Блог

20 Feb

Лични данни и администратори на лични данни

Lyudmil Lesichkov 0 372

ЛИЧНИ ДАННИ И АДМИНИСТРАТОРИ НА ЛИЧНИ ДАННИ

Увод:

С влизането в сила, през май 2016 г., на РЕГЛАМЕНТ (ЕС) 2016/679 General Data Protection Regulation (GDРR) или „Регламента“, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, който ще се прилага след 25 май 2018 г., и за отмяна на Директива 95/46/EО, се въвежда единна правна рамка, която ще уеднакви законодателството, защитаващо личните данни на европейските граждани.

Като осигурява единен набор от правила, пряко приложими в правния ред на държавите членки, Регламентът (GDРR) ще гарантира свободното движение на лични данни между държавите членки на ЕС и ще укрепи доверието и сигурността на потребителите, което несъмнено води до създаването на истински цифров единен пазар. По този начин регламентът ще открие нови възможности за бизнеса и предприятията, особено за по-малките от тях, като също направи правилата за международно предаване на данни по-ясни. Ще доведе и до намаляване на бюрократичните спънки на бизнеса.

Регламентът има пряко действие на национално ниво, за което е необходимо съобразяването на изискванията му с националното законодателство. Освен това GDРR се прилага еднакво в рамките на държавите от ЕС.

Предимствата, очаквани от прилагането на Регламента, са много, но същевременно с това ограниченията, като например по отношение на достъпа на администраторите и обработващите лични данни само до данни, които са необходими за използване в пряката им работа, са още по-сериозни. Защото:
Нарушаването на това изискване се разглежда като правонарушение, дори да не е установено изтичане на информация извън организацията по смисъла на GDPR.

Затова е много важно да се имат предвид някои основни понятия, да се направи обстоен анализ на степента на защита на лични данни от съответната организация, както и да се вземат всички необходими превантивни мерки за да бъдат защитени лицата-субекти на лични данни .

II.Какво са лични данни?

Правото на защита на данните произтича от правото на неприкосновеност на личния живот. Понятието „личен живот“ се отнася за човешките същества. Следователно физическите лица са основните бенефициенти на защитата на данните. Освен това съгласно Становището на Работната група за защита на личните данни по член 29 (Работната група по член 29) само „живите лично­сти“ са защитени съгласно европейското право за защита на данните...

Лични данни съгласно чл. 4 от Регламента са „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано”- пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор, или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице”.

С други думи, лични данни могат да бъдат както име, ЕГН, телефон, адрес, пръстови отпечатъци, очна ретина, така и банкова сметка, номер на кредитна или дебитна карта, доходи и имущество, електронна поща, профил в социални мрежи, локализация, снимки, видео, както и всички други данни, отнасящи се до физическо лице, което подлежи на идентификация, включително и неговото поведение, движение в пространството, справки за реализирани покупки, използвани услуги, клиентски предпочитания, също така данни за здравословното и финансовото му състояние, политически възгледи, и редица други.

Данните са лични, ако те се отнасят до идентифицирано лице или поне до подлежащо на идентификация лице — съответното физическо лице, което е субект на данните. Едно лице е подлежащо на идентификация, ако без прекомерни усилия може да бъде получена допълнителна информация, позволяваща идентифицира­нето на съответното физическо лице. Автентификация означава доказване, че дадено лице притежава определена самоличност и/или е получило разреше­ние за извършването на определени дейности.

За разлика от анонимизираните данни,псевдонимизираните данни са лични / Данните са анонимизирани, ако вече не съдържат никакви идентификатори;Те са псевдонимизирани , ако идентификаторите са в криптирана форма/.

Всеки вид информация може да представлява лични данни, при условие че е тя е свързана с дадено лице, независимо дали се отнася до неговия личнен или професионален и обществен живот.

Има една категория данни, които се наричат специални, „чувствителни лични данни“. Те подлежат на особен правен режим и принципно е налице забрана за тяхното обработване. Това са данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот и сексуална ориентация.

Примерно в делото Bodil Lindqvist Съдът на ЕС е посочил, че „споме­наването на факта, че едно лице е наранило стъпалото си и по меди­цински съображения работи на половин работен ден, съставлява лични данни, засягащи здравето, по смисъла на член 8, параграф 1 от Директива 95/46/ЕО“/която директива предшества Регламента/“.

В същата Директива като чувствителни данни се посочва „членството в професионални съюзи“, тъй като тази инфор­мация може да бъде сериозен показател за политически убеждения или принадлежност.

      Кога „чувствителните“ данни могат да бъдат обработвани под особен режим:

III.АДМИНИСТРАТОРИ НА ЛИЧНИ ДАННИ

Регламентът поставя завишени изисквания към субектите в системата за защита на личните данни, което е и причина за неговото отложено прилагане, считано от 25 май 2018 г.

Кой най-общо може да е администратор на лични данни?Това може да са примерно: банките, застрахователни компании, инвестиционни фирми, брокери, доставчиците на интернет услуги, болниците, публични структури, висши училища, счетоводни и правни кантори, сдружения, консултантски фирми, фирми за здравен мениджмънт, логистични компании, и други.

Понятия:

Всяко лице, което реши да обработва лични данни на други лица, съгласно пра­вото за защитата на данните е „администратор“; ако няколко лица взимат това решение заедно, те могат да бъдат „съвместни администратори“ Администраторът е този, който определя целите и средствата на обработването.

„Обработващ“ е лице със самостоятелна правосубектност, което обра­ботва лични данни от името на администратора. Дейностите, възложени на един обра­ботващ, могат да бъдат ограничени до много специфична задача или цел, или да са всеобхватни. Обработващият става администратор, ако използва данните за свои собствени цели, като не следва указанията на администратора.

Всеки, който получава данни от администратор, е „получател“ или „трето лице“ - физическо или юридическо лице, което не действа по нареждане на администратора (и не е физическото лице — субект на данните). Юридически третото лице е отделено от администратора, но получава лични данни от него. Това означава, че лица, рабо­тещи за организация, която е с различна правосубектност от администратора, дори ако тя принадлежи към същата група или холдинг, са (или принадле­жат към) „трети лица“.

Връзката между администратор и обработващ лични данни:

Дори ако правомощието за определяне на средствата за обработване е делегирано на обработващ, администраторът трябва да може да се намесва в решенията на обработващия по отношение на средствата за обработване. Цялостната отговорност се носи от администратора, който трябва да упраж­нява надзор над обработващите, за да гарантира, че техните решения съот­ветстват на законодателството за защита на данните. Договор, в който се забранява на администратора да се намесва в решенията на обработващия, вероятно ще се тълкува като имащ за резултат съвместно обработване на лични данни от повече от един администратор, при което двете страни си поделят правната отговорност на администратор.

Важна последица от съвмест­ното обработване на лични данни от повече от един администратор следва да бъде солидарната отговорност за вреди, като по този начин на физическите лица се предоставя по-широк кръг от средства за правна защита. За по-голяма яснота и прозрачност подробностите за отношенията между администратора и обработващия трябва да бъдат документирани в писмен договор. Липсата на подобен договор е нарушение на задължението на администратора да предоставя писмена документация относно общите отго­ворности и може да доведе до налагане на санкции.

Обработващите може да проявят желание да делегират определени задачи на допълнителни обработващи, действащи като подизпълнители. По закон това е допустимо и ще зависи в детайли от договорните клаузи между адми­нистратора и обработващия, включително и от това дали е необходимо раз­решението на администратора за всеки отделен случай или дали информи­рането само по себе си е достатъчно.

И така, най-важната последица от това да се изпълнява ролята на администратор или на обработващ данни или трето лице е правната отговорност за изпълнение на съответ­ните задължения съгласно правото за защита на данните. Поради това, този статут се дава само на лица, които могат да бъдат подведени под отговорност съгласно приложимото право. В частния сектор обикновено това са физически или юридически лица; в публичния сектор това обикновено са органи. Други субекти, като органи или институции без правосубектност, могат да бъдат администратори или обработващи данни, само когато това е предвидено от специални правни разпоредби.

Някои примери:

Пример1: Когато отделът по маркетинг на дружеството Х планира да обработва данни за пазарно проучване, администраторът на това  обработване ще бъде самото дружество Х, а не отделът по марке­тинг. Отделът по маркетинг не може да бъде администратор, тъй като той не се ползва с отделен юридически статут.

Пример 2: База данни, съвместно управлявана от няколко кредитни инсти­туции при работата им с техни неизправни клиенти, е често срещан при­мер за съвместно обработване на лични данни от повече от един адми­нистратор. Когато някой кандидатства за кредитиране от банка, която е един от съвместните администратори, банките проверяват базата данни, за да получат информация при вземането на информирани решения за кредитоспособността на кандидата.

Пример 3: Дружеството Х е специализирано в областта на обра­ботването на данни за управление на човешките ресурси на други друже­ства. В тази си функция Х е обработващ. Когато Х обработва данните на собствените си служители, то обаче е администратор на операциите по обработването на данни за целите на изпълнението на своите задължения като работодател.

Пример 4 /трето лице/: Служител на обработващия, който използва лични данни в рам­ките на изпълнение на задачите, възложени му от работодателя, е полу­чател на данните, но не е трето лице, тъй като той използва данните от името на и съгласно указанията на обработващия. Ако обаче същият служител реши да използва данните, до които може да има достъп в качеството си на служител на обработващия, за свои собствени цели и ги продаде на друго дружество, тогава служителят действа като трето лице. Той вече не следва нарежданията на обработва­щия (работодателя). Като трето лице служителят ще се нуждае от правно основание за придобиването и продажбата на данните. В този пример служителят със сигурност няма такова правно основание, така че тези действия са незаконни.

Пример 5: Директорът на дружеството Х решава, че дружество У, специалист по маркетингово проучване, следва да извърши пазарно проучване на данни на клиентите на Х. Въпреки че, по този начин, задачата за определяне на средствата за обработване ще бъде делегирана на У, дружеството Х продължава да бъде администраторът на данните, а У е само обработващ, тъй като според договора У може да използва данните на клиентите на дружеството Х само за определени от Х цели.