Становище във връзка с Проект за инструкция за достъпа на ДАНС до информационните фондове на МОН

СТАНОВИЩЕ 
 
Относно: Проект на Инструкция за достъпа на Държавна агенция „Национална сигурност” до информационните фондове на Министерството на образованието и науката
 
Уважаеми Дами и Господа,
 
С настоящото становище искаме да изразим нашето безпокойство и загриженост във връзка с приемане на Проекта на Инструкция за достъпа на Държавна агенция „Национална сигурност” до информационните фондове на Министерството на образованието и науката („Проекта“), публикуван на 09.08.2019 г. в Портала за обществени консултации на Министерски съвет в настоящия му вид.
 
В проекта са нарушени основни принципи и права в областта на защита на личните данни. Нарушен е принципът на съответствие на обработването на личните данни с целта, за която се събират и/или обработват.
 
Един от основните принципи на защита на личните данни е обработването на лични данни да съответства на целта, за която се предоставят данните и само доколкото е необходимо. Целта се дефинира предварително от администратора на лични данни. В Мотивите към Проекта се посочва като цел ДАНС да извършва „справочна дейност“ в информационните масиви на МОН, но това не е ясно дефинирана цел и съответно – обемът на данни, до които се предоставя достъп на ДАНС, не може да бъде ясно дефиниран и на практика е неограничен.

НЕ ЖЕЛАЯ ДА ОБРАЗОВАТЕ СЕКСУАЛНО ДЕЦАТА

В допълнение, не следва да има постоянен достъп – т.е. за неограничен срок до личните данни на неограничен кръг лица. Достъпът се прекратява с изпълнението на целта, за която са били събрани. В Проекта обаче срокът на достъп на ДАНС до личните данни, събрани от МОН, не може да бъде определен и ограничен за определен период от време, защото целта е неопределена. 

Нарушено е грубо правото на защита на личните данни на лица под 16 г.
Видно от Проекта и публикуваните Мотиви към него, правното основание за създаването на горепосочената Инструкция е чл. 30, ал. 3 от Закона за Държавна агенция „Национална сигурност“, според която министерствата и ведомствата предоставят достъп до информационните си фондове на Агенцията по ред, определен със съвместна инструкция на председателя на агенцията и съответния министър или ръководител на ведомство.

До този момент има две инструкции, издадени на основание чл. 30, ал. 3 от ЗДАНС:

• ИНСТРУКЦИЯ № 3261 от 21.12.2011 г. за достъпа на ДАНС до информационни фондове на МВР, и 
• ИНСТРУКЦИЯ № I-7 от 26.10.2018 г. за достъпа на ДАНС до информационните фондове на Агенция „Митници“.

Първото, което прави впечатление при сравнението между двете действащи инструкции и Проекта, е че и в двете съществуващи инструкции изрично е посочено, че достъпът на ДАНС до съответните информационни фондове се осъществява при спазване на принципа „необходимост да се знае” (чл. 4 от същите инструкции). Такова изискване в Проекта на Инструкция с МОН липсва, като в Мотивите на Проекта не е обосновано защо достъпът до личните данни на лица под 16 години не е съобразен с този основен принцип и с какво децата са по-опасни за националната сигурност. 

На второ място, има разлика между двете съществуващи инструкции и Проекта за МОН относно изискванията при идентифицирането на служителя от ДАНС, изискващ информация. При работата с фондовете на МВР, служителят на ДАНС трябва да посочи трите си имена, ЕГН, структурното звено, длъжност, уникално логическо име за конкретния потребител на ДАНС, като се посочват също технологични дейности и информационни обекти или номер на профил, съгласно организационно-технологичните правила за всеки отделен информационен фонд. При искане за достъп до фондовете на Агенция „Митници“ се изисква идентификационен номер, структурно звено, длъжност и потребителско име за конкретния потребител на ДАНС. 

При работата с информационните масиви на МОН се изисква само логически идентификатор на конкретния служител на ДАНС.  Отново в Мотивите на Проекта не е обосновано защо достъпът до личните данни на лица под 16 години не се осъществява при засилени мерки за защита, а напротив – може да се извършва по опростен начин, който не дава гаранция, че при злоупотреба може да се търси отговорност от конкретните лица. 

На трето място, в инструкцията, регламентираща достъпа до фондовете на Агенция „Митници“, е предвидено, че ДАНС няма достъп до данъчна и осигурителна информация по смисъла на глава IX от ДОПК, а само до конкретно изброена информация (чл. 4). 

В обсъждания Проект за достъп до информационните фондове на МОН се дава достъп до цялата информация в национална електронна информационна система за предучилищното и училищното образование, чието съдържание е изброено в НАРЕДБА № 8 от 11 август 2016 г. за информацията и документите за системата на предучилищното и училищното образование.

​Тази информация, е подробна и широкообхватна и стига до детайли като „Допълнителна подкрепа за личностно развитие на дете/ученик със специални образователни потребности/в риск/с изявени дарби/с хронични заболявания“. Подобен неограничен достъп до личните данни на лица под 16 години е напълно неоправдан и не би могъл да бъде мотивиран. Oще повече в Мотивите към Проекта липсва какъвто и да било опит да се обоснове и това изключително право на достъп, което се предоставя на ДАНС. 

Мотивите към Проекта са непълни и не съдържат ясно и конкретно обосноваване на необходимостта от Инструкцията и то в настоящия ѝ вид, с всички изключителни правомощия и достъп, които описахме по-горе. Не може да бъде мотив дадено по закон право на определен държавен орган. Мотивите следва да имат: причина, начини за реализация, дефинирана цел, метод за проверка и контрол на постигнатия резултат. В предложените „Мотиви“ към Проекта липсват тези елементи, което не само може да бъде повод за искане отмяната на Инструкцията като незаконосъобразна (трайната съдебна практика на ВАС към момента е да отменя нормативни актове с бланкетни мотиви), но и оставя неяснота у всички заинтересовани лица относно целите и намеренията на издаващите Инструкцията органи.

Комисията по защита на личните данни не би могла да упражнява контрол и да налага санкции при нарушения от страна на служители на ДАНС на правата на субектите на лични данни, тъй като към дейности от областта на националната сигурност не се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

Сериозно безпокойство буди фактът, че няма да има ефективен контрол върху достъпа на ДАНС до информационните масиви на МОН, нито реална възможност да се търси отговорност при извършени нарушения на правата на субектите на лични данни ако Проектът бъде приет, без да се отстранят горепосочените проблеми и неясноти.

С оглед на гореизложеното, считаме, че Проектът на Инструкция за достъп на ДАНС до информационните фондове на МОН следва да бъде основно преработен, за да бъде максимално съобразен с принципите на защита на личните данни и да се гарантират, в най-голяма степен, правата на децата и родителите – субекти на лични данни.


С уважение,


Михаела Джоргова 
Председател
ГС “Асоциация общество и ценности”
[email protected]