Приложим ли е GDPR към адвокатите?

На 25.05.2018 година влезе в сила Общ регламент за защита на личните данни (Регламент 2016/679/ЕС) или по-известен като GDPR. Приетият по обикновенна законодателна процедура[1] европейски акт изменя предишната съюзна регулация в областта на личните данни[2] и това, разбира се, поражда немалко въпроси, на които тепърва ще бъдат търсени отговори и върху които ще се изгражда практика.

Предмет на изследване на тази статия е един от нашумелите въпроси, а именно дали новият Регламент 2016/679/ЕС е приложим по отношение на адвокатите, като за целта ще бъде изследван първоначално въпросът за съотношението между европейски регламент и директива, след това ще бъде разгледан един от основните принципи на правото на ЕС-този за директния ефект и накрая ще бъде направен извод на база на изложено от настоящата разработка за значението на Регламент 2016/679/ЕС към адвокатската професия, неговото приложно поле спрямо това на отменената Директива 95/46/ЕО, въз основа на която беше създаден Закона за защита на личните данни.

 Съотношение между регламент и директива

Правото на ЕС (ПЕС) представлява автономен правопорядък, „нов правен ред в международното право”[3] и като такъв той има собствена система от източници на правни норми, в която несъмнено място заемат и производните източници на ПЕС. Последните, най-общо казaно, са всички правни актове, приемани от европейските институции, при упражняване на техните правомощия и компетентности. Самите те, според една от класификациите, могат да се разделят на типични (изчерпателно изброени в чл.288 от ДФЕС)[4]  и атипични (всички различни от тези, които са посочени в чл.288 от ДФЕС)[5] актове.

Регламентът и директивата са сред основните и най-важни източници, които следва да бъдат познавани и разграничавани един от друг. Някой актове, източници на ПЕС, наподобяват национални актове, така например съюзният регламент силно напомня на закон, докато други актове на ЕС нямат аналог в националното или международното право, какъвто е директивата. Интересен момент от историческото развитие на интеграционния процес е изготвеният през 2003 година проект за Договор за създаване на Конституция за Европа. Наред с редицата предвидени промени като превръщането на ЕС в юридическо лице, създаването на фигурата на външен министър на ЕС, легално закрепеният принцип за върховенство на ПЕС пред националните законодателства на държавите членки и други промени, които ще залегнат в бъдещия Договор от Лисабон[6], беше нормативно закрепено и това регламентът да се преименова на европейски закон, а директивата на европейски рамков закон. Всички тези промени, които на пръв поглед приближаваха тази властова структура наречена ЕС към характеристиките на федеративно устроена държава с „конституция” довежда до т.нар. „криза на доверието” и след отрицателните референдуми по ратификацията на Конституцията за Европа в Холандия и Франция, този проект отпада и не се реализира. Въпреки това, иманентната същност на регламента и директивата остават, дори да не бъдат назонавани закон, респективно рамков такъв. Те са нормативни актове имащи задължителна сила по отношение на субектите, към които са насочени.

Регламентът представлява „акт с общо приложение. Той е задължителен в своята цялост и се прилага пряко във всички държави-членки.”[7] Това е и най-типичният акт за упражняване на нормотворческата компетентност на ЕС. При нея в най-чист вид се осъществява радикалното заместване на националната норма с норма от интергационното право. Регламентът няма конкретни адресати, тоест той е неадресиран и се отнася до всички субекти: държавите членки, физическите и юридическите лица в тях. Нормите на този съюзен акт са абстрактно формулирани и с общ характер. Трябва да бъде отбелязано, че регламентът се прилага в неговата цялост. Той представлява акт, който по презумпция е годен да носи норми с директен ефект. За да е регламент, задължително условие е нормите в него да притежават директен ефект, но не непременно всички, а поне една трябва да притежава директен ефект[8]. Най-общо казано регламентът е акт на прякото европейско законодателство, резултат от упражняването на изключителната компетентност на ЕС, където Съюзът действа единствено и само той, посредством предоставените му правомощия.

От друга страна директивата е „акт, който обвързва по отношение на постигането на даден резултат от държавите- членки, до която е адресиран, като оставя на националните власти свобода при избора на формата и средствата за постигане на този резултат.”[9] От това определение, може да се изведат и характеристиките на една директива, а именно, че тя е винаги адресиран акт, характеризиращ се с ясен адресат-само и единствено държавите членки. Важно уточнение, което трябва да бъде направено е, че физическите и/или юридическите лица могат да бъдат ползватели на права, които самата директива ще породи за тях, но те не могат да бъдат обект, към който е насочено прякото действие на директивата. Една от най-важните характеристики на този съюзен акт, се изразява в това, че директивата обвързва по отношение на резултата, тоест националните власти сами трябва да постигнат този резултат с избрани от тях средства, или това е така известният етап на транспониране на една директива в съответната държава членка.[10] Изисква се от държавата да подходи творчески при транспонирането, като крайната цел е резултатът да бъде обектвино постигнат. Задължителен елемент на този акт е посоченият в него срок, в който да бъде постигнат резулата, или това е т.нар. срок за транспониране. От интерес е да бъде споменато, че след публикуване в Официален вестник на ЕС директивата става действащо за Съюза право и от този момент започва да тече срокът за транспониране, тоест има разлика между vacatio legis[11] и срокът за транспониране. В заключение на общата характеристика на една директива, може да бъде споменато, че тя е акт на непряко европейско законодателство, явяваща се резултат от упражняване на поделена компетентност на ЕС, защото волята на държавите членки е запазена, самите те ще решат какви мерки да предприемат за да постигнат резултата, предписан в съответната директива.

След като бяха разгледани два от най-важните съюзни актове - регламент и директива, за целта на тази статия, следва да бъде обърнато внимание и на принципа на директен ефект.

Директен ефект (ДЕ)

Принципът на директния ефект, наред с другите два основни принципа в ПЕС, тези за непосредствена приложимост и примат, се явява спецификата на европейската интеграция. Тези три принципа са взаимосвързани, наличието на всеки един е предпоставка за съществуването на другите два. Именно те разкриват уникалния характер на интеграционното право и общност, като я отграничават от международното право, такова, каквото го познаваме.

Принципът на ДЕ определя възможността нормите на правото на ЕС да пораждат директно за частноправните субекти в държавите членки права и задължения, подлежащи на защита пред националните юрисдикции. Този принцип определя реално възможността европейските норми да се превърнат в приложимо право спрямо частноправните субекти, така че да пораждат права и задължения за тях. Последните могат да се защитават директно пред национална юрисдикция, това е така, защото основното приложение на ПЕС е насочено не към съдията от СЕС[12], а към националния такъв. Така всъщност принципът на ДЕ е може би една от най-отличителните черти на интеграционния правопорядък. Той, а и другите два основни принципа, не са нормативно закрепени, въпреки това обаче, те са изведени в практиката на СЕС.

Принципът за ДЕ не е нещо непознато в международното право. В рамките на последното съществува т.нар. „доктрина за ясния акт”, според която една норма на международен договор може да поражда права и задължения, защитими пред съд, без да са необходими допълнителни мерки, но единствено ако държавата е допуснала това в своята правна система и нормата е достатъчно ясна. Именно заради тези комулативни изисквания, такива норми са изключително редки и ограничени по материален обхват в международното право, като най-вече могат да бъдат открити в хуманитарната област.

За първи път принципът за ДЕ е изведен по делото Van Gend en Loos (26/62). СЕО[13] постановява, че “Общността представлява нов правен ред в международното право, в полза на който държавите членки са ограничили суверенните си права, макар и в ограничени сфери, а негови субекти са не само държавите членки, но и техните граждани”[14]. Аргументацията на тогавашния генерален адвокат по делото е именно посредством доктрината за ясния акт, но с уговорката, че не става въпрос за международен правен ред, а за „нов” такъв, което значи и самостоятелен правен ред, различен от международния. След това този принцип е изведен и в друго историческо решение на тогавашния СЕО по делото Simmenthal (106/77)[15].

Поначало ДЕ е условна характеристика. Не всяка съюзна норма се ползва от ДЕ, самият той се определя като обективна, функционална годност на съответната норма. Този принцип ще зависи на първо място от конкретното съдържание на правната норма и от нейното предназначение. В този смисъл ДЕ се определя като една последица от прилагането на интеграционната норма. На следващо място трябва да се спомене, че ДЕ е всъщност състоянието на нормата, той е такова състояние на една съюзна правна норма, при която тя е обективно годна да породи права или задължения за частното лице, права, които са защитими пред национален съд. Тоест важно е да се разграничи, че не регламента, респективно директивата притежават директен ефект, а техните норми. Принципът не се определя еднократно и завинаги. Проявлението на директния ефект зависи от конкретната преценка на конкретната правна норма от конкретния правоприлагащ орган в съответния момент. Може да се заключи, че не всяка норма е годна да породи ДЕ, за да е обективно годна, тя трябва да се преценява във всеки един момент с помощта на критерии, изведени в практиката на СЕС[16].

Приложим ли е Регламент 2016/679/ЕС по отношение към адвокатите?

След като беше направено базисно разграничение между съюзен регламент и директива, както и след разгледания въпрос за принципa на директен ефект, ще бъде направен опит да се даде отговор на един от възникналите въпроси по повод на влезлия в сила GDPR и неговото действие по отношение на адвокатската професия.

Регламент 2016/679/ЕС измени предишната съюзна регулация в областта на защита на личните данни, която беше залегнала в Директива 95/46/EО. Въз основа на нея беше приет българският Закон за защита на личните данни (ЗЗЛД) и беше създадена Комисията за защита на личните данни (КЗЛД), явяваща се надзорен орган, с функции по осъществяване на защитата на лицата при обработването на техните лични данни и по осъществяване на достъпа до тези данни, както и контролна функция, изразяваща се в дейност по следене за правилното спазване на закона. Още тогава се породиха немалко въпроси, които бяха повдигнати във връзка с това дали ЗЗЛД е приложим към адвокатите. Същите тези въпроси, а и аргументите към тях, се използват и днес за да се намери отговор на въпроса дали GDPR има действие спрямо дейността, извършвана от адвокатите.

Целта на европейското законодателство в областта на личните данни е да се гарантират правата на гражданите на ЕС в по-голяма степен, като се постигне една обща за държавите членки защита на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни.[17] Главната цел, която се постига с въвеждането на този регламент, е да се уеднакви европейската регламентация във всички държави членки, така щото предишният съюзен акт в тази област, остави възможност за избор на мерки на държавите членки и ги обвързваше единствено по отношение на резултата. В резултат на което, в някои държави се отнесоха към директивата с нужното внимание и мерки, като например българският ЗЗЛД се явява един от най-развитите, и бихме могли да кажем дори революционни в тази материя, възприемайки в голяма степен нормите и процедурите на Директива 95/46/ЕО, докато в други държави членки[18], тази директива въобще не се прилагаше, като в голяма степен надзорните им органи се явяваха като консултативни такива, даващи мнения и становища по проблеми, свързани с бизнеса[19].

Дейността на адвокатите също е свързана с обработване на лични данни. Адвокатът се ръководи от законите и интересите на своя клиент, като тези отношения може да се разглеждат като отношения на изградено доверие между двете страни и това е изведено в Закона за адвокатурата (ЗА) в чл.2, ал.2[20]. При упражняване на своята дейност, адвокатът се сблъсква с редица хипотези, изпълнението на които е в противоречие със ЗЗЛД, а вече и Регламент 2016/679/ЕС.

Така например при установени в закона хипотези, адвокатът може да разкрива лични данни на трети лица без тяхно съгласие, с цел да защити интересите на клиента си. Това, разбира се, противоречи на съюзната уредба, където такова правомощие за обработване и боравене с лични данни без разрешението на даденото лице е строго забранено, макар да съществуват и отклонения от това правило, които са numerus clausus[21]. Такъв е случаят, когато обработването е необходимо с цел да се запазят жизненоважните интереси на субекта на данни.

Може би един от най-силните аргументи в защита на тезата, че ЗЗЛД, а от тук и новата правна уредба, залегнала в GDPR, не намират приложение по отношение на адвокатската професия, се извежда посредством тяхното задължение за пазене на адвокатска тайна. Според чл.45 ЗА адвокатът е длъжен да пази тайната на своя клиент без ограничение във времето. От това се заключва, че той няма никакво право да разкрива каквито и да било обстоятелства, в това число и лични данни, които са му били поверени в качеството му на адвокат. Така при една евентуална проверка от страна на КЗЛД по отношение на водените от него регистри на клиентите, той би бил изправен пред нарушаване на тази адвокатска тайна. Още повече, адвокатската професия е обвързана с носенето на наказателна отговорност по Наказателния кодекс, именно във връзка с противозаконното разкриване на тайната на техните клиенти, когато тя им е била поверена или им е станала известна във връзка с осъществяването на занятията на техните клиенти[22]. Освен наказателна, адвокатът може да понесе кумулативно и дисциплинарна отговорност за същото престъпление по реда на чл.132 ЗА[23].

Друга хипотеза възниква по отношение на справките по дела, които адвокатът извършва в хода на своята дейност. Адвокатът се явява доверено лице на своя клиент и именно затова му е разрешено да преглежда всякакви книжа, да има достъп до неограничен брой лични данни в тях, дори те да са на трети лица. Това се урежда на законово ниво в член 31 ЗА, където се казва, че адвокатите имат свободен достъп и могат да правят справки по дела, да получават копия от книжа и сведения с предимство в съда, органите на досъдебното производство, административните органи и други служби в страната и навсякъде, където е необходимо, само въз основа на качеството си на адвокат или на адвокат от Европейския съюз, което се удостоверява чрез представяне на карта, издадена от Висшия адвокатски съвет. Ако се следват стриктно европейските разпоредби, то в този случай, адвокатът ще е длъжен да изисква съгласието на всяко едно трето лице, за да може да обработва личните му данни, което само по себе си е една немислима и тромава ситуация.

Всички тези примери се използват в подкрепа на тезата, че ЗЗЛД, респективно GDPR, няма как да бъдат приложени към адвокатите. Допълнителна аргументация тези хипотези получават с факта, че адвокатската професия гарантира и защитава правата на отделния човек в много по голяма степен, отколкото общите разпоредби, насочени към всички граждани. Така своеобразните граници на защита на правата на човека, разбирай клиента, са очертани както от Етичния кодекс на адвоката, така и от Закона за адвокатурата, който дава много по интензивна защита на гражданите-доверители отностно неприкосновеността на личните данни, както и, че този закон създава много по-интензивен правен щит за защита на данните, предоставяни от гражданите на адвокатите[24]. Именно заради това, ЗА се явява специален по отношение на ЗЗЛД, като формулата lex specialis derogat legi generali[25] бива спазена напълно.

Това заключение обаче не може да бъде съотнесено към новата европейска регулация, която се постига чрез т.нар. GDPR. Тук поначало липсва конфликт между специален и общ закон, тъй като става въпрос за европейски акт, в случая регламент, чиито норми притежават непосредствена приложимост, примат пред националното право и директен ефект. Дори след предвидените изменения в ЗЗЛД, Регламент 2016/679/ЕС остава в сила и всяко едно лице с правен интерес може да се позовава директно на нормите на регламента. В този ред на мисли Общия регламент за защита на личните данни е приложим спрямо всеки, който по една или друга причина обработва лични данни, в това число и адвокатите. Последните в своята дейност по смисъла на регламента се явяват администратори на лични данни. Така например за един адвокат се пораждат задълженията да уведоми писмено или устно клиентите си за последваща обработка на техните данни, които са му предоставени, също така ако той притежава интернет страница е нужно да  подготви в съответствие с GDPR общата политика на сайта, в която да предостави достатъчно подробна информация за това как се обработват личните данни на лицата, как се съхраняват, какви правомощия имат по отношение на техните данни и т.н.

Доколкото до описаните спорни хипотези, в тези случаи GDPR няма да бъде приложим спрямо адвокатската професия, защото както беше споменато по-горе в настоящата статия, принципът на ДЕ, позволяващ на европейските норми да пораждат директно за частноправните субекти в държавите членки права и задължения, зависи от конкретната преценка на конкретния правоприлагащ орган в съответния момент. Тоест в определена част GDPR е приложим спрямо адвокатите, докато в други не е, и това се преценява във всеки един момент. Следователно задължението например да уведомиш клиент, предоставящ лични данни, за последваща обработка на неговите данни остава, но така и също КЗЛД при подаден сигнал и евентуална проверка няма как да принуди адвокатите да разкрият тайната на своя клиент, което би било престъпление по реда на НК.

Въпросите, които възникват след 25.05.18 са немалко и техните отговори са все така неясни. Тепърва ще се търсят правилните отговори, които биха били постигнати по пътя на законотворчеството или чрез изграждането на солидна съдебна практика, еднаква за 28те държави членки, която практика да даде светлина по правилното приложение на Регламент 2016/679/ЕС и, разбира се, да се постигне ефикасна защита на личните данни на гражданите на ЕС.

Автор: Светозар Гайдарски

---

[1] Европейската комисия прави предложение, а Съвета и Европейския парламент приемат съвместно дадения акт

[2] Директива 95/46/EО

[3] Решение на СЕО(днес СЕС) от 5.2.1963 по делото Van Gend en Loos (26/62)

[4] Тук попадат регламент,директива, решение(индивидуално такова), препоръка и становище, като последните две не пораждат правни последици, но имат тълкувателно значение

[5]Например: задължителни препоръки, бели книги на ЕК,междуинституционални споразумения и др.

[6] Подписан на 13.12.2007, в сила от 1.12.2009

[7] Чл.288, пар.2 ДФЕС

[8] Принципът за директния ефект(ДЕ) ще бъде разгледан подробно по-надолу в настоящото изложение, но с цел теоретична яснота е нужно да бъде споменато най-общо,че ДЕ има тогава, когато обект на нормата е физическо или юридическо лице, което може да черпи права директно пред национална юрисдикция.

[9] Чл.288,пар.3 ДФЕС

[10] Транспонирането представлява съвкупността от мерки, които една държава членка трябва да приеме като необходими за постигането на резултата, предписан от една директива и в срока, определен от нея.

[11] Vacatio legis- “преживяване на закона”, периодът от публикуване на акта в официален вестник до момента на влизане в сила.

[12] Съдът на ЕС, който е една от 7те институции на ЕС и се състои от Съд,Общ съд и специализирани съдилища(въпреки,че такива към момента няма с премахването през 2016 на единствения създаван такъв- съдът на публичната служба)

[13] Съда на Европейските общности, днес СЕС

[14] Семов, Атанас, 55 най-важни решения на съда на Европейските общности, С. 2007., с.99

[15] Повече за това и други решения от съществено значение за развитието на ПЕС в „55 най-важни решения на съда на Европейските общности”, С. 2007.

[16]  За да е обективно годна една съюзна правна норма трябва да е: ясна, конкретна, пълна, безусловна и завършена.

[17] Чл.1 от Регламент (ЕС) 2016/679

[18] Германия, Белгия, Люксембург

[19]Из интервю на председателя на КЗЛД Венцислав Караджов за Economy.bg

[20] (2) (Доп. - ДВ, бр. 97 от 2012 г.) При упражняването на адвокатската професия адвокатът или адвокатът от Европейския съюз се ръководи от законните интереси на клиента, които е длъжен да защитава по най-добрия начин със законни средства.

[21] Изрично изброени в закона, респективно в регламента.

[22] Чл.145 НК

[23] Чл. 132. Дисциплинарно нарушение е виновното неизпълнение на задълженията по този закон и Етичния кодекс на адвоката, на наредбите и решенията на Висшия адвокатски съвет и на решенията на адвокатските съвети и общите събрания, както и:

1. нарушаване на адвокатската тайна;

[24] Димитров, Георги, За прилагането на закона за защита на личните данни спрямо адвокатите, Адвокатски преглед 3/2010.

[25] Специалният закон дерогира (отменя) общия закон.