Месец: юли 2020

#25 СЕС обяви за невалиден Щита за личните данни в отношенията между ЕС и САЩ, но призна стандартните договорни клаузи за валидни?

На 16 юли 2020 г. Съдът на Европейския съюз (СЕС) постанови решение по преюдициално запитване от съществено значение за инструментите за предаване на лични данни извън ЕС към така наречените „трети страни“, по-специално към САЩ.

Защо се стигна до тук?

Преюдициалното запитване е отправено във връзка с действията на австрийския активист г-н Максимилиан Шремс пред ирландския Комисар за защита на личните данни за спиране предаването на неговите данни като Facebook потребител от Facebook към САЩ, на този етап осъществявано главно въз основа на стандартни договорни клаузи (СК). След обявяването за невалидна на рамката Safe Harbor, прилагана по-рано за предаване на данни между ЕС и САЩ (делото Шремс I), г-н Шремс твърди, че СК не предоставят достатъчна степен на защита на личните данни, предавани от ЕС в САЩ, тъй като нормативната уредба в САЩ създава условия за незачитане договорните задължения на юридическите лица (в конкретния случай от страна на Facebook), във връзка със сключените от тях СК. Междувременно беше приета нова рамка – Щит за личните данни в отношенията между ЕС и САЩ – чиято валидност също беше поставена под въпрос с преюдициалното запитване до СЕС.

Кои са основните изводи от решението на СЕС?

  • Щитът за личните данни в отношенията между ЕС и САЩ е невалиден. Основните доводи на СЕС са, че:

(1) Местното законодателство на САЩ относно достъпа и използването от страна на публични органи (посредством различни програми за наблюдение) на лични данни за целите на националната сигурност, обществения интерес и правоприлагането, налагат ограничения по отношение на защитата личните данни, които не са равностойни и ограничени до строго необходимото, съгласно предвиденото в правото на Съюза;

(2) механизмът на Омбудсмана към Щита за личните данни не предоставя на субектите на данни способ за защита пред орган, предоставящ гаранции, които по същество са равностойни на изискваните в правото на Съюза, тъй като Омбудсманът:

(а) не може да се счита за независим, тъй като е назначен от Държавния секретар на САЩ, и е неразделна част от държавния департамент на Съединените щати, и

(б) не е оправомощен да взема обвързващи решения по отношение на дейността на разузнавателните структури на Съединените щати.

  • При предаване на лични данни съгласно СК, следва да се предостави ниво на защита, което е по същество равностойно на това, гарантирано в рамките на ЕС от ОРЗД и Хартата на основните права на ЕС. Според СЕС това означава оценка за всеки отделен случай по отношение на договорните клаузи между износителя на данни от ЕС и получателя – трета държава, всеки един достъп на публичните органи на тази трета страна до предадените данни, както и съответните аспекти на правната система на тази трета страна.
  • Решение 2010/87 относно стандартните договорни клаузи  като инструмент за предаване на лични данни остава валидно.

Според СЕС решението за създаване на СК съдържа ефективни механизми, които позволяват на практика да се гарантира спазването на изискваното от ЕС ниво на защита и да се спре или да се забрани предаването в случай на нарушение на СК или в случай, че стане невъзможно да бъдат прилагани. Тези механизми са:

  • задължението на износителя на данни и на получателя да проверяват преди всяко предаване дали нивото на защита е спазено в третата държава, и
  • изискването към получателя да информира износителя на данни за всяка невъзможност да осигури съответствие със СК, като тогава последният бива от своя страна задължен да спре предаването на данни и/или да прекрати договора с получателя.
  • Надзорните органи на държавите-членки са задължени да спрат или забранят предаването на лични данни към трета държава, когато:
  • предвид всички обстоятелства в конкретния случай, те счетат, че:

(а) СК не са или не могат да бъдат спазени в дадената трета държава и

(б) защитата на предаваните данни, изисквана съгласно законодателството на ЕС, не може да бъде гарантирана с други средства, и

  • самият износител на данни от ЕС не е спрял или прекратил съответното предаване.

Защо е важно това решение?

Решението на СЕС е с решаващо значение, тъй като отново отчита проблемите във връзка с предаването на данни между ЕС и САЩ, идентифицирани преди години с  обявяването на механизма за „Сферата на неприкосновеност на личния живот“ за невалиден. Това означава, че ЕС ще запази политиката си да изисква  осигуряване на възможно най-високи стандарти за защита на данните в отношенията си с трети държави. Решението на СЕС е категорично послание към правителството на САЩ, призоваващо към прилагане на допълнителни предпазни мерки по отношение на парадигмата защита на личните данни-национална сигурност.

За бизнеса то означава бъдеща несигурност относно това как да бъде законосъобразно уредено предаването на данни в трети държави, особено в САЩ, защото:

  • един от основните инструменти за предаване на данни в САЩ – Щита за личните данни – вече не е приложим;
  • съображенията на СЕС по отношение на несъответствието на програмите за наблюдение на САЩ със стандартите за защита на данните на ЕС поставят под въпрос дали СК – вероятно най-популярният инструмент за предаване на данни – може да бъде използван адекватно за предаване на данни към САЩ.

На последно място, вероятно е да се очаква проактивен подход от страна на надзорните органи на държавите членки по отношение на предаването на данни, особено в контекста на новопотвърдените им правомощия да спрат или забранят предаването въз основа на СК в определени случаи, когато ефективното спазване на СК в трета държава или изискваното от ЕС ниво на защита на данните не може да бъде постигнато изцяло.

Полезни връзки:

  • Цялото решение на СЕС може да намерите тук
  • Прессъобщение на СЕС може да намерите тук
  • Изявление на ирландския надзорен орган относно решението на СЕС може да намерите тук
  • Изявление на Европейския комитет по защита на данните относно решението на СЕС може да намерите тук.

#24 Защита на личните данни при договор за прехвърляне на вземания (цесия)

По силата на договора за прехвърляне на вземане (цесия) кредиторът по едно вземане (цедент) го прехвърля на едно трето лице (цесионер). Тъй като цесията налага обработването на лични данни на едно трето лице – длъжник, което не е страна по договора, това води до нуждата от внимателно изследване на правилата за защита на личните данни и тяхната приложимост към прехвърлянето на вземания. Настоящият анализ изследва ситуацията, при която длъжникът е физическо лице. Изводите по-долу могат да се приложат по аналогия и към цесии с длъжници – юридически лица, като се отчетат спецификите на отношенията между юридически лица (т.е. че същите обменят данни за свои законни представители, пълномощници и др. под.).

Нужно ли е съгласие на длъжника за прехвърляне на вземането му?

Съгласието при договора за цесия може да се разглежда в две направления:

  • Съгласие за самата сделка – длъжникът не е страна по договора за цесия и неговото съгласие не е необходимо, за да породи сделката действие.
  • Съгласие като основание за обработване на личните данни на длъжника – съгласието може да се разглежда и като едно от правните основания за обработване на лични данни по Регламент 2016/679 (ОРЗД). Тъй като длъжникът трябва да може да прецени дали, за какви цели и за какъв срок да даде съгласието си, то представлява неподходящо правно основание за обработването на лични данни при договори за цесия. Това е така, защото ако обработването се базира на съгласие, това би дало възможност на длъжника да  блокира кредитора да се разпореди с вземането си, като осуети възможността му да обработва съдържащите се в документите за дълга или свързани с него лични данни – кой е длъжникът и какви са данните му за контакт, от къде произтича задължението му, в какъв размер е то и какъв е падежът му и т.н.

На какво основание се базира обработването на лични данни при договора за цесия?

Страните по договора за цесия могат да базират обработването на личните данни на длъжника на други правни основания, които са равнопоставени и алтернативни на съгласието, а именно:

  • За цедента:
    • Спазване на законово задължение – да предаде документите за дълга на цесионера, т.е. да извърши и свързаното с това обработване на съдържащите се в тях лични данни;
    • Наличие на легитимен (законен) интерес – да се разпореди с вземането си както намери за добре.
  • За цесионера освен легитимния интерес да събере вземането си възниква и допълнително правно основание за обработването на лични данни –изпълнението на договор, по който субектът на данните е страна (това е договорът, на база на който е възникнало вземането). Това основание обаче може да бъде релевирано, при условие че цесията породи действие спрямо длъжника чрез съобщаване по реда на чл. 99, ал. 3 и 4 ЗЗД.

Според КЗЛД, юридическият факт, който прави допустимо обработването на лични данни, е прехвърлянето на вземането, а не уведомлението на длъжника. Това означава, че дори преди това уведомяване цесионерът може да обработва законосъобразно лични данни на длъжника.

Други изисквания на защитата на личните данни при цесията

Важно изискване, което трябва да се спази при цесията, е уведомяването на длъжника за обработването на неговите лични данни, тъй като администраторът на лични данни-цесионер получава личните данни не пряко от субекта на данните, а от друг източник – цедента. На субекта на данни трябва да се предостави информацията по чл. 14 ОРЗД, с цел осигуряване на прозрачно обработване на данните, а именно:

  1. данните, които идентифицират администратора и координатите за връзка с него;
  2. координатите за връзка с длъжностното лице по защита на данните, ако такова е назначено;
  3. целите и правното основание за обработването;
  4. съответните категории лични данни;
  5. получателите на личните данни;
  6. срокът, за който ще се съхраняват личните данни;
  7. когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и допълнителна информация, свързана с този трансфер на данни;
  8. законните интереси, преследвани от администратора или от трета страна, когато обработването се извършва на това основание;
  9. информация за правата на субекта на данни във връзка с обработването;
  10. източникът на личните данни;
  11. допълнителна информация в случай, че данните се използват за автоматизирано вземане на решения, включително профилиране.

ОРЗД изисква тази информация да се предостави от администратора в следните срокове:

  • в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;
  • ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данни;
  • ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

Не са малко случаите в практиката, когато цесионери са санкционирани именно за неспазване на горното изискване за информиране на субекта. По принцип ОРЗД допуска изключения от горното задължение за информиране, ако получаването или разкриването на данните е изрично разрешено от правото на ЕС или правото на държавата членка, в което се предвиждат подходящи мерки за защита на легитимните интереси на субекта на данните. Не е ясно как КЗЛД ще тълкува това правило в светлината на договора за цесия (при който разкриването и получаването на данни е изрично уредено в българското право). Имайки предвид горната санкционна практика, по-сигурният подход за цесионерите ще е да извършват нарочно уведомяване на субектите.

Допуска се информирането на субекта на данни за обработването да се извърши заедно с уведомяването на длъжника за цесиятаот цесионера. Това е изрично припознато и в съдебната практика.

Може ли изтеклата давност на прехвърленото вземане да засегне законосъобразността на обработването на лични данни?

Дали вземането е погасено по давност или не, надлежно ли е упражнено възражението на длъжника за изтекла погасителна давност и т.н. са въпроси от  компетентността на гражданския съд и не влияят на законосъобразността на обработването на лични данни.

Статия на д-р Мартин Захариев по темата можете да намерите на адрес: https://www.tita.bg/free/commercial-law/660