Информация относно другите възможности за трансфер на данни, заложени в чл. 46 и чл. 49 от ОРЗД
I. Възможности за предаване на данни съгласно член 46 от ОРЗД:
1. Съгласно чл. 46, параграф 2, буква (а) от ОРЗДпредаването на данни може да се извършва чрез инструмент със задължителен характер и с изпълнителна сила (международни договори, публичноправни договори или пряко приложими административни споразумения и др.) В него следва подробно да са разписани:
– основните принципи за защита на данните – ограничение на целите, точност на данните и свеждане на данните до минимум, ограничение на съхранението, сигурност и поверителност на данните; правата, с които разполагат субектите на данни, включително конкретните ангажименти, поети от страните за осигуряване на такива- правото на прозрачност, на достъп, коригиране, изтриване, ограничаване на обработването и възражение, на автоматизирано вземане на индивидуални решения и правна защита; ограниченията на правата на субектите на данни, които следва да са в съответствие с член 23 от ОРЗД;
– случаите на последващото предаване на данни от получаващия публичен орган или получаващата международна организация на получатели, които не са обвързани със споразумението; – предаване на чувствителни лични данни по смисъла на член9, параграф1 от ОРЗД (ако е предвидено);
– механизмите за защита на правата на физическите лица;
– механизмите за надзор;
– възможностите за консултиране с компетентния надзорен орган.
2. Съгласно чл. 46, параграф 2, буква (д) от ОРЗД- администраторите / обработващите лични данни могат да предоставят данни в трета държава при наличие на одобрен кодекс за поведение съгласно член 40 и чл. 41 от ОРЗД.
3. Съгласно чл. 46, параграф 2, буква (е) от ОРЗД- администраторите / обработващите лични данни могат да предоставят данни в трета държава при наличие на одобрен механизъм за сертифициране съгласно член 42 и 43 от ОРЗД.
4. Съгласно чл. 46, параграф 3, буква (а) от ОРЗД администраторите / обработващите лични данни могат да предават данни на трети страни при подходящите гаранции, предвидени в договорни клаузи между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международната организация, като целта на изготвените клаузи следва да бъде постигането на равностойно или по-високо ниво на защита на личните данни на физическите лица, отколкото се въвежда със стандартните договорни клаузи, одобрени от ЕК съгласно чл. 46 (2) (в) от ОРЗД.
5. Съгласно член 46, параграф 3, буква (б) от ОРЗД- трансферът може да се осъществи посредством разпоредби, които да се включват в административните договорености (административни договорености, например, Меморандум за разбирателство). В тях трябва да е включена същата информация, която се изисква при изготвянето на инструментите със задължителен характер съгласно чл. 46, параграф 2, буква (а) от ОРЗД.
II. Възможности за предоставяне на лични данни в трети държави съгласно член 49 от ОРЗД.
1. При използването на възможностите за прилагането на дерогациите в особени случаи трябва да се вземат предвид следните общи изисквания: – наличие на правно основание и спазване на всички съотносими разпоредби на ОРЗД, включително глава V; – гаранции, че основните права на физическите лица няма да бъдат нарушени; – предварителна преценка на възможностите за трансфер на данни в рамките на един от механизмите, включени в членове 45 и 46 от ОРЗД; -преценка на наличието на важни причини от обществен интерес, които да ограничат предаването на специални категории данни на трета държава или международна организация (член 49, параграф 5); – честота на предавания на данни- могат да се извършват повече от веднъж, но не редовно,
2. Съгласно чл. 49, параграф 1, буква (а) от ОРЗД– съгласието следва да отговаря на изискванията на чл.4 точка 11 и чл. 7 от ОРЗД, което означава, че то трябва да е изрично, конкретно и информирано.
3. Съгласно чл. 49, параграф 1, буква (б) от ОРЗД- при предаване, необходимо за изпълнението на договор, сключен между субекта на данните и администратора, или за изпълнението на преддоговорни мерки, предприети по искане на субекта на данните трябва да се прецени необходимостта от предаването на данните и спецификата на случаите.
4. Съгласно чл. 49, параграф 1, буква (в) от ОРЗД– при предаване на данни във връзка със сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице също трябва да бъдат взети предвид необходимостта от трансфера и специфичния характер на случаите.
5. Съгласно чл. 49, параграф 1, буква (г) от ОРЗД– предаването е необходимо поради важни причини от обществен интерес- дерогацията се прилага само, когато от правото на ЕС или от правото на държавата членка, чийто субект е администраторът, може да се заключи също, че такива предавания на данни се разрешават за важни цели от обществен интерес.
6. Съгласно чл. 49, параграф 1, буква (д) от ОРЗД– предаването е необходимо за установяването, упражняването или защитата на правни претенции. Дерогацията не може да се използва, за да се обоснове предаването на лични данни въз основа само на възможността в бъдеще да бъдат образувани съдебни производства или официални процедури, като е необходимо е да е налице тясна връзка между дадено предаване на данни и конкретна процедура относно съответната ситуация. Предаването на всички значими лични данни в отговор на искане или за започването на съдебни производство не би било в съответствие нито с тази дерогация, нито с ОРЗД. Следва да се направи внимателна оценка на това, дали в съответния случай предоставянето на анонимизирани илипсевдонимизирани данни няма да бъдат достатъчно.
7. Съгласно чл. 49, параграф 1, буква (е) от ОРЗД– предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически, психически или юридически неспособен да даде своето съгласие- данните се предават, когато се налага оказването на спешна медицинска помощ и когато се счита, че такова предаване е пряко необходимо, за да се окажат необходимите медицински грижи, включително в случаи на настъпване на природни бедствия.
8. При предаването от публичен регистър- член 49, параграф 1, буква (ж) и член 49, параграф 2 от ОРЗД– въпросният регистър трябва да е предназначен да предоставя информация на обществеността, като следва да се има предвид че:
– предаванията от тези регистри могат да се правят само ако и доколкото във всеки конкретен случай са изпълнени условията за извършване на справка, установени в правото на Съюза или на държава членка; – трансферът не може да включва всички лични данни или всички категории лични данни, съдържащи се в регистъра (член 49, параграф 2);
– износителите на данни винаги трябва да вземат предвид интересите и правата на физическите лица;
– по-нататъшното използване на личните данни от такива регистри, както е посочено по-горе, може да се извършва само в съответствие с приложимото право за защита на данните.
9. При наличието на неоспорими законни интереси- член 49, параграф 1, абзац 2 от ОРЗД– при липса на други условия за предаване и съгласно формулировката на дерогацията предаването трябва да е необходимо за целите на преследването на неоспоримите законни интереси на администратора на данни, пред които нямат преимущество интересите или правата и свободите на субекта на данните, като разпоредбата да се прилага само за предаване на данни, което не е повторяемо и се засяга само ограничен брой субекти на данните, като се спазва задължението за уведомяване на надзорния орган и информиране на субекта на данните за предаването и за преследваните неоспорими законни интереси.
Работни документи на ЕКЗД, свързани с прилагането на чл.46 и чл.49 (на английски език):
17.05.2021 г.
