ЛИЧНИ ДАННИ И АДМИНИСТРАТОРИ НА ЛИЧНИ ДАННИ
Увод:
С влизането в сила, през май 2016 г., на РЕГЛАМЕНТ (ЕС) 2016/679 General Data Protection Regulation (GDРR) или „Регламента“, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, който ще се прилага след 25 май 2018 г., и за отмяна на Директива 95/46/EО, се въвежда единна правна рамка, която ще уеднакви законодателството, защитаващо личните данни на европейските граждани.
Като осигурява единен набор от правила, пряко приложими в правния ред на държавите членки, Регламентът (GDРR) ще гарантира свободното движение на лични данни между държавите членки на ЕС и ще укрепи доверието и сигурността на потребителите, което несъмнено води до създаването на истински цифров единен пазар. По този начин регламентът ще открие нови възможности за бизнеса и предприятията, особено за по-малките от тях, като също направи правилата за международно предаване на данни по-ясни. Ще доведе и до намаляване на бюрократичните спънки на бизнеса.
Регламентът има пряко действие на национално ниво, за което е необходимо съобразяването на изискванията му с националното законодателство. Освен това GDРR се прилага еднакво в рамките на държавите от ЕС.
Предимствата, очаквани от прилагането на Регламента, са много, но същевременно с това ограниченията, като например по отношение на достъпа на администраторите и обработващите лични данни само до данни, които са необходими за използване в пряката им работа, са още по-сериозни. Защото:
Нарушаването на това изискване се разглежда като правонарушение, дори да не е установено изтичане на информация извън организацията по смисъла на GDPR.
Затова е много важно да се имат предвид някои основни понятия, да се направи обстоен анализ на степента на защита на лични данни от съответната организация, както и да се вземат всички необходими превантивни мерки за да бъдат защитени лицата-субекти на лични данни .
II.Какво са лични данни?
Правото на защита на данните произтича от правото на неприкосновеност на личния живот. Понятието „личен живот“ се отнася за човешките същества. Следователно физическите лица са основните бенефициенти на защитата на данните. Освен това съгласно Становището на Работната група за защита на личните данни по член 29 (Работната група по член 29) само „живите личности“ са защитени съгласно европейското право за защита на данните...
Лични данни съгласно чл. 4 от Регламента са „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано”- пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор, или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице”.
С други думи, лични данни могат да бъдат както име, ЕГН, телефон, адрес, пръстови отпечатъци, очна ретина, така и банкова сметка, номер на кредитна или дебитна карта, доходи и имущество, електронна поща, профил в социални мрежи, локализация, снимки, видео, както и всички други данни, отнасящи се до физическо лице, което подлежи на идентификация, включително и неговото поведение, движение в пространството, справки за реализирани покупки, използвани услуги, клиентски предпочитания, също така данни за здравословното и финансовото му състояние, политически възгледи, и редица други.
Данните са лични, ако те се отнасят до идентифицирано лице или поне до подлежащо на идентификация лице — съответното физическо лице, което е субект на данните. Едно лице е подлежащо на идентификация, ако без прекомерни усилия може да бъде получена допълнителна информация, позволяваща идентифицирането на съответното физическо лице. Автентификация означава доказване, че дадено лице притежава определена самоличност и/или е получило разрешение за извършването на определени дейности.
За разлика от анонимизираните данни,псевдонимизираните данни са лични / Данните са анонимизирани, ако вече не съдържат никакви идентификатори;Те са псевдонимизирани , ако идентификаторите са в криптирана форма/.
Всеки вид информация може да представлява лични данни, при условие че е тя е свързана с дадено лице, независимо дали се отнася до неговия личнен или професионален и обществен живот.
Има една категория данни, които се наричат специални, „чувствителни лични данни“. Те подлежат на особен правен режим и принципно е налице забрана за тяхното обработване. Това са данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот и сексуална ориентация.
Примерно в делото Bodil Lindqvist Съдът на ЕС е посочил, че „споменаването на факта, че едно лице е наранило стъпалото си и по медицински съображения работи на половин работен ден, съставлява лични данни, засягащи здравето, по смисъла на член 8, параграф 1 от Директива 95/46/ЕО“/която директива предшества Регламента/“.
В същата Директива като чувствителни данни се посочва „членството в професионални съюзи“, тъй като тази информация може да бъде сериозен показател за политически убеждения или принадлежност.
Кога „чувствителните“ данни могат да бъдат обработвани под особен режим:
III.АДМИНИСТРАТОРИ НА ЛИЧНИ ДАННИ
Регламентът поставя завишени изисквания към субектите в системата за защита на личните данни, което е и причина за неговото отложено прилагане, считано от 25 май 2018 г.
Кой най-общо може да е администратор на лични данни?Това може да са примерно: банките, застрахователни компании, инвестиционни фирми, брокери, доставчиците на интернет услуги, болниците, публични структури, висши училища, счетоводни и правни кантори, сдружения, консултантски фирми, фирми за здравен мениджмънт, логистични компании, и други.
Понятия:
Всяко лице, което реши да обработва лични данни на други лица, съгласно правото за защитата на данните е „администратор“; ако няколко лица взимат това решение заедно, те могат да бъдат „съвместни администратори“ Администраторът е този, който определя целите и средствата на обработването.
„Обработващ“ е лице със самостоятелна правосубектност, което обработва лични данни от името на администратора. Дейностите, възложени на един обработващ, могат да бъдат ограничени до много специфична задача или цел, или да са всеобхватни. Обработващият става администратор, ако използва данните за свои собствени цели, като не следва указанията на администратора.
Всеки, който получава данни от администратор, е „получател“ или „трето лице“ - физическо или юридическо лице, което не действа по нареждане на администратора (и не е физическото лице — субект на данните). Юридически третото лице е отделено от администратора, но получава лични данни от него. Това означава, че лица, работещи за организация, която е с различна правосубектност от администратора, дори ако тя принадлежи към същата група или холдинг, са (или принадлежат към) „трети лица“.
Връзката между администратор и обработващ лични данни:
Дори ако правомощието за определяне на средствата за обработване е делегирано на обработващ, администраторът трябва да може да се намесва в решенията на обработващия по отношение на средствата за обработване. Цялостната отговорност се носи от администратора, който трябва да упражнява надзор над обработващите, за да гарантира, че техните решения съответстват на законодателството за защита на данните. Договор, в който се забранява на администратора да се намесва в решенията на обработващия, вероятно ще се тълкува като имащ за резултат съвместно обработване на лични данни от повече от един администратор, при което двете страни си поделят правната отговорност на администратор.
Важна последица от съвместното обработване на лични данни от повече от един администратор следва да бъде солидарната отговорност за вреди, като по този начин на физическите лица се предоставя по-широк кръг от средства за правна защита. За по-голяма яснота и прозрачност подробностите за отношенията между администратора и обработващия трябва да бъдат документирани в писмен договор. Липсата на подобен договор е нарушение на задължението на администратора да предоставя писмена документация относно общите отговорности и може да доведе до налагане на санкции.
Обработващите може да проявят желание да делегират определени задачи на допълнителни обработващи, действащи като подизпълнители. По закон това е допустимо и ще зависи в детайли от договорните клаузи между администратора и обработващия, включително и от това дали е необходимо разрешението на администратора за всеки отделен случай или дали информирането само по себе си е достатъчно.
И така, най-важната последица от това да се изпълнява ролята на администратор или на обработващ данни или трето лице е правната отговорност за изпълнение на съответните задължения съгласно правото за защита на данните. Поради това, този статут се дава само на лица, които могат да бъдат подведени под отговорност съгласно приложимото право. В частния сектор обикновено това са физически или юридически лица; в публичния сектор това обикновено са органи. Други субекти, като органи или институции без правосубектност, могат да бъдат администратори или обработващи данни, само когато това е предвидено от специални правни разпоредби.
Някои примери:
Пример1: Когато отделът по маркетинг на дружеството Х планира да обработва данни за пазарно проучване, администраторът на това обработване ще бъде самото дружество Х, а не отделът по маркетинг. Отделът по маркетинг не може да бъде администратор, тъй като той не се ползва с отделен юридически статут.
Пример 2: База данни, съвместно управлявана от няколко кредитни институции при работата им с техни неизправни клиенти, е често срещан пример за съвместно обработване на лични данни от повече от един администратор. Когато някой кандидатства за кредитиране от банка, която е един от съвместните администратори, банките проверяват базата данни, за да получат информация при вземането на информирани решения за кредитоспособността на кандидата.
Пример 3: Дружеството Х е специализирано в областта на обработването на данни за управление на човешките ресурси на други дружества. В тази си функция Х е обработващ. Когато Х обработва данните на собствените си служители, то обаче е администратор на операциите по обработването на данни за целите на изпълнението на своите задължения като работодател.
Пример 4 /трето лице/: Служител на обработващия, който използва лични данни в рамките на изпълнение на задачите, възложени му от работодателя, е получател на данните, но не е трето лице, тъй като той използва данните от името на и съгласно указанията на обработващия. Ако обаче същият служител реши да използва данните, до които може да има достъп в качеството си на служител на обработващия, за свои собствени цели и ги продаде на друго дружество, тогава служителят действа като трето лице. Той вече не следва нарежданията на обработващия (работодателя). Като трето лице служителят ще се нуждае от правно основание за придобиването и продажбата на данните. В този пример служителят със сигурност няма такова правно основание, така че тези действия са незаконни.
Пример 5: Директорът на дружеството Х решава, че дружество У, специалист по маркетингово проучване, следва да извърши пазарно проучване на данни на клиентите на Х. Въпреки че, по този начин, задачата за определяне на средствата за обработване ще бъде делегирана на У, дружеството Х продължава да бъде администраторът на данните, а У е само обработващ, тъй като според договора У може да използва данните на клиентите на дружеството Х само за определени от Х цели.