В продължение на темата за ключовите моменти, които GDPR въвежда, в настоящата публикация ще засегнем един от новите принципи на защитата на личните данни, а именно прозрачността.
Прозрачността е отдавна установена характеристика на правото на Европейския съюз, която се свързва с пораждането на доверие в процесите, които засягат гражданите, като им дава възможност да разберат и ако се налага – да оспорват тези процеси[i]. Прозрачността е неразривно свързана с добросъвестността и с новия принцип, който GDPR въвежда – отчетността. Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели.
Прозрачността позволява на субектите на лични данни да държат администраторите и обработващите лични данни отговорни за обработването и да упражняват контрол върху своите лични данни. Изискванията за прозрачност според GDPR се прилагат без значение от правното основание за обработване на данни и през цялото време на обработването. Прозрачността като принцип е приложима в следните 3 основни етапа от цикъла по обработване:
1) Преди обработването – при предоставянето на информация на субектите на данни във връзка със събирането на техни лични данни и предстоящото им обработване;
2) През целия период на обработването – при начините, по които администраторите на лични данни комуникират със субектите във връзка с техните права по GDPR;
3) В специфични случаи по време на обработването – например при нарушаване на сигурността на личните данни или в случаите на съществени промени при обработването,
Какво всъщност означава прозрачността? Принципът на прозрачност най-общо изисква всяка информация и комуникация във връзка с обработването на лични данни да бъде лесно достъпна и разбираема за субектите на данни и да им се предостави чрез използването на ясни и недвусмислени формулировки. Това изискване се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, както и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение за обработването на техни лични данни.
Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването
Чл. 12 от GDPR регламентира изискванията, на които информацията, предоставяна на субектите във връзка с обработването, трябва да отговаря:
- кратка, прозрачна, разбираема и лесно достъпна форма;
- на ясен и прост език;
- изискването за използване на ясен и прост език е от особена важност при предоставяне на информация на деца – те се ползват със специална защита, тъй като не разбират съответните рискове при обработването, както и правата си във връзка с обработването, поради което информацията, насочена към деца следва да е още по-ясна, проста и лесноразбираема за детето;
- Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства;
- Ако субектът на данните е поискал, информацията може да се предостави и устно (включително и с автоматизирани средства – напр. чрез аудиозапис) – GDPR изисква преди такова предоставяне на информация самоличността на субекта да е била потвърдена от администратора с други средства. Това изискване за потвърждаване на самоличността се прилага само във връзка с предоставянето на информация за правата по чл. 15-22 и чл. 34 от GDPR, но не и за предоставянето на общата информация относно обработването по чл. 13 и чл. 14 от GDPR[ii];
- Информацията се предоставя безплатно – администраторите не могат да начисляват такси и др. под. на субектите за предоставянето на информация относно обработването. Изключение от това правило може да има единствено когато исканията на субекта са явно неоснователни или прекомерни (напр. поради своята повтoряемост) – в тези случаи администраторът може да наложи разумна такса или да откаже да предприеме действие по искането. Тежестта да докаже тези обстоятелства обаче се носи от администратора.
Категориите информация, която следва да се предоставят на субектите, са изброени в чл. 13 и чл. 14 от GDPR – най-общо това са: данни за администратора, цели, правно основание, срок на обработването, информация за правата на субекта, информация дали предоставянето на лични данни е законово или договорно изискване и последиците от непредоставянето на данните. Ново изискване на GDPR е предоставянето на информация относно правното основание за целите на обработването – администраторите следва да са в състояние да привържат всяка конкретна цел на обработване с конкретното основание. Това на практика означава, че администраторите трябва да са наясно с основанията за обработване на лични данни и да могат правилно да идентифицират кое основание към коя цел е приложимо.
Освен съдържанието, формата и начинът на предоставяне на информацията по чл. 13 и 14 от GDPR също са важни. Информацията за обработването на лични данни следва да се предостави на субекта на данни в момента на събирането ѝ от него или ако личните данни са получени от друг източник — в рамките на разумен срок след получаването на личните данни, но най-късно в срок до един месец. В резултат на тези изисквания администраторите следва да разработят механизми, с които да информират субектите в посочения срок винаги когато събират и съхраняват информация, която не е получена от самите субекти, а например от интернет, публичен регистър и т.н.
Предоставянето на информацията относно обработването следва да бъде отделно от всяка друга информация – на практика трябва да се съставят отделни документи (декларации за информираност, съобщения, политики за защита на личните данни и т.н.). Работната група по чл. 29, консултативен орган в сферата на защитата на личните данни на ниво ЕС, препоръчва използването на нотификации относно информацията, които се предоставят поетапно (т.нар. layered privacy statements), както и на push / pull нотификации (изскачащи прозорци, предоставящи информация)[iii]. Информацията, която трябва да се предостави на субектите на данни, може да бъде предоставена в комбинация със стандартизирани икони, чрез което администраторът да представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.
В заключение следва да обобщим, че принципът на прозрачност изисква за всяко обработване на субектите на лични данни да се дава определена информация, която да гарантира тяхното право да се запознаят с процеса и да го оспорят при нужда. Изключенията от това изискване са много ограничени – напр. когато субектът на данните вече разполага с тази информация или когато предоставянето на информацията е невъзможно или изисква несъразмерно големи усилия.
Надлежното документиране на това как е спазен принципът на прозрачност става още по-важно в контекста на новия принцип на отчетност, според който администраторите носят тежестта и по всяко време трябва да са в състояние да докажат спазването на изискванията на GDPR. Ето защо, препоръчително е всички компании да изградят механизми за гарантиране на изискването за прозрачност – изработване на подходящи инструменти (политики за защита на личните данни, съобщения, декларации), както и на процедури за информиране на субектите (напр. при нарушения на сигурността на данните).
Екипът на „Димитров, Петров и Ко.“
[i] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 5.
[ii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 11.
[iii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 17-18.