Какво означава “система за докладване на нарушения” съгласно чл. 25и ал. 1 т. 1 от ЗЗЛД?

Становището на Комисията за защита на личните данни в отговор на въпрос за изясняване на понятието

С обнародването на Закон за изменение и допълнение на Закона за защита на личните данни трябваше да бъдат решени множество неясноти и противоречия в българското законодателство в областта на защита на личните данни с оглед прилагането на Регламент (ЕС) 2016/679. Дали обаче текстът на последната редакция на Закона за защита на личните данни е достатъчно ясен и конкретен?

След като последната редакция на Закона за защита на личните данни влезе в сила забелязах някои неясноти и неточности, които реших да изследвам и уточня със съдействието на Комисията за защита на личните данни.

Най-голямо впечатление ми направи новият чл. 25и, които съдържа императивни норми и установява задължения по отношение на работодатели или органи по назначаването, в качеството им на администратори на лични данни. Съгласно чл. 25и ал. 1 от ЗЗЛД
“(1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, приема правила и процедури при:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина. “

На първо място, работодатели или органи по назначаването са задължени да приемат правила и процедури при използване на система за докладване на нарушения. Какво точно обаче означава “система за докладване на нарушения” и какво има предвид законодателят?
Тъй като понятието “система за докладване на нарушения” не се съдържда никъде другаде в Закона за защита на личните данни и не е дефинирано в Допълнителните разпоредби предположих, че може да става дума за използване на система за нарушения по смисъла на т.н. “whistleblowing scheme”. Накратко, това са вътрешноорганизационни системи за изобличаване на нарушения в организация от самите участници в организацията. Подобно заключение от моя страна се основава на граматическо, логическо и систематично тълкуване с оглед на това, че едва ли законодателят е имал предвид под “нарушения” именно “нарушение на сигурността на лични данни”.
Второто ми предположение беше, че става дума именно за система за докладване на нарушения на сигурността на личните данни (по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 “GDPR”) и законодателят е допуснал неточност в текста на чл. 25и ал. 1 от ЗЗЛД.

Имайки предвид всичко това, изпратих въпрос до Комисията за защита на личните данни какво се има предвид под “използване на система за нарушения”. От Комисията получих следния отговор:

Във връзка с Ваше запитване до Комисия за защита на личните данни (КЗЛД) с вх. № НДМСПО-01-112/27.02.2019 г. относно чл. 25и т. 1 от Закона за защита на личните данни (обн., ДВ, бр. 1/04.01.2002г., посл. изм. и доп., ДВ, бр. 17/26.02.2019г.), Ви информираме следното:
От 25 май 2018 г. се прилага Регламент (ЕС) 2016/679 – Общ регламент за защита на данните (ОРЗД). Регламентът е задължителен законодателен акт и той трябва да се прилага в своята цялост във всички страни от Европейския съюз. Законът за защита на личните данни (ЗЗЛД) и Европейският регламент определят правилата и изключенията, при които следва да се обработват лични данни, за да се гарантира личната неприкосновеност на индивида.
Чл. 25 от ЗЗЛД описва общите правила при обработване на лични данни от страна на администратора или обработващия лични данни.
Съгласно чл. 25и от ЗЗЛД работодателят или органът по назначаване, в качеството си на администратор на лични данни (АЛД) е необходимо да приеме вътрешно фирмени правила и процедури, които да гарантират, че не се ограничават правата на субектите на данни в съответствие с ОРЗД и ЗЗЛД.
Съгласно чл. 4, т. 12 от Регламента е посочено, че „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Също така съгласно чл. 33 и чл. 34 от ОРЗД е необходимо работодателят, в качеството си на администратор, да изготви процедура, която да се прилага в случаите на нарушение на сигурността на личните данни, като по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган.
От гореизложеното, може да се направи извода, че за всяка организация е необходимо да приложи подходящи технически и организационни мерки, за да се избегнат възможни нарушения на сигурността на данните. На този етап, нито ЗЗЛД, нито Общият регламент, въвеждат изискване за разгласяване и/или оповестяване на нарушения, по смисъла на термина “whistleblowing scheme”.

Отговорът на Комисията е ясен и поради това занапред следва да се има предвид, че под “система за докладване на нарушения” се разбира процедура, която да се прилага в случаите на нарушение на сигурността на личните данни съгласно чл. 33 и чл. 34 от Регламент (ЕС) 2016/679 “GDPR”. Под “нарушение” се разбира понятието по чл. 4, т. 12 от Регламент (ЕС) 2016/679. Въпреки непрецизния текст на чл. 25и ал. 1 от ЗЗЛД, разпоредбата му утвърждава задължение на работодатели или органи по назначаването като администатори на лични данни да изготвят, приемат и прилагат правила и процедури при използване на система за докладване на нарушения на личните данни с оглед чл. 4, т. 12, 33 и чл. 34 от Регламент (ЕС) 2016/679 (ОРЗД).