# 21 Сайтове с Фейсбук бутон „харесва ми“ – последното решение на Съда на Европейския съюз хвърля светлина върху основни въпроси за прилагането на ОРЗД

Когато оператор на уебсайт интегрира приставка на трето лице като Фейсбук бутона „харесва ми“, той предизвиква автоматичното събиране и предаване на лични данни на потребители на сайта към лицето, предоставящо приставката. Лична информация като IP адрес и потребителско поведение в даден сайт се изпраща от браузъра, независимо дали потребителят е натиснал бутона или дали има профил в сайта на третото лице. Тази практика предизвика съдебен спор в Германия след като Verbraucherzentrale NRW, обществено сдружение за защита на потребителските интереси, заведе съдебно производство срещу онлайн търговеца Fashion ID, който използва такава приставка и изпраща лични данни на своите потребители към Фейсбук Ирландия без да ги информира или да поиска съгласието им. След съдебно решение на първа инстанция в Дюселдорф, осъждащо Fashion ID,  по-висшестоящият регионален съд Дюселдорф отнася делото до Съда на Европейския съюз с въпроси върху тълкуването на няколко разпоредби на предишната Директива за защита на данните от 1995 година.

Въпреки че Директивата беше заменена от Общия регламент за защита на данните (ОРЗД) миналата година, новото съдебно решение на Съда на ЕС може да доведе до по-добро разбиране на действащото европейско право за защита на данните.

Допустимост на иска

Съдът реши, че сдружения с нестопанска цел за защита на интересите на потребителите имат правомощие да предприемат правни действия срещу евентуален нарушител на сигурността на лични данни, както по смисъла на предишната Директива, така и според ОРЗД.

Обработване на данни

Съдът отреди, че Fashion ID се счита за съвместен администратор на данни по смисъла на ОРЗД, съвместно с Фейсбук Ирландия по отношение на събирането и предаването на лични данни, протичащо на неговия сайт. Онлайн търговецът не е отговорен обаче за обработването на данни от Фейсбук на по-късен етап, след като информацията вече е предадена.

Следователно операторите на уебсайтове са задължени да информират изчерпателно своите потребители за процесите, свързани с личните им данни. Освен това е необходимо законно основание за обработването на данни. Съдът предоставя интерпретация на две от условията на Чл.6 ОРЗД.

Операторът на уебсайт трябва да получи съгласието на потребителя по отношение на процесите, в които той действа като съвместен администратор, а именно събирането и предаването на лични данни чрез приставките на страницата му.

Що се отнася до наличието на легитимен интерес, то може да е основание само ако обработването на данни е необходимо за легитимните интереси и на двамата съвместни администратори.

Приставките на социалните мрежи носят множество ползи за операторите на уебсайтове, като повече публичност, присъствие в социалните мрежи, наблюдения върху популярността на съдържанието. За да ги използва и да избегне евентуална отговорност, операторът на уебсайта трябва да информира потребителите по всички точки в списъка на чл. 13 ОРЗД, като начините, целите и основанието на обработването на данни, както и крайните получатели на информацията. В повечето случаи това са Фейсбук и Гугъл като най-популярните доставчици на подобни приставки.

Възможно решение за противоречия със законодателството за защита на личните данни е интегрирането на приставките по начин, който предотвратява автоматичното предаване на данни. В случая с Фейсбук технологичният гигант предоставя бутона „харесва ми” под формата на програмен код. Вместо да се копира без промени, бутонът може да бъде поставен като линк към изскачащ прозорец – така наречения „Two-click method“ („метод на двата клика“). По този начин приставката и обработването на данни се активират не при отваряне на уебсайта, а едва след като потребителят натисне бутона и даде съгласието си за обработване на данните му. Този процес трябва да бъде описан в политиката за поверителност на уебсайта.

Източници:

Дело C-40/17, СЕС, Втори състав, 29 Юли 2019, достъпно тук: http://curia.europa.eu/juris/document/document.jsf;jsessionid=C928F3FB3CCCF093027557F27F1CCD39?text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8508664

# 20 Производства пред Комисията за защита на личните данни

На 30.07.2019 беше публикуван Правилникът за дейността на Комисията за защита на личните данни, в който подробно са уредени устройството на Комисията, организацията на работата ѝ, производствата, които се извършват пред нея, както и дейностите по консултиране и обучение, с които тя съдейства на администраторите на лични данни.
Правилникът изрежда всички производства, които се развиват пред Комисията: разглеждане на жалби за нарушения на правaта на физически лица; прилагане на предвидените от Регламент 679/2016 (Регламент/GDPR) правомощия на надзорните органи; изразяване на становища по въпроси от областта на защитата на личните данни; приемане на стандартни договорни клаузи по Регламента; разглеждане на производства по предоставяне на данни на трети лица или международни организации; провеждане на предварителни консултации; разглеждане на уведомления за нарушения на сигурността на личните данни; одобряване на кодекси за поведение; акредитация и отнемане на акредитация на органи за наблюдение на одобрени кодекси за поведение; акредитация и отнемане на акредитация на сертифициращи органи. Тя може да провежда и други производства, когато това е предвидено в закон. В статията ще разгледаме основните производства и тези, които са релевантни за най-широк кръг от субекти.

Жалби и сигнали за нарушени права
Чрез жалба или сигнал до Комисията се съобщава за нарушение на права по Регламента и по ЗЗЛД. Разликата между двете е в лицето, чиито права са нарушени – жалба се подава, когато са нарушени права на искателя, а сигнал, когато са нарушени права на лице, различно от искателя. Исканията не могат да бъдат анонимни или неподписани и трябва да посочват точно лицето, срещу което са подадени, датата и естеството на нарушението. Комисията дава 3-дневен срок за отстраняване на нередовности. Редовността, допустимостта и основателността се преценяват от дирекция „Правни производства и надзор“. Заседанията, в които жалбата или сигналът се разглеждат по същество, са открити, и за тях се уведомяват страните и заинтересованите лица. Производството може да приключи с мерки по GDPR или ЗЗЛД, както и с административно-наказателни мерки.

Уведомление за нарушения на сигурността на личните данни
Това уведомление се подава от администратор, като необходимото съдържание е изложено в чл. 67, ал.3 ЗЗЛД и чл. 33, пар. 3 от GDPR. При постъпването му Комисията извършва проверка в двуседмичен срок, при която изяснява въпросите за това, в какво качество е КЗЛД (дали е водещ орган или подпомага работата на органи по защита на личните данни от други държави членки), естеството на нарушението, броя засегнати субекти на данни, броя засегнати записи, евентуалните последици и предприетите мерки, както и за нивото на риск от нарушението. Въз основа на анализа, информацията и нивото на риск, Комисията може да приеме уведомлението за сведение, да направи проверка по документи или проверка на място. Комисията има право да направи проверка на място при всяко ниво на риск.

Предварителна консултация
Регламентът задължава администраторите да се обърнат към това производство, когато оценката на въздействието върху защитата на данните покаже, че даденото обработване ще породи висок риск за правата и свободите на физическите лица. На Комисията се предоставя цялата информация, относима към обработването, и тя дава писмено становище. Регламентът предвижда и възможност за държавите членки да направят това производство задължително за някои операции по обработване, свързани с обществен интерес, социална закрила и обществено здраве. В Правилника на КЗЛД е уредено, че в някои случаи Комисията може да изисква от администраторите да се консултират и да търсят предварителни разрешения от нея във връзка с обработването на данни по повод на дейности в обществен интерес и социална закрила. Тази предварителна консултация има за цел да осигури предварителен контрол, но също така и да помогне на администраторите да предприемат необходимите мерки за сигурността на правата на субектите на лични данни. В зависимост от резултатите от консултацията, Комисията може да упражни всяко от правомощията си по Регламента (например да наложи ограничения и забрани на обработването на лични данни, да наложи глоби и имуществени санкции или да отправи предупреждения до администратора или обработващия) или да се произнесе с разрешение за планираното обработване.

Одобряване на Кодекси за поведение
За всички предприятия, сдружения, представителни структури и категории администратори на лични данни е предвидена възможност за приемане на кодекси за поведение. Тяхната цел е да улесняват прилагането на правилата на Регламента и да съдържат гаранции за правата и свободите на физическите лица, чиито данни ще бъдат обработвани. Процедурата започва отново с искане, което трябва да съдържа индивидуализация на предлагащия кодекса за поведение, уникално наименование и категориите администратори, за които ще се прилага. Проверката, на която подлежи проекта за кодекс, е дали той съответства на Регламента, дали улеснява прилагането му от администраторите и дали гарантира спазването на правата на субектите на данни. Неодобреният проект се връща на подателя за допълване или внасяне на поправки, а одобреният се изпраща на Европейския комитет по защита на данните. Тази процедура се прилага също и за изменения и допълвания на вече съществуващи Кодекси за поведение.

Обучения
Дейността, в която могат да се включат най-широк кръг субекти, е тази по обученията в областта на защита на личните данни. Те могат да бъдат по подадено искане или по инициатива на Комисията. Искането трябва да съдържа имена, адрес и телефон на подателя, приложимите документи и информация и да бъде подписано и датирано. За дейности от висок обществен интерес или значимост, както и такива, които поради естеството си изискват специално внимание, Комисията организира обучения за администратори и обработващи лични данни по своя инициатива. Според Правилника, в обученията могат да се включват субекти на данни, сертифициращи органи, администратори, обработващи лични данни и длъжностни лица по защита на данните. Процедурата включва изпит преди обучението за установяване на първоначалните знания, както и изпит в неговия край. Участвалите получават сертификат, който удостоверява успешното завършване на обучението.