Права на субектите на лични данни
В Общия регламент за защита на личните данни /Регламента/ са вписани някои основни права на Субектите на лични данни, които следва да бъдат зачитани от Администраторите на лични данни/АЛД/. На тези права АЛД имат кореспондиращи задължения, които ще бъдат разгледани в следващо изложение. Кои конкретно са правата на субектите на лични данни?
1.Право на достъп до и право на прозрачна информация-чл. 13, 14, 15 от Регламента
Субектът на лични данни има право във всеки момент да получи потвърждение дали неговите данни съществуват или не и да знае какво е тяхното съдържание и произход, за да се провери точността им, дали са добре съхранявани и т.н.
Субектът на лични данни има това право независимо дали данните са предоставени лично на администратора, или той ги е получил не директно от субекта.
Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни. Освен това субектът на данни следва да бъде информиран за извършването на профилиране и за последствията от това профилиране. Когато личните данни се събират от субекта на данни, той следва да бъде информиран и за това дали е задължен да предостави личните данни и за последствията, в случай че не ги предостави. Тази информация може да бъде предоставена в комбинация със стандартизирани икони, така че по лесно видим, разбираем и ясно четим начин да се представи съдържателен преглед на планираното обработване. Ако иконите се представят в електронен вид, те следва да бъдат машинночитаеми.
Основна, задължителна информация, която следва да е видима и ясно формулирана за субектите на лични данни:
-данните, които идентифицират АЛД и координатите за връзка с него, евентуално и тези на представителя на АЛД;
-координатите за връзка с Длъжностното лице по защита на данните, когато е приложимо;
-законните интереси на АЛД, ако обработването се извършва за тези цели;
-получателите или категориите получатели на личните данни, ако има такива;
-когато е приложимо, намерението на АЛД да предаде личните дани на трета държава или на международна орган.
Допълнителна информация за субектите на лични данни:
Случаи, при които АЛД не предоставя информация:
2.Право на коригиране на личните данни- чл.16 от Регламента
Субектът на лични данни има това право, независимо дали става въпрос за коригиране на неточни лични данни без излишно забавяне или за допълване на непълни лични данни. Възможно е да настъпи промяна в личните данни на субектите, която следва да бъде отразена при АЛД.
Коригирането може да стане с декларация, добавяне, редактирате информацията в потребителския акаунт на субектите.
3.Право на изтриване на личните данни-чл. 17 от Регламента /Правото да бъдеш забравен/
Субекът на лични данни има право да поиска изтриване на личните си данни независимо дали има основателна причина за това. Как точно ще се процедира по това искане?
Методите за ограничаване на обработването на лични данни биха могли да включват временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях, или временно премахване на публикуваните данни от уебсайт. В автоматизираните регистри на лични данни ограничаването на обработването следва по принцип да бъде осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, следва да бъде ясно посочен в системата.
В кои случаи по принцип се иска изтриване на данните на субектите:
Изключения от този принцип- когато обработването е необходимо за някоя от следните цели:
- за упражняване правото на свобода на изразяване и информация;
- за изпълнение на правно задължение или на задача от обществен интерес;
- за целите на общественото здраве;
- архивиране за цели в обществен интерес, научноизследователски исторически изследвания или статистически цели;
- за установяване, упражняване или защитата на правни претенции.
4.Право на ограничаване на обработването- чл. 18 от Регламента
Субектът на лични данни, при наличието предпоставките на чл.18 от Регламента има право на ограничаване на обработването на лични данни- в следните случаи:
- точността на личните данни се оспорва от субекта на данните, за срок, който позволява на АЛД да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а само ограничаване на използването им;
- АЛД не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на АЛД имат преимущество пред интересите на субекта на данните;
- Когато личните данни се обработват за целите на директния маркетинг, субектът на данни следва да има право безплатно и по всяко време да направи възражение срещу такова обработване, включително профилиране, доколкото то е свързано с директния маркетинг, независимо дали става въпрос за първоначално или по-нататъшно обработване. Субектът на данни изрично следва да бъде уведомен за съществуването на това право, което му се представя по ясен начин и отделно от всяка друга информация.
5.Право на преносимост на данните- чл. 20 от Регламента
Субектът на лични данни има правото да получи личните данни, които го засягат, и които той е предоставил на АЛД, в структуриран, широко използван, и пригоден за машинно четене формат.
6 Право на възражение – чл. 21 от Регламента
Субектът на лични данни има правото по всяко време да възрази срещу обработването на лични данни съобразно основания, свързани с неговата конкретна ситуация.
Това важи обаче за обработване, което се основава на:
АЛД е длъжен да прекрати в горните случаи обработването на личните данни, освен ако не докаже:
-съществуването на законови основания за обработването с предимство пред интересите, правата и свободите на субекта на данни;
-установяването, упражняването или защитата на правни претенции.
7. Право за оспорване на автоматичната обработка- чл. 22 от Регламента
Право на субекта на данните да оспорва решение въз основа на профилиране- т.е. не бъде обект на решение, основаващо се единствено на автоматизирано обработване, което поражда правни последствия за него или го засяга в значителна степен.
Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението.
Има три изключения от този принцип, регламентирани в пар. 2 на чл.22 от Регламента. Когато решението на субекта на лични данни:
a) е необходимо за сключването или изпълнението на договор между субект на данни и администратор;
б) е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или
в) се основава на изричното съгласие на субекта на данни.
8.Оттегляне на съгласието- чл. 7 от Регламента
Субектът на лични данни има правото по всяко време да оттегли съгасието си за обработка на личните му данни, ако обработването е основано на неговото съгласие. Оттеглянето на съгласие следва да бъде така лесно дадено както и самото съгласие.
9. Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация.
10. Право на уведомяване на субекта на лични данни при пробив
Съобщението, което АЛД изпраща до субекта на данните следва да съдържа минимум следното:
Случаи, при които не се изисква изпращане на съобщение до субекта на данните: