С влизане в сила на Регламент (ЕО) №883/ 2004 за координация на системите за социална сигурност от 1 май 2010 г., за целите на преценката на права и изплащане на обезщетения и пенсии, е предвидено въвеждане на електронен обмен на осигурителна информация между държавите членки на ЕС.
Съгласно разпоредбите на Регламент (ЕО) №987/2009 предаването на данни между институциите или органите за връзка следва да се извършва по електронен път пряко или косвено посредством точките за достъп в защитена обща рамка, която може да гарантира поверителността и защитата на обмена на данни.
В мотивите за приемане на този подход, който се съсредоточава върху чисто фактическата информация и непосредствения достъп до нея от страна на гражданите, е посочено, че електронното обработване на данни ще спомогне за ускоряването на процедурите за всички участващи страни, като наличието на данните във форма, позволяваща актуализирането им в реално време, ще улесни значително обмена между институциите на държавите членки.
Разработването на системата за електронен обмен на социално осигурителна информация (Electronic Exchange of Social Security Information – EESSI) се оказва нелека задача, въпреки първоначалните намерения на Европейската Комисия (ЕК) за въвеждането й след преходен период от две години, считано от влизане в сила на Регламент (ЕО) №883/2004. С изтичане на срока това правило беше променено, като беше записано, че преходният период за въвеждане на EESSI обхваща две години, но от датата, следваща обявяването на централната система на EESSI като подходяща за целта, през който период държавите членки ще имат възможност да се свържат и да започнат да обменят електронно информация. На практика, преходният период стартира на 3 юли 2017 г., тъй като на
350-то заседание на Административната комисия за координация на системите за социална сигурност и Консултативния комитет за координация на системите за социална сигурност беше прието, че системата EESSI е оперативна.
След изтичане на преходния период, чрез EESSI, около 8500 институции в областта на социалната сигурност на 32 държави (ЕС/ЕИП и Швейцария), ще обменят посредством 57 точки за достъп над 300 структурирани електронни документа (СЕД), обобщени в т.нар. Business Use Cases (BUCs) и разпределени по същество в 8 сектора (трудови злополуки и професионални болести; приложимо законодателство; болест и майчинство; възстановяване; пенсии; обезщетения за безработица; семейни обезщетения и разни).
BUCs описват съответния процес, който отговаря на конкретен бизнес случай от регламентите за координация на системите за социална сигурност. BUCs описват начина, по който отделните съобщения се обменят за целите на EESSI. BUCs са важен елемент от EESSI и поради обстоятелството, че около концепцията на BUCs са изградени и други елементи на системата (напр. компетентността на институциите в информационния масив е описана чрез BUCs). Всеки BUC, в зависимост от сложността и логиката на съответния бизнес случай, съдържа един или повече СЕДи, които могат да бъдат изпращани или получавани по време на целия процес. В някои BUCs, един и същ СЕД може да бъде разменян няколко пъти, докато в други BUCs това е недопустимо. В някои от BUCs е възможно да има различни под-процеси, които обслужват основния бизнес случай. Това са случаите на т.нар. хоризонтални под-процеси, както и „административните под-процеси“, които могат да са самостоятелни BUCs или част от друг основен процес. От друга страна, СЕДи представляват документ, в който в структуриран за електронна обработка вид се съдържат данните, които се изискват да се обменят чрез EESSI. СЕДи се одобряват като брой, структура и съдържание от Административната комисия за координация на системите за социална сигурност и се попълват на официалните езици на всички държави членки.
Предвид изключителното мноогобразие на институции в сферата на социалната сигурност е създаден Institution Repository (IR) – информационен масив, поддържан от ЕК с данни за всички институции в областта на социалната сигурност, адреси за връзка и области на компетентност в съответствие с материалния и персоналния обхват на координационните регламенти. Информационният масив е разработен въз основа на два основни компонента – Clerk Access Interface (CAI), който ще се използва от служителите в институциите, при електронния обмен на данни и Public Access Interface (PAI) – който ще се ползва от гражданите, които се интересуват да открият институцията, компетентна да разглежда отделните случаи, свързани с ползването на права по социалната сигурност. Отделно от тези компоненти, масивът съдържа IR Management Console; Institution Identification Parameters Management Console, CSN Administrative Console, както и Institution Import Tool, чрез който ще се въвежда информация за отделните точки за достъп в държавите членки. Информационният масив предлага на практика неограничени възможности за търсене по различни и разнообразни критерии на институции и служби за връзка на отделните държави членки, вкл. и т.нар. историческо търсене на информация за закрити или временно спрени институции. През 2018 г. всички държави членки следва да въведат в IR институциите, които ще участват в EESSI; техните роли; териториален и персонален обхват; кои BUCs и СЕДи ще обработват и как са организирали обмена на данни – централизирано или на териториален принцип.
Системата EESSI се състои от интернационална и национална част.
От техническа гледна точка интернационалните елементи на EESSI включват Central Service Note (CSN) и Access Point (AP), които са задължителни, но докато поддържането на CSN е отговорност на ЕК, то поддържането на AP е задължение на държавата членка, къде- то АР е разположена. Националната част
включва Reference Implementation of a National Application – RINA (разработено от ЕК електронно приложение за свързване с CSN) или National Application – NA (собствено национално приложение, разработвано от всяка отделна държава членка при желание и възможности). По отношение на RINA, през преходния период ЕК е отговорна за поддръжката и последващото развитие на RINA софтуер, както и осигуряване на материали и обучения за администратори и потребители. На този етап държавите членки следва сами да поддържат АР, както и да предоставят пряка и на първо ниво помощ на крайните потребители. Република България е декларирала, че ще участва в EESSI с 4 точки за достъп т.нар. AP (НАП – за приложимото законодателство; НОИ – за паричните обезщетения и помощи по ДОО; НЗОК – за обезщетенията в натура и АСП – за семейните обезщетения). До разработването на национални приложения, точките за достъп в Република България ще осъществяват достъп и обработка на данните в EESSI чрез RINA.
От бизнес гледна точка, основните понятия включват основни познания по СЕД-и и BUCs, както и тяхното прилагане към практическите случаи. От гледна точка на EESSI, постепенната интеграция на системите ще се осъществява по BUCs, а не „сектор по сектор“. Този подход позволява две държави членки да започнат електронен обмен след като са декларирали, че определен BUC е готов за обмен. С оглед осъществяване на успешен обмен на данни се започва първо с по-прости BUCs и се преминава към по-сложни и комплексни BUCs. Ако държава членка стартира електронен обмен за конкретен BUC, то задължително всички институции, компетентни за него, ще трябва да се включат едновременно. Това означава на практика, че за започване на електронен обмен на данни по определени BUCs, напр. от серия S (болест) по които НОИ и НЗОК са точки за достъп, следва и двете институции да декларират, че разполагат с техническите възможности за започване на електронен обмен с друга/и държави членки.
Разпределението на BUCs/СЕДи между точките за достъп в Република България е както следва:

 

Като се има предвид, че чрез системата EESSI ще се обменят лични данни в рамките на ЕС/ЕИП, спрямо нея се прилагат изискванията на европейското законодателство за защита на личните данни. Считано от 25 май 2018 г. в сила е Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) или General Data Protection Regulation (GDPR).
От гледна точка на EESSI, обработването на лични данни включва действията на служителите в институциите, свързани с преценка на правата и/или изплащане на обезщетения и пенсии, както и добавянето на нова информация към отделните досиета (файлове) на лицата, основани на информация споделена чрез СЕДи от една държава членка на друга. Чрез използване на системата EESSI, институциите и техните служители ще обработват личните данни на лицата по различни начини – като ги събират директно от тях или от публични или други регистри, за да попълват информацията, която се изисква в СЕДи; като отварят („декриптират“) СЕДи; като четат съдържанието на СЕДи; като изпращат и получават СЕДи до други институции или като запазват СЕДи и ги въвеждат в определена база данни. Изтриването на СЕДи, поправянето на данните в хартиените формуляри, въз основа на които се конструират СЕДи, също се съдържа в широкия смисъл на „обработване“. На практика, всеки вид действие с данни от събирането и копирането до обикновеното разглеждане на екрана на компютъра и прочитането или размяната на такива данни попада под определението на „обработване“.
В системата EESSI съществува т.нар. Информационно класификационна структура (Information Classification Framework), която съдържа категоризиране на данните според вида информация, която се обменя, в зависимост от степента на конфиденциалност, която следва да бъде осигурена. Чувствителните лични данни (напр. медицинската информация) са предмет на по-стриктна регулация отколкото другите лични данни. Държавите членки следва да имат предвид тази класификационна структура и различните нива, използвани за целите на EESSI, както и кореспондиращите им нива на достъп на служителите в институциите, за да осигурят подходящ контрол на личните данни на всеки етап от обработката им, в зависимост от степента на конфиденциалност.
Като цяло, GDPR изисква да има правно основание, за да се обработват личните данни на лицата. Обработването е законосъобразно, ако има правно основание в чл.6 от GDPR. Правното основание зависи от специфичните цели и контекста на обработването.
За целите на EESSI, обработването би било законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
• обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора и/или

• обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
Съгласно изискванията на GDPR, лицата може да упражнят правото си да получат потвърждение дали се обработват лични данни, свързани с тях, и ако това е така, да получат достъп до данните. В контекста на ЕЕ881, участващите страни, действащи като администратори, следва да осигурят информация относно обработването като видовите данни; периода на запазване и т.н. в подходящ срок. В допълнение институциите следва да информират лицата за всички действия, които са предприели, за да удовлетворят исканията им на достъп до данните, които те съхраняват, както и на кои други институции са ги изпратили чрез системата ЕЕ881.
Определена част от системата ЕЕ881, институциите на отделните държави членки могат да възлагат на външни контрагенти дейности, които може да включват обработването на лични данни, архивиране на данните или други подобни услуги. Когато се сключват договори с външни контрагенти е от значение да се има предвид, че институциите на държавите членки са администратор на данните (определящ целите и средствата за обработване на данните) в отношенията с третите страни и от тази гледна точка са отговорни за съответствието на тези договори с националното законодателство за защита на личните данни, както и изискванията на GDPR.
Извън системата ЕЕ881 остава предоставянето на информация от компетентните институции директно на заинтересованите лица чрез т.нар. преносими документи (ПД). Преносимите документи са равностойни като носители на информация на СЕДи, като единствената разлика е, че се предоставят директно на лицата, а не се разменят между отделните институции. Те се издават на съответния език на всяка от държавите членки, като всяка държава е посочила особеностите и съответните данни, които изисква, с цел прилагане на националното си законодателство. При противоречие между издадени
ПД и СЕДи, предимство имат СЕДи, тъй като те са предназначени за служебен обмен между институциите на държавите членки и съдържат по по-подробна информация, даваща основания за преценка на осигурителните права на гражданите при транс- гранични ситуации. Към настоящия момент ПД се използват интензивно, тъй като елиминират периода на изчакване, който се получава при служебния обмен на информация със СЕДи на хартиен носител и способстват за по-бързата преценка на осигурителните права. Със стартирането на системата EESSI значението и употребата на ПД ще намалява.
Съкращението в наименованието на ПД дава информация за сектора, в който се използва: (A – Applicable legislation/Приложимо законодателство; DA – Diseases, Accidents/ Професионални болести и Трудови злополуки; S – Sickness/Болест; U – Unemployment/Безработица; Р – Pensions/Пенсии).
Преносимите документи са:
А1 – „Удостоверение относно законодателството в областта на социалната сигурност, което се прилага по отношение на притежателя“ (издава се от НАП);
DA1 – „Право на получаване на здравни грижи при осигуряване за трудови злополуки и професионални болести (издава се от НЗОК)“;
51 – „Регистрация за ползване на здравни грижи“ (издава се от НЗОК);
52 – „Право на планирано лечение“ (издава се от НЗОК);
53 – „Медицинско лечение за бивш пограничен работник в предишна държава на заетост“ (издава се от НЗОК);
U1 – „Периоди, които се вземат предвид за предоставянето на обезщетения за безработица“ (издава се от НОИ);
U2 – „Запазване на право на обезщетение при безработица“ (издава се от НОИ);
U3 – „Обстоятелства, които могат да въздействат на правото на обезщетение при безработица (издава се от НОИ)“;
Р1 – „Обобщение на решения за пенсия“ (издава се от НОИ);
ЕЗОК – „Европейска здравноосигурителна карта“ (издава се от НЗОК).