Защита на личните данни

Защитата на личните данни и зачитането на правото на личен живот са основни европейски права. Европейският парламент винаги е подчертавал необходимостта от намиране на баланс между засилването на сигурността и защитата на правата на човека, в т.ч. защитата на личните данни и правото на неприкосновеност на личния живот. Новите правила на ЕС за защита на данните, които укрепват основните права на гражданите и опростяват правилата, приложими за дружествата в цифровата епоха, влязоха в сила през май 2018 г. Проучванията, подготвени за Европейския парламент, показват, че законодателството на ЕС, свързано с регулирането на потоците от данни, допринася с 51,6 милиарда евро годишно за БВП на Европейския съюз. Изследването, изготвено за анкетната комисия на Европейския парламент за разследване на използването на Pegasus и еквивалентен шпионски софтуер за наблюдение (комисията PEGA), потвърждава значението на защитата на данните за защитата на демокрацията и личните свободи в ЕС.

Правно основание

Член 16 от Договора за функционирането на Европейския съюз (ДФЕС);

Членове 7 и 8 от Хартата на основните права на ЕС.

Цели

Съюзът трябва да гарантира последователното прилагане на основното право на защита на данните, заложено в Хартата на основните права на ЕС. С оглед на експоненциалното нарастване на обема на предаването на данни — като ЕС, САЩ и Канада имат най-голям дял в този растеж — позицията на ЕС относно защитата на личните данни трябва да бъде засилена в контекста на всички политики на ЕС.

Постижения

A. Институционална рамка

1. Договорът от Лисабон

Преди влизането в сила на Договора от Лисабон законодателството в областта на пространството на свобода, сигурност и правосъдие беше разделено между първия стълб (защита на данните за лична или търговска цел чрез използване на метода на Общността) и третия стълб (защита на данните за целите на правоприлагането, на междуправителствено равнище). Оттук и процесът на вземане на решения в тези две области следваше различни правила. Структурата на стълбовете изчезна с Договора от Лисабон, който предоставя по-стабилна основа за развитието на по-ясна и по-ефективна система за защита на данните, като същевременно предвижда нови правомощия за Европейския парламент, който става съзаконодател. Член 16 от  ФЕС постановява, че Парламентът и Съветът определят правилата за защита на физическите лица по отношение на обработката на личните данни от страна на институциите, органите, службите и агенциите на Съюза, както и от държавите членки при извършване на дейности, които попадат в обхвата на правото на Съюза.

2. Стратегически насоки за пространството на свобода, сигурност и правосъдие

След програмите от Тампере и Хага (съответно от октомври 1999 г. и ноември 2004 г.) през декември 2009 г. Европейският съвет одобри многогодишната програма за пространството на свобода, сигурност и правосъдие за периода 2010—2014 г., известна като „Стокхолмската програма“. В заключенията си от юни 2014 г. Европейският съвет определи стратегическите насоки за законодателното и оперативното планиране за идните години в рамките на пространството на свобода, сигурност и правосъдие съгласно член 68 от ДФЕС. Една от ключовите цели е по-добрата защита на личните данни в ЕС.

B. Основни нормативни актове за защита на данните

1. Харта на основните права на Европейския съюз

В членове 7 и 8 от Хартата на основните права на ЕС зачитането на правото на личен живот и защитата на личните данни се признават като тясно свързани помежду си, но отделни основни права.

2. Съвет на Европа

a. Конвенция 108 от 1981 г.

Конвенция 108 на Съвета на Европа от 28 януари 1981 г. за защита на лицата при автоматизираната обработка на лични данни е първият правнообвързващ международен акт, приет в областта на защитата на данните. Целта ѝ е да гарантира за всяко физическо лице зачитане на неговите права и основни свободи и по-конкретно правото му на личен живот по отношение на автоматизираната обработка на лични данни, отнасящи се до него. Протоколът за изменение на Конвенцията има за цел да разшири обхвата ѝ, да повиши нивото на защита на данните и да подобри нейната ефективност.

b. Европейска конвенция за правата на човека (ЕКПЧ)

Член 8 от Конвенцията от 4 ноември 1950 г. за защита на правата на човека и основните свободи въвежда правото на всеки на зачитане на личния и семейния живот, на жилището и на тайната на кореспонденцията.

3. Действащи законодателни актове на ЕС за защита на личните данни

a. Общ регламент относно защитата на данните

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) влезе в сила през май 2018 г. Правилата имат за цел осигуряването на защита на всички граждани на ЕС от нарушения на неприкосновеността на личния живот и на данните в един все по-зависим от данните свят, като същевременно се създава все по-ясна и по-последователна уредба за предприятията. Правата на гражданите включват даването чрез ясно утвърдителен акт на съгласие данните им да бъдат обработвани, както и правото да получат ясна и разбираема информация за това; правото „да бъдеш забравен“: всеки гражданин може да поиска данните му да бъдат заличени; правото на прехвърляне на данни към друг доставчик на услуги (например при преминаване от една социална мрежа към друга); правото да се знае кога личните данни са били обект на хакерска атака. Новите правила се прилагат за всички дружества, осъществяващи дейност в ЕС, дори за тези, които са установени извън него. Освен това на дружествата, които нарушават правилата, може да се налагат коригиращи мерки, например предупреждения и нареждания или глоби. На 24 юни 2020 г. Европейската комисия представи доклад относно оценката и прегледа на регламента[1].

b. Директива относно правоприлагането в областта на защитата на данните

Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета влезе в сила през май 2018 г. Директивата защитава основното право на гражданите на защита на данните при използването на лични данни от правоприлагащите органи. Тя гарантира надлежната защита на личните данни на жертвите, свидетелите на престъпления и заподозрените в престъпление лица и улеснява трансграничното сътрудничество в борбата с престъпността и тероризма. На 25 юли 2022 г. Европейската комисия публикува своя закъснял доклад относно прилагането и функционирането на Директивата относно правоприлагането. Той беше последван от проучване за оценка, възложено от комисията по граждански свободи, правосъдие и вътрешни работи (LIBE), съдържащо критична оценка на прилагането на Директивата относно правоприлагането[2].

c. Директива за правото на неприкосновеност на личния живот и електронни комуникации

Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) беше изменена с Директива 2009/136/ЕО от 25 ноември 2009 г. Тя повдига деликатния въпрос за съхраняването на данни, който многократно е отнасян до Съда на ЕС и е довел до поредица от решения, последно през 2020 г., в които се заявява, че правото на ЕС не допуска общо и неизбирателно съхраняване на данни за трафик и данни за местонахождение.

Понастоящем се водят продължителни дискусии относно предложението за регламент от 2017 г. на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения и за отмяна на Директива 2002/58/ЕО (Регламент за неприкосновеността на личния живот и електронните съобщения). Експертите на Европейския парламент посочиха, че Парламентът следва да се противопостави на опитите на Съвета да изключи приложимостта на европейските принципи за защита на данните[3].

d. Регламент относно обработката на лични данни от институции и органи на Съюза

Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО влезе в сила на 11 декември 2018 г.

e. Членове, отнасящи се до защитата на данните, в специфични за сектора законодателни актове

В допълнение към основните законодателни актове за защита на данните, посочени по-горе, специфични разпоредби относно защитата на данните са установени и в специфични за сектора законодателни актове, като например:

• член 13 (Защита на личните данни) от Директива (ЕС) 2016/681 на Европейския парламент и на Съвета от 27 април 2016 г. относно използването на резервационни данни на пътниците с цел предотвратяване, разкриване, разследване и наказателно преследване на терористични престъпления и тежки престъпления;
• член 6 (относно обработката на данни) от Директива 2004/82/ЕО на Съвета от 29 април 2004 г. относно задължението на превозвачите да съобщават данни на пътниците (предварителна информация за пътниците);
• на 13 декември 2022 г. Комисията прие две законодателни предложения относно събирането и предаването на данни от предварителната информация за пътниците, които ще заменят предварителната информация за пътниците[4];
• глава VI (Гаранции за защита на данните) от Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета от 11 май 2016 г. относно Агенцията на Европейския съюз за сътрудничество в областта на правоприлагането (Европол);
• глава VIII (Защита на данните) от Регламент (ЕС) 2017/1939 на Съвета от 12 октомври 2017 г. за установяване на засилено сътрудничество за създаване на Европейска прокуратура.

4. Основни договорености на ЕС относно предаването на данни

a. Предаване на търговски данни: решения относно адекватността

По силата на член 45 от Общия регламент относно защитата на данните Комисията има правомощието да установи дали дадена държава извън ЕС предоставя адекватно ниво на защита на данните, било то в съответствие с националното законодателство или въз основа на международните ангажименти, които тази държава е поела.

Въпреки че трансферите на данни между ЕС и Северна Америка се увеличиха експоненциално, като САЩ доминираха в частните онлайн реклами и наблюдението[5], Парламентът прие множество резолюции, в които се изразява загриженост относно трансатлантическите потоци от данни. По-специално той счете, че решението за Щита за личните данни в отношенията между ЕС и САЩ не осигурява адекватно ниво на защита, каквото се изисква от правото на ЕС, докато Съдът на ЕС многократно е обявявал за невалидни решения на Европейската комисия относно адекватността на защитата по отношение на САЩ (вж. неговите решения от 2015 г. относно сферата на неприкосновеност на личния живот по делото Schrems и от 2020 г. относно Щита за личните данни в отношенията между ЕС и САЩ по делото Schrems II).

Въпреки че в САЩ не е извършена реформа на режима за защита на данните, Европейската комисия постигна друго споразумение със САЩ и представи предложение за още една рамка за защита на личните данни в отношенията между ЕС и САЩ. По предложение на комисията LIBE на 11 май 2023 г. Парламентът прие резолюция относно адекватността на защитата, осигурявана от Рамката за защита на личните данни в отношенията между ЕС и САЩ, в която стига до заключението, че Рамката за защита на личните данни в отношенията между ЕС и САЩ не създава основна еквивалентност на нивото на защита, и призова Комисията да продължи преговорите със своите партньори от САЩ, но да не приема констатацията за адекватно ниво на защита, докато не бъдат изпълнени изцяло всички препоръки, отправени в резолюцията и в становището на Европейския комитет по защита на данните.

На 10 юли 2023 г. Комисията прие третата си рамка за защита на личните данни в отношенията между ЕС и САЩ.

b. Рамково споразумение между ЕС и САЩ

В рамките на процедурата за одобрение Парламентът участваше в процеса по одобрението на споразумението между САЩ и ЕС относно защитата на личната информация във връзка с предотвратяването, разследването, разкриването и наказателното преследване на престъпления, известно и като „рамково споразумение“. Целта на това споразумение е да се осигури високо равнище на защита на личната информация, която се предава в рамките на трансатлантическото сътрудничество на правоприлагането, а именно в борбата срещу тероризма и организираната престъпност.

c. Споразумения между ЕС и САЩ, ЕС и Австралия и ЕС и Канада относно резервационните данни на пътниците (PNR данни)

ЕС подписа двустранни споразумения със Съединените американски щати, Австралия и Канада относно резервационните данни на пътниците. Резервационните данни на пътниците включват информацията, която пътниците предоставят при резервацията на полети и при регистрацията си, както и данните, които въздушните превозвачи събират за свои собствени търговски цели. Правоприлагащите органи могат да използват резервационните данни на пътниците в борбата с тежката престъпност и тероризма.

d. Програма на ЕС и САЩ за проследяване на финансирането на тероризма

ЕС подписа двустранно споразумение със САЩ относно обработката и предаването на данни за финансови съобщения от ЕС до САЩ за целите на Програмата за проследяване на финансирането на тероризма.

5. Разглеждане на свързани със защитата на данни аспекти в специфични за сектора резолюции

Редица резолюции на Парламента, отнасящи се до различни области на политиката, разглеждат и защитата на личните данни, за да се осигури последователност със законодателството на ЕС по отношение на защитата на личните данни и защитата на правото на неприкосновеност на личния живот в тези специфични сектори.

6. Надзорни органи на ЕС по защита на данните

Европейският надзорен орган по защита на данните (ЕНОЗД) е независим надзорен орган, който гарантира, че институциите и органите на ЕС спазват задълженията си във връзка със защитата на данните. Основните задължения на ЕНОЗД са упражняване на надзор, предоставяне на консултации и сътрудничество.

Европейският комитет по защита на данните (ЕКЗД), бившата работна група по член 29, е със статут на орган на ЕС, който има правосубектност и разполага с независим секретариат. ЕКЗД обединява националните контролни органи, ЕНОЗД и Комисията. ЕКЗД има широки правомощия да разрешава спорове между националните надзорни органи и да дава съвети и насоки относно ключови понятия от Общия регламент относно защитата на данните и Директивата относно правоприлагането в областта на защитата на данните.

Роля на Европейския парламент

Парламентът изигра ключова роля при изготвянето на законодателството на ЕС в областта на защитата на личните данни, като превърна защитата на неприкосновеността на личния живот в политически приоритет. В рамките на обикновената законодателна процедура той работеше на равни начала със Съвета по реформата в областта на защитата на данните. През 2017 г. Парламентът приключи работата си по последната важна част от пъзела — новия регламент за неприкосновеността на личния живот и електронните съобщения, и очаква от Съвета най-накрая да приключи своята работа, за да може преговорите да започнат.

В многобройни резолюции Парламентът е изразявал съмнения относно адекватността на защитата, предоставена на гражданите на ЕС съгласно рамката за сфера на неприкосновеност на личния живот между ЕС и САЩ, а впоследствие и съгласно „Щита за личните данни“ в отношенията между ЕС и САЩ. След като делото Schrems II доведе до обявяване за невалидно на Решение за изпълнение (ЕС) 2016/1250 на Европейската комисия относно адекватността на защитата, осигурявана от споразумението „Щит за личните данни“ в отношенията между ЕС и САЩ, въз основа на опасения, че правомощията на правителството на САЩ за наблюдение не са ограничени, както се изисква от правото на ЕС, и че гражданите на ЕС не разполагат с ефективни средства за правна защита, Европейският парламент прие резолюция, в която изрази съжаление във връзка с това, че Комисията е поставила отношенията със САЩ пред интересите на гражданите на ЕС[6].

След внасянето на предложението на комисията LIBE на 11 май 2023 г. Парламентът прие резолюция относно адекватността на защитата, осигурявана от Рамката за защита на личните данни в отношенията между ЕС и САЩ, в която стига до заключението, че Рамката за защита на личните данни в отношенията между ЕС и САЩ не създава основна еквивалентност на нивото на защита, и призова Комисията да продължи преговорите със своите партньори от САЩ, но да не приема констатацията за адекватно ниво на защита, докато не бъдат изпълнени изцяло всички препоръки, отправени в резолюцията и в становището на Европейския комитет по защита на данните. На 10 юли 2023 г. Комисията прие решението си относно Рамката за защита на личните данни в отношенията между ЕС и САЩ.

Парламентът създаде анкетна комисия за разследване на използването на Pegasus и еквивалентен шпионски софтуер за наблюдение в държавите — членки на ЕС (комисията PEGA). Председателствана от члена на ЕП Йерун Ленарс, комисията PEGA проучи подробно практиките на използване на шпионски софтуер за разследване на членове на опозицията, журналисти, адвокати и активисти на гражданското общество, както и въпроса как тези практики засягат демократичните процеси и индивидуалните права в ЕС. По време на своето разследване комисията PEGA се консултира с водещи представители на академичните среди, практикуващи специалисти и органи в ЕС и по света. Тематичният отдел на Парламента изготви доклади за командировките на PEGA в Полша, Гърция и Кипър. На 8 май 2023 г. комисията PEGA гласува за одобряване на изключително критичния си окончателен доклад с препоръки относно разследването на предполагаеми нарушения и лошо администриране при прилагането на правото на ЕС във връзка с използването на Pegasus и еквивалентен шпионски софтуер за наблюдение, включващ, наред с много други точки, препоръка за създаване на лаборатория на ЕС за технологии за научни изследвания и мониторинг на използването на шпионски софтуер срещу граждани на ЕС. Препоръката на Парламента до Съвета и Комисията след доклада PEGA беше приета на пленарното му заседание на 15 юни 2023 г. Комисията обаче не предостави навременен отговор на препоръката и блокира предложения от членовете на ЕП пилотен проект на лабораторията на ЕС за финансови технологии.

За да гради своята законодателна дейност върху научна основа, Парламентът възложи редица проучвания в областта на технологичното развитие и защитата на данните, в т.ч. проучване относно въздействието на Общия регламент относно защитата на данните (ОРЗД) върху изкуствения интелект, проучване на тема „Биометрично разпознаване и откриване на поведение“ и проучване на тема „Метавселена“.

Настоящият информационен фиш е изготвен от Тематичния отдел по граждански права и конституционни въпроси на Европейския парламент.

 

Mariusz Maciejewski

11-2023