Коментираната тематика е инспирирана от факта, че множество стопански субекти и/или техните консултанти интерпретират Общия регламент за защита на личните данни(наричан по нататък в изложението ми GDPR от англ. General Data Protection Regulation) не в точния му юридически, съответно технически смисъл, а “нагаждайки го” най-вече към техническата база и реалните(настоящи) търговски интереси на конкретно дружество. Тук връзката между един абстрактен международен нормативен акт(GDPR), насочен към охраната на личните данни в 21 век и правилното му прилагането от българските стопански субекти се скъсва. Бих искал да посоча няколко от причините за този процес, с цел тяхната корекция и точно правоприлагане – обратното поведение, според мен, в бъдеще би било в основата на множество юридически проблеми, свързани с налагането на имуществени санкции на “неразбралите” нормативната база юридически лица от управомощения държавен орган – Комисията за защита на личните данни.
1.Дали дадена фирма следва да администрира лични данни или не? Започвам изложението си с факта, че фирмите, с които комуникираме по темата “лични данни” и имплементиране на GDPR много често стигат до два погрешни базисни “извода”:
– първо, че определени данни, с които оперират и работят “не са лични данни;
-второ, че данните на служителите им, обработвани например от външна счетоводна фирма и/или фирма за управление на човешки ресурси, не подлежат на GDPR уредба при първите като администратор, тъй като “администрирането се извършвало от друго юридическо лице, обработването не било електронно” и поради тази причина “не попадало в хипотезата на Общия регламент за защита на лични данни”.
В чл. 4, ал. 1 от Общия регламент за защита на личните данни е дефинирано легалното определение за „лични данни“, което създава императивното правило, че с това понятие се означава всяка информация, свързана с идентифицирано физическо лице или такова лице, което може да бъде идентифицирано („субект на данни“). Физическото лице, което може да бъде идентифицирано, е субект на правото, който е индивидуализиран пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Казаното означава, че всяко лице, което може реално да бъде индивидуализирано чрез неговите три имена (идентификатор име), единен граждански номер или номер на лична карта (идентификационен номер), адрес (данни за местонахождение), имейл или профил в Интернет (онлайн идентификатор), пол, зеници, пръстови отпечатъци, форма на лицето (биометричен идентификатор), медицински данни (физиологичен и психически идентификатор), професия (икономически идентификатор), образование (умствен идентификатор), религия, националност и сексуална ориентация (културен и социален идентификатор) е субект на лични данни. Обработването, с която и да е от тези категории данни, чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин от даден стопански субект представлява дейност по администриране на лични данни съгласно чл. 4, ал. 2 от Общия регламент за защита на личните данни.
Много често българските фирми решават, че съхраняването на имейли, чрез които кореспондират с дадени физически лица, не е обработване на лични данни, което е невярно, защото в тази хипотеза те оперират с онлайн идентификатор на данни. Друга такава грешка, но с обратен знак е виждането, че заснемането на лица с охранителни цели от камери, в офиси или публични пространства, е обработване на лични данни. Това становище също е погрешно, тъй като подобен технологичен процес би осъществявал администриране на лични данни, само ако води реално до биометрично разпознаване на дадено лице по негови индивидуални физически белези – пръстови отпечатъци, форма на лице, зеници и т.н(биометричен идентификатор). Има системи, които осъществяват достъп до дадени помещения на базата на разпознаване по биометрични данни[1], но видеозаснемането с охранителни цели не е част от тази хипотеза, като доказателство за казаното са ограниченията в този контекст, упоменати в чл. 23, ал. 1, буква “в” и “з” от Общия регламент за защита на личните данни, касаещи обществената сигурност и извършваното наблюдение в тази насока.
Що се отнася до личните данни на служителите, то администраторът е длъжен да ги обработва при засилени технологични (криптиране) и/или физически (заключване в специални шкафове) мерки за сигурност, които се отнасят към т.нар “специални категории лични данни”, уредени в чл. 9, ал. 2, буква “б” от Общия регламент за защита на личните данни. Обработването на личните данни на наетите лица по трудово или служебно правоотношение са по-специално тези във връзка с условията, при които личните данни в контекста на трудово или служебно правоотношение могат да бъдат обработвани въз основа на изричното съгласие на наетото лице, за целите на набирането на персонал, изпълнението на трудовия договор, включително изпълнението на задължения, установени със закон или с колективни споразумения, управлението, планирането и организацията на работата, равенството и многообразието на работното място, здравословните и безопасни условия на труд, както и за целите на упражняването и ползването на индивидуална или колективна основа на правата и облагите от заетостта, а също и за целите на прекратяването на трудовото или служебното правоотношение[2].
Погрешно е в този контекст виждането, че отговорността за личните данни на служителите, може да бъде прехвърлена другиму. Напротив, важно е да се отбележи, че във всяка една хипотеза работодателят се счита за основен администратор на лични данни на служителите си. Спрямо личните данни той трябва да предприеме засилен контрол по тяхната технологична, онлайн, сървърна и физическа охрана, чрез оформянето на конкретен регистър за тяхното обработване (регистър “специални лични данни”, за който ще стане въпрос по-надолу в изложението). Работодателят е длъжен да поддържа както електронен регистър за личните данни на служителите си, така и физически – например под формата на досиета в папки.
В случаите, в които работодателят е в хипотеза на съадминистриране на специални лични данни на служители с трети лица – външни фирми, които осъществяват въпросното обработване, спрямо тези субекти трябва да е предприет аналогичен режим за задълженията им по чл. 9, ал. 2, буква “б” oт Регламента, както и да са налице договорни отношения между съадминистраторите по чл. 26 от Общия регламент за защита на личните данни, като строго се спазват изискванията към съадминистраторите, касаещи начина, по който са придобити личните данни по чл. 13 и 14 от Регламента.
- Съгласие за администриране на лични данни – в кои хипотези то е нужно, съответно излишно? Съгласие следва да се дава чрез ясно утвърдителен акт (според смисъла на Регламента той винаги е изричен), с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Случаите, в които съгласие не е нужно, са тези, в които вече е започнало обработване на лични данни. Случаите, в които лични данни се обработват по закон и хипотезите, в които съгласието е дадено на базата на договор. Нелогично е в този контекст една банка да изисква от клиентите си декларация за съгласие, ако тя вече админстрира личните данни на даден клиент, клиентът е такъв по договор (чл. 6, ал. 1, буква “б” от Регламента) за влог или кредит (например), а и данните относно кредитоспособността на обслужваното лице се администрират по закон (чл. 6, ал. 1, буква “в” от Регламента)[3]. Подобните примери са хиляди – например при правооотношения в публичния сектор, мобилните оператори, електроразпределителните дружества, комунални и битови услуги и т.н.
Според мен прекаленото формализиране на съгласието, в този ред на мисли, е ключова грешка, която в бъдеще ще доведе до блокиране на множество правоотношения, чрез създаване на излишна бюрократична тежест между правните субекти, която Регламента не презюмира – напротив, стремежът е към улесняване и сигурност на гражданския оборот в 21 век. Примерът за това, че съгласието може да е неформално (т.е устно) е нормата на чл. 7, ал. 1 от Регламента, която застъпва виждането, че когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни. Тук никъде не се говори за “писмено съгласие”, а за опцията актът на съгласие да бъде доказан. Тази концепция е доразвита и от хипотезата на чл. 7, ал. 4 от Общия регламент за защита на личните данни, която казва, че когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.
Фактът на даденото съгласие естествено е в основата на законосъобразното администриране на лични данни. Ето защо мълчанието, предварително отметнатите полета или липсата на действие, не следва да се кредитират като воля за съгласие. Друга практическа грешка, която често се допуска е обстоятелството, че обикновено липсва съгласие за всички дейности по обработване, извършени за една и съща цел или цели. Търговските дружества е необходимо да презюмират, че, когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие – например, ако някой е предоставил личните си данни за публикуване на обяви, но сайтът или изданието имат и хартиени версии или афилиейт партньори, субектът на данни следва да е дал и съгласие за съадминистриране на неговите данни от други медии, които се явяват трето лице на основния администратор, на който той е позволил администриране на лични данни за целите на рекламата. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.
Писменото съгласие в повечето случаи се дава чрез клик бокс система (онлайн) или чрез изрична писмена декларация (физически). Длъжен съм да отбележа, че много от администраторите на данни пропускат или неглижират факта, че са длъжни да уведомят (обикновено чрез имейл или по друг подходящ начин) всеки субект на лични данни за началния момент на администриране на данните[4], какви лични данни се администрират, както и за кои точно цели тези данни се администрират. Това неразбиране на обратния уведомителен режим, насочен къмсубекта на данните, може да доведе до описаните санкции в Общия регламент за защита на лични данни.
- Какво представлява съадминистрирането на лични данни и в какви хипотези възниква то? Когато двама или повече администратори съвместно определят целите и средствата на обработването на лични данни, те са съвместни администратори[5].За да има съадминистриране трябва да е налице договор между съадминистраторите в хипотезата на чл. 26, ал. 2 от Общия регламент за защита на личните данни. Този договор отразява това кой има водеща и второстепенна роли като съадминистратор спрямо субекта на данни, като съществените характеристики на договора са достъпни за субектите на лични данни.
Казаното в голяма част от случаите не се осъзнава от стопанските субекти в България. Може да се каже, че в момента търговските дружества не са наясно въобще какво представлява понятието “съадминистриране на лични данни” юридически – естествено с малки изключения, които пък не познават детайлите. Технически хаусът е още по-пълен. Ще поясня защо. Както стана ясно, в много от случаите съадминистрирането е факт в една доста банална хипотеза – външно осчетоводяване и водене на регистри с лични данни от трети лица спрямо основния администратор. В тези случаи обикновено има договор между два правни субекта, но той не касае съадминистриране на лични данни, а предоставяне на счетоводни или HR (от англ. “human resources” – човешки ресурси) услуги. Тук логичното заключение е, че трябва да се сключи нов договор по чл. 26, ал. 2 от Общия регламент за защита на личните данни или анекс към първоначалния договор за услуги с подробни GDPR клаузи, касаещи осъщестяването на съадминистриране на лични данни.С това проблемът не се изчерпва, защото данните, с които се оперира в това правоотношение, са “специални лични данни”. Спрямо тях и при базисния администратор (работодателят) и при вторичния съадминистратор (счетоводна или HR кантора) трябва да се поддържа регистър за специални лични данни, който да е криптиран (ако е електронен) или заключен в специални за целта шкафове (ако представлява физически досиета в папки). До тази дълбочина в уредбата на фирмените си политики по охрана на лични данни малко дружества в България са стигнали, което е грешка, водеща до възможност за съответни санкции по неправилно обработване на специални лични данни, които би следвало да са с най-висок приоритет на защита.
На технологично ниво също се наблюдават погрешни практики в хипотезата на съадминистриране. Ще дам пример. Много малко фирми отчитат факта, че са съадминистратори на лични данни, обработвани през социални мрежи и сайтове на трети спрямо тях лица. Ако клиент (физическо лице) си прави резервация за екскурзия през сайт на онлайн резервационна система, тя му дава право да се регистрира в сайта чрез профила си във “Фейсбук” или “Гугъл” (например). Ако клиентът се съгласи с подобен тип регистрация, личните му данни, чрез техния пренос на технологично ниво, ще попаднат в системата за регистрирани потребители на сайта за резервации. В този момент ще настъпи съадминистриране на лични данни на клиента между въпросния сайт и социалната мрежа “Х”. За да завърши резервацията лични данни на клиента ще бъдат изпратени и на сайта на хотела, в който той е пожелал да има резервация. Това е типичен пример за съадминистриране между три различни правни субекта, което се е осъществило онлайн, по Регламент би следвало да е на базата на договор, като за началния момент на съадминистрирането, вида лични данни и целта му, субектът на лични данни следва да бъде уведомен. Примерите от подобен тип са хиляди. Неглижирането или по-скоро неосъзнаването на този процес като такъв по съадминистриране на лични данни и неуреждането му договорно между отделните правни субекти, участници в него, може да доведе до презюмираните санкции.
- Какво представлява процесът по пренос на данни, защо той е неглижиран и кое го прави важен от техническа гледна точка? Съгласно чл. 20 от Общия регламент за защита на личните данни, субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени. Преносът на данни по описания начин в практиката се случва обикновено в хипотези, в които субектът е дал съгласие за администрирането с конкретна цел, по договор или когато обработването е автоматизирано[6]. Както стана ясно от примера с туристическата резервация, преносът на данни касае и хипотезите на съадминистриране, особено когато тези процеси са автоматизирани и се извършват в онлайн среда. Регламентът стимулира въвеждането на опцията за пренос на данни, тъй като в 21-и век очевидно тя води до подобряване качеството на услугите онлайн при максимално отстояване на интересите на субекта на лични данни.
Преносът на лични данни е право на притежателя им, т.е той трябва да съществува като технологичен процес във всяко едно търговско дружество, особено в тези, които оперират онлайн. Реакцията на българския бизнес в обратната посока и неразбирането, изразено чрез фрази от типа “защо трябва да въведа и това” има само един отговор – защото субектът на данни има право на пренос, независимо от факта, дали на някого му харесва, или не. В крайна сметка платформи за автоматичен пренос на данни съществуват от години и имплементирането им в един онлайн бизнес е въпрос единствено и само на настройки на един панел към определен сайт. Другият логичен мотив за въвеждане технически на възможността за пренос на данни е угрозата от евентуална глоба, тъй като невъвеждането на пренос в определени хипотези би се квалифицирало като липса на минимални технически стандарти за относимост към предписанията на GDPR.
- Проблемът с регистрите на личните данни – как технически следва да се структурират, защо те следва да са криптирани (ако са електронни) или заключени (ако са физически)? Съгласно легалното определение на чл. 6, ал. 4 от Общия регламент за защита на личните данни „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален, или географски принцип. Множество правно субекти в България намират, че “им е нужен само един общ регистър за личните данни”, с което аз не мога да се съглася. Според мен логиката на Регламента сочи, че регистър следва да се създаде за всяка категория обработвани лични данни[7], които са:
– регистър общи лични данни[8] – три имена, ЕГН, адрес, имейл – аз наричам тези лични данни такива от клас едно. Тези данни следва да са структурирани като база данни в електронен вид и/или на хартиен носител – досиета, разпределени в основна “папка” и подпапка за всяко конкретно лице.
– регистър специални лични данни[9] – тези по трудови договори, болнични, здравни изследвания, биометрични данни – аз наричам тези лични данни такива от клас две. Тези данни също следва да са структурирани като база данни в електронен вид и/или на хартиен носител – досиета, разпределени в основна “папка” и подпапка за всяко конкретно лице.
– регистър за изтритите лични данни[10] – има доста аргументи против този регистър, но ми се иска да обясня защо според мен той трябва да същестува. Причината е и технологична, и юридическа. Представете си, че този регистър е вид “кошче за боклук”, в което попадат изтритите лични данни. Така, при нужда, администраторът ще може да докаже, че тези данни са били в това “кошче” като съдържание, тъй като те ще оставят електронни “следи” (като информация) в този регистър. В противен случай твърдението “аз изтрих” ще звучи много абстрактно и реално ще е недоказуемо, като това може да доведе и до злоупотреба с лични данни – например при архивирането и използването на “изтрити” лични данни за конкретни незаконни цели.
– регистър за ограничените лични данни[11] – в този регистър се преместват технически ограничените лични данни. Нормата на чл. 4, ал. 3 от Общия регламент за защита на личните данни казва, че „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще. Тази хипотеза допълнително потвърждава извода, че ограничените лични данни следв да се съхраняват като такива в конкретен регистър, поне докато ограничаването не бъде отменено съгласно чл. 18, ал. 3 от Общия регламент за защита на личните данни.
– регистър за псевдонимизирани лични данни[12] – в този регистър се преместват технически псевдонимизираните лични данни. Според определението на чл. 4, ал. 5 от Общия регламент за защита на личните данни, „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано. Самото определение съдържа в себе си презумпцията за създаване на регистър за псевдонимизирани лични данни, който факт е нормативно безспорен. Подобна препоръка прави и чл. 25 от Регламента.
– регистър за лични данни на деца[13] – Общият регламент за защита на личните данни изгражда правилото, че на децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-конкретно за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Всичко казано недвусмислено води до извода, че личните данни на деца спадат към т.нар “чувствителни лични данни” и тяхното обработване трябва да се извършва чрез изричен регистър.
Друга грешка, която се допуска в практиката е отричането на факта, че регистрите следва да се водят както на елетронен, така и на хартиен носител[14], като до тях трябва да се осигури достъп (при електронните база данни отдалечен такъв) както на субекта на данните, така и в лицето на надзорния орган – Комисията за защита на лични данни (чл. 30, ал. 4 от Рагламента).
Голямо неразбиране на Регламента сочи и провратното коментиране на нормата на чл. 30, ал. 5. Тя казва, че регистри не следва да се поддържат от предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории лични данни или такива, свързани с присъди и нарушения. В този момент повечето стопански субекти в България реагират по два начина – “нямаме 250 служители, значи за нас GDPR не важи” или “не обработваме специални лични данни”. Нека отново да поясня – винаги, когато става въпрос за трудови правоотношения е налице обработване на специални лични данни, т.е коментираната норма и нейното приложение автоматично отпада. Няма значение в този контекст дали служителите са 250 или 25. Ясно е, че специалните лични данни съдържат и общи такива – три имена, ЕГН, адрес и т.н. Винаги мащабното опериране с лични данни води до риск за правата и свободите на субектите на данни. Такъв няма, само ако обработването е спорадично – пример за това е едноличен търговец, който няма служители и бизнесът му не е свързан с обработка на лични данни на физически лица.
- Предходната тема води до следващия спорен въпрос от практическа гледна точка – в кои хипотези се назначава длъжностно лице по защита на данни (ДЛЗД)? Голямото лутане относно прилагането на института на беше разпостранената от множество “консултанти” теза, че “то се назначава винаги, когато фирмата има повече от 250 служителя или обработва данните над 10000 субекта (физически лица)”. Ще обясня защо и двете коментирани тези не са верни. Първата теза (за 250-те служителя) сочи неразбиране и доста изкривено тълкуване на смисъла на нормата на чл. 30, ал. 5 от Общия регламент – факт, който вече бе коментиран в детайл. Втората теза (за над десет хиляди лични данни) представлява интерпретация на едно очаквано изменение на Закона за личните данни относно внасянето на количествени критерии за понятието “мащабно наблюдение на лични данни”, което не отговаря на смисъла на Регламента, тъй като в него няма изискване за бройка, за да се калифицира едно обработване или наблюдение като мащабно. Напротив. Нормата на чл. 37, ал. 1 от Общия регламент за защита на личните данни е формулирана абстрактно, за да покрие максимален брой хипотези. Тя кава, че администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:
- a) обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
б) основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или
в) основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения по член 10 от Регламента.
По мое мнение, всяко обработване на данни, което е осъществявано редовно и систематично спрямо личните данни на над 100 физически лица е мащабно. Защо? Защото бройката е достатъчно голяма, а и защото именно в хипотезата на чл. 30, ал. 5 от Регламента подобен тип обработване може да породи риск за правата и свободите на субектите на данни. Под редовно и систематично имам предвид всеки ден – пример, даден хотел администрира ежедневно личните данни на 100 лица (средно 20 дни в месеца), като едновременно с това същия хотел администрира месечно и личните данни на своите 50 служители. Изводът сочи, че месечно хотелът администрира общи лични данни на 2000 души и само на петдесет специални лични данни на служители като константна величина, но и първото обстоятелство оправдава назначаването на ДЛЗД поради редовното и систематично мащабно наблюдение на субекти на данни. При една болница например мащабното ежедневно наблюдение на специални лични данни на болните, би оправдало назначаването на ДЛЗД, спрямо специалните данни на лекерите служители, които болницата обработва месечно по трудово правоотношение (за които евентуално ДЛЗД няма да е нужно).
ДЗЛД може да бъде назначено в две хипотези – на трудов договор или като външен консултант. И в двата случая това обстоятелство се вписва в Комисията за защита на лични данни, чрез изрично създадена вече от комисята бланка по повода.
7.Важни ли са мерките по онлайн, сървърна и физическа сигурност, касаещи уведомяване при унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни? Тези мерки също са някак първоначално крайно неглижирани от някои търговски дружества с поведнеие от типа “сега и това ли трябва да правим”. Ето защо ми се иска да отбележа, че с оглед сигурността на обработването, в чл. 32, ал. 1 от Общия регламент за защита на личните данни, мерките по криптиране на електронни бази данни, касаещи споменатите шест регистъра на сървърно ниво(и на ниво сайт), са силно препоръчани. Освен това Регламентът укзва и наличие на способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване – тези обстоятелства се осигуряват чрез т.нар сървърна сигурност, гарантиране на постоянно електрозахранване на сървъра, техническа изправност на неговите компоненти и т.н. Що се отнася до физическите регистри, този критерий би бил изпълнен, ако те са охранявани в помещения със СОТ, досиетата са заключени в специални шкафове и до тях да имат достъп точно определни лица. Други препоръки на Общия регламент за лични данни в тази насока са способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент (бакъп или двойно архивиране – физическо и електронно), както и процеси на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването. Аз бих препоръчал и имплементиране на софтуерна или физическа сигнализация, която да уведомява администратора при неоторизиран достъп до масиви с лични данни. Защо? Това ще стане ясно при дискутиране на слдващия проблем в статията.
- Трябва ли Комисията за защита на лични данни и субекта на данните да бъдат уведомени при незаконосъобразни действия, насочени към неоторизиран достъп до лични данни? Повечето правни субекти в България са на мнение, че биха уведомили Комисията за защита на лични данни, “ако открият такива нарушения или разберат за тях”. Регламентът застъпва виждането, че подобно уведомяване не е пожелателно, а задължително, най-вече с оглед избягването на презюмираните тежки санкции. Според мен, опциите за уведомяване са две – с изричен имейл (който може и да е автоматизиран на базата на софтуерно решение) и с уведомително писмо на хартиен носител. С оглед казаното в предходния абзац, подобно уведомяване би се случило в предвидения от чл. 33 от Регламента срок от 72-а часа, само ако технологично е налице изграден адекватен сигнализационен режим за неоторизиран достъп. “Пропускането” на този уведомителен режим автоматично води до имуществена санкция – глоба, като се оценя поведението на администратора по уведомителния режим към надзорния орган по чл. 83, ал. 2, буква “з” от Общия регламент за защита на личните данни.
Аналогична е и уредбата на уведомителния режим спрямо субектите на лични данни. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без каквото и да е било ненужно забавяне, следва да съобщи на субекта на данните за нарушението на сигурността на личните данни[15] – отново с имейл или писмо. Липсата на уведомителен режим спрямо субекта на данни автоматично води до имуществена санкция – глоба, като на основание чл. 83, ал. 2, буква “в” от Общия регламент за защита на личните данни се оценя действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни.
- Каква е ролята на финалния анализ по оценка на въздействието на въведените фирмени правила и технологични мерки и оценка на риска? Кои лица участват в този процес и защо той е важен? Когато съществува вероятност определен вид обработване, при което се използват нови технологии (например онлайн базирани бизнеси) и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни[16]. Този анализ е нужен, за да се даде цялостна картина върху имплементираните препоръки по GDPR във високотехнологична среда. Въпросният финален етап спомага и за изчистване на юридически или технически грешки и неясноти при прилагането на Общия регламент за защита на лични данни, които много често се дължат на неправилно консултиране, изкривени субективни възприятия за смисъла на Регламента и фриволни технологични интерпретации при прилагането на негови норми. Оценката на въздействието върху защитата на данните, се изисква задължително в следните случаи:
- a) систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;
б) мащабно обработване на специални категории данни, посочени в член 9, ал. 1 от Регламента или на лични данни за присъди и нарушения по член 10 от GDPR; или
в) систематично мащабно наблюдение на публично достъпна зона.
Важно е да се отбележи, че с оглед обективна оценка на въздействието върху защитата на данните, администраторът иска становището на ДЛЗД, когато такова е назначено или с него е сключен консултантски договор. Понякога, от желание за целесъобразност, администраторът се консултира и със субектите на данните относно целите на планираното обработване, без това му поведение да засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване. Ако извършеният финален анализ по въздействието върху защитата на данните покаже, че обработването ще породи висок риск и ако администраторът не предприеме мерки за ограничаване на риска, той е длъжен да предприеме конултации с Комисията по защита на лични данни относно правилното прилагане на Общия регламент за защита на личните данни и националното законодателство на Република българия по темата – Закона за защита на личните данни.
Автор: адвокат Атанас Костов
[1] Аргумент от чл.51 от Преамбюла на Общия регламент за зашита на личните данни, които закрепя правилото, че обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице.
[2] Аргумент от чл.155 от Преамбюла на Общия регламент за зашита на личните данни.
[3] Аргумент от чл.31 от Закона за банките и кредитното дело.
[4] Аргумент от чл.14, ал.3, букви “б” и “в” от Общия регламент за защита на личните данни във връзка с чл.61 от Преамбюла на Регламента.
[5] Така чл.26, ал.1 от Общия регламент за защита на личните данни.
[6] Аргумент от чл.20, ал.1, букви “а” и “б” от Общия регламент за защита на личните данни.
[7] Така чл.30, ал.1 от Общия регламент за защита на личните данни
[8] Аргумент от чл.4, ал.1 от Общия регламент за защита на личните данни.
[9] Аргумент от чл.9, ал.2 от Общия регламент за защита на личните данни.
[10] Аргумент от чл.17, ал.1 от Общия регламент за защита на личните данни.
[11] Аргумент от чл.18, ал.1 във връзка с чл.4, ал. 3 от Общия регламент за защита на личните данни.
[12] Аргумент от чл.4, ал.5 от Общия регламент за защита на личните данни.
[13] Аргумент от чл.38 от Преамбюла във връзка с чл.8 на Общия регламент за защита на личните данни.
[14] Така чл.30, ал.3 от Общия регламент за защита на личните данни.
[15] Така чл.34 от Общия регламент за защита на личните данни.
[16] Така чл.35, ал.1 от Общия регламент за защита на личните данни.