Автор: Адв. д-р Цветослав Митев*
Приетият през 2016 г. Общ регламент (ЕС) 2016/679 относно защита на данните („Регламентът“, „ОРЗД“ или „GDPR”) започна да се прилага в неговата цялост от 25.05.2018 г. и въведе редица нови права и задължения, във връзка с уредбата относно защита на физическите лица и обработването на личните данни.
Основен акцент в новата уредба, освен върху сигурността на личните данни, е поставен и върху упражняването на правата на т. нар. „субекти на данни“, до които се отнасят личните данни по смисъла на ОРЗД, които са обособени в Глава III „Права на субекта на данни“ от ОРЗД, а именно:
право на информация;право на достъп;право на коригиране;право на изтриване;право на ограничаване на обработването;право на преносимост на данните;право на възражение;право да не бъде обект на изцяло автоматизирано решение, вкл. профилиране;право на оттегляне на съгласие.
Горепосочените права могат да се упражняват спрямо администраторите (които определят целите и средствата за обработване) и обработващите лични данни по реда на ОРЗД. Въпреки това, в практиката, често е трудно да се прецени, дори от опитно длъжностно лице по защита на данните, дали конкретно искане за упражняване на съответно право е основателно. Същевременно, сроковете за отговор са сравнително кратки – 1 месец, а ако оценката на искането е неправилна, то почти сигурно е, че субектът на данни ще подаде жалба пред Комисията за защита на личните данни.
В помощ на администраторите, на пазара се появиха разнообразни софтуерни продукти, които съдържат бланкови процедури в опит да предоставят насоки как да се подходи при постъпило искане от субект на данни. Повечето от тях са доста повърхностни и донякъде подвеждащи, защото не правят необходимите връзки между отделните права, кога те се изключват взаимно и кога могат да бъдат упражнявани заедно, както и кои законови основания за обработване са съвместими или изключват директно упражняването на някои от правата. В това отношение, изключение прави продуктът „GDPR Справочник“ на „Сиела Норма“, който подхожда систематично и задълбочено, като отчита че разпоредбите на Регламента не следва да се прилагат изолирано едни от други, а в тяхната цялост, без да претендира, че може да замести изцяло ролята на експерта и човешкия фактор.
Продуктът „GDPR Справочник“ представя конкретните етапи, стъпки и участници при обработването на всяко искане, което е в помощ, както на администратора, така и на субекта на данни чрез ясни и достъпни схеми, като отделя специално внимание и на елемента оценяване валидността на искането. Включени са и таблици, подобни на представената тук, като база за извършване на необходимата оценка. За да бъдат правилно използвани като всеки специален инструмент, и този предполага определен минимум от знания и познаване на Регламента.
В редица случаи, искането може да се окаже невалидно, както сочи и практиката. Например, често субекти на данни правят опити без надлежно оправомощаване да упражнят права на трети лица – субекти на данни. Обикновено това са управители/директори на дружества, които искат анонимизиране или изтриване на данни за съдружници/акционери, без да отчитат че правата по ОРЗД са индивидуални и съответно се упражняват само лично или с надлежно оправомощаване.
Практиката по ОРЗД показва и че голям брой субекти на данни възприемат правата по Регламента като абсолютни и нетърпящи ограничения, а те не са такива. Не всяко искане следва да бъде уважено. Неразбиране поражда и фактът, че от една страна, ОРЗД не изисква искането да посочва конкретни основания или причини, за да бъде правото валидно упражнено, а от друга страна, дори и да са посочени конкретни основания, то искането пак може да се оцени като невалидно. Именно при тази оценка могат да бъдат полезни инструментите - справочници.
Друг пример за невалидно искане е искането за оттегляне на съгласие, когато такова никога не е било давано и не е било необходимо, защото данните се обработват на друго основание – по договор, по закон и т.н. Невалидни са и анонимните искания за упражняване на права, особено и след като е пропусната предоставената допълнителна възможност за потвърждаване на самоличността на субекта на данните.
Често срещани ситуации от практиката могат да бъдат полезно систематизирани в таблици като представената тук Таблица № 1, каквато предлагат GDPR справочниците, но трябва да се има предвид, че те дават знание за общите случаи и не може да се очаква, че обхващат цялата пъстрота и многообразие в отношенията при обработване на лични данни. Например, в повечето случаи правото на информация, ако е надлежно упражнено, не може да бъде възпрепятствано, но и тук имаме изключения, когато специално законодателство предвижда ограничения, когато се води разследване за евентуално извършено престъпление и др. Въпреки това, продукти представящи общите случаи са изключително полезни за филтриране на стандартните ситуации и бързото им обработване, за да може в срок администраторът или обработващият лични данни да се фокусира върху онези с по-голяма фактическа сложност.
Цялостната процедура по обработване и оценка на искането за упражняване на права по ОРЗД може да бъде допълнително оптимизирана чрез предварително подготвени образци на документи и регистри систематизирани в справочници. Например, „GDPR Справочник“ дава варианти на подобни предварително експертно разработени документи, включително регистър на исканията, процедури за обработване на исканията и др. Разбира се, подобни продукти, макар и да покриват повечето стандартни случаи от практиката, постоянно се актуализират, за да са отговорят на обществените отношения, които подпомагат. В тази връзка, неизбежно възникват нови случаи, при които ще бъде задължително да се потърси съдействието на външни експерти и дори становище от страна на Комисията за защита на личните данни, но дори и в подобни ситуации продуктите - справочници бързо ни насочват, че сме изправени пред нестандартна ситуация и могат да ни спестят време и усилие.
Като цяло, предвидените по ОРЗД права не трябва да бъдат упражнявани самоцелно, тоест, когато е видно, че данните се обработват добросъвестно и прозрачно без да водят до особени рискове за субекта на данни, не е оправдано да се иска непременно тяхното изтриване. Особено това е в сила за случаите, при които публично достъпна информация от публични регистри се използва за целите на бизнеса и подпомагане на сигурността в търговския оборот и в обществен интерес.
*Адв. д-р Цветослав Митев, вписан в САК и в Холандската адвокатска колегия в Брюксел (NOAB) и е хон. ас. в ЮФ на УНСС по дисциплината Право на ЕС. Експерт по ИТ право, защита на данните, конкуренция, търговско и корпоративно право.