътниците получи нов тласък. През декември 2015 г. Парламентът и Съветът постигнаха компромисно решение по този чувствителен въпрос. Директива (ЕС) 2016/681 на Европейския парламент и на Съвета от 27 април 2016 г. относно използването на резервационни данни на пътниците с цел предотвратяване, разкриване, разследване и наказателно преследване на терористични престъпления и тежки престъпления трябваше да бъде транспонирана в националното законодателство до 25 май 2018 г.

Парламентът участваше в процеса по одобрението (съгласно процедурата за одобрение) на правно обвързващо рамково споразумение със САЩ за обмена на информация и защитата на данните, познато като „рамково споразумение“. Целта е да се осигури високо равнище на защита на личната информация, която се предава в рамките на трансатлантическото сътрудничество в борбата срещу тероризма и организираната престъпност. Подписването на Закона за съдебната защита от президента Обама през февруари 2016 г. проправи пътя за подписване на рамковото споразумение между ЕС и САЩ на 2 юни 2016 г. Успоредно с това беше създаден „Щит за личните данни в отношенията между ЕС и САЩ“, за да се осигури високо равнище на защита на данните за трансферите на търговски данни. Щитът за личните данни отразява изискванията, определени от Съда на ЕС в неговото решение от октомври 2015 г., което обяви старата рамка за сферата на неприкосновеност на личния живот „Safe Harbour“ (доброволни стандарти за защита на данните за дружества извън Европейския съюз, които прехвърлят лични данни на граждани на ЕС в САЩ) за невалидна. На 12 юли 2016 г. Комисията прие Решение за изпълнение съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от Щита за личните данни в отношенията между ЕС и САЩ, което незабавно влезе в сила. От 1 август 2016 г. дружествата могат да се присъединят към Щита за личните данни с Министерството на търговията на САЩ, което проверява дали политиките им за неприкосновеност на личния живот отговарят на високите стандарти по отношение на защитата на личните данни, които поставя Щитът за личните данни. В резолюцията си от 26 май 2016 г. относно трансатлантическите потоци от данни Парламентът приветства усилията за постигане на съществени подобрения в Щита за личните данни в сравнение с решението относно сферата на неприкосновеност на личния живот („Safe Harbour“), което той замества, и изрази известна критика. В своята резолюция от 6 април 2017 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ[1], Парламентът призова Европейската комисия да извърши подходяща оценка и да гарантира, че Щитът за личните данни между ЕС и САЩ за предаваните за търговски цели лични данни предоставя достатъчна защита на личните данни на гражданите на ЕС, за да бъде в съответствие с Хартата на основните права на Европейския съюз и новите правила на ЕС за защита на данните.

На 12 март 2014 г. Парламентът прие резолюция относно програмата за наблюдение на Агенцията за национална сигурност на САЩ, органите за наблюдение в различните държави членки и тяхното отражение върху основните права на гражданите на ЕС и върху трансатлантическото сътрудничество в областта на правосъдието и вътрешните работи[2]. С тази резолюция приключи шестмесечното проучване на Парламента относно електронното масово наблюдение на гражданите на ЕС, последвало разкритията от юни 2013 г. за предполагаемо шпиониране от страна на САЩ и някои държави – членки на ЕС. В резолюцията Парламентът призова за прекратяване на прилагането на принципите за „сфера на неприкосновеност на личния живот“ („Safe Harbour“) и на Програмата за проследяване на финансирането на тероризма. На 29 октомври 2015 г. Парламентът прие резолюция относно последващите действия по своята резолюция от 12 март 2014 г. относно масовото електронно наблюдение на гражданите на ЕС[3], в която отново призова за незабавно спиране на действието на Решението за „сферата на неприкосновеност на личния живот“ и на Програмата за проследяване на финансирането на тероризма.

Парламентът участваше по обикновената законодателна процедура в одобряването на реформата на защитата на данните (вж. предишния раздел). Новите правила за защита на данните ще укрепят основните права на гражданите в цифровата епоха и ще улеснят предприятията, като опростят правилата за дружествата на цифровия единен пазар.

 

[1]Приети текстове, P8_TA(2017)0131. 
[2]Приети текстове, P7_TA(2014)0230. 
[3]Приети текстове, P8_TA(2015)0388. 

Kristiina Milt