Особено мнение на съдиите Атанас Семов, Янаки Стоилов и Невин Фети по Решение № 4/2026 г. по к.д. № 9/2025 г.
Подписвамe с особено мнение Решение № 4/2026 г. по к.д. № 9/2025 г. по следните съображения:
1. Според чл. 6, ал. 1 от Закона за защита на личните данни (ЗЗЛД) Комисията за защита на личните данни (КЗЛД) е „постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на този закон“. От обстоятелството, че законодателят възлага на КЗЛД „контрола по спазването на Регламент (ЕС) 2016/679“, следва да бъдат приложени и всички изисквания към надзорните органи, произтичащи от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните; ОРЗД).
2. Съображение 117 ОРЗД изрично посочва, че „[с]ъздаването в държавите членки на надзорни органи, оправомощени да изпълняват задачите и упражняват своите правомощия при пълна независимост, е първостепенен елемент от защитата на физическите лица във връзка с обработването на личните им данни“. Уредбата на независимите надзорни органи в чл. 53 ОРЗД установява общи условия за членовете им. Част от тези общи условия е изискването на чл. 53, пар. 2, което гласи: „Всеки член трябва да има квалификациите, опита и уменията, по-специално в областта на защитата на личните данни, необходими, за да изпълнява своите задължения и да упражнява своите правомощия“. С чл. 54, пар. 1, б. „б“ ОРЗД на държавите членки се възлага да уредят „необходимите квалификации и условия за допустимост за назначаването на членовете на всеки надзорен орган“, а в съображение 121 е пояснено, че „[о]бщите условия за члена или членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка, и по-специално да осигурят тези членове да се назначават посредством прозрачна процедура от парламента, правителството или от държавния глава на държавата членка въз основа на предложение на правителството или член на правителството или парламента или камара на парламента, или от независим орган, оправомощен съгласно правото на държавата членка“.
Общият регламент относно защитата на данните изисква в чл. 54, пар. 1, б. „б“ държавите членки със закон да определят „необходимите квалификации и условия за допустимост за назначаването на членовете на надзорния орган“, а чл. 53, пар. 2 (във връзка със съображение 121 от мотивите на ОРЗД) закрепва функционално изискване към членовете на надзорните органи за притежаване на „квалификациите, опита и уменията, по-специално в областта на защитата на личните данни“. В този смисъл разпоредбите на чл. 8, ал. 1–3 ЗЗЛД, в които са предвидени изискванията към председателя и членовете на КЗЛД, трябва да бъдат тълкувани в съответствие с тези разпоредби от Регламента, при което да се установи, че решението на Народното събрание не отговаря на предвидените изисквания.
Разпоредбата на чл. 8, ал. 1–3 ЗЗЛД не е изменена при действието на ОРЗД, който е в сила от 24.05.2016 г. и се прилага пряко във всички държави членки от 25.05.2018 г. Законът за защита на личните данни не съдържа изискванията към членовете на надзорния орган за „квалификация, опит и умения, по-специално в областта на защитата на личните данни“, посочени в чл. 53, пар. 2 ОРЗД. Квалификацията и стажът, предвидени в чл. 8, ал. 1, т. 1 и 2 във връзка с ал. 3 ЗЗЛД към длъжността на председателя („правоспособен юрист“ с „трудов стаж по специалността си не по-малко от 10 години“), са в областта на правото, която е широка професионална сфера, но законът не изисква специфични знания, опит и умения в областта на защитата на личните данни.
3. Спорът в конкретния случай не е относно съдържанието на закона, а се свежда до това какво е естеството на изискването по чл. 53, пар. 2 ОРЗД и дали то е „императивно материалноправно условие, което определя съответствието на състава на националните надзорни органи за защита на данните с общите изисквания, произтичащи от правото на Съюза“, както твърди вносителят, или че „не налага конкретни задължения на държавите членки относно съдържанието на изискванията към председателя и членовете на КЗЛД“, а „оставя на държавите членки свобода на преценка относно тези изисквания и най-вече относно начина на доказване на удовлетворяването им и органите, критериите и условията за преценка на това удовлетворяване“, както посочва в становището си Министерският съвет. Отговорът на този въпрос определя оценката за решението на Народното събрание, с което е избран председателят на КЗЛД.
4. Сравнителноправният анализ на законодателствата на други държави членки показва различни подходи. Редица държави под една или друга форма релевират областта на защитата на личните данни, като:
- изрично я посочват – например Австрия („да притежава отлични познания по австрийското законодателство за защита на данните, правото на Съюза и основните права“ – § 20 от Федерален закон за защита на личните данни); Белгия („експертни познания в областта на защитата на личните данни и управлението на полицейската информация“ – чл. 232, § 1 от Закон за защита на физическите лица по отношение на обработката на лични данни); Германия („квалификации, опит и умения, по-специално в областта на защитата на личните данни“ – чл. 11 от Федерален закон за защита на данните); Естония („опит в областта на правната уредба на защитата на личните данни и в областта на информационните системи и информационните и комуникационните технологии“ – § 52 от Закон за защита на личните данни); Испания („призната професионална компетентност, по-специално в областта на защитата на данните“ – чл. 48 от Органичен закон 3/2018 от 5 декември за защита на личните данни и гарантиране на цифровите права); Италия („доказан опит в областта на защитата на личните данни, по-специално в областта на правото или информатиката“ – Раздел 153 от Кодекс за защита на личните данни); Люксембург („умения и опит в областта на защитата на личните данни“ – чл. 18 от Закон за организацията на Националната комисия за защита на данните); Малта („квалификации, опит и умения, по-специално в областта на защитата на личните данни“ – чл. 11 от Закон за защита на данните); Полша („експертни правни познания и опит в областта на защитата на личните данни“ – чл. 34 от Закон за защита на личните данни); Румъния („солидна професионална компетентност, включително в областта на защитата на личните данни“ – чл. 6 от Закон за изменение и допълнение на Закон № 102/2005 за създаването, организацията и функционирането на Националния надзорен орган за обработката на лични данни); Словакия („минимум две години опит в областта на защитата на личните данни“ – чл. 82 от Закон за защита на личните данни и за изменение и допълнение на някои закони); Унгария („най-малко десет години професионален опит в одитни процедури, свързани със защита на данните или свобода на информацията, или притежават академична степен в някоя от тези области“ – чл. 40 от Закон за правото на информационно самоопределение и свобода на информацията); Финландия („добро познаване на въпросите, свързани със защитата на личните данни“ – чл. 10 от Закон за защита на личните данни); Хърватия („експертни знания и опит в областта на защитата на личните данни“ – чл. 8 от Закон за прилагането на Общия регламент за защита на данните); Чехия („най-малко 5 години опит в областта на защитата на личните данни или правата на човека и основните свободи“ – чл. 52 от Закон за обработката на лични данни);
- препращат към чл. 53, пар. 2 ОРЗД – например Литва („и отговарящ на изискванията, посочени в член 53, параграф 2 от Регламент (ЕС) 2016/679“ – чл. 9 от Закона за правната защита на личните данни);
- свързват функционално опита и уменията с дейността на надзорния орган – например Гърция („научна експертиза и професионален опит в области, свързани с мисията и компетентността на органа“ – чл. 11 от Закона за защита на данните); Ирландия („притежава необходимите квалификации, опит и умения, за да може Комисията да изпълнява ефективно своите функции“ – чл. 15 от Закона за защита на данните); Латвия („професионална квалификация, подходяща за изпълнението на задачите на Инспектората“ – Раздел 7 от Закона за обработката на лични данни).
Сред примерите за държави членки, които не поставят специфични изисквания в областта на защитата на личните данни, могат да бъдат посочени: Дания („назначаването на председателя, членовете и техните заместници се основава на тяхната професионална квалификация“ – чл. 27 от Закон за допълнителни разпоредби към регламента за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни); Кипър („лицето, назначено за комисар, трябва да притежава квалификациите за назначаване на съдия във Върховния съд“ – чл. 19 от Закон за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни); Нидерландия („отговаря на изискванията за назначаване като съдия в съд – чл. 7 от Закон за прилагане на Общия регламент за защита на данните). Българската законодателна уредба се ограничава с изискването за правоспособен юрист с 10 години стаж по специалността си, без да изисква поне част от този стаж да е бил свързан с областта на защитата на личните данни.
5. Това разнообразие от законодателни подходи към изпълнението на регулативните задължения на държавите членки по чл. 54, пар. 1, б. „б“ ОРЗД е индикатор за липсата на единно разбиране за същността и значението на общите условия към членовете на надзорните органи, предвидени в чл. 53, пар. 2 ОРЗД. Съображение 121 ОРЗД създава двусмислие относно рамката на тези регулативни задължения, като посочва, че „общите условия за члена или членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка“, а чл. 54, пар. 1, б. „б“ ОРЗД предвижда уреждане със закон на „необходимите квалификации и условия за допустимост на назначаването на членовете на всеки надзорен орган“.
В този контекст възникват въпросите дали държавите членки имат свободата да уредят изисквания за квалификации, опит и умения, без те да са относими към областта на защитата на личните данни, т.е. без функционална връзка със задачите и правомощията, които ОРЗД възлага на надзорните органи, и какво разбиране следва да се вложи в израза „квалификациите, опита и уменията, по-специално в областта на защитата на личните данни“. Тези понятия не са дефинирани за целите на ОРЗД, но предвид кумулативното им изброяване няма съмнение, че те представляват отделни условия към всеки член на надзорен орган. Изясняването на тяхното съдържание е важно с оглед функционалния им характер, който следва от израза „необходими, за да изпълнява своите задължения и да упражнява своите правомощия“. Затова процедурата по избор е необходимо да гарантира, че „всеки член трябва да има квалификациите, опита и уменията, по-специално в областта на защитата на личните данни“.
Тези въпроси са свързани с тълкуването на правото на Европейския съюз и според нас предполагат отправяне на преюдициално запитване до Съда на ЕС на основание чл. 267 от Договора за функционирането на Европейския съюз. Производството за преюдициално запитване има за цел да осигури еднообразното тълкуване на правото на Съюза, което в разглеждания контекст е от изключително значение, тъй като „нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива [лични] данни следва да бъде равностойно във всички държави членки“, както посочва съображение 10 ОРЗД.
6. Оспореното пред Конституционния съд решение за избиране на председател на КЗЛД е прието в рамките на процедура, която е уредена с Решение за приемане на Процедурни правила за условията и реда за предлагане на кандидати за председател и членове на Комисията за защита на личните данни, представянето и публичното оповестяване на документите и изслушването на кандидатите в Комисията по вътрешна сигурност и обществен ред, както и процедурата за избирането им от Народното събрание (обн. ДВ, бр. 15 от 2025 г.; Процедурни правила). Предвидените в Процедурните правила изисквания за аргументиране на „добрата професионална репутация“ (т. 2) и прилагане на документи, удостоверяващи „добра репутация, знания, умения и професионален опит“ (т. 2, б. „е“) не могат да бъдат отнесени към конкретни изисквания на уредбата по чл. 8, ал. 1–3 ЗЗЛД. Ако целта на тези допълнителни изисквания е била да съобразят общите условия на чл. 53, пар. 2 ОРЗД за „квалификациите, опита и уменията, по-специално в областта на защитата на личните данни“, би следвало да се очаква ОРЗД също да бъде посочен сред правните основания за приемане на решението за Процедурните правила, както и знанията, уменията и професионалният опит да са насочени изрично към областта на защитата на личните данни. Подобно уточнение не е направено, а в Процедурните правила няма нито едно позоваване на ОРЗД. Вероятно по тази причина предложението на Министерския съвет (Решение № 117 от 05.03.2025 г.) не релевира областта на защитата на личните данни, а посочва, че кандидатът „притежава нужните морални и професионални качества, безупречна публична репутация, натрупан житейски и професионален управленски опит в областта на разследването на престъпления, което го прави подходящ за заемане на длъжността председател“.
В Доклада от изслушването на кандидатите за председател и членове на Комисията за защита на личните данни (Вх. №51-553-06-8/11.04.2025 г.) „Комисията по вътрешна сигурност и обществен ред констатира, че са представени всички изискуеми документи, както и че кандидатите отговарят на изискванията съгласно Закона за защита на личните данни“. Не е направено заключение относно съответствието с изискванията за „квалификации, опит и умения, по-специално в областта на защитата на личните данни“, предвидени в чл. 53, пар. 2 ОРЗД.
7. Не могат да бъдат споделени изтъкнатите в становището на Министерския съвет по настоящото конституционно дело аргументи, че „[о]тносимата съюзна правна уредба не налага конкретни задължения за държавите членки относно съдържанието на изискванията към председателя и членовете на КЗЛД“, че „[т]я оставя на държавите членки свобода на преценка относно тези изисквания“ и че „Конституционният съд е разгледал и се е произнесъл по вида и характера на Регламент (ЕС) 2016/679 в Решение № 8 от 15 ноември 2019 г. по конституционно дело № 4 от 2019 г.“.
В Решение №8/2019 г. по к.д. №4/2019 г. Конституционният съд посочва, че Регламент (ЕС) 2016/679 е приет като „общ“ в смисъл на „генерален“ регламент. По този начин в самото наименование на акта се подчертава, че той включва и разпоредби с общ характер в сферата на защитата на личните данни и на държавите членки е предоставена свобода на преценка да приемат изключения и дерогации, при спазване на посочените изисквания. Целта е да се открои общият характер на правната уредба, съдържаща се в ОРЗД, както и задължения на държавите членки за създаване на национална правна уредба, които произтичат от редица негови разпоредби (в настоящия случай от чл. 54, пар. 1, б. „б“, а в производството по к.д. №4/2019 г. – от чл. 85, пар. 1 ОРЗД). При изпълнението на тези свои задължения държавите членки са обвързани от изискванията на регламента и нямат свободата да ги дерогират. Случаите, в които е необходимо приемане на разпоредби в националното законодателство, по никакъв начин не намаляват, още по-малко отменят, задължителния характер на разпоредбите на регламента. В частност разпоредбите от ОРЗД, които дават възможност на държавите членки да предвидят допълнителни национални правила, като им оставят свобода на преценка относно начина на постигане на целения резултат („отворени клаузи“), не освобождават държавите от задължението да действат само в рамките на условията, предвидени в тези разпоредби от регламента. Както посочва Съдът на ЕС в решение от 28 април 2022 г., Meta Platforms Ireland, C-319/20, EU:C:2022:322, т. 60, „[…] когато упражняват предоставената им с такава отворена клауза възможност, държавите членки трябва да използват свободата си на преценка при условията и в пределите, предвидени в разпоредбите на ОРЗД, и следователно трябва да приемат законодателство, което да не засяга съдържанието и целите на този регламент“.
8. В обобщение приемаме, че Народното събрание е предвидило в Процедурните правила изисквания към кандидатите за председател и членове на КЗЛД за „добра репутация, знания, умения и професионален опит“, но в проведената процедура няма данни за съобразяване с чл. 53, пар. 2 ОРЗД, който предполага те да са насочени „по-специално в областта на защитата на личните данни“. Поради това оспореното решение не е съобразено със задължението на Народното събрание, когато упражнява правомощието си по чл. 84, т. 8 от Конституцията, да спазва както законите, така и правото на Европейския съюз. Принципът на правовата държава (чл. 4, ал. 1 от Конституцията) „несъмнено детерминира и пряко засяга упражняването на публичната власт от всички държавни органи. Той обвързва и законодателя при осъществяването на неговата дейност (Решение №17 от 1999 г. по к.д. №14 от 1999 г.), в т.ч. и с оглед решенията, които взема, да се съобразява с определени принципи и правила“ (Решение №10/2009 г. по к.д. №12/2009 г.).
Конституционният съд не може да изземва и да замества преценката на органа по избора, за да не навлиза в неговата дискреция, но при контрола за конституционност на акта по избор трябва да установи дали са изпълнени всички приложими към избора нормативни изисквания.
Въз основа на приведените съображения правим извод, че Решението на Народното събрание от 9 май 2025 г. за избор на председател на Комисията за защита на личните данни (обн. ДВ, бр. 40 от 2025 г.) не съответства на Закона за защита на личните данни, тълкуван в съответствие с Регламент (ЕС) 2016/679, и така нарушава принципа на правовата държава, прогласен в чл. 4, ал. 1 от Конституцията.