Кои са основанията за обработка на лични данни, регламентирани в европейското и българското законодателство?

Нина Стоева
Управляващ съдружник правни услуги в Kreston BulMar
актуална версия версия: 3 юли 2020 471 уникалност: 81%

I. ОСНОВНИ ПОНЯТИЯ

За да може адекватно да се обяснят и съответно – да се разберат основанията за обработка на лични данни, следва да се разграничат понятията, с които борави законодателят. По този начин всеки администратор/обработващ лични данни, а и всяко отделно физическо лице, много по-лесно може да определи собствената си роля в процеса на обработка на лични данни и изхождайки от това – да определи основанието, на което се извършва обработката. Също така е много важно ролята на всяко едно дружество да бъде еднозначното определена, което ще бъде изяснено в настоящата статия. По този начин се улеснява и процесът по сключване на договори между различните лица, тъй като след влизане в сила на Общия регламент за защита на личните данни вече е необходимо във всеки договор да има предвидени клаузи, отнасящи се до обработката и сигурността на личните данни, обменяни по повод на изпълнението му.

Уточняването на ролята на обработващите лични данни, както и останалите понятия във връзка с обработването, продължава да е основен проблем в практиката и да създава спорове във взаимоотношенията между контрагенти.

За целите на настоящата статия следва да се знае, че приложимите нормативни актове са Регламент (ЕС) 2016/679 за обработването и обмена на лични данни на физически лица (GDPR), както и ЗЗЛД.

1. СЪЩНОСТ НА ЛИЧНИТЕ ДАННИ (чл.4, т.1 от GDPR/ §1, т.1 от ЗЗЛД)

„Лични данни“ представлява информацията, която е достатъчна, за да се идентифицира безспорно едно конкретно физическо лице. Тоест ако информацията, с която разполагаме, ни е достатъчна, за да можем от нея еднозначно да идентифицираме конкретно лице, то тя представлява лични данни. Тук е важно да се обърне внимание, че дори и да няма цел да се идентифицира дадено лице, ако информацията, с която разполагаме за него, е принципно достатъчна за неговата идентификация, то съответно тази информация представлява лични данни и ние сме длъжни да я съхраняваме, обработваме и изтриваме при спазване на предвидените нормативни изисквания.

От това определение могат да се направят няколко извода:

  • Необходимо е да разполагаме поне с две категории информация, за да се каже, че обработваме лични данни;
  • За да се класифицира една информация като лични данни, без значение е отношението на достъпващия тази информация към нея. Тоест ако лицето, което обработва личните данни, не познава лицата, за които те се отнасят, и не може да ги идентифицира, това не означава, че тези данни не са лични. Важно е, че принципно наличната информация е достатъчна за идентификацията на лицето и за нейната защита трябва да се полагат необходимите усилия.

2. СПЕЦИАЛНИ КАТЕГОРИИ ЛИЧНИ ДАННИ (чл.9, т.1 от GDPR/ чл.51 от ЗЗЛД)

„Специалните категории лични данни“ представляват такива данни, чието разкриване би довело до по-голям риск за правата и свободите на физически лица и които общоприето представляват чувствителна информация. С други думи – тези „специални категории“ представляват чувствителни лични данни. Към тази категория лични данни спадат:

  1. Данни за расов и/или етнически произход;
  2. Данни за политически възгледи;
  3. Данни за религиозни или за философски убеждения, членство в синдикални организации и др.;
  4. Генетични данни;
  5. Биометрични данни;
  6. Данни за здравословно състояние;
  7. Данни за сексуалния живот или за сексуалната ориентация на физическо лице.

3. СУБЕКТ НА ДАННИ (чл.4, т.1 от GDPR)

„Субект на данни“ е всяко физическо лице. С други думи – информацията за всяко физическо лице, с която то може да бъде идентифицирано, представлява негови лични данни и то разполага със законово гарантирани права спрямо тях.

4. ОБРАБОТКА НА ЛИЧНИ ДАННИ (чл.4, т.2 от GDPR/ §1, т.4 от ЗЗЛД)

Като „обработка на лични данни“ се определя всяко действие, свързано с лични данни, независимо дали то се извършва с автоматични средства, или не – т.е. без оглед на средствата. Такива действия са: събиране, записване, структуриране, организиране, съхранение, адаптиране/промяна, консултиране, извличане, употреба, разкриване чрез предаване, разпространяване (или друг начин, по който данните стават достъпни), комбиниране или подреждане, ограничаване, унищожаване или изтриване. Дори самото съхранение на лични данни представлява обработка на такива данни.

Всяко обработване на лични данни трябва да се извършва на база на конкретно основание. Обработването на лични данни без основание е неправомерно и е извършено в нарушение с приложимата нормативна уредба.

Основанията за обработка на лични данни са нормативно закрепени и изчерпателно изброени в Регламента. Тези основания ще бъдат засегнати в настоящата статия.

Важно е да се подчертае, че обработка на лични данни извършва както администраторът, така и обработващият лични данни. Тоест процесът на работа с лични данни винаги се нарича обработка, без оглед на качеството на лицето, което я извършва (дали то е администратор, или е обработващ лични данни).

5. АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

5.1. Администратор на лични данни (чл.4, т.7 от GDPR/ §1, т.2 от ЗЗЛД), по смисъла на Регламента за защита на личните данни и Българския Закон за защита на личните данни, е всяко лице (в тази група се включват както юридическите, така и физическите лица, които извършват търговска дейност, а също и органите и институциите, които са част от държавната и общинска администрация), което в търговската си дейност обработва лични данни и което само определя какви лични данни е необходимо да събира и съответно – за какви цели да ги обработва.

С други думи – всяко дружество, което събира и обработва за свои цели лични данни на физически лица по повод на изпълнение на предмета си на дейност, се явява администратор на лични данни.

Съгласно изложено от КЗЛД становище с рег. № НДМСПО-17-604/20.06.2018г. гр. София, 17.09.2018 г.: „Качеството администратор е пряко следствие от обстоятелството, че конкретно юридическо или физическо лице е избрало да обработва лични данни за свои цели или за цели, които са регламентирани с нормативен акт. При това положение, извън случаите, когато това е законово определено, администраторът сам взема решение относно необходимостта от събиране на лични данни, категориите лични данни, дали те да бъдат променяни или модифицирани в хода на обработването, къде и как тези данни да бъдат използвани и с каква цел, дали данните да бъдат разкрити на трети страни и кои да бъдат те, както и за колко време те ще бъдат съхранявани и кога и по какъв начин да бъдат унищожени“.

5.2. Обработващ лични данни (чл.4, т.8 от GDPR/ §1, т.3 от ЗЗЛД) е всяко лице, което обработва лични данни по указание от друго лице и от негово име. Тоест за да се направи разграничение с досега действащите правила, обработващ не е служителят на администратора, а друго юридическо лице, което обработва данните от името на администратора, по повод на сключен между страните договор за услуга.

Примери за обработващ лични данни:

  • Счетоводна къща или дружество, предоставящо услуги по обработка на заплати: Класически пример за обработващ лични данни е всяка счетоводна къща. Счетоводните къщи обработват лични данни, предоставени от друго дружество за целите на осчетоводяване на неговата дейност, а нерядко и за изплащане на възнаграждения на служителите на това дружество. Счетоводната къща няма друго основание да обработва данните, предоставени от конкретното дружество, освен основанията и целите, които самото дружество е определило на счетоводната къща и които са надлежно посочени в договора за счетоводно обслужване, сключен между страните.
  • Дружество, извършващо сервиз на стоки, продавани от друго дружество.
  • Съгласно изложено от КЗЛД становище с рег. № НДМСПО-17-604/20.06.2018г. гр. София, 17.09.2018 г.: „Основната разлика между администратор и обработващ се състои в това, че вторият действа не самостоятелно, а от името на администратора на лични данни. Техните отношения се уреждат с договор, който регламентира предмета, срока на действията по обработването, естеството и целта на обработването, вида лични данни и задълженията и правата на администратора, вкл. да извършва проверки (одити).“

6. РЕГИСТЪР С ЛИЧНИ ДАННИ (чл.4, т.6 от GDPR/ §1, т.8 от ЗЗЛД)

Под „регистър“ се разбира всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран или децентрализиран, или е разпределен съгласно функционален или географски принцип. Всяка складова програма, програма за обработка на взаимоотношения с клиенти или друга програма, в която има възможност да се търси по определени критерии или да се осъществява експорт на данни, представлява регистър.

II. ОСНОВАНИЯ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ (чл.6, т.1 от GDPR)

Личните данни могат да бъдат обработвани на базата на различни основания, които са изрично и изчерпателно изброени в GDPR. Тези основания са:

  1. ЗАКОН: Обработването е нужно, за да бъде спазено законово задължение, което се прилага спрямо администратора;
  2. ДОГОВОР: Обработването е нужно, за да бъде изпълнен договор, по който субектът на данните е страна, или за да бъдат предприети стъпки по искане на субекта на данните преди сключването на договор;
  3. ЛЕГИТИМЕН ИНТЕРЕС: Обработването е нужно за целите на легитимните интереси на администратора или на трета страна, освен в случаите, когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, и по-конкретно когато субектът на данни е дете.
  4. СЪГЛАСИЕ: Субектът на данните е дал своето съгласие за обработване на личните му данни за една или повече конкретни цели;
  5. ЖИЗНЕНОВАЖНИ ИНТЕРЕСИ: Обработването е нужно, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
  6. ОБЩЕСТВЕН ИНТЕРЕС: Обработването е нужно, за да бъде изпълнена задача от обществен интерес или за упражняването на официални правомощия, предоставени на администратора.
скрито платено съдържание: 60 думи;

1. На основание изпълнението на законово задължение на администратора.

скрито платено съдържание: 194 думи;

2. На основание изпълнение на договор, по който субектът на данни и администраторът на данни са страни

скрито платено съдържание: 107 думи;

3. На основание легитимните интереси на администратора, когато те не засягат основните права и интереси на лицето

скрито платено съдържание: 426 думи;

4. На основание съгласие на субект на данни

скрито платено съдържание: 405 думи;

5. На основание защита на жизненоважни интереси на лицето

скрито платено съдържание: 118 думи;

6. На основание изпълнение на задача от обществен интерес или при изпълнение на официални правомощия

скрито платено съдържание: 148 думи;

III. САНКЦИИ (чл.83 и чл.84 от GDPR/ чл. 84 – 87 от ЗЗЛД)

В зависимост от нарушенията, GDPR регламентира два прага на наказания, а именно:

1.         При нарушение на задълженията на обработващия или администратора на лични данни, имуществената санкция или глобата би могла да достигне до 10 млн. евро или до 2% от годишния световен оборот на дружеството за предходната година. Нарушенията, предвидени в това наказание, са свързани с:

  • нарушаване на условията, приложими за даването на съгласие от дете във връзка с услугите на информационното общество (чл.8 от GDPR);
  • идентифициране на субекти на данни, когато това не е необходимо (чл.11 от GDPR);
  • нарушаване на предвидените в Регламента задължения на администраторите и обработващите лични данни (такива са например воденето на регистър на дейностите, извършване на оценка на въздействието и много други);
  • нарушаване на правилата за сертифицирането (чл.42-43 от GDPR).

2.         Имуществената санкция или глобата може да достигне до 20 млн. евро или до 4% от годишния световен оборот на дружеството при извършване на нарушение на GDPR, свързани с:

  • принципите за обработка на лични данни;
  • предаване на лични данни на лице в трета държава;
  • правата на субектите на лични данни;
  • неспазване на указания или ограничения, които са дадени или наложени от надзорния орган.

При запознаване със санкциите, предвидени в GDPR, винаги трябва да се вземат предвид и разпоредбите на ЗЗЛД, тъй като Регламентът дава възможност за промяна и доразвиване в националните законодателства на някои от неговите разпоредби.

Така например в Регламента е посочено, че при предоставяне на услуги на информационно общество на деца под 16 г., без родителят да е позволил това, се налага административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR, а в случай на предприятие – до 2% от общия му годишен световен оборот за предходната финансова година (която от двете суми е по-висока). Българският ЗЗЛД препраща към същата санкция в Регламента, но възрастта на децата е свалена до 14 г.

Важно е да се отбележи, че тези размери на имуществените санкции и глоби са максимални – т.е. наказанията могат да варират съществено, в зависимост от сериозността на извършеното нарушение. Регламентът не индивидуализира наказанията по вид на нарушението, а са предвидени общи максимални санкции за редица нарушения, като по този начин оставя място за сериозни интерпретации. Въпреки това Работната група (по чл.29) посочва, че преценката за размера на наказанието зависи от необходимостта за корекция на виновното поведение, както и от това дали в конкретната хипотеза тази намеса на контролния орган ще има наказателен или възпитателен характер.

Въпреки липсата на обвързаност на нарушенията с конкретен размер наказание, в Регламента са посочени редица обстоятелства, които следва да бъдат съобразявани при определянето на пропорционално наказание. Такива обстоятелства например са:

  • Дали нарушението е извършено по небрежност, или умишлено;
  • Дали администраторът, респективно обработващият лични данни, оказва съдействие на надзорния орган за отстраняване на нарушението и смекчаване на неблагоприятните последици;
  • Каква е продължителността на нарушението, обхватът на обработването и засегнатите от нарушението субекти на данни;
  • Значение имат и други обстоятелства (регламентирани в чл.83, пар. 2 от GDPR).

При проверка на КЗЛД след сигнал или по собствена инициатива на комисията, в случай че се установи на нарушение, КЗЛД налага имуществена санкция или глоба, като наказателните постановления подлежат на обжалване пред районен съд и по реда на ЗАНН.

В случай че физическо лице подаде жалба до КЗЛД във връзка с нарушените му права, пред комисията се образува административно производство, което завършва с решение. Това решение може да се обжалва пред административния съд, съгласно правилата на АПК.

В България вече станахме свидетелите на практическото прилагане на горепосочените санкции. През втората половина на 2018 и през 2019 г. КЗЛД наложи редица санкции за неспазване на общите правила за защита на личните данни. Впечатление прави наложеното наказание на Банка ДСК, което е в размер на 1 000 000 лв. Наказанието бе наложено заради „неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти“.

Друг значим случай е пробивът в системата на НАП, чрез който беше осъществен „неоторизиран достъп, неразрешено разкриване и разпространение на личните данни на физически лица от информационните бази данни“. Вследствие на пробива бяха разкрити и разпространени данните на над 4 млн. физически лица. Този пробив в сигурността на НАП беше поводът за налагане на агенцията на най-тежкото наказание до този момент в България – от 5 100 000 лв.