Ключово за всеки администратор на лични данни становище на българската Комисията за защита на личните данни (Комисията) бе публикувано наскоро на техния сайт относно формата на упълномощаване при упражняване на права на субект на данни пред лечебните заведения.
Комисията отговори на постъпило запитване от страна на лечебно заведение, във връзка с достъпа на пациентите до техните лични данни, както и упражняването на правата им на субекти на данни, чрез пълномощник. Въпросът е възникнал при подготовката на вътрешните правила за защита на личните данни, които имат за цел да синхронизират дейностите по обработване на лечебното заведение с изискванията на Регламент 2016/679. По поставения въпрос няма изрична уредба нито в европейското, нито в националното законодателство. А именно, необходима ли е нотариална заверка, когато упълномощаваме някого да упражнява нашите права по чл. 15-22 от Регламента?
В правния анализ на въпроса, Комисията разглежда условията за упражняване на правата на субектите на данни, уредени в чл. 12 от Регламента. За администратора, удостоверяването на самоличността на субекта на данни стои на първо място. По какъв точно начин, зависи от конкретиката на всеки случай, но по правило, трябва да се използват наличните вече данни за лицето. При съмнения, той може да поиска допълнителна информация, а ако тя не бъде предоставена или е неубедителна, той може да откаже да предприеме действия по искането, като носи доказателствена тежест за обстоятелството, че субектът не може да бъде идентифициран по безспорен начин. От страна на правоимащите, процедурата, по която трябва да подават своите искания за упражняване на правата на лични данни е уредена в Закона за защита на личните данни – писмено заявление до администратора, в случай че той не е определил друг начин, както и по електронен път или чрез потребителския интерфейс. В закона е посочено, че заявлението, което е подадено от упълномощено лице, трябва да бъде придружено от съответното пълномощно. По-нататък, Комисията се обръща към Закона за здравето и уредената там възможност на пациентите да упълномощят писмено друго лице да се запознава с медицинските им документи и да прави копия от тях. Стъпвайки и на общата уредба на института на упълномощаването в Закона за задълженията и договорите, който предвижда утежнена форма на пълномощното, само когато то е за сключване на сделки с утежнена форма, както и липсата на въведени изисквания в специалното законодателство, относимо по казуса, Комисията стига до своя окончателен отговор на поставеното запитване, а именно, че лечебните заведения, в качеството им на администратори на лични данни, нямат правно основание да изискват нотариална заверка на подписа при упълномощаване на друго лице да упражни правата на субекта на данни по чл. 15-22 от Регламента.
Макар и в контекста на упражняване на права на субектите на данни пред конкретен тип администратори – лечебните заведения, направените от Комисията изводи биха могли да бъдат приложени във всички случаи на упражняване тези права по Регламента. При липса на конкретно изискване в специална законова уредба, „обикновеното“ писмено пълномощно е достатъчно за упражняването на правата на субекти на данни чрез пълномощник.