І. Общият регламент относно защитата на данните (Регламент (ЕС) 2016/679, GDPR) защитава основни права и свободи на физическите лица и по-специално правото на защита на личните данни. В същото време регламентът осигурява свободно движение на лични данни в рамките на Европейския съюз.
С цел да предостави на гражданите по-голям контрол върху техните данни, Общият регламент отделя специално внимание на правата на физическите лица, които са разширени и засилени спряно действащата преди 25 май 2018 г. правна рамка:
1. Права на субекта на данни съгласно Общия регламент за защита на личните данни
Според Общия регламент за защита на личните данни субектът на данни (физическото лице, за което се отнасят данните) има право на:
• Информираност (във връзка с обработването на личните му данни от администратора);
• Достъп до собствените си лични данни;
• Коригиране (ако данните са неточни);
• Изтриване на личните данни (право „да бъдеш забравен“), което обаче не е абсолютно;
• Ограничаване на обработването от страна на администратора или обработващия лични данни;
• Преносимост на личните данни между отделните администратори;
• Възражение спрямо обработването на негови лични данни;
• Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
• Право на защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени.
2. Информация, която субектът на данни има право да получи от администратора на лични данни при предоставянето на своите лични данни
Физическото лице, което е субект на данни, има право да получи информация за администратора на лични данни, както и за обработването на личните му данни. Тази информация включва:
• Данни, идентифициращи администратора, както и негови координати за връзка, вкл. координатите за връзка с длъжностното лице по защита на данните (ако има такова);
• Целите и правното основание за обработването;
• Получателите или категориите получатели на личните данни, ако има такива;
• Намерението на администратора да предаде личните данни на трета страна (когато е приложимо);
• Срока на съхранение на личните данни;
• Съществуването на автоматизирано вземане на решения, включително профилирането (ако има такова);
• Информация за всички права, които субектът на данни има;
• Правото на жалба до надзорния орган.
Посочената информация не се предоставя, ако субектът на данни вече разполага с нея или е налице законова забрана или обективна невъзможност.
3. Случаи, в които субектът на данни има право да поиска от администратора изтриване на неговите лични данни
Субектът на данни може да поиска изтриване, ако е налице едно от следните условия:
• Личните данни повече не са необходими за целите, за които са били събрани;
• Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
• Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
• Личните данни са били обработвани незаконосъобразно;
• Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо администратора;
• Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете.
4. Ограничаване на обработването на данни от страна на администратора
Регламентът предвижда такава възможност за субекта на данни, но за целта са необходими конкретни условия, сред които:
• Точността на личните данни се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който позволява на администратора да провери точността на личните данни;
• Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
• Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.
5. Ново право на преносимост на данните
С цел да отговори на новите реалности и да улесни физическите лица, Регламентът въвежда т.н. „право на преносимост“. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин. Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи и пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.
6. Право на възражение срещу обработването на лични данни за целите на директниямаркетинг
Физическите лица запазват съществувалото и досега право на възражение срещу обработването на личните има данни. В подобни случаи администраторът на лични данни е длъжен да прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Важно е да се знае, че при възразяване срещу обработването на лични данни за целите на директния маркетинг, обработването следва да се прекрати незабавно и безусловно.
7. По-високо ниво на защита на личните данни на деца
На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 14 години. Ако детето е под 14 години, това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.
ІІ. Важно е гражданите да знаят за новите правила, които Регламентът въвежда по отношение даването на СЪГЛАСИЕ за обработване на лични данни.
Гражданите трябва да знаят, че в случай, че администраторът на лични данни разполага със законово право или задължение, или друго правно основание за обработване на личните данни на лицата, като например договор, той няма нито задължение, нито потребност да изискасъгласиетона лицето.
Регламентътопределя висок стандарт за съгласието, но най-голямата промяна е това, което на практика наричаме „механизми за съгласие“. Тези механизми трябва да са ясни и подробни методи на активно изразяване на съгласието, включително документиране на съгласие и съответно – лесни начини за оттегляне на съгласието.
Съществуват и специфични нови разпоредби относно съгласието на децата за онлайн услуги. Дава се възможност възрастта на децата да се определи на национално ниво при определени параметри. Ако се разчита на съгласието на децата, ще трябва да се въведат мерки за проверка на възрастта и да се положат „разумни усилия”, за да се провери родителската отговорност за съответната възраст.
Основните нови моменти по отношение на съгласието са следните:
• Общи условия: исканията за съгласие трябва да са отделни от другите условия. Съгласието не трябва да бъде предварително условие за получаване на услуга, освен ако не е необходимо за тази услуга;
• Чрез активно действие: предварително отметнати квадратчета за съгласие са невалидни.
• Детайлност: администраторите трябва да предоставят на гражданите детайлни варианти за даване на съгласие– отделно различните видове обработване, където е уместно;
• Лица, които ще ползват съгласието: трябва да бъде посочено името на администратора и третите страни, които ще разчитат на съгласието;
• Документиране: информацията за взето съгласие трябва да бъде съхранявана, за да може да се докаже, че дадено лице е дало съгласие, включително каква информация му е била предоставена и кога и как лицето се е съгласило;
• Лесно се оттегля: администраторите трябва задължително да информират гражданите, че имат право да оттеглят своето съгласие по всяко време и как да направят това. Трябва да бъде толкова лесно да се оттегли, колкото и да се даде съгласие. Това означава, че администраторите трябва да осигурят прости и ефективни механизми;
• Липса на дисбаланс в отношенията между администратор и субект на данни: съгласието няма да бъде дадено свободно, ако има зависимост в отношенията между лицето и администратора– това съгласие е неприложимо правно основание за обработване на лични данни от публичните органи, а в определени случаи и работодателите в частния сектор, които трябва да търсят алтернативна законова основа.
ІII. Съвети към гражданите по отношение Правото на защита:
Правата на лицата по отношение защитата на техните лични данни е препоръчително най-напред да бъдат упражнени пред администратора. Прякото сезиране на надзорния орган или на съда не би било от полза, тъй като в голяма част от случаите това би могло да забави тяхното удовлетворяване.
Субектът, който е бил сезиран в качеството на администратор, трябва да реагира на искането в рамките на срока, определен от законодателството, дори ако в отговор просто се казва, че не се обработват данни относно лицето, отправило искането.
Следва да се има предвид, че преди да отговори на искането/жалбата, администраторът трябва да установи самоличността на лицето, отправило искането, за да определи дали то действително е лицето, за което се представя, и по този начин да предотврати сериозно нарушение на изискванията за поверителност. Когато изискванията в закона за установяване на самоличността на субекта на данните, подаващ искането, не са достатъчни, те трябва да бъдат определени с решение на администратора. Принципът за добросъвестно обработване обаче изисква администраторите да не налагат прекалено тежки условия за установяване на самоличността. Достатъчно е да се изиска минимален обем от данни, които позволяват идентифицирането. Например три имена и дата на раждане. Минималният обем от данни, достатъчен на администратора за идентифицирането на едно лице, може да варира в различни случаи.
Регламентът предвижда исканията, свързани със защитата на данните да се обработват и да им се отговаря безплатно от страна на администратора.
След като разгледа искането, администраторът на данните, в предвидения от закона срок, трябва да:
• да уважи искането и да уведоми лицето как искането му е било изпълнено; или
• да уведоми лицето, отправило искането, защо неговото искане няма да бъде уважено.
Винаги, когато едно лице прецени, че неговите лични данни са обработени по начин който не съответства на законовите изисквания, то има право на защита.
Субектът на данни може да подаде жалба до надзорния орган по защита на личните данни (за Република България това е Комисията за защита на личните данни с адрес: гр.София 1592, бул.„Проф. Цветан Лазаров” №2; електронна поща: kzld@cpdp.bg; интернет страница: www.cpdp.bg;телефон за консултации по прилагането на Регламент(ЕС) 2016/679: 02/91-53-555). Във връзка с това, той трябва да получи информация от надзорния орган относно напредъка или резултата от процедурата по неговия случай, както и възможностите за обжалване на решението на надзорния орган. Формулярът и съдържанието на образеца на жалбата се определят от надзорния орган и в него трябва да се съдържа поне следната информация:
– данни за искателя (субекта на данни)– имена, адрес, телефон за връзка, електронен адрес (при наличие);
– естеството на искането– описание на фактите по конкретния случай; срещу кого е искането/жалбата, ако има данни за това;
– друга информация или доказателства във връзка с искането– документи, снимки, извлечения или всички други доказателства, свързани със случая, и които законът допуска;
– дата и подпис.
Всяко физическо или юридическо лице има право на ефективна съдебна защита срещу правно обвързващо решение на надзорен орган, което се отнася до тях. Това означава, че решенията на надзорния орган не са окончателни и могат да бъдат обжалвани в съда. Обжалване пред съда на действията на надзорния орган по защита на личните данни може да има и когато той:
– не изпълнява искане или
– не информира субекта на данните в рамките на три месеца след подаване на жалбата или сигнала за напредъка или резултата от искането.
Субектът на данните има правото да подаде жалба до компетентния съд за обезщетение на вреди, настъпили в резултат на незаконосъобразно обработване на лични данни. В същото време, всяко лице, което е претърпяло имуществени или неимуществени вреди в резултат на нарушение на закона, има право на обезщетение от администратора или обработващия за претърпените вреди. Жалбата следва да бъде разгледана съобразно общите процесуални правила за съдебна защита при настъпили вреди.
