СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Рег. №НДМСПО– 01- 197/2019г.
гр. София, 27.05.2019г.
ОТНОСНО: Форма на упълномощаване при упражняване на права на субект на данни
Комисията за защита на личните данни (КЗЛД, Комисията) в състав: председател: Венцислав Караджов и членове: Цанко Цолов и Цветелин Софрониев на заседание, проведено на 22.05.2019г., разгледа преписка с рег. №НДМСПО-01-197/17.05.2019год. от проф. Г.Н. д.м.н., в качеството му на изпълнителен директор на УМБАЛ „С.Е.”. Искането е във връзка с прилагането на Регламент(ЕС)2016/679 на Европейския парламент и на Съвета от 27април 2016г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/ЕО (Общ регламент относно защитата на данните, ОРЗД). По смисъла на цитирания регламент УМБАЛ „С.Е.” ЕАД гр.София се явява администратор на лични данни, поради което предстои приемане на вътрешни правила за защита на личните данни в лечебното заведение.
При подготовката на вътрешните правила е възникнал въпрос, по който няма изрично указание в Регламент(ЕС)2016/679 и в Закона за защита на личните данни (ЗЗЛД). Упражняването на правата на субектите на данни предполага възможност за достъп до лични данни, право на коригиране на непълни или неточни данни, право на изтриване на данните („право да бъдеш забравен”), право на ограничаване на обработката на данни, право на преносимост на данните, право на възражение срещу обработването на данните. При упражняването на тези права субектите на данни следва да подадат заявление до администратора– лично или чрез упълномощено лице. Предвид обстоятелствата, че нито в ОРЗД, нито в ЗЗЛД е посочена формата на пълномощното, а именно– дали пълномощното на представителя/пълномощника следва да е с нотариална заверка, или може да се представи обикновено пълномощно, проф. Г.Н. моли Комисията за защита на личните данни за становище относно необходимостта от нотариална заверка на пълномощното на представителя на субекта на данни.
Правен анализ:
Разпоредбите на чл.12 от Регламент(ЕС)2016/679уреждат условията за упражняване на правата на субектите на данни. Първото условие за упражняване на тези права е субектът на данни да бъде идентифициран от администратора. Поради технологичната си неутралност, регламентът не посочва конкретни механизми за удостоверяване самоличността на субекта на данни. Това зависи от конкретния контекст, в който данните се обработват. По правило, идентифицирането става само въз основа на данни за субекта, с които администраторът вече разполага.
При необходимост, когато „администраторът има основателни опасения относно самоличността на физическото лице” („чл.12, пар.6 от ОРЗД”), подало искане за упражняване на своите права, той може да поиска предоставянето на допълнителна информация от него с цел установяване по безспорен начин на идентичността на субекта на данни. Ако администраторът счита, че не e в състояние да идентифицира субекта на данни, той носи тежестта на доказване на това обстоятелство. В този случай администраторът може да откаже да предприеме действия по искането на субекта на данни за упражняване на негови права.
Във връзка с необходимостта от удостоверяване идентичността на субекта на данни и гарантиране, че правата по чл.15–22 от Регламент(ЕС)2016/679 се упражняват от съответния правоимащ, ЗЗЛД въвежда определени изисквания към процедурата, по която същите се реализират. Съгласно чл.37б от ЗЗЛД, правата по чл.15-22 от Регламент(ЕС)2016/679 се упражняват чрез писмено заявление до администратора на лични данни или по друг, определен от администратора, начин. Заявлението може да бъде подадено по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация. Заявление може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
Реквизитите на заявлението са подробно разписани в чл.37в от ЗЗЛД. В разпоредбите на чл.37в, ал.2 от ЗЗЛД е казано, че при подаване на заявлението от упълномощено лице към заявлението се прилага съответното пълномощно.
С оглед на факта, че питането се отнася до администратор на лични данни, който има качеството на лечебно заведение, следва да бъде обсъдено и относимото специално законодателство.
Законът за здравето (ЗЗ) урежда обществените отношения, свързани с опазване здравето на гражданите. В него е дефинирано понятието „Здравна информация”, а именно това са личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация.
Съгласно разпоредбите на чл.28б, ал.2 от ЗЗ, пациентът има право да упълномощи писмено друго лице да се запознае с медицинските му документи, както и да направи копия от тях.
Правният институт на упълномощаването е уреден в чл.36–43 от Закона за задълженията и договорите (ЗЗД). По-специално, разпоредбата на чл.37 от ЗЗД предвижда, че „упълномощаването за сключване на договори, за които законът изисква особена форма, трябва да бъде дадено в същата форма”.
Нито в Закона за здравето, като специален закон, нито в разпоредбите на Общия регламент и на Закона за защита на личните данние предвидено изискване за нотариална форма на упълномощаване в хипотезата на упражняване на права от физическо лице– субект на данни/пациент. Следователно лечебните заведения нямат правно основание да изискват нотариална заверка на пълномощно при упражняване на права на физическите лица по чл.15-22 от Общия регламент относно защитата на данните.
Във връзка с горното и на основание чл.58, ал.3 от Общия регламент за защита на данните,Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ:
Лечебните заведения, в качеството им на администратори на лични данни, нямат правно основание да изискват нотариална заверка на подписа при упълномощаване на друго лице да упражни правата на субекта на данни по чл.15-22 от Регламент(ЕС)2016/679, а именно право надостъп до лични данни, право на коригиране на непълни или неточни данни, право на изтриване на данните („право да бъдеш забравен”), право на ограничаване на обработката на данни, право на преносимост на данните, право на възражение срещу обработването на данните.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Цветелин Софрониев /п/ |
