52012SC0073

РАБОТЕН ДОКУМЕНТ НА СЛУЖБИТЕ НА КОМИСИЯТА

ОБОБЩЕНИЕ НА ОЦЕНКАТА НА ВЪЗДЕЙСТВИЕТО

придружаваща

Регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) и Директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наказателни санкции и за свободното движение на такива данни.

1. Въведение

След приемането на настоящата правна рамка на ЕС за защита на данните през 1995 г. бързото технологично и стопанско развитие постави нови предизвикателства пред защитата на личните данни. Мащабите на обмена и събирането на данни се увеличиха драстично. Технологиите позволяват на частните дружества и публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Хората правят все по-често личните си данни обществено и световно достъпни, без да съзнават напълно рисковете, свързани с това.

Изграждането на доверие в онлайн средата е ключов фактор за икономическото развитие. Липсата на доверие кара потребителите да се колебаят дали да пазаруват онлайн и да ползват нови услуги, включително обществени електронни административни услуги. Ако не се вземат мерки, тази липсата на доверие ще продължи да забавя развитието на новаторското ползване на нови технологии, да възпрепятства икономическия растеж и да пречи на обществения сектор да реализира потенциалните ползи от цифровизацията на своите услуги.

Освен това с Договора от Лисабон, и по-специално с член 16 от ДФЕС, се създаде ново правно основание за осъвременен и цялостен подход към защитата на данните и свободното движение на личните данни, с което се урежда и полицейското и съдебното сътрудничество по наказателноправни въпроси.

2. Определяне на проблема

В оценката на въздействието се представят и анализират три основни проблемни области:

2.1. Проблем 1: пречки за предприятията и публичните органи в резултат на фрагментарност, правна несигурност и непоследователно прилагане

Въпреки че целта на директивата е да се гарантира еднакво ниво на защита на данните в ЕС, правилата в държавите-членки все още се различават значително. Поради това на администраторите на лични данни се налага да се съобразяват с 27 различни национални закона и с изискванията в рамките на ЕС. Резултатът е фрагментарна правна среда, която създава правна несигурност и неравностойна защита за физическите лица. Това причинява ненужни разходи и административна тежест (в размер на близо 3 млрд. EUR годишно в основния сценарий) за стопанските субекти и представлява пречка за предприятията, включително МСП, функциониращи в рамките на единния пазар, които може да пожелаят да разширят дейността си зад граница.

Нещо повече, ресурсите и правомощията на националните органи, отговорни за защитата на данните, се различават значително сред държавите-членки. В някои случаи това означава, че те не са в състояние да изпълняват своите задачи по правоприлагане по задоволителен начин. Сътрудничеството между тези органи на европейско равнище — чрез съществуващата консултативна група (работната група по член 29) — не винаги води до съгласувано правоприлагане и поради това то също трябва да бъде подобрено.

2.2. Проблем 2: физическите лица трудно запазват контрол върху личните си данни

Предвид на липсата на хармонизация в националните законодателства относно защитата на данните и различните правомощия на националните органи за защита на данните, физическите лица срещат повече трудности при упражняването правата си за защита на личните данни в някои държави-членки в сравнение с други, особено в онлайн контекст.

Освен това физическите лица нямат контрол върху своите лични данни поради огромния обем от данни, които се обменят всеки ден, както и поради факта, че те често не са съвсем наясно, че данните им се събират. Въпреки че много европейци считат, че разкриването на лични данни е във все по-голяма степен част от съвременния живот[1], 72 % от ползващите интернет в Европа все още се притесняват, че им се искат твърде много лични данни онлайн и че те често не знаят как да упражняват правата си онлайн.

2.3. Проблем 3: пропуски и несъответствия в защитата на личните данни в сферата на полицейското и съдебното сътрудничество по наказателноправни въпроси

От приложното поле на директивата, чието правно основание е свързано с вътрешния пазар, изрично са изключени полицейското и съдебното сътрудничество по наказателноправни въпроси. Рамковото решение, прието през 2008 г. с цел да се регламентира обработката на данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси, отразява особеностите на „стълбовата“ структура на ЕС и се характеризира с ограничено приложно поле и различни други пропуски, което често води до правна несигурност за физическите лица и правоприлагащите органи, както и до практически трудности при прилагането му. Освен това в рамково решение се предвиждат големи възможности за дерогация от общите принципи за защита на данните на национално равнище, което не способства за хармонизирането им. Това не само рискува да доведе до обезсмисляне на тези принципи, засягайки по този начин основното право на лицата на защита на техните лични данни в тази област, но също така пречи на безпроблемния обмен на лични данни между съответните национални органи.

3. Анализ на субсидиарността и пропорционалността

Предвид очертаните по-горе проблеми, анализът на субсидиарността показва необходимостта от действие на равнище ЕС въз основа на следното:

· Правото на защита на личните данни е залегнало в член 8 от Хартата на основните права. Член 16 от Договора за функционирането на ЕС е правното основание за приемането на правила на ЕС относно защитата на личните данни;

· Лични данни могат да бъдат предавани през националните граници, както през вътрешните граници на ЕС, така и към трети държави, с бързо нарастващи темпове. Освен това съществуват практически предизвикателства при прилагането на законодателството за защита на данните и необходимост от сътрудничество между държавите-членки и техните органи, което трябва да бъде организирано на равнище ЕС, за да се гарантират необходимата съгласуваност и високо ниво на защита в рамките на Съюза;

· Държавите-членки не могат сами да намалят проблемите в сегашната ситуация. Това се отнася особено за тези проблеми, които са породени от фрагментарността на националните законодателства за прилагане на регулаторната рамка на ЕС за защита на данните;

· Макар да е възможно държавите-членки да провеждат политики, които гарантират, че това право не се нарушава, това няма се осъществява по еднакъв начин при липсата на общи правила на ЕС и ще доведе до ограничения при трансграничните потоци от лични данни.

Предвидените действия са пропорционални, тъй като те са в обхвата на компетентност на Съюза, определена в Договорите, и са необходими, за да се гарантира еднаквото прилагане на законодателството на ЕС, осигуряващо ефективна и еднаква защита на основните права на лицата. Действието на равнище ЕС е от съществено значение, за да продължат да се гарантират надеждността и високото ниво на защита на данните в глобализирания свят, като същевременно се запази свободното движение на данни. Правилното функциониране на вътрешния пазар изисква разпоредбите да осигуряват равнопоставени условия на конкуренция за икономическите оператори.

4. Цели

Трите основни цели на политиката са:

· да се подчертаят аспектите, свързани с вътрешния пазар, на защитата на данните, като се намали фрагментарността, увеличи последователността и опрости регулаторната среда, с което да се премахнат излишните разходи и да се намали административната тежест;

· да се повиши ефективността на прилагане на основното право на защита на данните и да се даде възможност на физическите лица да контролират своите данни;

· да се подобри съгласуваността на правната рамка на ЕС за защита на данните, включително в сферата на полицейското и съдебното сътрудничество по наказателноправни въпроси, като изцяло се отчете влизането в сила на Договора от Лисабон.

5. Варианти за политика 5.1. Вариант 1:  умерени действия

Този вариант се състои основно от тълкувателни съобщения на Комисията, средства за техническа помощ и финансиране, както и от поощряване на стандартизацията и саморегулирането, с цел укрепване на практическото прилагане на съществуващите правила от администраторите на лични данни и повишаване на осведомеността сред физическите лица. Комисията ще предложи само много ограничени законодателни изменения, за да изясни съществуващите понятия в директивата и да отговори на специфични въпроси, които не могат да бъдат разрешени ефективно по друг начин. Този вариант за политиката ще бъде от релевантен само за проблеми 1 и 2.

С ограничените законодателни промени изрично ще се въведат принципите на прозрачност и на свеждане до минимум на данните, както и правно основание за „задължителни фирмени правила“ за международно предаване на данни.

5.2. Вариант 2:  осъвременена правна рамка

Комисията ще представи законодателни предложения с цел по-нататъшно хармонизиране на материалноправните норми, изясняване на конкретни разпоредби и премахване на несъответствията, причинени от различните подходи в държавите-членки. С тези предложения ще се решат проблеми 1 и 2, тъй като, от една страна, ще се улесни движението на данни в рамките на ЕС и от ЕС към трети държави, а от друга страна, ще се пояснят и укрепят правата на физическите лица (напр. правото на достъп, „правото да бъдеш забравен“, по-ясни условия за съгласие и за уведомяване при нарушения на сигурността на лични данни) и ще се засилят отговорността — и „отчетността“ — на администраторите на лични данни и на обработващите лични данни (напр. чрез въвеждане на задължението, когато е целесъобразно, да се назначават длъжностни лица за защита на данните (ДЛЗД) или да се извършва оценка на въздействието на защитата на данните (ОВЗД)). При този вариант ще се създаде, по-специално, „едно гише“ за администраторите на лични данни (т.е. един единствен закон и един единствен отговорен орган по защита на данните (ОЗД)). Общите изисквания за уведомяване ще бъдат опростени (т.е. „основна регистрация“). Ще бъде също така укрепена независимостта на органите по защита на данните и ще се хармонизират правомощията им. Сътрудничеството и взаимопомощта между органите по защита на данните ще бъдат засилени, включително чрез нов „механизъм за съгласуваност“, включващ новосъздаден „Европейски комитет по защита на данните“ и Комисията.

По отношение на защитата на данните в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси (проблем 3) Комисията ще представи предложения, които да заменят рамковото решение с нов инструмент с разширено приложно поле и които да отстранят най-съществените пропуски и недостатъци, за да се укрепят правата на физическите лица и да се улесни сътрудничеството между правоприлагащите органи, като се отчете спецификата на сектора на правоприлагането.

5.3. Вариант 3:  подробни правни норми на равнище ЕС

Този вариант включва повечето елементи на вариант 2, както и много по-подробно законодателство на ЕС, включително секторно законодателство (например в сектора на здравеопазването и медицинското обслужване), и централизирана структура за правоприлагане на равнище ЕС (т.е. създаване на Европейски орган по защита на данните). Това ще доведе също така до премахването на общите изисквания за уведомяване (с изключение на предварителната проверка на рисково обработване), създаването на обща схема на ЕС за сертифициране на процесите и продуктите за подаване на жалби във връзка със защитата на данни и определянето на хармонизирани на равнище ЕС наказателни санкции за нарушения на правилата за защита на данните. Понятието „съгласие“ ще бъде определено като „първичното правно основание“ за обработването на лични данни.

По отношение на полицейското и съдебното сътрудничество по наказателноправни въпроси, в допълнение към материалноправните норми от вариант 2, ще бъде включено установяването на подробни правила за правото на физическите лица на достъп (винаги пряк). Ще бъде направено също така изменение на съответните разпоредби на всички съществуващи инструменти по вече несъществуващия трети стълб, за да бъдат приведени изцяло в съответствие с новите и разширени хармонизирани правила.

6. Оценка на въздействията 6.1. Вариант за политиката 1: умерени действия

Тълкувателните съобщения на Комисията относно разпоредбите на директивата няма да имат задължителен характер и следователно ще имат само ограничено въздействие върху намаляването на правната несигурност и разходите. Повече саморегулиране на равнище ЕС би могло да спомогне за осигуряването на по-голяма правна сигурност за администраторите на лични данните в определени сектори, но няма да е достатъчно, за да се гарантира ефективното и съгласуване прилагане на правилата при липсата на основополагаща ясна и хармонизирана правна рамка на ЕС.

Кампаниите за информиране на обществеността ще помогнат на физическите лица да се запознаят по-добре със своите права за защита на данните и да разберат по-добре практическите начини за упражняването им. Това обаче няма да е достатъчно, за да могат отделните физически лица да упражняват своите права, когато тези права не са ясно определени от закона. Законодателните разяснения относно принципите на прозрачност, на свеждане до минимум на данните, на адекватност и на задължителни фирмени правила ще повишат хармонизацията и правната сигурност за физическите лица и предприятията.

По отношение правоприлагането съобщенията на Комисията няма да преодолеят нежеланието на държавите-членки да променят националните си правила, така че да дадат по-голяма независимост и хармонизирани правомощия на ОЗД. Засилената координация с работната група по член 29 и обменът между ОЗД ще имат положително въздействие върху по-съгласуваното прилагане на правилата. Въпреки това продължаващите различия в националните закони и тълкуването им ще ограничат ефекта от по-доброто сътрудничество между ОЗД.

Очакваното финансово и икономическо въздействие от този вариант за политика е ограничено, а установените проблеми до голяма степен ще останат неразрешени.

6.2. Вариант за политиката 2: осъвременена правна рамка

Правната несигурност за частните дружества и публичните органи ще бъде значително намалена. Проблемните разпоредби ще бъдат изяснени, а съгласуваността ще се увеличи поради намалената свобода на тълкуване и мерките за прилагане и/или делегираните актове, приети от Комисията.

Замяната на общото уведомление за дейности по обработването на данни с опростена хармонизирана „регистрационна“ система, като същевременно се запазят предварителните проверки за чувствителни данни и рисково обработване, ще освободи администраторите на лични данни от задължение, което в момента се изпълнява по различни начини. Засилването на отговорността на администраторите на лични данни и на обработващите лични данни чрез въвеждането — в определени случаи и с ясно определени и целенасочени прагове — на служители за защита на данните и на оценки на въздействието за защитата на данните, а също и на принципа за защита на личните данни още при проектирането ще даде възможност за по-лесно осигуряване и доказване на съблюдаването на нормите.

Изясняването и опростяването на нормите чрез определянето на едно единствено право, приложимо в целия ЕС, и чрез създаването на „едно гише“ за надзор на защитата на данните ще укрепи вътрешния пазар, включително като се премахнат различията в административните формалности на ОЗД. Това ще позволи да се направят цялостни икономии от близо 2,3 млрд. EUR годишно само от гледна точка на административната тежест.

С укрепването и хармонизирането на правомощията на ОЗД, чрез създаването на стабилен механизъм за сътрудничество и взаимопомощ за случаи с европейско измерение и чрез хармонизирането на нарушенията, подлежащи на административни санкции, ще се насърчи също така съгласуваността при правоприлагането.

С хармонизирано задължение в целия ЕС за уведомяване за нарушения на сигурността на данните ще се осигури по-добра защита за физическите лица, ще се гарантира съгласуваност сред секторите и ще се избегнат недостатъци за конкуренцията.

Правата на субектите на данни и контролът на физическите лица върху техните данни ще бъдат значително укрепени чрез въвеждането на нови права и подобряването и допълнителното изясняване на съществуващите такива. Децата ще се извлекат полза от специалните мерки, насочени към уязвимостта им. Сдруженията ще имат по-големи възможности да подпомагат субектите на данни при упражняването на техните права, включително и чрез завеждане на дела в съда.

Прилагането на общи принципи на защита на данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси ще подобри цялостната съгласуваност на правната рамка на ЕС за защита на данните, като същевременно ще се отчитат присъщите особености на правоприлагането. Индивидуалните права в частност ще бъдат укрепени посредством разширяването на приложното поле на правилата за защита на личните данни в тази област до „вътрешното“ обработване, определянето на условия за гарантиране на правото на достъп и предвиждането на по-строги правила за ограничаване до предвидената цел.

От гледна точка на финансовото и икономическото отражение задължението за по-големите икономически оператори (с над 250 служители) да назначават длъжностни лица за защита на данните не се очаква да доведе до прекомерни разходи, тъй като в тези дружества обикновено вече има длъжностни лица за защита на данните. Разходите за спазване на изискванията ще възлизат на 320 млн. EUR годишно. Задължението ще обхване необходимия минимален сегмент от администратори на лични данни, тъй като по правило МСП ще бъдат изключени от това задължение, освен ако техните дейностите по обработване на данни водят до значителни рискове за защитата на данните. На публичните органи и власти ще бъде позволено да назначат едно ДЛЗД в за няколко образувания (напр. като обхванат няколко клона, отдели, офиси), като се вземе предвид на тяхната организационна структура.

Опростяването на правилата за международните предавания на данни (например, чрез разширяване на обхвата на „задължителните фирмени правила“) също ще има положително въздействие върху международната конкурентоспособност на предприятията в ЕС.

Укрепването на независимостта и правомощията на ОЗД, заедно със задължението на държавите-членки да им предоставят достатъчно ресурси, ще доведе до допълнителни разходи за публичните органи, които в момента нямат подходящи правомощия и адекватни ресурси.

Новият механизъм за сътрудничество и взаимопомощ между ОЗД ще доведе също така до допълнителни разходи както за националните ОЗД, така и за ЕОЗД. Допълнителните задачи на ЕОЗД, например по осигуряване на секретариата на Европейския комитет по защита на данните, който ще замени работната група по член 29, и по-специално участието му в механизма за съгласуваност вероятно ще наложат увеличаване на неговите сегашни ресурси с допълнителни 3,022 млн. EUR годишно средно за първите шест години, включително кредити за допълнителни 10 човешки ресурси в еквивалент на пълно работно време.

6.3. Вариант за политиката 3: подробни правни норми на равнище ЕС

Допълнителното увеличаване на прецизността на разпоредбите, включително секторни разпоредби, отвъд мерките, предвидени във вариант 2, ще доведе до максимално намаляване на различията между държавите-членки. Въпреки това е възможно гъвкавостта да не е достатъчна за държавите-членки, за да се отчетат националните особености.

Пълното премахване на уведомленията — освен в случай на предварителни проверки — ще опрости регулаторната среда и ще намали административната тежест.

Със създаването на агенция на ЕС за защита на данните ще се подобри значително съгласуваността в правоприлагането и ще се премахнат несъответствията в случаите със ясно европейско измерение, но правомощията на такава агенция на ЕС биха могли да отидат твърде далеч съгласно правото на ЕС. Това обаче ще струва много скъпо на бюджета на ЕС. Хармонизираните наказателни санкции също ще увеличат съгласуваността в правоприлагането, но ще срещнат и силната опозиция на държавите-членки.

Правата на субектите на данни, включително правата на децата, ще бъдат укрепени допълнително, например чрез разширяване на определението за чувствителни данни, така че то да включва личните данни на децата, биометричните и финансовите данни. Въвеждането на право на „колективни искове“ ще позволи оптималното упражняване на правата посредством съдебни спорове. Очаква се с хармонизирането на равнище ЕС на равнището на санкциите, в това число и на наказателните санкции, да се укрепят допълнително индивидуалните права.

Ясно формулираните изменения на всички инструменти, с които приложното поле на общите норми за защита на личните данни се разширява в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси, ще имат положително въздействие по отношение на последователността и съгласуваността на нормите в тази област, както и по отношение на укрепването на правата на физическите лица, и ще осигурят висока степен на защита на данните. Въпреки това този подобен на „големия взрив“ подход ще срещне съпротива от страна на държавите-членки и е политически труден за осъществяване.

7. Сравнение на вариантите

Вариант за политиката 1 ще доведе до ниска степен на спазване на изискванията и административни разходи, особено за частните администраторите на лични данни, като по-голямата част от допълнителните разходи ще се падне на националните публични органи и органите на ЕС. В същото време той ще окаже само ограничено положително въздействие върху установените проблеми и върху постигането на целите на политиката.

По отношение на политическата осъществимост, макар и предложенията да не са спорни, този вариант за политиката вероятно ще срещне съпротива от страна на заинтересованите страни поради своя ограничен обхват и въздействие върху проблемите и може да бъде счетен за недостатъчно амбициозен.

Вариант за политиката 2 ще доведе до значително намаляване на фрагментарността и правната несигурност. Може да се очаква той да има много по-голямо въздействие за разрешаването на установените проблеми и постигането на целите на политиката. Като се вземат предвид всички аспекти, административните разходи и разходите за привеждане в съответствие, свързани с този вариант за политиката, се очаква да бъдат приемливи с оглед на ползите и икономиите от над 2 млрд. EUR годишно от гледна точка на административната тежест. Този вариант ще гарантира по-добро и по-съгласувано правоприлагане като цяло. Премахването на уведомленията в полза на по-проста „базова регистрационна система“ също така ще опрости регулаторната среда и ще намали административната тежест.

Що се отнася до одобрението на заинтересованите страни, този вариант като цяло ще бъде приет положително от икономическите оператори и публичните органи, тъй като той като цяло ще намали разходите им за привеждане в съответствие, по-специално тези, свързани със сегашния фрагментарен режим. Укрепването на правата на защита на данните ще бъде приветствано от работещите в областта на защитата на данните,и по-специално от органите за защита на данните. По отношение на третата обща цел този вариант ще допринесе за постигането на целите да се гарантира по-голяма последователност и съгласуваност на правилата за защита на личните данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси, като се отмени и приведе в съответствие с Договора от Лисабон рамковото решение и се отстранят пропуските, по-специално като се разшири неговото приложно поле до „вътрешното“ обработване на данни.

Вариант за политиката 3 включва повечето мерки от вариант за политиката 2, като същевременно отива по-далеч в няколко аспекта. Следователно той ще има по-голямо и положително въздействие по отношение както на намаляването на разходите, свързани с правната фрагментарност, така на укрепването на правата на физическите лица. Освен това той ще увеличи максимално съгласуваността и последователността на правилата за защита на личните данни по вече несъществуващия трети стълб и ще повиши стандартите за защита на данните в този контекст. Въпреки това някои от мерките, включени в този вариант, водят до прекалено големи разходи за привеждане в съответствие или има вероятност да срещнат силна опозиция от заинтересованите страни. Освен това едновременното изменение на всички инструменти по вече несъществуващия трети стълб ще бъде твърде сложно и спорно от политическа гледна точка.

Предпочетен вариант

Предпочетеният вариант се състои от вариант 2, съчетан със:

– премахването на задълженията за уведомяване съгласно вариант 3 и

– някои „умерени мерки“ съгласно вариант 1: насърчаване на технологии за подобряване на защитата на личния живот и на схеми за сертифициране, както и на кампании за повишаване на осведомеността.

При предпочитания вариант има най-голяма вероятност да се постигнат политическите цели без прекомерни разходи за спазване и със значително намаляване на административната тежест.

Очаква се по-строгите правила за защита на личните данни да доведат до някои допълнителни разходи за привеждане в съответствие, по-специално за администраторите, които извършват рискови дейности за обработване на данни. Строгият режим за защита на личните данни обаче може да предложи конкурентно предимство за икономиката на ЕС, тъй като по-високото ниво на защита и очакваният намален брой на инциденти и нарушения, свързани със защитата на данните, може да увеличат доверието на потребителите. Изискването дружествата да приемат високи стандарти за защита на данните също може да доведе до дългосрочни подобрения за европейските предприятия, които биха могли да станат световни лидери в технологиите за подобряване на защитата на личния живот или в решенията за защита на личните данни още при проектирането, с което ще привлекат стопански дейности, работни места и капитали към Европейския съюз.

Освен това за предприятията, работещи в рамките на вътрешния пазар на ЕС, по-голямата хармонизация ще направи трансграничното обработване на лични данни по-лесно и по-евтино. Очаква се това да осигури съществени стимули за тези предприятия да се разширят зад граница и да се възползват от предимствата на вътрешния пазар, което ще се отрази благоприятно както на потребителите, така и на европейската икономика като цяло.

Предпочитаният вариант представлява балансирано решение и по отношение на проблем 3, тъй като укрепва правата на физическите лица, премахва пропуските и ограничава несъответствията по отношение на защитата на данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси, като същевременно улеснява сътрудничеството в областта на правоприлагането.

8. Наблюдение и оценяване

Наблюдението и оценяването на въздействието на предпочетения вариант ще се съсредоточат върху елементи като използването на новите инструменти, въведени с реформата, правомощията и ресурсите на националните органи за защита на данните, санкциите, наложени за нарушения на законите за защита на данните, времето и разходите на администраторите на лични данни за спазване на правилата, както и развитието на доверието на физическите лица в защитата на техните лични данни онлайн средата.

[1]               Вж. Специално проучване на Евробарометър 359 — „Нагласи относно защитата на данните и електронната самоличност в Европейския съюз“, юни 2011 г., стр. 23.