#27 – Балансът между свободата на изразяване и защитата на данните

Балансът между правото на свобода на изразяване и информация и правото на защита на данните от известно време е предмет на обсъждане, особено в контекста на журналистическите дейности. Тъй като и двете права не са безусловни, въпросът е кое право надделява над другото?

            През ноември, 2021 г. Върховният административен съд (Решение № 11636 от 16 ноември 2021 г.) взе важно решение, което не само ще определи съдебната практика на съда занапред, но също така ще даде пример за това как медиите трябва да подхождат към обработването на личните данни.

            Делото започва от жалба, подадена от публична личност към Комисията за защита на личните данни (КЗЛД), срещу електронна медия. Медията е обявила публично информация относно физическата самоличност на лицето (имена, ЕГН с изтрити последните четири цифри, адрес), икономическата самоличност (собственост с пълен адрес, описание, цена, вноски, заем, заличаване на заема, финансово състояние, участие и членство в неправителствена организация) и социалната самоличност (професия, работно място, назначение, информация относно членството в неправителствена организация).

            Медията оправдава публикацията на тези данни с журналистически цели и се обоснова с използването на обществено достъпна информация от Агенцията по вписванията.

            В аргументацията си, Върховният административен съд подкрепя доводът, приет преди от Конституционния съд, че балансът между тези две конфликтни права налага конкретното разглеждане на всеки отделен случай. Конституционният съд отмени разпоредбата на Закона за защита на личните данни, която предвиждаше установени критерии относно допустимото обработване на лични данни за целите на журналистическо, академично, художествено или литературно изразяване. Повече информация относно решението на Конституционния съд и влиянието му можете да прочетете тук.

            Върховният административен съд подчертава, че съгласно Закона за защита на личните данни обработването на лични данни за журналистически цели е законно, когато се извършва за упражняване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот. В решението се посочва, че електронното медийно издание, действащо като администратор на данни, е нарушило принципа за свеждане на данните до минимум, в резултат на което балансът между двете права е нарушен. Съгласно аргументацията на Върховния административен съд, нуждата да се информира обществото относно фактите и да се запази темата на статията може да бъде успешно изпълнена, без да се посочва датата на раждане на общественото лице или точният номер на апартамента му и идентификаторът  му. Фактът, че тази информация е достъпна за обществото в публичен регистър не оправдава разкриването на лични данни, тъй като целите на публикациите в публичния регистър са различни от тези на публикациите в медиите. Също така, информацията в публичния регистър не е непосредствено достъпна за обществото, а трябва да се следва конкретна административна процедура. Следователно, обработването на лични данни с цел журналистическа дейност е изцяло отделно обработване със собствени цели, които трябва да само по себе си да съответства Общия регламент относно защитата на данните.

            Решенията на Конституционния съд и Върховния административен съд са в съответствие със съдебната практика на Европейския съд по правата на човека и Съда на Европейския съюз.

            Балансът между правата трябва да бъде постигнат чрез разумен и прагматичен подход, при който се взимат предвид специфичните обстоятелства на всеки случай. Тази линия на тълкуване е вероятно да бъде последвана от други съдилища и да бъде основа за създаването на постоянна съдебна практика при разрешаването на конфликти върху баланса между свободата на изразяване и правото на информация от една страна и защитата на личните данни от друга. Без съмнение, това решение ще има и важно социално и обществено влияние в контекста на журналистическото изразяване, което ще доведе до по-съобразителния подход на медиите при публикуването на лични данни.

С цялото решение на ВАС можете да се запознаете тук.

#26 – Европейският комитет за защита на данните излезе с нови насоки относно понятията за администратор и обработващ лични данни

Дали дадена организация действа като администратор на лични данни, съвместен администратор или обработващ лични данни е от съществено значение при прилагането на Общия регламент за защита на данните (ЕС) 2016/679 (Регламента), тъй като от това зависи какви задължения има въпросната организация и каква отговорност носи по отношение на обработването. По тази причина на 2 септември 2020г. Европейският комитет за защита на данните (Комитетът) публикува Насоки относно тълкуването на тези понятия, като предостави насоки и подробни разяснения чрез примери, за да установи последователно и хармонизиран прилагане в Европейския съюз (ЕС) и Европейското икономическо пространство (ЕИП).

Администратор на лични данни и обработващ лични данни

От съществено значение за разграничаването на двете понятия е кой субект определя определени „съществените“ елементи на обработването За да се счита за администратор, субектът трябва да определя целите и средствата на обработване – „защо“ и „как“ ще се обработват данните. Някои несъществени аспекти на средствата на обработване могат да бъдат оставени на преценката на обработващия данните. За „съществени“ аспекти Комитетът счита, например, видът на обработваните лични данни, продължителността на обработката на данните, категориите получатели на данни и категориите субекти на данни.

И обратно, обработващият данните е този, който може да взима решенията само за „несъществени“ аспекти (например вида на ИТ системите или други технически средства, които да се използват за обработка на данните, или подробностите за мерките за сигурност, основани на общите цели за сигурност, определени от администратора).

Комитетът дава следния пример: Компания А наема Компания Б, която да администрира изплащането на заплати на служителите на А. Компания А дава ясни инструкции за това кой да плати, какви суми, до коя дата, до коя банка, колко дълго ще се съхраняват данните, какви данни трябва да бъдат разкрити на данъчния орган и т.н. В този случай обработката на данни се извършва с цел Компания А да изплаща заплати на своите служители и Компания Б не може да използва данните за каквато и да е други цели. Начинът, по който Компания Б трябва да извърши обработването, е по същество ясно и строго дефиниран от Компания А. Компания Б може да взима решения само за несъществените аспекти на  обработването – кой софтуер да се използва, как да се разпространява достъпа до данни в рамките на собствената ѝ организация и т.н. Това не променя ролята ѝ на обработващ данни, когато тя не излиза извън обхвата на указанията, дадени от Компания А.

Комитетът дава и друг пример:

Компания A сключва договор за хостинг услуга с Компания Х за съхраняване на криптирани данни на сървърите на Х. Компания Х не определя вида на данните, които хоства, нито ги обработва по друг начин, освен като ги съхранява на своите сървъри. Тъй като съхранението е вид обработване на данни, а Компания Х съхранява въпросните лични данни от името на Компания А, то Компания Х се явява обработващ лични данни. Нужно е Компания A да предостави необходимите инструкции на Х относно това кои технически и организационни мерки за сигурност трябва да приложи и да сключи споразумение за обработване на данни съгласно член 28 от Регламента. Х трябва да съдейства на A при осигуряването на необходимите мерки за сигурност и да я уведоми в случай на нарушение на защитата на личните данни.

Съвместни администратори

Фигурата на съвместни администратори възниква,, когато субектът, определящ целите и средствата на обработване на личните данни, не е един, а са два или повече. За да изобрази практическото измерение на такъв тип обработване на данни, Комитетът дава следния пример:

Туристическа агенция, хотелска верига и авиокомпания решават да създадат съвместна интернет платформа с обща цел – предоставяне на пакетни туристически услуги. Те се договарят относно основните средства, които трябва да се използват, кои данни ще се съхраняват и как резервациите ще бъдат разпределени и потвърдени, кой може да има достъп до информацията, която се съхранява. Освен това те решават да споделят един с друг данните на своите клиенти, за да могат да извършват съвместна маркетингова дейност. В този случай туристическата агенция, авиокомпанията и хотелската верига заедно определят защо и как личните данни на клиентите им ще се обработват и следователно се явяват съвместни администратори по отношение на операциите по обработване на данни, свързани със съвместната им интернет платформа за резервации и съвместните маркетингови действия.

Въпреки това, всеки от тях запазва качеството си на самостоятелен администратор на данни по отношение на всички други свои дейности, базирани извън общата интернет платформа.

Друг пример, който Комитетът дава за разграничаване на съвместни администратори от администратор и обработващ данни, е при провеждането на клинични изпитвания:

Доставчик на здравни услуги (изследовател) и университет (спонсор) решават да стартират заедно клинично изпитване с обща цел. Те си сътрудничат за изготвянето на протокол на изследването (т.е. цел, методология / модел на изследването, данни, които трябва да бъдат събрани, предмет, критерии за изключване / включване, повторна употреба на базата данни (където е уместно) и т.н.). Те могат да се считат за съвместни администратори за това клинично изпитване, тъй като те съвместно определят целта и основните средства за обработката на данни.

Събирането на лични данни от медицинските досиета на пациента за целите на изследването трябва да се разграничи от съхраняването и използване на същите данни за целите на грижите за пациентите, за които доставчикът на здравни грижи остава самостоятелен администратор.

В случай че изследователят не участва в съставянето на протокола, а просто приема протокола, разработен самостоятелно от спонсора, то изследователят ще се счита за обработващ данните, а спонсорът – за администратор по отношение на това клинично изследване.

Комитетът дава и пример за предоставянето на лични данни от работодател към данъчните власти, в който случай няма да бъде налице съвместно обработване:

Компания събира и обработва лични данни на своите служители с цел управление на заплати, здравни осигуровки и др. Законът задължава компанията да изпраща всички данни относно заплатите на данъчните власти с оглед засилване на фискалния контрол.

В този случай, въпреки че и компанията, и данъчните власти обработват едни и същи данни относно заплатите, липсата на съвместно определени цели и средства по отношение на това обработване ще доведе до квалифицирането на двата субекта като двама отделни администратори на данни.

В анекс към Насоките Комитетът предоставя и графики с практически въпроси, които да помогнат на всеки да прецени дали обработва данни като самостоятелен администратор, съвместен администратор или обработващ.

Насоките можете да намерите тук.

#25 СЕС обяви за невалиден Щита за личните данни в отношенията между ЕС и САЩ, но призна стандартните договорни клаузи за валидни?

На 16 юли 2020 г. Съдът на Европейския съюз (СЕС) постанови решение по преюдициално запитване от съществено значение за инструментите за предаване на лични данни извън ЕС към така наречените „трети страни“, по-специално към САЩ.

Защо се стигна до тук?

Преюдициалното запитване е отправено във връзка с действията на австрийския активист г-н Максимилиан Шремс пред ирландския Комисар за защита на личните данни за спиране предаването на неговите данни като Facebook потребител от Facebook към САЩ, на този етап осъществявано главно въз основа на стандартни договорни клаузи (СК). След обявяването за невалидна на рамката Safe Harbor, прилагана по-рано за предаване на данни между ЕС и САЩ (делото Шремс I), г-н Шремс твърди, че СК не предоставят достатъчна степен на защита на личните данни, предавани от ЕС в САЩ, тъй като нормативната уредба в САЩ създава условия за незачитане договорните задължения на юридическите лица (в конкретния случай от страна на Facebook), във връзка със сключените от тях СК. Междувременно беше приета нова рамка – Щит за личните данни в отношенията между ЕС и САЩ – чиято валидност също беше поставена под въпрос с преюдициалното запитване до СЕС.

Кои са основните изводи от решението на СЕС?

  • Щитът за личните данни в отношенията между ЕС и САЩ е невалиден. Основните доводи на СЕС са, че:

(1) Местното законодателство на САЩ относно достъпа и използването от страна на публични органи (посредством различни програми за наблюдение) на лични данни за целите на националната сигурност, обществения интерес и правоприлагането, налагат ограничения по отношение на защитата личните данни, които не са равностойни и ограничени до строго необходимото, съгласно предвиденото в правото на Съюза;

(2) механизмът на Омбудсмана към Щита за личните данни не предоставя на субектите на данни способ за защита пред орган, предоставящ гаранции, които по същество са равностойни на изискваните в правото на Съюза, тъй като Омбудсманът:

(а) не може да се счита за независим, тъй като е назначен от Държавния секретар на САЩ, и е неразделна част от държавния департамент на Съединените щати, и

(б) не е оправомощен да взема обвързващи решения по отношение на дейността на разузнавателните структури на Съединените щати.

  • При предаване на лични данни съгласно СК, следва да се предостави ниво на защита, което е по същество равностойно на това, гарантирано в рамките на ЕС от ОРЗД и Хартата на основните права на ЕС. Според СЕС това означава оценка за всеки отделен случай по отношение на договорните клаузи между износителя на данни от ЕС и получателя – трета държава, всеки един достъп на публичните органи на тази трета страна до предадените данни, както и съответните аспекти на правната система на тази трета страна.
  • Решение 2010/87 относно стандартните договорни клаузи  като инструмент за предаване на лични данни остава валидно.

Според СЕС решението за създаване на СК съдържа ефективни механизми, които позволяват на практика да се гарантира спазването на изискваното от ЕС ниво на защита и да се спре или да се забрани предаването в случай на нарушение на СК или в случай, че стане невъзможно да бъдат прилагани. Тези механизми са:

  • задължението на износителя на данни и на получателя да проверяват преди всяко предаване дали нивото на защита е спазено в третата държава, и
  • изискването към получателя да информира износителя на данни за всяка невъзможност да осигури съответствие със СК, като тогава последният бива от своя страна задължен да спре предаването на данни и/или да прекрати договора с получателя.
  • Надзорните органи на държавите-членки са задължени да спрат или забранят предаването на лични данни към трета държава, когато:
  • предвид всички обстоятелства в конкретния случай, те счетат, че:

(а) СК не са или не могат да бъдат спазени в дадената трета държава и

(б) защитата на предаваните данни, изисквана съгласно законодателството на ЕС, не може да бъде гарантирана с други средства, и

  • самият износител на данни от ЕС не е спрял или прекратил съответното предаване.

Защо е важно това решение?

Решението на СЕС е с решаващо значение, тъй като отново отчита проблемите във връзка с предаването на данни между ЕС и САЩ, идентифицирани преди години с  обявяването на механизма за „Сферата на неприкосновеност на личния живот“ за невалиден. Това означава, че ЕС ще запази политиката си да изисква  осигуряване на възможно най-високи стандарти за защита на данните в отношенията си с трети държави. Решението на СЕС е категорично послание към правителството на САЩ, призоваващо към прилагане на допълнителни предпазни мерки по отношение на парадигмата защита на личните данни-национална сигурност.

За бизнеса то означава бъдеща несигурност относно това как да бъде законосъобразно уредено предаването на данни в трети държави, особено в САЩ, защото:

  • един от основните инструменти за предаване на данни в САЩ – Щита за личните данни – вече не е приложим;
  • съображенията на СЕС по отношение на несъответствието на програмите за наблюдение на САЩ със стандартите за защита на данните на ЕС поставят под въпрос дали СК – вероятно най-популярният инструмент за предаване на данни – може да бъде използван адекватно за предаване на данни към САЩ.

На последно място, вероятно е да се очаква проактивен подход от страна на надзорните органи на държавите членки по отношение на предаването на данни, особено в контекста на новопотвърдените им правомощия да спрат или забранят предаването въз основа на СК в определени случаи, когато ефективното спазване на СК в трета държава или изискваното от ЕС ниво на защита на данните не може да бъде постигнато изцяло.

Полезни връзки:

  • Цялото решение на СЕС може да намерите тук
  • Прессъобщение на СЕС може да намерите тук
  • Изявление на ирландския надзорен орган относно решението на СЕС може да намерите тук
  • Изявление на Европейския комитет по защита на данните относно решението на СЕС може да намерите тук.

#24 Защита на личните данни при договор за прехвърляне на вземания (цесия)

По силата на договора за прехвърляне на вземане (цесия) кредиторът по едно вземане (цедент) го прехвърля на едно трето лице (цесионер). Тъй като цесията налага обработването на лични данни на едно трето лице – длъжник, което не е страна по договора, това води до нуждата от внимателно изследване на правилата за защита на личните данни и тяхната приложимост към прехвърлянето на вземания. Настоящият анализ изследва ситуацията, при която длъжникът е физическо лице. Изводите по-долу могат да се приложат по аналогия и към цесии с длъжници – юридически лица, като се отчетат спецификите на отношенията между юридически лица (т.е. че същите обменят данни за свои законни представители, пълномощници и др. под.).

Нужно ли е съгласие на длъжника за прехвърляне на вземането му?

Съгласието при договора за цесия може да се разглежда в две направления:

  • Съгласие за самата сделка – длъжникът не е страна по договора за цесия и неговото съгласие не е необходимо, за да породи сделката действие.
  • Съгласие като основание за обработване на личните данни на длъжника – съгласието може да се разглежда и като едно от правните основания за обработване на лични данни по Регламент 2016/679 (ОРЗД). Тъй като длъжникът трябва да може да прецени дали, за какви цели и за какъв срок да даде съгласието си, то представлява неподходящо правно основание за обработването на лични данни при договори за цесия. Това е така, защото ако обработването се базира на съгласие, това би дало възможност на длъжника да  блокира кредитора да се разпореди с вземането си, като осуети възможността му да обработва съдържащите се в документите за дълга или свързани с него лични данни – кой е длъжникът и какви са данните му за контакт, от къде произтича задължението му, в какъв размер е то и какъв е падежът му и т.н.

На какво основание се базира обработването на лични данни при договора за цесия?

Страните по договора за цесия могат да базират обработването на личните данни на длъжника на други правни основания, които са равнопоставени и алтернативни на съгласието, а именно:

  • За цедента:
    • Спазване на законово задължение – да предаде документите за дълга на цесионера, т.е. да извърши и свързаното с това обработване на съдържащите се в тях лични данни;
    • Наличие на легитимен (законен) интерес – да се разпореди с вземането си както намери за добре.
  • За цесионера освен легитимния интерес да събере вземането си възниква и допълнително правно основание за обработването на лични данни –изпълнението на договор, по който субектът на данните е страна (това е договорът, на база на който е възникнало вземането). Това основание обаче може да бъде релевирано, при условие че цесията породи действие спрямо длъжника чрез съобщаване по реда на чл. 99, ал. 3 и 4 ЗЗД.

Според КЗЛД, юридическият факт, който прави допустимо обработването на лични данни, е прехвърлянето на вземането, а не уведомлението на длъжника. Това означава, че дори преди това уведомяване цесионерът може да обработва законосъобразно лични данни на длъжника.

Други изисквания на защитата на личните данни при цесията

Важно изискване, което трябва да се спази при цесията, е уведомяването на длъжника за обработването на неговите лични данни, тъй като администраторът на лични данни-цесионер получава личните данни не пряко от субекта на данните, а от друг източник – цедента. На субекта на данни трябва да се предостави информацията по чл. 14 ОРЗД, с цел осигуряване на прозрачно обработване на данните, а именно:

  1. данните, които идентифицират администратора и координатите за връзка с него;
  2. координатите за връзка с длъжностното лице по защита на данните, ако такова е назначено;
  3. целите и правното основание за обработването;
  4. съответните категории лични данни;
  5. получателите на личните данни;
  6. срокът, за който ще се съхраняват личните данни;
  7. когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и допълнителна информация, свързана с този трансфер на данни;
  8. законните интереси, преследвани от администратора или от трета страна, когато обработването се извършва на това основание;
  9. информация за правата на субекта на данни във връзка с обработването;
  10. източникът на личните данни;
  11. допълнителна информация в случай, че данните се използват за автоматизирано вземане на решения, включително профилиране.

ОРЗД изисква тази информация да се предостави от администратора в следните срокове:

  • в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;
  • ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данни;
  • ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

Не са малко случаите в практиката, когато цесионери са санкционирани именно за неспазване на горното изискване за информиране на субекта. По принцип ОРЗД допуска изключения от горното задължение за информиране, ако получаването или разкриването на данните е изрично разрешено от правото на ЕС или правото на държавата членка, в което се предвиждат подходящи мерки за защита на легитимните интереси на субекта на данните. Не е ясно как КЗЛД ще тълкува това правило в светлината на договора за цесия (при който разкриването и получаването на данни е изрично уредено в българското право). Имайки предвид горната санкционна практика, по-сигурният подход за цесионерите ще е да извършват нарочно уведомяване на субектите.

Допуска се информирането на субекта на данни за обработването да се извърши заедно с уведомяването на длъжника за цесиятаот цесионера. Това е изрично припознато и в съдебната практика.

Може ли изтеклата давност на прехвърленото вземане да засегне законосъобразността на обработването на лични данни?

Дали вземането е погасено по давност или не, надлежно ли е упражнено възражението на длъжника за изтекла погасителна давност и т.н. са въпроси от  компетентността на гражданския съд и не влияят на законосъобразността на обработването на лични данни.

Статия на д-р Мартин Захариев по темата можете да намерите на адрес: https://www.tita.bg/free/commercial-law/660

#23 Какво да съблюдавате, когато наблюдавате – GDPR изисквания към видеонаблюдението

Ако се притеснявате от кражби, грабежи или вандализъм на територията на Ваш имот или търговски обект, вероятно вече сте прибегнали до използването на видеонаблюдение или сте го обмисляли. Технически поставянето на камери става все по-лесно и достъпно с напредването на технологиите, но правните предизвикателства, които възникват, не намаляват. Какви изисквания трябва да имате предвид при поставянето на видеокамери? Какви ограничения се поставят от Регламент 2016/679 (GDPR) по отношение на обработването на лични данни? Какви задължения ще възникнат за Вас като администратори на лични данни с инсталирането на устройствата?

Практически насоки ни дава Европейският комитет по защита на данните (EDPB/ Комитета), най-ключовите от които са обобщени по-долу:

Правно основание на обработването

За да е законно обработването на лични данни (каквото е и видеонаблюдението), трябва да е налице поне едно от правните  основания по чл. 6 GDPR. Най-често като основание за обработване на данни чрез видеонаблюдение се използва легитимният интерес на администратора  (защита срещу кражби, вандализъм и др.). Небходимо е:

  • Да е налице реален риск или опасна ситуация, които могат да се докажат – чрез статистика на престъпността в района, например;
  • Да няма други подходящи средства, чрез които интересът може да се защити, без да се инсталира видеонаблюдение;
  • Да се вземат предвид основателните очаквания на субектите – например, неприемливо е наблюдение в санитарни помещения, в стаи за отдих и др. под.;
  • Наблюдението да е ограничено на територията на защитавания обект (само ако това не е достатъчно ефективно, може обсегът да се разшири).

Допустимо ли е видеозаписите да се предават на трета страна?

Предаването на трета страна представлява отделен вид обработване по смисъла на Регламента и като такова трябва да има собствено правно основание – например, ако националното законодателство поставя такова задължение при определени обстоятелства (за подпомагане на разследване, по искане па полицейски орган или прокуратура).

Обработване на специални категории лични данни

Ако се налага обработването на специални категории данни, чието обработване е по правило забранено, то следва да е налице поне едно от условията, изключващи забраната за обработване на такива данни (чл. 9 § 2 от GDPR). Ако чрез обработването се цели запазването на жизненоважните интереси на субекта, а той е физически или юридически неспособен да даде съгласието си, това би дало основание за обработването на такива данни (чл. 9 § 2, б. „в“). Такъв пример е видеонаблюдение на здравословното състояние на пациент, който е докаран в лечебното заведение в безсъзнание. Ако наблюдението е започнало, когато той не е бил способен да даде съгласието си, това не би било в противоречие с изискванията на GDPR. Комитетът коментира още изключението по отношение на данни, които явно са направени обществено достояние от субекта. Според Комитета, навлизането в район под видеонаблюдение не позволява на администратора да обработва специални категории данни на основание, че субектът ги е направил явно обществено достояние.

Права на субекта на данни

Важно е да се отбележи, че субектите на данни се ползват от всички права, които GDPR им дава – право на информация и достъп до обработваните данни, правото да бъдат коригирани данните, правото „да бъдеш забравен“ и т.н.:

  • Право на субекта на достъп до данните, събирани за него. Ако се използва наблюдение в реално време, без да има съхранение на данни,то при поискване на информация от страна на субекта на данни, достатъчно е да се потвърди, че обработването е преустановено и няма съхранени данни за субекта.

Комитетът обръща внимание и на случаите, при които на субекта на данни не би могло да бъде осигурен достъп до данните, събирани за него:

  • Разкриването им би довело до неблагоприятно засягане на правата на трети лица (например предоставянето на видеозаписи на един субект на данни би могло неблагоприятно да засегне правата и свободите на други лица, разпознаваеми на записа;  в такива случаи Бордът съветва да не бъде ограничавано правото на достъп на субекта на данни, а вместо това да се използват средства за обработка на снимки, които скриват идентичността на трети лица).
  • Невъзможно е субектът да бъде идентифициран – например, ако през района, който се наблюдава, преминават множество хора на ден.
  • Отправеното искане е явно неоснователно или прекомерно (поради повтаряемост, например);
  • „Правото да бъдеш забравен“данните за лице, събрани при обработването, трябва да бъдат заличени ако вече не са необходими за целите, за които са били обработвани. Освен това:
  • Ако има отправено искане от страна на субекта на данни. Ако данните са били предоставени на трети страни, те също следва да бъдат осведомени за отправеното искане;
  • Ако основанието за обработване отпадне:
    • Когато субектът на данни оттегли съгласието си за обработване;
    • Когато интересите на субекта надделяват над легитимния интерес на администратора;
    • когато субектът на данни се противопостави на обработването на данни за маркетинг цели.

Освен задължението на администратора да изтрие данните при поискване, не трябва да се забравя и принципът на свеждане на данните до минимум, т.е. обработваните данни да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

  • Право на възражениесубектът на данни има право да възрази срещу обработването на данни (преди навлизане в наблюдаваната зона, по време на пребиваването си в нея или след напускането ѝ). Администраторът трябва да докаже, че неговият законен интерес или защитаваният обществен интерес надделяват над правата и интересите на субекта (например, обработването е необходимо за осъществяването на вътрешно разследване).

Прозрачност на обработването и информиране при видеонаблюдение.

Едни от най-полезните насоки, които дава Комитетът, са свързани с информирането на субектите на данни.  Добра практика, която отговаря на стандартите на Регламента, е използването на т.нар. многопластов подход за представяне на информацията:

  1. Първи пласт: информационна табела, която информира по ясен и недвусмислен начин за извършваното видеонаблюдение (не е необходимо да се посочва точното местоположение на камерите). Необходимо съдържание:
    • Самоличност на администратора или обработващия данни (както и на представители и контакти на Длъжностно лице по защита на данните, ако има такова);
    • Цели и основания на обработването;
    • Права на субектите на данни;
    • Най-сериозни въздействия на обработването;
    • Всякаква информация, която може да е неочаквана за субекта на данни.

Вторият слой информация може да бъде представен под формата на информационни брошури, поставени на лесно достъпно и видимо място.

Период на съхранение и технически изисквания  

Колкото по-дълъг е периодът на съхранение (особено над 72 часа), толкова по-сериозни доказателства трябва да има, за да се обоснове съхранението. Съхранението обикновено се аргументира с евентуалната нужда да бъдат използвани като доказателство. За тази цел обаче обикновено е достатъчен период от 24 часа.

При избор на технически средства за наблюдение администраторът задължително трябва да съобрази всички принципи на обработване на данни, заложени в Регламента. Трябва да бъде осигурена както подходяща техническа, така и физическа защита на компонентите на системата за видеонаблюдение. Самият достъп до системата и обработваните данни следва да бъде максимално ограничен до само оторизирани от администратора лица. 

Оценка на въздействието

В последната част на Насоките Комитетът припомня, че ако обработването се осъществява при систематично мащабно наблюдение на публично достъпна зона или когато се обработват специални категории данни, Регламентът поставя изискване да се извърши оценка на въздействието на защитата на данните (ОВЗД). Насоките относно ОВЗД и относно това кога съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 са достъпни тук. Обобщена информация по този въпрос можете да откриете в други публикации в нашия блог (тук и тук).

#22 Конституционният съд обяви разпоредбата на ЗЗЛД за обработване на данни за журналистически цели за противоконституционна

С решение от 15 ноември 2019г. Конституционният съд (КС) обяви за противоконституционна разпоредбата,  уреждаща обработването на лични данни за журналистически цели и за целите на академичното, художественото или литературното изразяване (чл. 25з от Закона за защита на личните данни – ЗЗЛД). Текстът беше приет в рамките на възможността, предоставена от Регламент 2016/679 (GDPR), държавите членки да съгласуват правото на защита на личните данни с правото на свобода на изразяване и информация.

С решението на КС се сложи край на турбулентната история на разпоредбата. Първоначално тя беше обект на широка критика от страна на медии и журналистически организации, след това Президентът наложи вето на измененията в закона заради нея, а през март 2019 КС беше сезиран от 55 народни представители с искане за обявяването й за противоконституционна.

Основна причина за полемиките бяха въведените критерии за преценка на баланса между свободата на изразяване и правото на информация и правото на защита на личните данни, в които искащите обявяването на разпоредбата за противоконституционна виждаха потенциална заплаха от законова цензура на свободата на словото.

В решението си КС се позовава на европейското законодателство, международните актове в областта на правата на човека и практиката на Съда на Европейския съюз (СЕС) и Европейския съд по правата на човека (ЕСПЧ). КС подчертава многократно, че се води от уредените и възприети на европейско ниво принципи за постигане на „баланс на интересите“ и за пропорционалност.

КС намира разпоредбата на ЗЗЛД за противоконституционна по следните основни съображения:

  •  КС подчертава, че балансирането на различните права, в случая защитата на личните данни и правото на свобода на изразяване и информация, трябва да бъде осъществено чрез рационален и прагматичен подход, при който да бъдат отчетени конкретните обстоятелства за всеки отделен случай; следователно въвеждането на критерии в общо правило на законово ниво създава риск за правилното балансиране на интересите и противоречи на практиката на СЕС и ЕСПЧ да се прави конкретна преценка;
  • Според КС разпоредбата не отговаря на изискванията за разбираемост, прецизност, недвусмисленост и яснота, тъй като не указва ясно на адресатите си какво е недопустимо. КС критикува в частност няколко от критериите, които според него правят невъзможно медиите/журналистите да съобразят поведението си със закона и да прилагат т.нар. „журналистическо изключение“, позволяващо им да обработват лични данни при специални условия. В решението на КС се съдържа още, че неяснотата на критериите дава на органите, прилагащи закона, непредвидима власт.
  • Според КС разпоредбата противоречи на духа и разума на GDPR, тъй като  Регламентът цели да позволи на държавите членки да въведат изключения и дерогации от общите правила, които да балансират защитата на личните данни и правото на свобода на изразяване и информация, а не да им позволи да приемат правила, които са „в тежест на медиите/журналистите“. КС изрично подчертава, че подобно тълкуване на GDPR от българския законодател „прави изключително трудно по-нататък да се постави граница на държавната намеса по отношение свободата на изразяване на медиите/ журналистите“, както и че разпоредбата би нарушила баланса между основните права в ущърб на правото на изразяване и информация;
  • Не на последно място, КС счита разпоредбата за непропорционална на целта, която преследва, тъй като ограничава прекомерно правото на свобода на изразяване и информация; КС приема, че разпоредбата препятства постигането на целите на журналистическата дейност и функцията на средствата за масова информация, тъй като може да доведе до автоцензура, продиктувана от опит за съобразяване с неясните критерии. В допълнение КС изтъква, че мярката не е необходима, защото има значително по-малко рестриктивна и утвърдена алтернатива – да се засили самоконтрола в медийната индустрия, включително и с приемане на кодекси за поведение, изработвани съвместно от медийните организации и КЗЛД, каквато е практиката в демократичните държави и каквато възможност изрично се предвижда в GDPR.

В заключение, КС обяви разпоредбата на 25з, ал. 2 ЗЗЛД за противоконституционна поради непредвидимост, правна несигурност и ограничаване на правото на свобода на изразяване и информация непропорционално на преследваната цел в контекста на журналистическото изразяване.

Предстои да видим дали законодателят ще се опита да формулира ново законово правило, с което да потърси баланса между правото на защита на личните данни и правото на свобода на изразяване и информация, или подобно на препоръките в решението на КС – подобен баланс ще се търси по пътя на саморегулацията на медийната индустрия – напр. чрез кодекси за поведение. Пълния текст на решението можете да прочете тук.   

# 21 Сайтове с Фейсбук бутон „харесва ми“ – последното решение на Съда на Европейския съюз хвърля светлина върху основни въпроси за прилагането на ОРЗД

Когато оператор на уебсайт интегрира приставка на трето лице като Фейсбук бутона „харесва ми“, той предизвиква автоматичното събиране и предаване на лични данни на потребители на сайта към лицето, предоставящо приставката. Лична информация като IP адрес и потребителско поведение в даден сайт се изпраща от браузъра, независимо дали потребителят е натиснал бутона или дали има профил в сайта на третото лице. Тази практика предизвика съдебен спор в Германия след като Verbraucherzentrale NRW, обществено сдружение за защита на потребителските интереси, заведе съдебно производство срещу онлайн търговеца Fashion ID, който използва такава приставка и изпраща лични данни на своите потребители към Фейсбук Ирландия без да ги информира или да поиска съгласието им. След съдебно решение на първа инстанция в Дюселдорф, осъждащо Fashion ID,  по-висшестоящият регионален съд Дюселдорф отнася делото до Съда на Европейския съюз с въпроси върху тълкуването на няколко разпоредби на предишната Директива за защита на данните от 1995 година.

Въпреки че Директивата беше заменена от Общия регламент за защита на данните (ОРЗД) миналата година, новото съдебно решение на Съда на ЕС може да доведе до по-добро разбиране на действащото европейско право за защита на данните.

Допустимост на иска

Съдът реши, че сдружения с нестопанска цел за защита на интересите на потребителите имат правомощие да предприемат правни действия срещу евентуален нарушител на сигурността на лични данни, както по смисъла на предишната Директива, така и според ОРЗД.

Обработване на данни

Съдът отреди, че Fashion ID се счита за съвместен администратор на данни по смисъла на ОРЗД, съвместно с Фейсбук Ирландия по отношение на събирането и предаването на лични данни, протичащо на неговия сайт. Онлайн търговецът не е отговорен обаче за обработването на данни от Фейсбук на по-късен етап, след като информацията вече е предадена.

Следователно операторите на уебсайтове са задължени да информират изчерпателно своите потребители за процесите, свързани с личните им данни. Освен това е необходимо законно основание за обработването на данни. Съдът предоставя интерпретация на две от условията на Чл.6 ОРЗД.

Операторът на уебсайт трябва да получи съгласието на потребителя по отношение на процесите, в които той действа като съвместен администратор, а именно събирането и предаването на лични данни чрез приставките на страницата му.

Що се отнася до наличието на легитимен интерес, то може да е основание само ако обработването на данни е необходимо за легитимните интереси и на двамата съвместни администратори.

Приставките на социалните мрежи носят множество ползи за операторите на уебсайтове, като повече публичност, присъствие в социалните мрежи, наблюдения върху популярността на съдържанието. За да ги използва и да избегне евентуална отговорност, операторът на уебсайта трябва да информира потребителите по всички точки в списъка на чл. 13 ОРЗД, като начините, целите и основанието на обработването на данни, както и крайните получатели на информацията. В повечето случаи това са Фейсбук и Гугъл като най-популярните доставчици на подобни приставки.

Възможно решение за противоречия със законодателството за защита на личните данни е интегрирането на приставките по начин, който предотвратява автоматичното предаване на данни. В случая с Фейсбук технологичният гигант предоставя бутона „харесва ми” под формата на програмен код. Вместо да се копира без промени, бутонът може да бъде поставен като линк към изскачащ прозорец – така наречения „Two-click method“ („метод на двата клика“). По този начин приставката и обработването на данни се активират не при отваряне на уебсайта, а едва след като потребителят натисне бутона и даде съгласието си за обработване на данните му. Този процес трябва да бъде описан в политиката за поверителност на уебсайта.

Източници:

Дело C-40/17, СЕС, Втори състав, 29 Юли 2019, достъпно тук: http://curia.europa.eu/juris/document/document.jsf;jsessionid=C928F3FB3CCCF093027557F27F1CCD39?text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8508664

# 20 Производства пред Комисията за защита на личните данни

На 30.07.2019 беше публикуван Правилникът за дейността на Комисията за защита на личните данни, в който подробно са уредени устройството на Комисията, организацията на работата ѝ, производствата, които се извършват пред нея, както и дейностите по консултиране и обучение, с които тя съдейства на администраторите на лични данни.
Правилникът изрежда всички производства, които се развиват пред Комисията: разглеждане на жалби за нарушения на правaта на физически лица; прилагане на предвидените от Регламент 679/2016 (Регламент/GDPR) правомощия на надзорните органи; изразяване на становища по въпроси от областта на защитата на личните данни; приемане на стандартни договорни клаузи по Регламента; разглеждане на производства по предоставяне на данни на трети лица или международни организации; провеждане на предварителни консултации; разглеждане на уведомления за нарушения на сигурността на личните данни; одобряване на кодекси за поведение; акредитация и отнемане на акредитация на органи за наблюдение на одобрени кодекси за поведение; акредитация и отнемане на акредитация на сертифициращи органи. Тя може да провежда и други производства, когато това е предвидено в закон. В статията ще разгледаме основните производства и тези, които са релевантни за най-широк кръг от субекти.

Жалби и сигнали за нарушени права
Чрез жалба или сигнал до Комисията се съобщава за нарушение на права по Регламента и по ЗЗЛД. Разликата между двете е в лицето, чиито права са нарушени – жалба се подава, когато са нарушени права на искателя, а сигнал, когато са нарушени права на лице, различно от искателя. Исканията не могат да бъдат анонимни или неподписани и трябва да посочват точно лицето, срещу което са подадени, датата и естеството на нарушението. Комисията дава 3-дневен срок за отстраняване на нередовности. Редовността, допустимостта и основателността се преценяват от дирекция „Правни производства и надзор“. Заседанията, в които жалбата или сигналът се разглеждат по същество, са открити, и за тях се уведомяват страните и заинтересованите лица. Производството може да приключи с мерки по GDPR или ЗЗЛД, както и с административно-наказателни мерки.

Уведомление за нарушения на сигурността на личните данни
Това уведомление се подава от администратор, като необходимото съдържание е изложено в чл. 67, ал.3 ЗЗЛД и чл. 33, пар. 3 от GDPR. При постъпването му Комисията извършва проверка в двуседмичен срок, при която изяснява въпросите за това, в какво качество е КЗЛД (дали е водещ орган или подпомага работата на органи по защита на личните данни от други държави членки), естеството на нарушението, броя засегнати субекти на данни, броя засегнати записи, евентуалните последици и предприетите мерки, както и за нивото на риск от нарушението. Въз основа на анализа, информацията и нивото на риск, Комисията може да приеме уведомлението за сведение, да направи проверка по документи или проверка на място. Комисията има право да направи проверка на място при всяко ниво на риск.

Предварителна консултация
Регламентът задължава администраторите да се обърнат към това производство, когато оценката на въздействието върху защитата на данните покаже, че даденото обработване ще породи висок риск за правата и свободите на физическите лица. На Комисията се предоставя цялата информация, относима към обработването, и тя дава писмено становище. Регламентът предвижда и възможност за държавите членки да направят това производство задължително за някои операции по обработване, свързани с обществен интерес, социална закрила и обществено здраве. В Правилника на КЗЛД е уредено, че в някои случаи Комисията може да изисква от администраторите да се консултират и да търсят предварителни разрешения от нея във връзка с обработването на данни по повод на дейности в обществен интерес и социална закрила. Тази предварителна консултация има за цел да осигури предварителен контрол, но също така и да помогне на администраторите да предприемат необходимите мерки за сигурността на правата на субектите на лични данни. В зависимост от резултатите от консултацията, Комисията може да упражни всяко от правомощията си по Регламента (например да наложи ограничения и забрани на обработването на лични данни, да наложи глоби и имуществени санкции или да отправи предупреждения до администратора или обработващия) или да се произнесе с разрешение за планираното обработване.

Одобряване на Кодекси за поведение
За всички предприятия, сдружения, представителни структури и категории администратори на лични данни е предвидена възможност за приемане на кодекси за поведение. Тяхната цел е да улесняват прилагането на правилата на Регламента и да съдържат гаранции за правата и свободите на физическите лица, чиито данни ще бъдат обработвани. Процедурата започва отново с искане, което трябва да съдържа индивидуализация на предлагащия кодекса за поведение, уникално наименование и категориите администратори, за които ще се прилага. Проверката, на която подлежи проекта за кодекс, е дали той съответства на Регламента, дали улеснява прилагането му от администраторите и дали гарантира спазването на правата на субектите на данни. Неодобреният проект се връща на подателя за допълване или внасяне на поправки, а одобреният се изпраща на Европейския комитет по защита на данните. Тази процедура се прилага също и за изменения и допълвания на вече съществуващи Кодекси за поведение.

Обучения
Дейността, в която могат да се включат най-широк кръг субекти, е тази по обученията в областта на защита на личните данни. Те могат да бъдат по подадено искане или по инициатива на Комисията. Искането трябва да съдържа имена, адрес и телефон на подателя, приложимите документи и информация и да бъде подписано и датирано. За дейности от висок обществен интерес или значимост, както и такива, които поради естеството си изискват специално внимание, Комисията организира обучения за администратори и обработващи лични данни по своя инициатива. Според Правилника, в обученията могат да се включват субекти на данни, сертифициращи органи, администратори, обработващи лични данни и длъжностни лица по защита на данните. Процедурата включва изпит преди обучението за установяване на първоначалните знания, както и изпит в неговия край. Участвалите получават сертификат, който удостоверява успешното завършване на обучението.

#19 Българската КЗЛД със становище относно формата на упълномощаване при упражняване на права на субект на данни пред лечебните заведения

Ключово за всеки администратор на лични данни становище на българската Комисията за защита на личните данни (Комисията) бе публикувано наскоро на техния сайт относно формата на упълномощаване при упражняване на права на субект на данни пред лечебните заведения.

Комисията отговори на постъпило запитване от страна на лечебно заведение, във връзка с достъпа на пациентите до техните лични данни, както и упражняването на правата им на субекти на данни, чрез пълномощник. Въпросът е възникнал при подготовката на вътрешните правила за защита на личните данни, които имат за цел да синхронизират дейностите по обработване на лечебното заведение с изискванията на Регламент 2016/679. По поставения въпрос няма изрична уредба нито в европейското, нито в националното законодателство. А именно, необходима ли е нотариална заверка, когато упълномощаваме някого да упражнява нашите права по чл. 15-22 от Регламента?

В правния анализ на въпроса, Комисията разглежда условията за упражняване на правата на субектите на данни, уредени в чл. 12 от Регламента. За администратора, удостоверяването на самоличността на субекта на данни стои на първо място. По какъв точно начин, зависи от конкретиката на всеки случай, но по правило, трябва да се използват наличните вече данни за лицето. При съмнения, той може да поиска допълнителна информация, а ако тя не бъде предоставена или е неубедителна, той може да откаже да предприеме действия по искането, като носи доказателствена тежест за обстоятелството, че субектът не може да бъде идентифициран по безспорен начин. От страна на правоимащите, процедурата, по която трябва да подават своите искания за упражняване на правата на лични данни е уредена в Закона за защита на личните данни – писмено заявление до администратора, в случай че той не е определил друг начин, както и по електронен път или чрез потребителския интерфейс. В закона е посочено, че заявлението, което е подадено от упълномощено лице, трябва да бъде придружено от съответното пълномощно. По-нататък, Комисията се обръща към Закона за здравето и уредената там възможност на пациентите да упълномощят писмено друго лице да се запознава с медицинските им документи и да прави копия от тях. Стъпвайки и на общата уредба на института на упълномощаването в Закона за задълженията и договорите, който предвижда утежнена форма на пълномощното, само когато то е за сключване на сделки с утежнена форма, както и липсата на въведени изисквания в специалното законодателство, относимо по казуса, Комисията стига до своя окончателен отговор на поставеното запитване, а именно, че лечебните заведения, в качеството им на администратори на лични данни, нямат правно основание да изискват нотариална заверка на подписа при упълномощаване на друго лице да упражни правата на субекта на данни по чл. 15-22 от Регламента.

Макар и в контекста на упражняване на права на субектите на данни пред конкретен тип администратори – лечебните заведения, направените от Комисията изводи биха могли да бъдат приложени във всички случаи на упражняване тези права по Регламента. При липса на конкретно изискване в специална законова уредба, „обикновеното“ писмено пълномощно е достатъчно за упражняването на правата на субекти на данни чрез пълномощник.

# 18 Българската КЗЛД със становище относно фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания

Ключово за фармацевтичния сектор становище на българската Комисията за защита на личните данни (КЗЛД/Комисията) бе публикувано на 10.06.2019 г. на сайта на Комисията относно определяне на фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания.

Съгласно становището при провеждането на клинични изпитвания лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл. 26 от Регламент (ЕС) 2016/679.

Становището бе публикувано след разгледано от КЗЛД запитване от дружество, което има качеството на „възложител” по смисъла на § 1, т. 8 от Допълнителните разпоредби на Закона за лекарствените продукти в хуманната медицина (ЗЛПХМ) т.е. дружество, което отговаря за започването, управлението и/или финансирането на клиничното изпитване и участва в инициираните от него клинични изпитвания. Запитващото дружество посочва, че при провеждането на клинични изпитвания то осъществява също така взаимоотношения и с другите лица-участници в клиничните изпитвания, а именно с главния изследовател и изследователите, както и членовете на екипа на изследователя – колаборатори, наблюдатели и одитори на изпитването.

За да определи ролите на страните, КЗЛД изследва фигурите на „администратор” и „обработващ” през призмата на приложимото към клиничните изпитвания национално и европейско законодателство. КЗЛД разяснява още, че Регламент (ЕС) 536/2014 на Европейския парламент и на Съвета относно клиничните изпитвания на лекарствени продукти за хуманна употреба и ЗЛПХМ изчерпателно определят функциите и задачите на всички субекти, участващи в клинично изпитване. Според Комисията дейностите по обработване на лични данни във връзка с извършване на клинични изпитвания от страна на лечебното заведение не би могла да се извърши „от името” на възложителя на изпитването, поради факта, че същите не могат да бъдат извършени от него, а само от оправомощена по съответния ред организация, имаща качеството „лечебно заведение”. Това е поредно потвърждение на отдавна възприета в теорията и практиката (вкл. тази на КЗЛД) теза, че не всеки договор за възлагане автоматично води до възникване на отношения от типа администратор-обработващ и че за адекватното определяне на ролите и отговорностите на страните при обработването на лични данни трябва да се вземе предвид естеството на правата и задълженията на страните по договорната връзка.

Допълнителен довод според КЗЛД за такова квалифициране на ролите на страните е Становище 1/2010 на Работната група по чл. 29 (сега Европейски комитет по защита на данните) относно понятията „администратор“ и „обработващ”, където е посочено изрично, че при провеждане на клинични изпитвания, участниците обработват лични данни в качеството на съвместни администратори (стр. 30 на Становището).

Основната последица от това становище за фармацевтичните компании и лечебните заведения, провеждащи клинични изпитвания, е че същите трябва да сключат помежду си договор, с който да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си в областта на защитата на личните данни. По-специално те следва да уредят въпроса за упражняването на правата на субектите на данни и съответните си задължения за предоставяне на информацията по чл. 13 и 14 от GDPR на субектите. Наред с това, всеки субект на данни-участник в клиничното изпитване има възможност да упражнява на своите права по отношение на всеки и срещу всеки от администраторите (чл. 26, пар. 3 от GDPR).