Становище от Българска Е-комерс Асоциация относно Законопроект за допълнение на Закона за защита на личните данни

Изх. № 2020-004/22.06.2020 г.

До:

Народно Събрание на Република България
Комисия по вътрешна сигурност и обществен ред
На вниманието на:
Г-н Пламен Нунев, председател

Комисия по културата и медиите
На вниманието на:
Г-н Вежди Рашидов, председател

Комисия по правни въпроси
На вниманието на:
Г-жа Анна Александрова, председател

Относно: Законопроект за допълнение на Закона за защита на личните данни

Сигнатура: 054-01-47

Дата на постъпване: 28.05.2020 г.

Становище от Българска Е-комерс Асоциация

Уважаеми дами и господа,

Във връзка с внесения в Народното събрание Законопроект за допълнение на Закона за защита на личните данни със сигнатура 054-01-47 и дата на постъпване 28.05.2020 г. („Законопроектът“) от името на Сдружение „Българска Е-комерс Асоциация“ поддържаме следното становище.

Считаме, че от обхвата на Законопроекта следва да бъдат изрично изключени доставчиците на услуги на информационното общество, в т.ч. сайтовете, платформите и системите за онлайн търговия, доколкото материята вече е изрично регулирана на ниво Европейски съюз и в страната (чрез Закона за електронната търговия) и предложената нова законодателна уредба влиза в пряко противоречие със съществуващите норми на европейско ниво.

По-конкретно Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 година за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар и Закона за електронната търговия вече съдържат изрични и хармонизирани норми относно информацията, която трябва да се предоставя относно доставчика на услуги на информационното общество (чл. 5 от Директивата и чл. 4 от ЗЕТ), както и отговорността на доставчика на услуги на информационното общество за съдържанието, достъпно през сайта/платформата (чл. 14 и чл. 15 от Директивата и чл. 16 и чл. 17 от ЗЕТ). Съгласно чл. 15 от Директивата: 

„Член 15

Отсъствие на общо задължение за контрол

1.   Държавите-членки не налагат общо задължение на доставчиците при предоставянето на услугите по членове 12, 13 и 14 да контролират информацията, която пренасят или съхраняват, нито общо задължение да търсят активно факти или обстоятелства за незаконна дейност.“

В Глава 6 от ЗЕТ вече е въведена детайлна уредба за контрола над посочените дейности и няма необходимост да се създава конфликтна контролна система, която и противоречи на правото на ЕС в тази област.

В този контекст, считаме за несъвместими с горната уредба, предлаганите разпоредби на Законопроекта, налагащи отговорност на оператора на сайта / платформения оператор за невярна информация, както и по същество задължение за следене и проверяване на тази информация, по отношение на доставчиците на услуги на информационното общество, в т.ч. операторите на сайтове и платформи за електронна търговия.

Обръщаме внимание, че в позиция на платформен оператор се намират операторите на т.нар. онлайн маркетплейс-и, сайтове за обяви и др. под. където множество различни търговци и физически лица предлагат стоки и услуги за продажба. При ежедневно качване и промяна на хиляди оферти от тези лица, обективно неизпълнимо е възлагането на подобно задължение, освен че то противоречи на изричната разпоредба на Директивата и ЗЕТ. При вече уреден режим в тази област, считаме че задълженията, отговорностите и контрола в рамките на този режим, следва изрично да бъдат изключени от обхвата на Законопроекта.

Освен това, обръщаме внимание, че от гледна точка за законодателството на ЕС за защита на личните данни, Законопроектът влиза в пряк конфликт със съществуващи норми с пряко приложение в страната, както следва:

1. Предложението за нов чл. 25п е в противоречие с дефиницията за „администратор“ по Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните или „Регламентът“). В чл. 4, пар. 7 на Регламента е посочено, че администратор „означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“. Същевременно, собственикът на един уебсайт в много случаи няма да е администратор на част от личните данни, обработвани чрез него (или дори на всички лични данни обработвани чрез уебсайта) – напълно е възможно и допустимо такова лице да предоставя определена услуга и например да действа като обработващ лични данни от името на администратор по смисъла на чл. 4, пар. 8 от Регламента или да не обработва лични данни изобщо.

Дефиницията на администратор в Регламента неслучайно е обща – нейното приложение ще се преценява към всеки конкретен случай, а конкретизирането на това кой е администраторът и какви са критериите за неговото определяне са позволени от чл. 4, пар. 7 на Регламента, единствено там, където целите и средствата за това обработване се определят от европейското или местното законодателство. По отношение на „собственици на интернет сайтове, онлайн платформи, профили в социалните мрежи и онлайн блогове“ ситуацията не е такава, следователно допълнителната дефиниция в българското законодателство ще противоречи на Регламента.

2. Ал. 2 на чл. 25п цели да санкционира непредоставянето на информация по чл. 1 или предоставянето на информация, която „не отговаря на действителността“ като чрез законова фикция посочва кой се счита за администратор в тези случаи. Текстът е несполучлив поради две причини.

От една страна, той е неясен – по отношение на онлайн платформите повтаря ал. 1, като посочва, че администратор е техният собственик; за профилите в социални мрежи и онлайн блогове определя, че за собственик следва да се приеме собственикът на социалната мрежа или блога; а за интернет сайтовете изобщо ал. 2 посочва, че за собственик следва да се счита доставчикът на домейна. Неясно е дали под „доставчик на домейна“ се има предвид лицето, на което е делегирано регистрирането на домейни (регистъра на имена на домейни от първо ниво по смисъла на Закона за киберсигурността; в областта .bg например това би било РЕГИСТЪР.БГ ООД), регистраторите на домейни към това лице (обикновено доставчик на хостинг услуги) – категории лица, които нямат нищо общо с дейността на даден уебсайт, обработването на лични данни и информацията на него, или отново се има предвид собственикът на интернет сайта.

Накрая, ал. 2 предвижда, че изброените категории лица могат да се освободят от законовата фикция, ако посочат кой е собственикът на домейна – като най-вероятно става дума за лицето, което го е регистрирало и което в общия случай ще съвпада със собственика на уебсайта, социалната мрежа или блога, т.е. това допълнително посочване едва ли ще доведе до различен резултат.

От друга страна, законовата фикция относно това кой следва да се счита за администратор противоречи на дефиницията по чл. пар. 7 на Регламента по същите причини, посочени по-горе.

3. Ал. 1 на чл. 25п противоречи на изискванията на чл. 13 и 14 от Регламента, които посочват каква информация следва да се предоставя от администраторите: „данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора“.

Следва да се направи уточнение, че „представител“ съгласно чл. 4, пар. 17 от Регламента означава „физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент“, а не неговия законен представител (наречен от чл. 25п, ал. 1, т. 2 „представляващия на юридическото лице“). В тази връзка, изискването за оповестяване на данните на законния представител, от една страна противоречи на чл. 13 и 14 на Регламента, а от друга страна е ненужно, тъй като тази информация е публично достъпна в Търговския регистър и регистъра на ЮЛНЦ.

По отношение на данните за лице за контакт – това изискване също е в противоречие с цитираните членове на Регламента, които изискват освен данните на администратора и неговия представител по смисъла на чл. 4, пар. 17 да се посочат единствено координатите с длъжностното лице по защита на данните, ако има такова. Санкцията за неспазването на чл. 13 и 14 също е конкретизирана в Регламента (чл. 83, пар. 5) и не дава възможност за уреждане на местно ниво на този въпрос по начина, предложен в чл. 25п, ал. 2 и 25р, ал. 1.

4. Данните на юридическите лица не представляват лични данни по смисъла на чл. 4, пар. 1 от Регламента. Съответно, уредба относно данни на юридически лица в Закона за защита на личните данни би противоречала на чл. 3 от Закона за нормативните актове – защитата на личните данни произтича от принципи, установени на европейско ниво (напр. в чл. 8 на Европейската конвенция за правата на човека) и в Конституцията на Република България (чл. 32), които не се прилагат към данните на юридическите лица. В тази връзка чл. 25р създава и допълнителни правомощия на Комисията за защита на личните данни извън тези, допустими и предвидени в чл. 58 от Регламента.

Аргументът в мотивите на Законопроекта за внасянето на съответните изменения в текста на Закона за защита на личните данни е, че IP адресите са лични данни. Този аргумент е частично неверен – в решение на Съда на Европейския съюз от 19 октомври 2016 година по дело C 582/14 се посочва, че за разлика от статичните IP адреси динамичните такива ще представляват лични данни, само ако са налице законни средства, позволяващи на администратора да идентифицира съответното лице благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги (ISP) на това лице – обикновено собствениците на уебсайтове не разполагат с такава възможност, освен когато става дума за държавни органи или за самите доставчици на интернет услуги. Това решение, макар и постановено по отменената Директива 95/46/ЕО, е запазило значението си и до днес, доколкото Регламентът не внася съществени разлики в дефиницията за „лични данни“.

5. В допълнение към несъответствието със законодателството на ЕС за защита на личните данни, следва да се отбележи, че чл. 25п, ал. 2, във връзка с чл. 25р създава задължение за модериране на съдържанието на собствениците на уебсайтове / платформи / социални мрежи и блогове, което на практика не е реалистично, а в някои случаи ще е невъзможно да бъде изпълнено.

Така например, на оператора на онлайн място за търговия („цифрова услуга, която дава на потребители или търговци възможността да сключват договори за онлайн продажби или услуги…“, както е дефинирано в Закона за киберсигурността), чиято услуга обикновено се изчерпва до предоставянето на инфраструктура за осъществяването на сделки, ще е вменено законово задължение и отговорност във връзка със съдържанието на хилядите отделни обяви, публикувани от други лица на уебсайта. Големи международни социални мрежи пък ще трябва не просто да изпълняват собствените си задължения по ал. 1 на чл. 25п, но и да следят за спазването им и за верността на информацията, предоставена от всеки един техен потребител на територията на Република България. Такова задължение вероятно би довело до това, че някои големи международни интернет страници ще забранят достъпа от България, тъй като в противен случай ще отговарят за обработването на лични данни от техните потребители и за евентуална дезинформация в техните публикации с риск от санкция по Регламента или Закона за защита на личните данни във връзка с дейността им.

С уважение,

Жанет Найденова,

Председател на Сдружение „Българска Е-комерс Асоциация“

* * *

За БЕА

Българска E-комерс Aсоциация (БЕА) e сдружение с нестопанска цел, осъществяващо дейност в обществена полза, което обединява фирмите, развиващи електронната търговия в България – електронни магазини, платформи, услуги за е-комерс, електронни разплащания, логистика и др. услуги, свързани с електронната търговия.

БЕА има за цел да подпомага създаването на добра среда за развитие на е-комерс бизнеса в страната, да създава и подкрепя добри практики сред онлайн търговците в посока по-голяма удовлетвореност на потребителите и да насърчава по-добрата комуникация с институциите и медиите.

Основен приоритет на БЕА е да си сътрудничи с институциите при създаването на нормативни документи, отнасящи се до осъществяване на електронната търговия, както и при контрола на тяхното изпълнение.  

Повече информация за БЕА: https://www.beabg.com
БЕА е член на Ecommerce Europe: https://www.ecommerce-europe.eu/