Какво е GDPR, кой попада под обхвата му, кои данни са лични и какво представлява обработването на лични данни, кога е необходимо съгласие за това и в каква форма е необходимо да се даде?
Кое лице е Администратор на лични данни и какви задължения има, кога обработването може да се възложи на Обработващ личните данни и кога е задължително назначаването на Длъжностно лице по защита на данните?

Какви са задължителните документи, които всеки Администратор на лични данни трябва да притежава при обработването на лични данни, предвидените санкции за нарушения и с какво може да бъде полезен адвокатът.
Какви са правата на физическото лице, чиито лични данни се обработват, включително правото на информация, възражение, жалба до КЗЛД или до съд, искане за изтриване и правото „да бъдеш забравен”.

GDPR представлява Регламент за защита на личните данни (ЕС) 2016/679, който влиза в сила от днес (25.05.2018) по отношение на всички Държави-членки на ЕС.
Защитата на личните данни през 2018 се урежда от българския Закон за защита на личните данни и Регламент за защита на личните данни, познат като Регламент GDPR (General Data Protection Regulation) и носещ официалното наименование Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) е приет още през 2016. За него трябва да се знае, че влиза в сила и се прилага ефективно от 25.05.2018, приложението му e пряко и с предимство пред българското законодателство и не на последно място – важи  и за малки фирми без нает персонал. Сред лицата, които трябва да приведат дейността си в съответствие с регламента, са:
▪ Онлайн търговия – фирми, приемащи поръчки от разстояние и извършващи доставки чрез куриер и др.
▪ Интернет и високи технологии – хостинг и домейн доставчици, IT поддръжка и системни администратори, web / app разработчици и програмисти и др.
▪ Телекомуникации – доставчици на интернет, кабелна телевизия и цифрово съдържание и др.
▪ Услуги – счетоводители и счетоводни кантори, агенции за подбор на персонал (трудови посредници), агенции за недвижими имоти, застрахователни брокери и др.
▪ Здравеопазване – болници, ДКЦ, индивидуални или групови практики за първична или специализирана извънболнична медицинска помощ, лаборатории, аптеки, оптики, служби по трудова медицина и др.
▪ Образование – школи, курсове за обучение, частни училища, занимални, детски градини и центрове и др.
▪ Туризъм – туроператори, туристически агенции и агенти, хотели, хостели, къщи за гости и др.
▪ Всички други физически и юридически лица, обработващи лични данни
Какво са лични данни и кои данни са лични? – Личните данни представляват всякакъв вид информация, независимо от начина на възпроизвеждането й, отнасяща се до определено физическо лице.  Най-широко използвани лични данни са имената на даден човек, неговият ЕГН, обстоятелства, свързани с неговото раждане (дата, място), данни от негови официални документи (паспорт, лична карта). Личните данни могат да бъдат свързани както със семейното положение на даден индивид (родство, брачен статус), така и с неговата професионална дейност (квалификация, доходи). Новият Регламент за защита на личните данни (ЕС) 2016/679 третира и обработването на специални категории лични данни – т. нар. „чувствителни данни“ (sensitive data) – здравен статус, сексуална ориентация, политически възгледи, расово-етнически произход и др. Регламентът предвижда едно изключение от обхвата на личните данни, а именно при обработката на лични данни от физическо лице в рамките на негова лична дейност (вкл. в домакинството му), която обаче не трябва да има връзка с негова професионална или специализирана търговска дейност, напр. поддръжката на бази данни за лични цели, вкл. адреси и телефони на познати на физическото лице, или свързана с това дейност в рамките на социални и други онлайн мрежи.  Операторите на онлайн платформи (например Facebook, Twitter), които се използват от физически лица в контекста на предходното изречение  са на общо основание администратори на лични данни и по отношение на тях Регламентът GDPR се прилага изцяло. Той обаче се прилага само по отношение на автоматизирано събиране на данни, както и при ръчна обработка и последващо съхраняване в регистър с лични данни. Обработката на досиета, които не са класифицирани по специални критерии, е изключение и не се ползва със защитата на GDPR Регламента за защита на личните данни.
Важно е да се знае, че лични данни могат да бъдат обработвани или при дадено съгласие на съответното физическо лице, вкл. при подписване или изпълнение на договор, или когато администраторът има такова задължение по закон или съгласно специални правомощия. Обработка на лични данни по изключение се допуска при определени действия в обществен интерес, вкл. при защита на жизненоважни интереси на дадено лице (напр. лице в безсъзнание, което точно тогава не може да даде съгласие), както и в частния случай, при който законен интерес на администратора на лични данни или трето лице имат преимущество пред интереса на физическото лице, чиито лични данни се обработват (субект на данните). Най-популярният случай, разбира се, е даденото от съответното физическо лице съгласие личните му данни да бъдат обработвани. В този случай е задължително администраторът на лични данни да е предоставил всеобхватна информация задължително според GDPR на разбираем език, а съгласието да е било изразено изрично, категорично и свободно, а не напр. под принуда или във връзка с избягване на неблагоприятни последици, дори да са изцяло финансово-икономически, напр. по-неизгодна цена. Следва да се има предвид, че съгласно новия регламент тежестта да докаже спазването на всички тези изисквания, под страх от сериозни имуществени санкции, пада именно върху администратора, който е силно препоръчително предварително да вземе мерки в тази насока. Много строги са изискванията на GDPR регламента по отношение на личните данни на деца – при пряко предлагане на онлайн услуги на деца, детето следва да е на поне 16 години, като в противен случай е необходимо информирано съгласие от родител или настойник.
Кой обработва личните данни?

Личните данни се обработват от администратор на лични данни. Има няколко различни фигури, които отговарят за обработката на лични данни и които ще бъдат разгледани по-долу, но основната от тях е именно администраторът на лични данни. Той може да бъде както физическо, така и юридическо лице (фирма). Администратор на лични данни не е напр. длъжност на служител в дадена търговска, трудова или друга организация, а това е лицето, в резултат на чиято стопанска дейност се обработват лични данни. В такъв случай кое лице е администратор на лични данни? Администратор на лични данни при онлайн магазин напр. ще е търговецът – юридическо лице (фирма), който оперира онлайн магазина, а не техническата поддръжка, уеб администраторът, служител фронт или бек офис, който обработва поръчките и личните данни на поръчващите клиенти в процеса на осъществяване на електронна търговия. В една болница или здравно заведение напр. няма да са администратори на лични данни отделните лекари, които са на трудов договор в болницата, а това ще е самото лечебно заведение. На практика всички търговци са администратори на лични данни, защото житейската логика сочи, че при едно най-обикновено издаване на фактура на физическо лице, в нея се съдържат негови лични данни, които при издаването на фактурата неминуемо са обработват. Много важно е да се отбележи, че качеството администратор на лични данни възниква не в резултат на някаква регистрация, а по силата на закона – т.е. щом дадено лице започне обработването на лични данни, от този момент то вече притежава качеството администратор на лични данни и попада под уредбата и санкциите на българското законодателство и европейския регламент GDPR.

Новият Регламент (ЕС) 2016/679 не предвижда задължение за регистрация на администратори на лични данни пред Комисията за защита на личните данни (КЗЛД) и от 25.05.2018 отпада задължението за регистрация на администратори на лични данни. Затова пък регламентът въвежда понятието „съвместни администратори“, което на практика означава няколко администратори съвместно да обработват лични данни и съответно съвместно да определят политиката във връзка с обработването им. Независимо от броя на администраторите обаче, всеки от тях е длъжен да обменя събрани лични данни само и единствено с други юридически лица, които отговарят на изискванията на GDPR.
Следващият изключително важен въпрос е свързан със задълженията на администраторите на лични данни, особено предвид това, че новият регламент предвижда немалки санкции (глоба или имуществена санкция до 20 милиона евро). На първо място в тази връзка всички администратори на лични данни следва много внимателно да се запознаят с изискванията на новия регламент за защита на личните данни и да направят свой собствен вътрешен одит, чрез който да изяснят какъв досег и в кои области имат – напр. какви лични данни се обработват, кой служител ги обработва, отговарят ли на изискванията на регламента контрагенти на администратора, с които той обменя лични данни и т.н. След това има предвидени изисквания за изготвяне на документация във връзка с обработването на лични данни, както следва:
▪ Следва да се създаде отговарящ на законовите изисквания вътрешен регистър на дейностите по обработване на лични данни (евентуално може да се не се създава при малки и средни предприятия)
▪ Администраторът е отговорен и за приемането на различни вътрешни правила, политики и инструкции във връзка със защитата на личните данни, напр. политика за правата на субектите, чиито лични данни се обработват, план за действие при пробив в сигурността на личните данни (напр. при кибер атака или кражба на лични данни) и т.н.
▪ Следва да бъдат изготвени и юридически издържани декларации или другите форми за документиране на даването на съгласие от страна на субекта на личните данни, от които да няма съмнение, че съгласието е информирано и свободно дадено;
▪ Освен това администраторът следва да изготви и оценка на въздействието върху защитата на личните данни.
Всички от гореизброените документи могат да бъдат изготвени от самия администратор, но могат да бъдат ползвани и услугите на специално нает външен експерт в областта на личните данни, напр. адвокат. Последният не е задължителен, но е силно препоръчителен, особено в някои ситуации, като напр.
▪ Изготвяне на вътрешен одит за съответствие на дейността на фирмата с изискванията на Регламент (ЕС) 2016/679 и действащото законодателство,
▪ Изготвяне на юридически издържани документи, споменати по-горе, които са абсолютно задължителни в дейността на дружеството
▪ Устна или писмена консултация при постъпила жалба или възражение от физическо лице, което претендира, че негови лични данни за били неправомерно обработвани или иска заличаването им, дори да са били законосъобразно обработвани
▪ Комуникация с Комисията за защита на личните данни КЗЛД, вкл. изготвяне на документи и отстраняване на пропуски, вкл. при пробив в сигурността (при който КЗЛД и субектът задължително се уведомяват до 72 часа), жалба от физическо лице или задействана от Комисията процедура, която може да завърши с огромна санкция
▪ Като крайна мярка – обжалване пред съд на наложена санкция с искане за нейната отмяна или намаляване
▪ Всичко от гореизброеното може да бъде възложено на Длъжностно лице по защита на данните, наето да изпълнява тази функция по силата на договор с администратора на лични данни
Дали администратори на лични данни, които са базирани извън ЕС, но обработват лични данни на европейски граждани, са длъжни да се съобразяват с високите изисквания на Регламента и да спазват всички негови правила? Отговорът на този въпрос е положителен и GDPR Регламентът важи и за физически базирани извън ЕС администратори, които обаче предлагат услуги или стоки на физически лица, които се намират на територията на ЕС, дори когато те са безплатни (напр. облачни adware услуги, при които търговецът печели не от клиента, а от реклама, която се предоставя на клиента). Другата задължителна хипотеза включва наблюдение върху поведението на базирани в ЕС лица – дори провеждащите наблюдението да са извън ЕС, съобразяването с изискванията на Регламент (ЕС) 2016/679 е задължително.
Администраторът на лични данни може да избира между 2 възможности при обработката на лични данни – или администраторът да обработва личните данни сам, или да възложи тази дейност на обработващ данните. Обработващ личните данни при даден администратор може да е юридическо или физическо лице, специално наето от администратора. Обработката на лични данни във всички случаи се прави от името на администратора на лични данни, а отношенията между администратора и обработващия се уреждат или с нормативен акт при администрацията, или със сключването на договор, по силата на който едната страна (администраторът на лични данни) възлага на другата страна (обработващия личните данни) обработката на въпросните данни.
Новият регламент изрично предвижда фигурата на длъжностно лице по защита на данните. Такова длъжностно лице по защита на личните данни следва задължително да бъде определено, когато се касае за публичен административен орган, а в останалите случаи – при голямо по мащаба си наблюдение на физически лица или обработване на чувствителни лични данни (sensitive personal data), особено като се касае за модерни технологии от сорта на облачни услуги (cloud services), интернет на нещата (internet of things) и др., за които регламентът препоръчва псевдонимизация, криптиране и други подходящи мерки. За длъжностно лице по защита на данните може да бъде назначено дадено лице – работник или служител в съответната организация или фирма, но функцията може да бъде възложена и на друго, външно за организацията лице (напр. адвокат). Регламентът за защита на личните данни изисква длъжностното лице по защита на данните да бъде определено въз основа на неговите професионални качества, вкл. експертните му специални познания в областта на законодателството, а администраторът или обработващият лични данни има задължението да публикува публично данни за контакт при необходимост с длъжностното лице по защита на данните, както и да съобщи на надзорния орган за него. Новият GDPR Регламент за защита на личните данни изрично урежда хипотези, при които се обработват лични данни на клиенти / пациенти на адвокати / лекари – ако се касае за отделни медицински работници или адвокати, а не за сдружения и организации – поначало не се касае за широкомащабна обработка на лични данни и в този случай не е задължително извършването на оценка на въздействието върху защитата на данните. Друг интересен частен случай от регламента касае обработката на снимки. Въпреки че снимките по естеството си съдържат множество индивидуализиращи белези, които могат да бъдат охарактеризирани като лични данни, регламентът предвижда, че дори системната обработка на снимки не следва да се причислява към категорията на чувствителните данни, защото биометрични данни от снимка могат да бъдат извлечени единствено при специализирана и нарочна обработка именно с цел идентификация на дадено лице.
След изброяване на фигурите, отговорни за обработването на лични данни, след да бъде направен обзор за това какви са правата на физическите лица – субекти на личните данни (т.е. лицата, чиито лични данни се обработват). На първо място това е правото на пълна информация и субектите следва надлежно да бъдат уведомявани (а това уведомяване задължително трябва да може да бъде доказано от администратора на лични данни, ако физическото лице отрече) за всяко обработване на техни лични данни още в момента на фактическото събиране на данните. Освен това физическите лица имат пълно право на безплатен достъп до събраните за тях лични данни, както и на информация дали и какви лични данни са били събрани или обработени. В GDPR регламента доста далновидно е предвидено, че са възможни злоупотреби в тази връзка и е уточнено, че ако запитвания от едно и също лице се правят през прекалено кратки интервали, тогава администраторът може да поиска заплащане за иначе безплатната услуга по предоставяне на информация. Субектът – физическо лице има също така право да иска коригиране на личните му данни, вкл. и правото „да бъде забравено“ (т.е. данните да него да бъдат изтрити). Предвид благоприятната среда и все по-интензивното развитие на директния маркетинг, регламентът изрично предвижда, че когато лични данни се събират за подобни цели субектът – физическо лице не само има право да възрази срещу събиране, обработване и профилиране, но и следва изрично да бъде уведомено за това му право по един прост и ясен начин. Физическото лице има също така правото на жалба до националния надзорен орган – в случая Комисията за защита на личните данни (КЗЛД), която си взаимодейства с Европейския комитет по защита на данните (официален орган на ЕС), като е предвиден и съдебен контрол. А в краен случай администраторът или респ. обработващият лични данни са длъжни да изплатят обезщетение за претърпените от физическото лице вреди като резултат от обработване на данни, което е в нарушение на регламента.

Статията не предстaвлява правен съвет или консултация, за консултация, моля да се свържете за индивидуална такава.

Адвокат Сияна Великова

тел. за връзка 0889829922