Общ регламент относно защитата на данните

От Ралица Махони

Част 2: Права на субектите на лични данни

Статията се прочита за
думи

В предходната публикация разказах за основните принципи, с които трябва да бъде съобразено обработването на лични данни, считано от 25.05.2018г. съгласно Общия регламент относно защитата на данните. Тези принципи не се различават съществено от правилата, въведени с отменената с Общия Регламент Директива 95/46/ЕС, която от своя страна е имплементирана в българското законодателство със сега действащия Закон за защита на личните данни.

Сходна е ситуацията с правата на субектите на лични данни (физическите лица, за които се отнасят данните) и претенциите, които те могат да предявяват спрямо администраторите на лични данни. Голяма част от тези права съществуват и в сега действащата нормативна уредба и са само конкретизирани или разширени от Общия регламент. Все пак той въвежда и няколко качествено нови права, на които ще се спра по-обстойно в настоящата публикация.

Право на информация

То произтича от основния принцип на добросъвестно и прозрачно обработване на данни. Съответно, както самият принцип не е нововъведен от общия регламент, така и средствата за осъществяването му не са новост за действащия Закон за защита на личните данни. Все пак задълженията на администраторите за информиране на субектите за събиране и обработване на техни данни са разширени по обхват спрямо съществуващите, така че ще се спра на най-съществените от тях:

Администраторът е длъжен, при събиране на лични данни да предостави в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, писмено или по друг подходящ начин, включително чрез електронни средства, най-малкото информация относно:

  • идентифициращите го данни, координати за връзка;
  • целите на обработването и правното основание за това;
  • срока на съхранение на данните;
  • указание за правото на достъп, коригиране или изтриване на личните данни;
  • когато данните се обработват въз основа на съгласието на субекта, указание за правото му да оттегли това съгласие, ведно с уведомление, че при оттегляне, обработването, извършено до момента на оттегляне е и остава законосъобразно; правото на жалба до надзорен орган;
  • дали предоставянето на данни е задължително или договорно изискване, както и последиците при непредоставяне на данните.

Същото задължение за информиране съществува и при промяна на целта на обработване, т.е. когато обработването се налага за цел, различна от тази, за която са събрани данните.

Сходна информация следва да се предостави и в случаите, в които администраторът не получава личните данни пряко от субектите, за които се отнасят. В тези случаи задължението за информиране следва да бъде изпълнено:

  • в срок най-късно до месец от получаване на данните или,
  • ако данните се използват във връзка със самия субект, най-късно при осъществяване на първия контакт с него, или
  • ако данните се разкриват пред друг получател, най-късно при първото им разкриване пред него.

Администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в който се обработват личните данни. Освен това субектът на данни следва да бъде информиран за извършването на профилиране (автоматизирано обработване на лични данни за оценяване на определени лични аспекти, свързани с физическо лице) и за последствията от това профилиране. Когато личните данни се събират от субекта на данни, той следва да бъде информиран и за това, дали е задължен да предостави личните данни и за последствията, в случай че не ги предостави. Тази информация може да бъде предоставена в комбинация със стандартизирани икони, така че по лесно видим, разбираем и ясно четим начин да се представи съдържателен преглед на планираното обработване.

Все пак, при получаване на данни индиректно от субектите, е възможно предоставянето на информация да изисква несъразмерно големи усилия, като в такива случаи задължението може да бъде ограничено. Това важи и ако получаването на данните е разрешено по силата на изрична договорна разпоредба или получателят на данните има професионално задължение за пазене на тайна или законово задължение за поверителност.

Не е необходимо обаче да се налага задължение за предоставяне на информация, когато субектът на данни вече разполага с информацията, когато записването или разкриването на личните данни е изрично предвидено със закон или когато предоставянето на информация на субекта на данни се окаже невъзможно или изисква непропорционално големи усилия. Такъв би бил случаят по-специално когато обработването се извършва за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели.

Право на достъп и право на коригиране

Задълженията на администраторите за предоставяне на достъп на физическите лица до отнасящите се за тях данни и коригиране без ненужно забавяне на неточните лични данни също не са новост. Те съществуват и в сегашната правна уредба и регламентът внася само някои уточнения относно прилагането им.

Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Когато е възможно, администраторът следва да може да предоставя достъп от разстояние до сигурна система, която да предоставя на субекта на данните пряк достъп до неговите лични данни.

Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато администраторът обработва голямо количество информация относно субекта на данни, администраторът следва да може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.

Субектът на данни има право на коригиране на личните данни, свързани с него, когато запазването на тези данни е в нарушение на Общия регламент или на правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът.

Право на изтриване

Това т. нар. “право да бъдеш забравен” също се споменава в действащия Закон за защита на личните данни. Новият общ регламент обаче му отделя много по-сериозно внимание, затова и аз ще се справа по-обстойно на него.

По-специално, субектът на данни следва да има право личните му данни да се изтриват и да не бъдат обработвани повече, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с Общия регламент.

"Правото да бъдеш забравен" обаче не е абсолютно право, т.е. то среща своите граници в други, превъзхождащи го в отделните случаи законни права и интереси.

По-нататъшното запазване на личните данни следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация, за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции, възложени на администратора, по причини от публичен интерес в областта на общественото здравеопазване, за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели, или за установяване, упражняване или защита на правни искове.

При поискване от субекта на данните администраторът е длъжен без ненужно забавяне да изтрие отнасящите се за него лични данни в следните случаи:

  • ако личните данни вече не са необходими за целите, за които са събрани;
  • ако съгласието за обработване бъде оттеглено от субекта на данните и липсва друго правно основание за обработването;
  • ако субектът на данни упражни правото си на възражение и няма законни основания за обработването, които да имат преимущество;
  • ако обработването е било незаконосъобразно;
  • съществува нормативно задължение на администратора за изтриване на данните. В тази връзка е важно да се отбележи, че, като се говори за нормативни задължения или изисквания, регламентът има предвид не само националното право по седалище на администратора, но също така европейското законодателство, както и националното законодателство на други-страни членки, в които администраторът има място на установяване;
  • ако данните са събрани за предлагане на услуги на информационното общество (електронната търговия, маркетинг, профилиране, социални мрежи) на деца над 16 години или по-малки със съгласието на родителите им. Трябва да се има предвид също така, че като цяло личните данни на децата се ползват със специална защита от регламента.

Когато личните данни, подлежащи на изтриване, са били разпространени и направени достъпни на други администратори, сезираният с искенто за изтриване администратор трябва да предприеме необходимите мерки, за да уведоми всички, разполагащи с данните и да бъдат изтрити всички копия и връзки на личните данни.

Както споменах по-горе, правото на изтриване търпи някои ограничения, а именно при наличие на преимуществени законови права и интереси. За такива се приемат:

  • свободата на изразяване и информация,
  • нормативно задължения за обработване или изпълнение на задача от обществен интерес, изискваща обработване, в полза на общественото здраве,
  • за целите на архивирането в обществен интерес (пример: предаване на разплащателни ведомости на НОИ при прекратяване на работодател без правоприемник),
  • за установяване, упражняване или защита на правни претенции.

Право на ограничаване на обработването

„Oграничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще. Такова ограничаването на обработването може да бъде изискано и съответно трябва да бъде приложено от администратора:

  • при оспорване точността на личните данни от субекта за срока на проверка на точността;
  • при неправомерно обработване, ако субектът не иска изтриване, а само ограничаване. Т.е. в тези случаи физическите лица избират, коя мярка да бъде предприета;
  • ако данните са ненужни за администратора, но субектът на данните ги изисква за осъществяване на законни претенции;
  • за срока на проверка при възражение на субекта (което споменах и във връзка с изтриването и ще разгледам подробно по-долу).

Когато е приложено ограничаване, обработването на лични данни - с изключение на съхранението им, тъй като те не са били изтрити - се извършва само със съгласието на субекта на данните или за защита на законни оретенции, права на други физически лица или поради нормативно установени важни причини от обществен интерес. Ако обработването е било ограничено, преди отмяната адмиистраторът трябва да информира субекта за това.

Той освен това има задължение за информиране на всички получатели на данни за извършено коригиране, изтриване или ограничаване, както и при поискване от субекта за уведомяване относно всички получатели, на които се разкриват личните му данни.

Право на преносимост

Макар и в Закона за защита на личните данни правото на преносимост да не е формулирано отделно от правото на достъп, като съдържание то съществува и в момента, но Общият регламент му придава качествено нови функции. Право не преносимост означава на първо място право на субекта на данните да ги получи в годен за машинно четене формат. Общият регламент разширява обхвата на съществуващото право на достъп и с правото на субекта на данните да ги прехвърли на друг администратор, без да търпи негативни последици от това. Правото на преносимост се осъществява, доколкото обработването се извършва с автоматизирани средства на основание на дадено от субекта на данните съгласие. Нещо повече, ако е технически възможно, правото на преносимост се осъществява чрез прехвърляне на данните директно от един администратор на друг.

Право на възражение

И тук не се касае за нововъведено от Общия регламент право. Сега обаче то е конкретизирано и приложимо само в случаите, в които обработването на данните се извършва в обществен интерес или въз основа на легитимни интереси на администратора, т.е. не въз основа на дадено от субекта на данните съгласие. При подадено до него възражение администраторът трябва да провери основателността нму и ако не докаже, че интересите, в които се извършва обработването, имат преимущество, то се прекратява.

Право на възражение съществува освен това във всички случаи на обработване на данни за целите на директен маркетинг. В този случай, независимо от основателността на възражението, обработването се прекратява. Т.е. администраторът няма право на проверка за преимуществени интереси.

Когато обработването се извършва на основание, даващо на субектите право на възражение, те трябва да бъдат уведомени за това си право най-късно при първия контакт с администратора. Това означава например, че при изпращане на рекламни имейли, в бъдеще трябва да бъде предоставена техническа възможност за възражение чрез автоматизирани средства. Това важи при всяко обработване, даващо право на възражение, в контекста на предоставяне на услуги на информационното общество.

Права при профилиране

Както споменах по-горе, за профилиране се говори при автоматизирано обработване на лични данни с цел анализиране на субекта, неговото поведение или други аспекти от личния/ професионалния/ социалния му живот. Такова профилиране може да се извършва само на база съществуващо нормативно основание или ако е необходимо за изпълнение на договор със субекта или той е дал съгласието си за това. И когато субектът се е съгласил с профилирането на база договор или изрично съгласие, той все пак може да изиска от администратора обработването и анализирането на данните му да се извършва не изцяло автоматизирано, а с човешка намерса, така че да се избегнат неточности или нежелани резултати.

Право на защита по съдебен или административен ред

Административната защита се състои в правото на субектите на данни да подават жалби до надзорния орган по тяхното местопребиваване, място на работа или по мястото на нарушение на регламента.

Съдебната защита има две направления:

  • от една страна, физическите лица могат да инициират съдебно производство - за установяване на нарушение, но и за обезщетение за претърпени вреди - срещу администратори или обработващи лични данни. Компетентни са съдилищата в страната-членка, в която е установен ответникът. Предвидена е алтернативна компетентност на съдилищата по местобребиваване на субектите на лични данни, т.е. те могат да избират, пред кой от компретентните в конкретен случай съдилища да предявят претенциите си;
  • от друга страна, субектите на лични данни могат да потърсят съдебна защита срещу засягащи ги задължителни решения на надзорен орган (Комисия за защита на личните данни). Компетентни са съдилищата по седалище на надзорния орган.

В заключение отново обръщам внимание на факта, че, независимо от целта на Общия регламент да осигури неприкосновеността на личния живот, правото на защита на личните данни не е абсолютно, т.е. може да бъде ограничавано в интерес на защита и реализация на други основни права, включително на комуникации, свободно изразяване на мнение и свобода на информация.

В третата и последна от тази проедица част ще разгледам подробно отговорностите и задълженията на администраторите и обработващите лични данни съгласно Общия регламент относно защитата на данните.