.png "Основания за законосъобразност на обработването на лични данни")
Настоящият информационен материал има за цел да подпомогне практическото прилагане на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR). Същият няма задължителен характер и не претендира за изчерпателност. Предоставеният анализ отразява обработването на лични данни в общия случай, но не и обработването на специални категории лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, както и лични данни, свързани с присъди и нарушения.
Обработването на лични данни от администратори, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от следните алтернативни и равнопоставени основания:
• съгласие;
Поредността на изброяване на основанията не дава преимущество или по-голяма тежест на едно основание пред друго.
Недопустимо е дублирането на правните основания за една и съща операция по обработване на лични данни– основанието, на което обработвате данни трябва да е ясно установено и единствено валидно, т.е. не трябва да се припокриват две или повече основания за обработване за една и съща дейност.
СЪГЛАСИЕ
Субектът на данните (физическото лице, за което се отнасят данните) е дал съгласие за обработване на личните му данни за една или повече конкретни цели.
За да бъде легитимно, съгласието трябва да отговаря едновременно на всеки един от посочените критерии:
• да е свободно изразено– не дадено под натиск или заплаха от неблагоприятни последици (напр. по-висока цена на услуга, неравнопоставеност при взаимоотношението с администратора, каквито са по правило отношенията между работодател и работник/служител);
• да е конкретно– отделно съгласие за всяка конкретно определена цел, а когато е относимо – и за конкретна категория лични данни;
• да е информирано– дадено на основата на пълна, точна и лесно разбираема информация;
• да е недвусмислено– не се извлича или предполага на основата на други изявления или действия на лицето;
• да е изрично изявление или ясно потвърждаващо действие– например с отбелязване на нарочна отметка, чрез натискане на определен бутон и др.
Администраторът е длъжен да докаже легитимността на съгласието на субекта на данни.
Основен тест относно валидността на съгласието представлява проверката дали при оттеглянето му обработването на лични данни ще бъде преустановено.
Важно! Съгласие не е необходимо и то е невалидно, а изискването му представлява прекомерно обработване на данни, когато данните се обработват въз основа на някое от другите основания.
Пример
Администратор публичен орган предлага административна услуга, за която трябва да обработва лични данни. Искането на съгласие за реализирането на услуга, дължима по силата на властнически или административни правомощия е недопустимо. Така например при теста за валидност на съгласието ще се установи, че за целите на административни услуги не може да бъде оттеглено съгласие, т.к. по дефиниция публичните органи обработват данни на други основания.
Важно! Администраторът трябва да гарантира, че съгласието може да бъде оттеглено от субекта на данни толкова лесно, колкото е дадено, и по всяко време.
Пример
Администратор предлага музикално приложение и иска съгласието на гражданите да обработва техните музикални предпочитания, за да им предложат персонализирани предложения.
Важно! Предвид фактът че децата са по-уязвима група на обществото, чл. 25в от Закона за защита на личните данни предвижда завишена защита за лица ненавършили 14 годишна възраст, като изразяването на съгласие от тях е валидно, само ако е дадено от упражняващия родителски права или от настойника на детето.
Референции:
член 6, както и съобр. (40) отРегламент (ЕС) 2016/679;
член 7, както и съобр. (32), (33), (42), (43) от Регламент (ЕС) 2016/679;
Насоки относно съгласието в съответствие с Регламент (ЕС) 2016/679.
ИЗПЪЛНЕНИЕ НА ДОГОВОР
Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна с администратора, или за предприемане на стъпки преди сключването на договор (преддоговорни отношения).
Обработването е законосъобразно, ако:
• администраторът има договор с физическото лице и трябва да обработва неговите данни във връзка с изпълнение на договорно задължение.
• администраторът няма сключен договор с лицето, но са предприети преддоговорни стъпки от страна на субекта на данни (напр. предоставяне на персонализирано предложение за даден продукт/услуга).
Пример
Компания продава стоки онлайн. Тя обработва данни, необходими за предприемане на стъпки по искане на физическото лице преди сключване на договора и за изпълнението на договора. Така може да се обработва името, адреса за доставка, номера на кредитната карта (при плащане с карта) и т.н.
Когато субектът на данни прави онлайн покупка, администраторът обработва адреса на физическото лице, за да достави стоките. Това е необходимо за изпълнение на договора.
Важно! Формата на договора може да бъде както писмена, така и устна. Във всички случаи администраторът следва да докаже наличие на основанието.
Пример
При сключване на договор за посредничество при закупуване на недвижим имот, агенцията с която работите обработва личните данни за целите на реализиране на договора и следователно не е необходимо да се дава съгласие за обработването им при всеки оглед или на всеки етап от развитието на сделката.
Референции:
член 6, както и съобр. (44) отРегламент (ЕС) 2016/679
ЗАКОНОВО ЗАДЪЛЖЕНИЕ
Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.
Общата цел на обработването следва да бъде спазването на правно задължение, което е разписано конкретно в националното законодателство или в правото на Европейския съюз.
Администраторът следва да може да идентифицира въпросното задължение или чрез позоваване на конкретната правна разпоредба, или по друг начин като посочи източникa.
Примери
Ако сте работодател, за да организирате социалното осигуряване на служителите си, законът налага задължение за предоставяне на лични данни (например доходи на служителите) на съответния държавен орган.
Финансова институция идентифицира свой потенциален или настоящ клиент чрез копие на документ за самоличност (в това число лична карта) в изпълнение на законово задължение по Закона за мерките срещу изпирането на пари.
Управителят на етажната собственост в сграда с режим на етажна собственост обработва личните данни на собствениците и обитателите за целите на попълване и поддържане на актуална домова книга по силата на изискванията на Закона за управление на етажната собственост.
Референции:
член 6, както и съобр. (41), (45) отРегламент (ЕС) 2016/679
ЖИЗНЕНОВАЖНИ ИНТЕРЕСИ
Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
Важно! Жизненоважен интерес в случая означава интерес, свързан с живота и здравето на субекта на данни!
Настоящото правно основание е приложимо в най-висока степен за спешната медицинска помощ, в случаите когато трябва да се обработват лични данни за медицински цели, но лицето не е в състояние да даде съгласие за обработването.
Малко вероятно е, обработването на лични данни във връзка с планирани медицински дейности да се основава на жизненоважните интереси на физическото лице. Обработването на лични данни на едно физическо лице с оглед защитата на жизненоважните интереси на друго лице или лица също е доста ограничено. Съществуват и изключения: например при обработване на личните данни на родителите (като фамилна обремененост) когато то е необходимо, за да се защитят жизнените интереси на детето.
Примери
Болницата лекува пациент след тежък пътен инцидент; болницата не се нуждае от съгласието му да обработва данни от личната му карта, за да провери дали това лице съществува в базата данни на болницата, за да открие предходни заболявания или да се свърже с неговия близък.
Важно! В повечето случаи защитата на жизненоважните интереси на физическото лице ще възникне в контекста на обработване на данни за здравето на лицето. От своя страна тези данни са специалните категории данни, което означава, че при обработване на такива данни администраторът следва да вземе предвид условията за обработване на специални категории лични данни съгласно член 9 от Регламент (ЕС) 2016/679.
Референции:
член 6 Регламент (ЕС) 2016/679
ОБЩЕСТВЕН ИНТЕРЕС/ ОФИЦИАЛНИ ПРАВОМОЩИЯ
Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
Администраторът следва да документира изпълнението на задача от обществен интерес или при упражняването на официални правомощия с цел да може да докаже основанието за обработване на личните данни. (принципа на отчетност).
За целите на отчетността администраторите/ обработващите лични данни следва да посочат за съответните задачи, функции или правомощия в конкретните законови текстове.
Всяка организация, която упражнява официални правомощия или изпълнява конкретна задача в обществен интерес може да се позове на настоящото основание. Акцентът е върху естеството на функцията, а не върху естеството на организацията.
Пример
В общия случай държавните органи, включително органите на местната власт и местното самоуправление, обработват законосъобразно лични данни въз основа на изпълнение на задача от обществен интерес или при упражняването на официални правомощия, а не въз основа на съгласие.
Важно! Правото на изтриване и правото на преносимост на данни на субектите на данните не се прилагат, ако обработването е въз основа на изпълнение на задача от обществен интерес или при упражняване на официални правомощия. Физическите лица обаче имат право на възразят срещу конкретното обработване.
Референции:
член 6, както и съобр. (41), (45), (50) отРегламент (ЕС) 2016/679
ЛЕГИТИМНИ ИНТЕРЕСИ
Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Администраторът / обработващият личните данни следва да документира решението си за позоваване на легитимен интерес при обработване на личните данни, демонстрирайки съответствие с Регламент (ЕС) 2016/679 (принцип на отчетност). Субектите на данни следва да са информирани в детайли относно позоваването на настоящото правно основание.
С оглед защитата на правата на физическите лица, администраторът/ обработващият лични данни следва да приложи така наречения „тест за пропорционалност“, който може да съдържа:
• Цел: преследва ли се легитимен интерес? (необходима проверка за наличие на други правни основания за обработване на лични данни)
• Необходимост: необходимо ли е обработване на лични данни за постигането на тази цел? (възможно ли е целта да бъде постигната без да се обработват лични данни или да се обработват в по-малък обем)
• Пропорционалност: надхвърлят ли интересите на физическите лица легитимния интерес на администратора? (степента на намеса в личната сфера на субекта на данни съпоставима ли е с важността на легитимния интерес на администратора)
Примери
Вашата организация гарантира мрежовата си сигурност, като наблюдава използването на компютърните устройства на служителите си. Организацията може да обработва лични данни за тази цел, само ако е избран метод, който ограничава правата за неприкосновеността на личния живот и защита на данните на служителите в най-малка степен, например чрез ограничаване на достъпността на определени уебсайтове. Във всички случаи служителите и заинтересованите лица следва да са информирани за това.
Застрахователна компания обработва лични данни във връзка с превенция на застрахователни измами. Обработването на лични данни е въз основа на легитимния интерес на администратора.
Референции
член 6, както и съобр. (47), (48), (49) отРегламент (ЕС) 2016/679
ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА В СЪОТНОШЕНИЕ С ОСНОВАНИЯТА ЗА ОБРАБОТВАНЕ НА ДАННИТЕ ИМ
Някои от правата на субектите на данни съгласно GDPR се прилагат само когато обработването е въз основа на конкретни правни основания. Таблицата по-долу дава обща информация кои права биха могли да бъдат упражнени, когато личните данни се обработват въз основа на различните правни основания.
* Зелено– напълно приложимо; жълто– частично приложимо; червено– неприложимо.
Следва да се има предвид, че може да има други изисквания или ограничения по отношение на някои от изброените по-горе права на субекта на данните, но като първа стъпка администраторите трябва да разгледат кои права могат да бъдат приложими, когато изпълняват своите задължения за защита на данните. Освен това, физическите лица винаги имат право да възразят срещу обработването на личните си данни, независимо кое правно основание се прилага.
28.01.2020 г.
