# 6 Административни санкции по GDPR

В продължение на серията публикации относно GDPR днес ще се запознаем с най-чувствителната тема, свързана с Регламента, а именно глобите и санкциите.

Ще обърнем внимание на праговете на тези административни наказания[1], на критериите, съгласно които се определя размерът им, както и на това какви са особеностите при определяне на този размер в случай на предприятия и как тези особености засягат груповите корпоративни структури.

Регламентът определя два прага на административните наказания в зависимост от вида на установеното нарушение:

  • За нарушения на някое от задълженията на администратора/обработващия (а именно на вмененото с чл. 8, 11, 25-39 и 42 и 43 GDPR), глобата или имуществената санкция би могла да бъде в размер на до 10,000,000 евро или до 2% от общия годишен световен оборот на предприятието за предходната година;
  • За нарушения, свързани със заложените в Регламента принципи за обработване на лични данни, правата на субектите на данните, предаването на лични данни на получател в трета държава, задълженията, произтичащи от правото на държавите членки, касаещи особени ситуации на обработване, както и с неспазване на разпореждания или ограничения, наложени от надзорния орган, глобата или имуществената санкция би могла да бъде в размер на до 20,000,000 евро или до 4% от общия годишен световен оборот на предприятието.

Описаните по-горе размери представляват максималните стойности, които глобите или имуществените санкции могат да достигнат. В зависимост от конкретното нарушение и съотношението между дължима и положена грижа, размерът би могъл да варира съществено. Различни обстоятелства ще оказват влияние при преценката на този размер. Така например, в случай на нарушение на няколко разпоредби на Регламента при една и съща операция по обработване или при свързани операции, общият размер на административното наказание не би могъл да надвишава сумата, определена за най-тежкото такова. При леки нарушения пък или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание.

Възниква въпросът какви са критериите за определяне на размера на наказанието. Регламентът оставя място за редица интерпретации, но мнението на Работната група по чл. 29 е, че преценката зависи от степента на необходимост от намеса и корекция на виновното поведение и от това дали в конкретния случай тази намеса или корекция е от възпитателен или наказателен характер.

Що се отнася до общите правила и условията за налагане на глоба или имуществена санкция, тези правила са посочени в чл. 83 от Регламента. Важен елемент е нуждата от налагане на ефективна и пропорционална глоба или санкция. Такава би могла да бъде определена въз основа на множество обстоятелства, а именно:

  • Оценка на естеството на нарушението и на неговата продължителност;
  • Оценка на основанието за съответното обработване, както и категориите лични данни, засегнати от нарушението. Някои особени лични данни като напр. такива, засягащи расов или етнически произход, политически и религиозни възгледи, се ползват с по-висока защита.[2]
  • Оценка на обстоятелствата около нарушението, по-конкретно оценка на вината, т.е. умишлено или по небрежност е извършено то;
  • Оценка на дължимата и положената грижа от страна на администратора/обработващия лични данни при установяване на нарушението и след прекратяването му. Уведомяването на надзорния орган и оказването на сътрудничество при поправяне на нарушението са смекчаващи обстоятелства.
  • Значение имат и всякакви други смекчаващи или утежняващи фактори, като напр. предишни нарушения, финансови облаги от нарушението и други.

Размерът на санкциите, наложени на предприятия, може да бъде значително голям. Във връзка с това възниква въпросът какво визира Регламентът под „предприятие“. Тук законодателят е спестил ресурс, като е направил препратка към чл. 101 и 102 от Договора за функционирането на Европейския Съюз (ДФЕС).

Макар да не е изрично дефинирано в тези разпоредби, понятието е тълкувано разширително в установената практика на Съда на ЕС, според която за целите на чл. 101 и 102 от ДФЕС, понятието „предприятие“ следва да се разбира като икономическа единица, която може да бъде образувана от дружество-майка и всички негови дъщерни дружества. За едно предприятие се считат и структури, в които едно дружество упражнява контрол върху друго дружество, като двете са тясно свързани икономически и организационно. Това разбиране за понятието „предприятие“ би могло да доведе до значително увеличаване на санкциите, чиито размер би могъл да бъде определен въз основа на годишния световен оборот на цялата корпоративна група, а не на оборота на конкретното юридическо лице, извършило нарушението.

В заключение, уточняваме, че обсъжданите размери на административните наказания, заложени в Регламента, представляват максималния размер на глобите или санкциите, които могат да бъдат наложени в случай на най-груби нарушения. В Регламента се посочва, че е необходимо да се прави подробна преценка на всеки конкретен случай и възможните смекчаващи или утежняващи обстоятелства.[3] Припомняме, че поради разширителното тълкуване на термина „предприятие“, при определяне на размера на санкцията може да бъде взет предвид годишният оборот на цяла група от дружества, което значително да увеличи размера на санкцията. Затова и съобразяването на дейността с изискванията на Регламента е от изключителна важност.

Екипът на „Димитров Петров и Ко.“

[1] Административните санкции са два вида – „глоба“, която се налага на администратор-физическо лице, и „имуществена санкция“, която се налага на администратор-юридическо лице

[2] Член 9 и 10 от Регламента описват тези специални категории.

[3] Становище на Работна група 29 относно административните глоби за целите на Регламент 2016/679.

# 5 Принципът на прозрачност по GDPR

В продължение на темата за ключовите моменти, които GDPR въвежда, в настоящата публикация ще засегнем един от новите принципи на защитата на личните данни, а именно прозрачността.

Прозрачността е отдавна установена характеристика на правото на Европейския съюз, която се свързва с пораждането на доверие в процесите, които засягат гражданите, като им дава възможност да разберат и ако се налага – да оспорват тези процеси[i]. Прозрачността е неразривно свързана с добросъвестността и с новия принцип, който GDPR въвежда – отчетността. Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели.

Прозрачността позволява на субектите на лични данни да държат администраторите и обработващите лични данни отговорни за обработването и да упражняват контрол върху своите лични данни. Изискванията за прозрачност според GDPR се прилагат без значение от правното основание за обработване на данни и през цялото време на обработването. Прозрачността като принцип е приложима в следните 3 основни етапа от цикъла по обработване:

1) Преди обработването – при предоставянето на информация на субектите на данни във връзка със събирането на техни лични данни и предстоящото им обработване;

2) През целия период на обработването – при начините, по които администраторите на лични данни комуникират със субектите във връзка с техните права по GDPR;

3) В специфични случаи по време на обработването – например при нарушаване на сигурността на личните данни или в случаите на съществени промени при обработването,

Какво всъщност означава прозрачността? Принципът на прозрачност най-общо изисква всяка информация и комуникация във връзка с обработването на лични данни да бъде лесно достъпна и разбираема за субектите на данни и да им се предостави чрез използването на ясни и недвусмислени формулировки. Това изискване се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, както и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение за обработването на техни лични данни.

Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването

Чл. 12 от GDPR регламентира изискванията, на които информацията, предоставяна на субектите във връзка с обработването, трябва да отговаря:

  • кратка, прозрачна, разбираема и лесно достъпна форма;
  • на ясен и прост език;
  • изискването за използване на ясен и прост език е от особена важност при предоставяне на информация на деца – те се ползват със специална защита, тъй като не разбират съответните рискове при обработването, както и правата си във връзка с обработването, поради което информацията, насочена към деца следва да е още по-ясна, проста и лесноразбираема за детето;
  • Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства;
  • Ако субектът на данните е поискал, информацията може да се предостави и устно (включително и с автоматизирани средства – напр. чрез аудиозапис) – GDPR изисква преди такова предоставяне на информация самоличността на субекта да е била потвърдена от администратора с други средства. Това изискване за потвърждаване на самоличността се прилага само във връзка с предоставянето на информация за правата по чл. 15-22 и чл. 34 от GDPR, но не и за предоставянето на общата информация относно обработването по чл. 13 и чл. 14 от GDPR[ii];
  • Информацията се предоставя безплатно – администраторите не могат да начисляват такси и др. под. на субектите за предоставянето на информация относно обработването. Изключение от това правило може да има единствено когато исканията на субекта са явно неоснователни или прекомерни (напр. поради своята повтoряемост) – в тези случаи администраторът може да наложи разумна такса или да откаже да предприеме действие по искането. Тежестта да докаже тези обстоятелства обаче се носи от администратора.

Категориите информация, която следва да се предоставят на субектите, са изброени в чл. 13 и чл. 14 от GDPR – най-общо това са: данни за администратора, цели, правно основание, срок на обработването, информация за правата на субекта, информация дали предоставянето на лични данни е законово или договорно изискване и последиците от непредоставянето на данните. Ново изискване на GDPR е предоставянето на информация относно правното основание за целите на обработването – администраторите следва да са в състояние да привържат всяка конкретна цел на обработване с конкретното основание. Това на практика означава, че администраторите трябва да са наясно с основанията за обработване на лични данни и да могат правилно да идентифицират кое основание към коя цел е приложимо.

Освен съдържанието, формата и начинът на предоставяне на информацията по чл. 13 и 14 от GDPR също са важни. Информацията за обработването на лични данни следва да се предостави на субекта на данни в момента на събирането ѝ от него или ако личните данни са получени от друг източник — в рамките на разумен срок след получаването на личните данни, но най-късно в срок до един месец. В резултат на тези изисквания администраторите следва да разработят механизми, с които да информират субектите в посочения срок винаги когато събират и съхраняват информация, която не е получена от самите субекти, а например от интернет, публичен регистър и т.н.

Предоставянето на информацията относно обработването следва да бъде отделно от всяка друга информация – на практика трябва да се съставят отделни документи (декларации за информираност, съобщения, политики за защита на личните данни и т.н.). Работната група по чл. 29, консултативен орган в сферата на защитата на личните данни на ниво ЕС, препоръчва използването на нотификации относно информацията, които се предоставят поетапно (т.нар. layered privacy statements), както и на push / pull нотификации (изскачащи прозорци, предоставящи информация)[iii]. Информацията, която трябва да се предостави на субектите на данни, може да бъде предоставена в комбинация със стандартизирани икони, чрез което администраторът да представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

В заключение следва да обобщим, че принципът на прозрачност изисква за всяко обработване на субектите на лични данни да се дава определена информация, която да гарантира тяхното право да се запознаят с процеса и да го оспорят при нужда. Изключенията от това изискване са много ограничени – напр. когато субектът на данните вече разполага с тази информация или когато предоставянето на информацията е невъзможно или изисква несъразмерно големи усилия.

Надлежното документиране на това как е спазен принципът на прозрачност става още по-важно в контекста на новия принцип на отчетност, според който администраторите носят тежестта и по всяко време трябва да са в състояние да докажат спазването на изискванията на GDPR. Ето защо, препоръчително е всички компании да изградят механизми за гарантиране на изискването за прозрачност – изработване на подходящи инструменти (политики за защита на личните данни, съобщения, декларации), както и на процедури за информиране на субектите (напр. при нарушения на сигурността на данните).

Екипът на „Димитров, Петров и Ко.“

[i] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 5.

[ii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 11.

[iii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 17-18.

# 4 Съгласието като едно от шестте легитимни основания за обработване на данни

Уважаеми клиенти и партньори,

Отново във връзка с GDPR ще обърнем внимание на съгласието като едно от шестте легитимни основания за обработване на данни.

Медийното внимание, на което се радва Регламентът, отчасти заради големите парични санкции, които въвежда, позволи широко отразяване на проблематиките и ключовите понятия, в това число и на съгласието.

Какво знаем за съгласието досега? Известно е, че за да бъде валидно, съгласието трябва е:

  • свободно изразено – субектът на данни трябва да има истински и свободен избор и да е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него;
  • конкретно – съгласието трябва да се отнася до ясно определена цел на обработване, срок и лица, които ще имат достъп до данните;
  • информирано – на субекта на данни следва да се предостави информация поне за самоличността на администратора и целите на обработването, за които са предназначени личните данни;
  • недвусмислено – необходимо е съгласието да се даде чрез ясен утвърдителен акт – заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване.

Споменавайки мимоходом тези основни аспекти на валидността, настоящата публикация ще обърне по-специално внимание на недотам коментираните особености на съгласието, които налагат завишено внимание при неговото използване.

И така, значението на съгласието като основание за обработване не трябва да се преекспонира и неговото приложение – да се приема като панацея. Причините за това са няколко.

На първо място, съгласието представлява само едно от шестте основания за обработване и неговото приложение е ограничено, когато някое от останалите пет основания намира приложение. Така например, съгласието не следва да се използва тогава, когато обработването се извършва с цел изпълнение на договор. В този случай основаване на съгласието не само не е необходимо, но е и нежелателно. Да не забравяме – съгласието може да бъде оттеглено! Какво би се случило с договорните отношения тогава…

На второ място, Работната група по чл. 29 приема, че по правило обработването за дадена цел може да има едно единствено правно основание. В този смисъл, когато обработваме данни на основание на получено съгласие, не можем да комбинираме или „подсилваме“ съгласието с друго правно основание за всеки случай, ако субектът на данните оттегли своето съгласие. Освен това, ако сме започнали обработване на основание на получено съгласие, то не бихме могли на по-късен етап да променим това основание. Причината е отново фактът, че съгласието може да бъде оттеглено. Хипотеза, която не съществува при никое от останалите основания.

На трето място, съгласието като основание за обработване е зависимо от контекста, в който е получено. GDPR обръща сериозно внимание на  дисбаланса в отношенията между администратора на лични данни и субекта на данните. Примерите за дисбаланс са много. Един от тях е свързан с трудовоправните отношения. Едва ли има предприятие, пред което да не е поставен въпросът за съобразяването на трудовоправните отношения с изискванията на Регламента. Докъде можем да разчитаме на съгласието тук?

Мнението на Работната група по чл. 29 е, че в този контекст съгласието не би следвало да се приема като легитимно основание. Причината се коренѝ в неравнопоставеността между страните и невъзможността служителят-субект на данните да направи свободен избор под страх или дискомфорт от настъпване на неблагоприятни последици за него. А това противоречи на едно от основните изисквания за валидността на съгласието, а именно свободата на избора.

Същият пример би могъл да бъде даден, що се касае до отношения, в които администраторът е публичен орган. Тук отново не би могло да се говори за предоставяне на реалистичен избор на субекта на данните дали да даде своето съгласие или не, тъй като отново говорим за наличие на „по-силна страна“ при договаряне, водещо до съответната неравнопоставеност.

Всеки тип влияние или натиск върху субекта на данните се приема като пречка за вземането на свободно решение и лишава съгласието от валидност, а обработването – от законосъобразност. Администраторът трябва да може във всеки един момент да докаже, че съгласието е дадено без заплаха от настъпване на каквито и да било негативни последици в случай на отказ.

На четвърто място, съгласието следва да бъде давано отделно за всяка отделна цел. Дори целта да е повтаряща се на определен период от време, е желателно то да бъде подновявано, а субектът – отново информиран за обработването. Не може да се приеме, че веднъж полученото съгласие за обработване за определена цел е достатъчно за последващо обработване на данните за други цели.

Накрая, ако в представите ви получаването на съгласие е свързано с изискана терминология и сложен език, можете да си отдъхнете. Информацията, предоставена с оглед получаването на съгласие от субекта на данните, следва да бъде проста и лесно разбираема за средностатистическия гражданин. В този смисъл изтънченият юридическия стил по никакъв начин не е възприет като полезен от GDPR.

В заключение ще изтъкнем една благоприятна възможност за бизнеса, а именно липсата на законодателно изискване съгласието да бъде писмено. То би могло да бъде изрично по много други начини, които ще намерят особено приложение в контекста на новите технологии. Европейският законодател е предоставил възможност на администраторите да имплементират различни начини и способи за получаване на съгласие, вкл. чрез отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество и др. под.

Екипът на „Димитров, Петров и Ко.“

# 3 „Димитров, Петров и Ко.“ с принос в новата платформа Data Privacy Advisor на „Томсън Ройтерс“

Като реакция на глобалната динамика в уредбата относно защитата на личните данни медийната компания „Томсън Ройтерс“ стартира нова онлайн платформа – Data Privacy Advisor. Целта е на едно място да бъде обединено първокласно съдържание, свързано със защитата на личните данни. Освен че своевременно информира за новостите и тенденциите в областта и отговаря на точно формулирани запитвания, платформата съдържа и подробна информация за приложимите правила за различни държави.

Материалите в посветената на България секция са подготвени от адв. Десислава Кръстева, ръководител на Отдела по защита на личните данни в „Димитров, Петров и Ко.“, CIPP/E, и адв. Гавраил Потеров, също част от екипа на Дружеството. Сътрудничеството с „Томсън Ройтерс“ по този проект не е еднократно. Експертите от „Димитров, Петров и Ко.“ ще имат грижата по актуализиране на информацията в Data Privacy Advisor, която се отнася до България.

Представяне и бърз преглед на интерфейса на услугата Data Privacy Advisor може да намерите тук: Data Privacy Advisor Overview

# 2 Как да избегнете санкции от 20 млн. евро или 4% от годишния Ви оборот – МЕРИТАС представя ръководство с препоръки към компаниите с оглед спазването на GDPR

Във връзка с регламентa за защита на личните данни – Регламент (ЕС) 2016/679 („GDPR“), който ще започне да се прилага от 25.05.2018 г., реномираната мрежа за международно правно сътрудничество МЕРИТАС предлага кратко информационно видео, в което схематично представя препоръчителни за компаниите стъпки с оглед спазването на изискванията на GDPR.

 

В процеса по подготовка се разграничават три основни етапа:

  • Одит на процесите по обработване на лични данни в организацията;
  • Анализ на установените пропуски (т.нар. Gap analysis)
  • Разработване и прилагане на вътрешни правила и процедури, съобразени с изискванията на GDPR.

Като мрежа за международно правно сътрудничество МЕРИТАС има формиранa Група по „Защита на личните данни“, която е съставена от водещи експерти в областта, излъчени от членуващите в мрежата адвокатски кантори от ЕС. Съвместната им работа позволява разрешаване на проблемите на клиентите, свързани със защитата на личните данни, както в национален, така и в международен план.

Адвокатско дружество „Димитров, Петров и Ко.“ е ексклузивен член на МЕРИТАС за България от 2005 г. и понастоящем също развива активна дейност по подготовка на клиентите си за постигане на съответствие с изискванията на GDPR.