Практически въпроси за защита на личните данни
Съгласие за обработване на лични данни
Съгласието за обработване на лични данни е едно от алтернативните основания за законосъобразно обработване на лични данни. В случай, че администраторът реши да обработва данните на това основание, той следва да е в състояние да докаже, че съгласието е свободно изразено, конкретно, информирано, недвусмислено и дадено с активно действие (чрез изрично изявление или явно потвърждаващо действие, вкл. онлайн). Администраторът е длъжен да докаже легитимността на съгласието на субекта на данни.
Правото да бъдеш забравен
Правото на изтриване (или „правото да бъдеш забравен“) дава възможност, когато субектът на данни не желае данните му да бъдат обработвани и не съществуват законови основания за тяхното съхранение, да поиска те да бъдат заличени при следните основания: личните данни повече не са необходими за целите, за които са били събрани и обработвани; субектът на данните оттегля своето съгласие; субектът на данни възразява срещу обработването им; личните данни са били обработвани незаконосъобразно и др.
Профилиране
Профилирането е автоматизирано обработване на лични данни, с цел оценяване на определени лични аспекти, свързани с дадено лице, вкл. за анализиране или прогнозиране на поведението му, икономическото му състояние, здраве и др. В голямата си част то се извършва в онлайн среда. И се използва за целите на дигиталния маркетинг, набиране на персонал и др. Физическото лице – обект на профилиране, следва да бъде информирано за извършването му и за последствията от него. То има право да възрази срещу профилирането по всяко време. Профилирането поражда голям риск за правата и свободите на физическите лица. За тази цел администраторът следва да извърши оценка на въздействието върху защитата на данните, когато те се обработват с цел профилиране.
Длъжностно лице по защита на данните
Длъжностното лице по защита на данните трябва да разполага с професионални качества в областта на защита на личните данни. Негова основна задача е да информира и съветва администратора по всички въпроси относно обработването и защитата на личните данни. То не определя целите и средствата за обработване на данни и съответно администраторът не може да прехвърли своята отговорността за неспазване на изискванията на Общия регламент върху него. В същото време длъжностното лице следва да е независимо. Задължение да определят Длъжностно лице имат някои администратори на лични данни (физически и юридически лица), напр. публичен орган или орган на местно самоуправление.
Отчетност
Отчетността е основен инструмент за доказване изпълнението на изискванията на Общия регламент за защита на личните данни. Отчетност на практика е способността във всеки един момент администраторът на лични данни да удостовери и да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно, за конкретни професионални цели, с подходящо ниво на сигурност и защита. Основни средства за спазване на принципа на отчетност са: поддържане на регистри по дейностите на обработване; определяне на длъжностно лице по защита на данните и др.
Оценка на въздействието
Оценката на въздействието е важен инструмент за отчетност, тъй като помага на администраторите не само да спазват изискванията на общия регламент за защита на личните данни, но и да демонстрират, че са взети подходящи мерки, за да се гарантира спазването му. Оценката е процес, предназначен: да опише обработването на лични данни; да оцени необходимостта и пропорционалността на обработката и да спомогне за избора на най-подходящите мерки за защита. Тя се изисква само когато обработването на лични данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, като например: автоматично вземане на решение, вкл. профилиране; мащабно обработване на данни, разкриващи расов или етнически произход, политически възгледи и др.
Защита на личните данни на етапа на проектирането и по подразбиране
Защитата на личните данни на етапа на проектирането и по подразбиране са нови задължения за администраторите на лични данни, въведени за първи път с Общия регламент за защита на данните. Защитата на личните данни на етапа на проектирането се изразява в задължението на администраторите да въведат подходящи технически и организационни мерки преди започването на обработката на личните данни, като осигурят тяхното прилагане през целия жизнен цикъл на данните. Това задължение е от съществено значение в контекста на новите технологии и предоставянето на услуги на информационното общество. Защита на личните данни по подразбиране изисква администраторите да прилагат механизми, които по подразбиране гарантират изпълнението на следните изисквания: само минималното количество лични данни и операции по обработване, които са абсолютно необходими за постигането на всяка специфична цел, биват обработвани; данните са съхранявани за минималния срок, необходим за постигане на целите на обработване и след това заличени при спазване на съответните правила и процедури; всеки достъп, предаване или споделяне на данни е допустим, само при наличие на валидно правно основание за това.
Административно-наказателна отговорност по Общия регламент за защита на личните данни
Един от основните механизми за гарантиране спазването на високите стандарти на регламента от всички администратори, които са задължени да го прилагат, е възможността надзорните органи по защита на личните данни да налагат значителни по размер административни наказания – до 20 млн. евро или 4 % от общия годишен световен оборот, която от двете суми е по-голяма. За осигуряване на ефективност, пропорционалност и възпиращ ефект регламентът въвежда следните критерии при определяне на вида административно наказание и неговия размер. Обстоятелствата, които се оценяват са следните:
а/ естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
б/ дали нарушението е извършено умишлено или по небрежност;
в/ действията, предприети от администратора или обработващия личните данни за смекчаване на последиците от вредите, претърпени от субектите на данни;
г/ степента на отговорност на администратора или обработващия лични данни;
д/евентуални свързани предишни нарушения, извършени от администратора;
е/ степента на сътрудничество с КЗЛД с цел отстраняване на нарушението;
ж/ категориите лични данни, засегнати от нарушението;
з/ начина, по който нарушението е станало известно на КСЛД;
и/ когато на засегнатия администратор преди са налагани мерки, във връзка със същия предмет на обработването, дали посочените мерки са спазени;
й/придържането към одобрени кодекси на поведение или одобрени механизми за сертифициране; и
к/ всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.
При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за администратор-физическо лице, вместо глоба може да бъде приложена друга корективна мярка.
Основания за законосъобразност на обработването на лични данни
Обработването на лични данни от администратори е законосъобразно, ако е налице някое от следните алтернативни и равнопоставени основания: съгласие, изпълнение на договор, законово задължение, жизненоважни интереси, обществен интерес/ официални правомощия, легитимни интереси. Поредността на изброяване на основанията не дава преимущество или по-голяма тежест на едно основание пред друго. Недопустимо е дублирането на правните основания за една и съща операция по обработване на личните данни – основанието, на което обработвате данни трябва да е ясно установено и единствено валидно, т.е. не трябва да се припокриват две или повече основания за обработване за една и съща дейност.
Изпълнение на договор
Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна с администратора, или за предприемане на стъпки преди сключването на договор (преддоговорни отношения). Обработването е законосъобразно, ако: администраторът има договор с физическото лице и трябва да обработва неговите данни във връзка с изпълнение на договорно задължение; администраторът няма сключен договор с лицето, но са предприети преддоговорни стъпки от страна на субекта на данни.
Законово задължение
Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора. Общата цел на обработването е спазването на правно задължение, което е разписано конкретно в националното законодателство или в правото на европейския съюз. Администраторът следва да може да идентифицира въпросното задължение или чрез позоваване на конкретната правна разпоредба, или по друг начин като посочи източника.
Жизненоважни интереси
Обработването е необходимо за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице. Жизненоважен интерес в случая означава интерес, свързан с живота и здравето на субекта на данни. Настоящето правно основание е приложимо в най-висока степен за спешната медицинска помощ, в случаите когато трябва да се обработват лични данни за медицински цели, но лицето не е в състояние даде съгласие за обработването. При обработването на тези данни администраторът трябва да вземе предвид условията за обработване на специални категории лични данни съгл. чл.9 от Регламент (ЕС) 2016/679.
Обществен интерес/официални правомощия
Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени от администратора. Администраторът следва да документира изпълнението на такава задача с цел да може да докаже основанието за обработването на личните данни. За целите на отчетността администраторите трябва да посочат за съответните задачи, функции или правомощия в конкретните законови текстове.
Легитимни интереси
Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете. Администраторът следва да документира решението си за позоваване на легитимен интерес при обработване на личните данни, демонстрирайки съответствие с Регламент (ЕС) 2016/679 (принцип на отчетност). Субектите на данни следва да са информирани в детайли относно позоваването на настоящото правно основание. С оглед защитата на правата на физическите лица, администраторът следва да приложи т. нар. „тест за пропорционалност“, който може да съдържа: цел, необходимост, пропорционалност.
Права на физическите лица в съотношение с основанията за обработване на данните им
Някои от правата на субектите на данни съгласно GDPR се прилагат само когато обработването е въз основа на конкретни правни основания. Това са например: право на информация, право на достъп, право на коригиране, право на ограничаване на обработването – въз основа на следните основания: съгласие, изпълнение на договор, законово задължение, жизненоважни интереси, обществен интерес, легитимни интереси. Право на изтриване – на сл. основания: законово задължение, обществен интерес. Право на преносимост на данните – на следните основания: съгласие, изпълнение на договор. Право на възражение – на сл. основания: обществен интерес, легитимни интереси. Права при автоматизирано вземане на индивидуални решения, вкл. профилиране – на правните основания: съгласие, легитимни интереси. Физическите лица винаги имат право да възразят срещу обработването на личните данни, независимо кое правно основание се прилага.
Автор: Даниела Симова