#19 Българската КЗЛД със становище относно формата на упълномощаване при упражняване на права на субект на данни пред лечебните заведения

Ключово за всеки администратор на лични данни становище на българската Комисията за защита на личните данни (Комисията) бе публикувано наскоро на техния сайт относно формата на упълномощаване при упражняване на права на субект на данни пред лечебните заведения.

Комисията отговори на постъпило запитване от страна на лечебно заведение, във връзка с достъпа на пациентите до техните лични данни, както и упражняването на правата им на субекти на данни, чрез пълномощник. Въпросът е възникнал при подготовката на вътрешните правила за защита на личните данни, които имат за цел да синхронизират дейностите по обработване на лечебното заведение с изискванията на Регламент 2016/679. По поставения въпрос няма изрична уредба нито в европейското, нито в националното законодателство. А именно, необходима ли е нотариална заверка, когато упълномощаваме някого да упражнява нашите права по чл. 15-22 от Регламента?

В правния анализ на въпроса, Комисията разглежда условията за упражняване на правата на субектите на данни, уредени в чл. 12 от Регламента. За администратора, удостоверяването на самоличността на субекта на данни стои на първо място. По какъв точно начин, зависи от конкретиката на всеки случай, но по правило, трябва да се използват наличните вече данни за лицето. При съмнения, той може да поиска допълнителна информация, а ако тя не бъде предоставена или е неубедителна, той може да откаже да предприеме действия по искането, като носи доказателствена тежест за обстоятелството, че субектът не може да бъде идентифициран по безспорен начин. От страна на правоимащите, процедурата, по която трябва да подават своите искания за упражняване на правата на лични данни е уредена в Закона за защита на личните данни – писмено заявление до администратора, в случай че той не е определил друг начин, както и по електронен път или чрез потребителския интерфейс. В закона е посочено, че заявлението, което е подадено от упълномощено лице, трябва да бъде придружено от съответното пълномощно. По-нататък, Комисията се обръща към Закона за здравето и уредената там възможност на пациентите да упълномощят писмено друго лице да се запознава с медицинските им документи и да прави копия от тях. Стъпвайки и на общата уредба на института на упълномощаването в Закона за задълженията и договорите, който предвижда утежнена форма на пълномощното, само когато то е за сключване на сделки с утежнена форма, както и липсата на въведени изисквания в специалното законодателство, относимо по казуса, Комисията стига до своя окончателен отговор на поставеното запитване, а именно, че лечебните заведения, в качеството им на администратори на лични данни, нямат правно основание да изискват нотариална заверка на подписа при упълномощаване на друго лице да упражни правата на субекта на данни по чл. 15-22 от Регламента.

Макар и в контекста на упражняване на права на субектите на данни пред конкретен тип администратори – лечебните заведения, направените от Комисията изводи биха могли да бъдат приложени във всички случаи на упражняване тези права по Регламента. При липса на конкретно изискване в специална законова уредба, „обикновеното“ писмено пълномощно е достатъчно за упражняването на правата на субекти на данни чрез пълномощник.

# 18 Българската КЗЛД със становище относно фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания

Ключово за фармацевтичния сектор становище на българската Комисията за защита на личните данни (КЗЛД/Комисията) бе публикувано на 10.06.2019 г. на сайта на Комисията относно определяне на фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания.

Съгласно становището при провеждането на клинични изпитвания лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл. 26 от Регламент (ЕС) 2016/679.

Становището бе публикувано след разгледано от КЗЛД запитване от дружество, което има качеството на „възложител” по смисъла на § 1, т. 8 от Допълнителните разпоредби на Закона за лекарствените продукти в хуманната медицина (ЗЛПХМ) т.е. дружество, което отговаря за започването, управлението и/или финансирането на клиничното изпитване и участва в инициираните от него клинични изпитвания. Запитващото дружество посочва, че при провеждането на клинични изпитвания то осъществява също така взаимоотношения и с другите лица-участници в клиничните изпитвания, а именно с главния изследовател и изследователите, както и членовете на екипа на изследователя – колаборатори, наблюдатели и одитори на изпитването.

За да определи ролите на страните, КЗЛД изследва фигурите на „администратор” и „обработващ” през призмата на приложимото към клиничните изпитвания национално и европейско законодателство. КЗЛД разяснява още, че Регламент (ЕС) 536/2014 на Европейския парламент и на Съвета относно клиничните изпитвания на лекарствени продукти за хуманна употреба и ЗЛПХМ изчерпателно определят функциите и задачите на всички субекти, участващи в клинично изпитване. Според Комисията дейностите по обработване на лични данни във връзка с извършване на клинични изпитвания от страна на лечебното заведение не би могла да се извърши „от името” на възложителя на изпитването, поради факта, че същите не могат да бъдат извършени от него, а само от оправомощена по съответния ред организация, имаща качеството „лечебно заведение”. Това е поредно потвърждение на отдавна възприета в теорията и практиката (вкл. тази на КЗЛД) теза, че не всеки договор за възлагане автоматично води до възникване на отношения от типа администратор-обработващ и че за адекватното определяне на ролите и отговорностите на страните при обработването на лични данни трябва да се вземе предвид естеството на правата и задълженията на страните по договорната връзка.

Допълнителен довод според КЗЛД за такова квалифициране на ролите на страните е Становище 1/2010 на Работната група по чл. 29 (сега Европейски комитет по защита на данните) относно понятията „администратор“ и „обработващ”, където е посочено изрично, че при провеждане на клинични изпитвания, участниците обработват лични данни в качеството на съвместни администратори (стр. 30 на Становището).

Основната последица от това становище за фармацевтичните компании и лечебните заведения, провеждащи клинични изпитвания, е че същите трябва да сключат помежду си договор, с който да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си в областта на защитата на личните данни. По-специално те следва да уредят въпроса за упражняването на правата на субектите на данни и съответните си задължения за предоставяне на информацията по чл. 13 и 14 от GDPR на субектите. Наред с това, всеки субект на данни-участник в клиничното изпитване има възможност да упражнява на своите права по отношение на всеки и срещу всеки от администраторите (чл. 26, пар. 3 от GDPR).