1. Какво представлява понятието „субект на данни“?
Субект на данни е физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация.
2. Какви права има субектът на данни съгласно Общия регламент за защита на личните данни?
Според Общия регламент за защита на личните данни субектът на данни (физическото лице, за което се отнасят данните) има право на:
• Информираност (във връзка с обработването на личните му данни от администратора);
• Достъп до собствените си лични данни;
• Коригиране (ако данните са неточни);
• Изтриване на личните данни (право „да бъдеш забравен“);
• Ограничаване на обработването от страна на администратора или обработващия лични данни;
• Преносимост на личните данни между отделните администратори;
• Възражение спрямо обработването на негови лични данни;
• Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
• Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени.
3. Каква информация има право да получи субектът на данни от администратора на лични данни при предоставянето на своите лични данни?
Физическото лице, което е субект на данни, има право да получи информация за администратора на лични данни, както и за обработването на личните му данни. Тази информация включва:
• Данни, идентифициращи администратора, както и негови координати за връзка, вкл. координатите за връзка с длъжностното лице по защита на данните;
• Целите и правното основание за обработването;
• Получателите или категориите получатели на личните данни, ако има такива;
• Намерението на администратора да предаде личните данни на трета страна (когато е приложимо);
• Срока на съхранение на личните данни;
• Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова);
• Информация за всички права, които субектът на данни има;
• Правото на жалба до надзорния орган.
Посочената информация не се предоставя, ако субектът на данни вече разполага с нея.
4. В кои случаи субектът на данни има право да поиска от администратора изтриване на неговите лични данни?
Субектът на данни може да поиска изтриване, ако е налице едно от следните условия:
• Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
• Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
• Личните данни са били обработвани незаконосъобразно;
• Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
• Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.
5. Има ли право субектът на данни да ограничи обработването на своите лични данни от страна на администратора?
Регламентът предвижда такава възможност, но за целта са необходими конкретни условия, сред които:
• Точността на личните данни се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който позволява на администратора да провери точността на личните данни;
• Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
• Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
6. Има ли сред правата, предвидени в новия Общ регламент за защита на личните данни, качествено ново право, с което разполагат субектите на данни?
Да. С цел да отговори на новите реалности и да улесни физическите лица, новият Регламент въвежда т.н. „право на преносимост“. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
7. Възможно ли е субектът на данни да възрази пред администратора срещу обработването на личните му данни?
Да, физическите лица имат това право, също както и до сега. Ако те възразят пред администратора срещу обработването на личните им данни, той е длъжен да прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг обработването следва да се прекрати незабавно.
8. Ползват ли се децата като субекти на данни с право на по-високо ниво на защита на техните лични данни?
На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 14 години. Ако детето е под 14 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.
9. Могат ли физическите лица, които считат, че правата им са нарушени, да търсят защита по административен ред?
Ако физическите лица считат, че правото им на защита на личните данни и неприкосновеност е било нарушено, то те могат да подадат жалба пред съответния надзорен орган в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение.
10. Имат ли право физическите лица и на защита по съдебен ред?
Да, физическите лица имат право на защита по съдебен ред. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган на държава членка, действащ в изпълнение на публичните си правомощия.
Физическите лица също така имат право на ефективна съдебна защита срещу задължителните решения на надзорния орган, отнасящи се до тях, като в този случай производството се развива пред съдилищата на държавата членка, в която е установен надзорният орган.
11. Имат ли право физическите лица на обезщетение за претърпени вреди?
Съгласно Регламента всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на съответната държава членка.
