Tag Archives: dp

Достъп до лични данни за целите на разследване на престъпления

от Нели Огнянова
лиценз CC BY

Стана известно решението на Съда на ЕС по дело C‑207/16 с предмет преюдициално запитване   от Audiencia Provincial de Tarragona (съд на провинция Тарагона, Испания)   в рамките на производство по дело, образувано по протест на испанското Министерство на финансите по повод разрешаването на достъп на съдебната полиция до лични данни, запазени от доставчици на електронни съобщителни услуги.

Решението  по дело C-207/16 Ministerio Fiscal е част от юриспруденцията относно член 15, който в общи линии позволява на държавите-членки да разрешават намеса в тайната на кореспонденцията при определени обстоятелства, виж и  Digital Rights Ireland (C-293/12 и 594/12), Tele2 / Watson (Joined Cases C-203/15 и C-698/15).

Държавите-членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф 1, 2, 3, и 4 и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на престъпления или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива 95/46/ЕО. […]

 

Фактите

Извършен е грабеж,  полицията иска   да се разпореди на различни доставчици на електронни съобщителни услуги да предоставят телефонни  номера и личните данни във връзка със самоличността на притежателите или ползвателите на телефонните номера, свързани с разследването.

Съдът отказва – защото 1) исканата мярка не била пригодна за разкриване на извършителите на престъплението и 2) според закона това може да се извършва при тежки престъпления. Съгласно испанския наказателен кодекс тежки били престъпленията, които се наказват с лишаване от свобода над пет години — а разглежданите в главното производство деяния не съставляват такова престъпление. Прокуратурата протестира това определение пред запитващата юрисдикция. Според нея предоставянето на разглежданите данни е трябвало да бъде разрешено поради естеството на деянията.

Въпросите

 1)   Може ли достатъчната тежест на престъплението като критерий, обосноваващ засягането на признатите в членове 7 и 8 от [Хартата] основни права, да се определи единствено с оглед на наказанието, което може да се наложи за разследваното престъпление, или е необходимо освен това да се установи, че с престъпното деяние се увреждат в особена степен индивидуални и/или колективни правни интереси?

2)      Евентуално, ако определянето на тежестта на престъплението с оглед единствено на наказанието, което може да се наложи, отговаря на конституционните принципи на Съюза, приложени от Съда на ЕС в решението му [от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238] като критерии за строг контрол на Директива [2002/58], то какъв следва да е минималният праг за наказанието? Допустимо ли е по общ начин да се предвиди праг от три години лишаване от свобода?“.

Решението

Достъпът на публичните органи до такива данни съставлява намеса в основното право на зачитане на личния живот, закрепено в член 7 от Хартата. Такъв достъп представлява и намеса в основното право на защита на личните данни, гарантирано в член 8 от Хартата, тъй като представлява обработка на лични данни.

Когато  намесата, до която води такъв достъп, не е тежка, този достъп може да бъде обоснован от целта за превенция, разследване, разкриване и преследване общо на „[престъпления]“. [57]

Достъпът само до данните, посочени в разглежданото в главното производство искане, не може да бъде квалифициран като „тежка“ намеса в основните права на лицата [61]

Намесата, до която води достъп до такива данни, може следователно да бъде обоснована от целта за превенция, разследване, разкриване и преследване общо на „[престъпления]“, посочена в член 15, параграф 1, първо изречение от Директива 2002/58, без да е необходимо тези престъпления да са квалифицирани като „тежки“.[62]

В същия смисъл е и Заключението на Генералния адвокат:

мярка, която за целите на борбата с престъпленията дава на компетентните национални органи достъп до идентификационните данни на ползвателите на телефонни номера, активирани с определен мобилен телефон през ограничен период, при обстоятелства като разглежданите в главното производство води до намеса в гарантираните от споменатата директива и Хартата основни права, която не е толкова сериозна, че да налага такъв достъп да се предоставя само в случаите, в които съответното престъпление е тежко.

Коментар на проф. Лорна Удс

EDRI за значението на това решение

ЕСПЧ: Big Brother Watch

от Нели Огнянова
лиценз CC BY

Стана известно решението на ЕСПЧ по делото Big Brother Watch and Others v. the United Kingdom.

Нарушение на чл.8 и чл.10 ЕКПЧ.

Жалбите са предизвикани от информацията, разкрита от Едуард Сноудън, за съществуването на програми за наблюдение и обмен на разузнавателни данни, управлявани от разузнавателните служби на САЩ и Обединеното кралство. По-конкретно,  че  електронни съобщения и / или съобщителни данни е вероятно да бъдат задържани или получени от разузнавателните служби на Обединеното кралство, разчитащи на режима, установен в британския закон RIPA. Бяха подчертани три области на проблемите: прихващане, споделяне и достъп до комуникации.  Във всички случаи жалбоподателите смятат, че защитата срещу злоупотребите е недостатъчна и че режимите не са нито законни, нито необходими в едно демократично общество.

Жалбоподателите твърдят, че  режимът не е законосъобразен,  значимите елементи на режима не са били публично оповестени и  не отговарят на  изискванията по решението  Вебер.

Шестте принципа, установени във Weber and Saravia (app no. 54934/00)   са отправна точка за изводите:

– естеството на престъпленията, които могат да доведат до заповед за прихващане;
– определяне на категориите хора, които могат да бъдат проследявани;
– ограничение на продължителността на прихващане;
– процедурата, която трябва да бъде следвана за   използване и съхранение на получените данни;
– предпазните мерки, които трябва да се вземат при съобщаване на данните на трети страни; и
– обстоятелствата, при които събраните данни могат или трябва да бъдат заличени или унищожени.

Според ЕСПЧ към изискванията по решението Вебер трябва да се прибавят и съображенията на Голямата камара по Zakharov (app no. 47143/06).

Накрая, ЕСПЧ се позовава на  правото на ЕС – по-специално на решенията Digital Rights Ireland (дело C-293/12 и C-594/12) и Watson (дело C-698/15) –  прихващането е само за целите на борбата с тежките престъпления  и   този достъп подлежи на предварителен преглед (разрешение) от съд или независим административен орган. 
 В решението на ЕСПЧ, освен липса на нужните гаранции по чл.8,  е взето предвид, че става дума за проследяване на журналисти -по тази причина  има и аргумент по чл.10, свобода на изразяване. Прилагането на мерките не може да се разглежда в съответствие със закона за целите на чл.  10 ЕКПЧ.

Най-важните фрагменти от решението според  EJIL

Измененията на Закона за защита на личните данни по GDPR – внесени в парламента

от Нели Огнянова
лиценз CC BY

От сайта на парламента –

Законопроект за изменение и допълнение на Закона за защита на личните данни

Както ще установите,  с пар. 25 и следващите се предлагат изменения в десетки други закони.  В голяма част от тях препратката към Закона за защита на личните данни се заменя с  „изискванията за тяхната защита“, но в някои закони има и по-обстойни промени.

Мотивите започват необичайно, с теоретична рамка – четвъртата индустриална революция

Всеобхватната дигитализация на света около нас, известна още като „4-та индустриална революция“, налага цялостно преосмисляне на подходите към защитата на личните данни и личната неприкосновеност.

Целите на проекта са описани така:

Целите на законопроекта са насочени към осигуряването на ефективното прилагане на Общия регламент относно защитата на данните и изпълнение на задълженията на Република България като държава – членка на ЕС, във връзка с въвеждане в националното законодателство на законодателен акт (директива) на ЕС, с който се определят особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Какво съдържа проектът:

С проекта на закон се регламентират както въпросите, по които е оставена свобода на държавите членки, така и въпросите, които изискват изрично въвеждане на законодателни мерки на национално ниво с цел осигуряване изпълнението на новия законодателен пакет в областта на защитата на личните данни.

и в частност:

Актуализиран понятиен апарат: Регламентът значително разширява досегашния понятиен апарат в областта на защитата на личните данни. С предлаганите законодателни промени използваната терминология се актуализира в съответствие с Регламент 2016/679 и Директива 2016/680.

Регистрация на администратори: от 25 май 2018 г. отпада задължението за регистрация на администраторите на лични данни в Комисията за защита на личните данни. Това обстоятелство е отчетено в проекта на законови изменения и допълнения, като е предложено отменяне на досегашните текстове, уреждащи задължителната регистрация като администратор на лични данни.

Особени ситуации на обработване на лични данни: законопроектът предлага по-детайлно регламентиране на отделни групи обществени отношения, като упражняването на правото на свобода на изразяване и информация, включително за журналистически цели и за целите на академичното, художественото или литературното изразяване; обработване на лични данни в контекста на трудови/служебни правоотношения; законово регламентиране в специални закони на публичния достъп до ЕГН; изключване на данните на починали лица от кръга на личните данни.

Административни санкции на публични органи: не се предвижда разграничаване в санкционния режим при нарушение на правилата за защита на личните данни между публични и частни администратори.

Подзаконова уредба: с оглед на голямото разнообразие на материята, уредена с Общия регламент, съответно със ЗЗЛД, в предложените промени е предвидена законодателна делегация за приемане на подзаконови актове, като наредба в областта на сертифицирането, както и ненормативни документи, като например минималните изисквания при систематично мащабно видеонаблюдение на публично достъпни зони, както и по отношение на автоматизираното вземане на индивидуални решения, включително профилиране.

Съд на ЕС: Свидетели на Йехова и лични данни

от Нели Огнянова
лиценз CC BY

Стана известно решението на Съда на ЕС по дело C‑25/17 с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Korkein hallinto-oikeus (Върховен административен съд, Финландия).

Комисията за защита на данните във Финландия постановява решение, с което забранява на религиозната общност „Свидетели на Йехова“ да събира или да обработва лични данни при извършваната от членовете ѝ проповедническа дейност „от врата на врата“, доколкото не са изпълнени законовите изисквания за обработването на такива данни. Освен това  Комисията за защита на данните задължава тази общност да направи в шестмесечен срок необходимото, за да гарантира, че за нейните цели лични данни няма да се събират в нарушение на тези изисквания.

Според констатациите на запитващата юрисдикция при проповедническата си дейност „от врата на врата“ членовете на религиозната общност „Свидетели на Йехова“ водят записки за направените посещения на лица, които самите те или посочената общност не познават. Събраните данни съдържали, евентуално и наред с другото, името и адреса на посетените лица, както и сведения за техните религиозни убеждения и семейни отношения. Тези данни били събирани като напомнителни бележки, за да може информацията да бъде намерена и използвана при следващи посещения, като съответните лица нито са давали съгласие, нито са били уведомявани за това.

Религиозната организация обжалва.  Съдът решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Трябва ли изключенията от приложното поле на Директива [95/46], посочени в член 3, параграф 2, първо и второ тире, да се тълкуват в смисъл, че събирането и другите видове обработка на лични данни, които членовете на дадена религиозна общност извършват във връзка с осъществяваната проповедническа дейност „от врата на врата“, не попадат в приложното поле на Директивата? Какво значение при преценката на приложимостта на Директива [95/46] имат, от една страна, обстоятелството, че проповедническата дейност, във връзка с която се събират данните, се организира от религиозната общност и от нейните сборове, и от друга страна, обстоятелството, че едновременно с това става дума и за изповядване на религия лично от членовете на религиозната общност?

2)      Като се отчитат съображения 26 и 27 от Директива [95/46], трябва ли определението на понятието „файл“ в член 2, буква в) от Директивата да се тълкува в смисъл, че съвкупността от лични данни, които се събират с неавтоматични средства във връзка с описаната по-горе проповедническа дейност „от врата на врата“ (име и адрес, както и други възможни данни и характеристики, отнасящи се до лицето),

a)      не представлява такъв файл, тъй като не става въпрос за специфични картотеки или списъци или други подобни класификационни системи по смисъла на определението в [Закон № 523/1999];

б)      представлява такъв файл, тъй като от данните предвид тяхното предназначение на практика е възможно лесно и без неоправдани разходи да бъде извлечена необходимата за по-нататъшно ползване информация, както е предвидено в [Закон № 523/1999]?

3)      Трябва ли изразът в член 2, буква г) от Директива [95/46] „който сам или съвместно с други определя целите и средствата на обработка на лични данни“ да се тълкува в смисъл, че религиозна общност, организираща дейност, при която се събират лични данни (в това число чрез определянето на радиуса на действие на проповедниците, чрез проследяването на проповедническата дейност и поддържането на регистри на лицата, които не желаят да бъдат посещавани от проповедници), може да бъде разглеждана като администратор на лични данни по отношение на тази дейност на нейните членове, въпреки твърдението на религиозната общност, че само отделните проповедници имат достъп до записаната информация?

4)      Трябва ли член 2, буква г) от Директива [95/46] да се тълкува в смисъл, че религиозната общност може да се класифицира като администратор само когато предприема други специфични мерки, като нареждания или писмени указания, с които управлява събирането на данни, или е достатъчно религиозната общност фактически да играе роля при управлението на дейността на членовете си?

Решението

1 Както следва от член 1, параграф 1 и от съображение 10 от Директива 95/46, нейната цел е да се гарантира висока степен на защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 66 и от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 26).

Макар извършваната от членове на религиозна общност проповедническа дейност „от врата на врата“ да е по този начин защитена с член 10, параграф 1 от Хартата като израз на вярата на проповедника или проповедниците, това обстоятелство не придава на тази дейност характер на изцяло лично или домашно занимание по смисъла на член 3, параграф 2, второ тире от Директива 95/46. Проповедническата дейност излиза извън личната сфера на проповядващите членове на дадена религиозна общност.

С оглед на гореизложените съображения на първия въпрос следва да се отговори, че член 3, параграф 2 от Директива 95/46, разглеждан във връзка с член 10, параграф 1 от Хартата, трябва да се тълкува в смисъл, че събирането на лични данни, извършвано от членове на религиозна общност при проповедническата им дейност „от врата на врата“, и по-нататъшното обработване на тези данни не представляват нито обработване на лични данни при извършване на дейности, посочени в член 3, параграф 2, първо тире от тази директива, нито обработване на лични данни, извършвано от физически лица в хода на изцяло лични или домашни занимания по смисъла на член 3, параграф 2, второ тире от същата директива. [51]

2 Относно понятието файл – директивата определя широко понятието „файл“, по-специално визирайки „всеки“ структуриран набор от лични данни.

Въпросът точно по какъв критерий и под каква форма на практика е структурирана съвкупността от лични данни, събирани от всеки от проповедниците, е без значение, стига тази съвкупност да позволява лесно да се откриват данните на съответното посетено лице — нещо, което  запитващата юрисдикция следва да провери с оглед на всички обстоятелства в случая в главното производство.

3 Религиозна общност, съвместно с проповядващите нейни членове, може да бъде квалифицирана като администратор на личните данни, обработвани от последните в рамките на проповедническа дейност „от врата на врата“, организирана, съгласувана и насърчавана от тази общност, без да е необходимо въпросната общност да има достъп до данните или да е установено, че тя е дала на членовете си писмени указания или нареждания във връзка с обработването.

ЕНОЗД: Неприкосновеност на личния живот by design – становище 5/2018

от Нели Огнянова
лиценз CC BY

Публикувано е становище 5/2018 на Европейския надзорен орган за защита на данните (ЕНОЗД).

Становището е посветено на концепцията Privacy by design.

В началото на 2018 г. публичният дебат за обработката на лични данни  достигна безпрецедентно ниво на внимание, се казва в становището. Целта е да се разбере как  личните данни  се обработват и използват за проследяване на дейностите на гражданите в мрежата.  Въпреки огромния медиен интерес обществеността все още знае само за “върха на айсберга” по отношение на проследяването. 
ЕНОЗД вече анализира използването на лични данни за онлайн манипулиране  в неотдавнашното си становище и предостави препоръки.  Настоящото становище прави преглед на правните и технологичните постижения  в разглежданата област и дава препоръки за мерки, които допълнително ще подобрят защитата на личните данни и защитата на данните  by design.
Терминът означава  широка концепция за технологични мерки за осигуряване на неприкосновеност на личния живот.

Шремс подава оплаквания срещу Google, Facebook, Instagram и WhatsApp

от Нели Огнянова
лиценз CC BY

Макс Шремс подава оплаквания срещу Google, Facebook, Instagram и WhatsApp. Причината е, че според него е незаконен изборът, пред който са изправени потребителите им – да приемат условията на компаниите или да загубят достъп до услугите им.

Подходът “съгласи се или напусни”, казва Шремс пред Reuters Television, нарушава правото на хората съгласно Общия регламент за защита на данните (GDPR) да избират свободно дали да позволят на компаниите да използват данните им. Трябва да има  избор,  смята Шремс.

Шремс е австриецът, който все не е доволен от защитата на личните данни в социалните мрежи и не ги оставя на мира, като превръща борбата си за защита на данните и в професия, юрист е. Този път действа чрез създадена от него неправителствена организация noyb

Independent.ie 

The Guardian

КЗЛД: Информационно-разяснителни материали по Регламент 2016/679 (GDPR)

от Нели Огнянова
лиценз CC BY

Информационно-разяснителни материали по Регламент (ЕС) 2016/679 (Общ регламент за защитата на данните)

Законопроект за изменение на Закона за защита на личните данни и GDPR

от Нели Огнянова
лиценз CC BY

Публикуван е Законопроект за изменение и допълнение на Закона за защита на личните данни

Мотивите са любопитни, особено частта, в която се обяснява, че законопроектът ще въвежда регламент в националното законодателство, регламентите не се въвеждат, но в случая ще се приемат национални мерки.

В анализите се твърди например, че балансът между защитата на данните и свободата на изразяване е предоставена на държавите:  Балансът между защитата на данните и свободата на изразяване е деликатен: ако е в полза на защитата на данните,  лесно можем да си представим сценарии, при които публични личности използват закона, за да ограничават критика. Ако е в полза на свободата на изразяване,  е възможно журналистите  да пренебрегват правото на личен живот. Правилата в тази област ще се различават в отделните държави-членки. Доколкото Хартата е правно обвързваща,  съдебната практика на Съда на ЕС  ще играе важна роля при определянето на този баланс.

По този въпрос – публикации от началото на годината в сравнителен план и тук също,  и тук по държави

 

WG29: Насоки относно съгласието според GDPR

от Нели Огнянова
лиценз CC BY

През тази седмица работната група WG29 издаде Насоки относно съгласието според Общия регламент за защита на данните.

Те са изготвени в продължение на Opinion 15/2011 на WG29  относно съгласието и имат за цел да предоставят практическа помощ за прилагане на Общия регламент за защита на данните. Opinion 15/2011 запазва валидност, доколкото е в съответствие с новия регламент.

EС: лични данни на пътниците, писмо на WG29

от Нели Огнянова
лиценз CC BY

Личниет  данни на пътниците (PNR) са сложен въпрос, изискващ повишено внимание поради различната степен на защита на личните данни в ЕС и в трети страни.

На 26 юли 2017 г. Съдът на Европейския съюз (СЕС) констатира в своето становище 1/2015 по повод  споразумението ЕС – Канада за PNR, че то   е частично несъвместимо с членове 7, 8, 21 и 52 от Хартата на ЕС за основните права.

Работната група 29 (WP29), включваща представители на националните регулатори в областта на данните, публикува писмо, в което изразява тревогата си, че   до  момента няма  данни  становището да е взето предвид – както в споразумението ЕС- Канада, така и  в досиетата на другите споразумения за PNR с Австралия  и Съединените щати.

Правни актове на ЕС продължават да се прилагат, без да са в съответствие с Хартата на основните права на ЕС  според становището на Съда на ЕС.

WP29 излага подробни аргументи по повод противоречия, неясни и непрецизни формулировки.