Права на физическите лица съгласно Регламент (ЕС) 2016/679 (GDPR)

Защитата на личните данни при обработване е реформирана с приемането на новия Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни, който ще се прилага от 25 май 2018 година. Регламентът въвежда редица промени спрямо действащата правна рамка, които касаят всички компании, които обработват лични данни на клиенти, персонал и друг род контрагенти. Настоящата статия има за цел да предостави информация относно правата на физическите лица (по-нататък наричани „субекти на данни“ съгласно терминологията в Регламента) съгласно Общия регламент (GDPR), като е важно да уточня, че някои от посочените права не са нови, а са уредени в сега действащия Закон за защита на личните данни.

Преди да бъдат описани правата на субектите на данни следва да бъде уточнено какво се разбира под понятието лични данни, обработване на лични данни и администратор на лични данни. Съгласно дефиницията дадена в Общия регламент лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Това най-често са име, идентификационен номер, ЕГН, адрес, телефонен номер, e-mail и др. Обработване на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. Администратор означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка. Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

1. Право на информация

Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни субектът на данните има право да получи цялата посочена по-долу информация в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Информацията се предоставя безплатно.

– данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

– координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

– целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

– получателите или категориите получатели на личните данни, ако има такива;

– когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита.

– срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум;

– съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните и начините за упражняване на тези права;

– съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

– правото на жалба до надзорен орган;

– дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

– информация относно извършването на профилиране и за последствията от това профилиране.

Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, преди това по-нататъшно обработване, субектът на данните има право да получи информация за тази друга цел и следната допълнителна информация:  – срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок; – съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните и начините за упражняване на тези права; – съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено; – правото на жалба до надзорен орган; – дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени; – информация относно извършването на профилиране и за последствията от това профилиране. Предоставя се и допълнителната информация посочена по-горе.

2. Право на достъп на физическите лица до отнасящите се за тях данни

Субектът на данни има право да получи в срок от един месец от подаване на искане потвърждение дали се обработват лични данни свързани със субекта на данните и ако това е така, да получи достъп до данните и следната информация:

– целите на обработването;

– съответните категории лични данни;

– получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

– когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

– съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

– правото на жалба до надзорен орган;

– когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

– информация относно извършването на профилиране и за последствията от това профилиране;

Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 от Регламента във връзка с предаването.

3. Право на коригиране

Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него по искане на субекта на данните. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.

4. Право на изтриване (право „да бъдеш забравен“)

Субектът на данни има право да поиска от администратора да изтрие свързани със субекта на данните лични данни без ненужно забавяне по искане на субекта на данните.

Администраторът изтрива данните само ако е приложимо някое от посочените по-долу основания:

– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

– субектът на данните оттегля своето съгласие, върху което се основава обработването на данните;

– субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регкамента и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;

– личните данни са били обработвани незаконосъобразно;

– личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;

– личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете.

Когато администраторът е направил личните данни обществено достояние и е задължен да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

Не се извършва изтриване, доколкото обработването е необходимо:

– за упражняване на правото на свобода на изразяването и правото на информация;

– за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

– по причини от обществен интерес в областта на общественото здраве;

– за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;

или

– за установяването, упражняването или защитата на правни претенции.

5. Право на ограничаване на обработването

Субектът на данни има право да поиска от администратора ограничаване на обработването на данните.

Ограничаването следва да бъде извършено когато се прилага едно от следните условия, а именно:

– точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

– обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

– администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

– субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 от Регламента в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

Когато се извърши ограничение на обработването, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка. Когато субект на данните е изискал ограничаване на обработването, администраторът го информира преди отмяната на ограничаването на обработването.

6. Право на преносимост на данните

Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат, когато.

– обработването е основано на съгласие в съответствие или на договорно задължение

и

– обработването се извършва по автоматизиран начин.

Администраторът се задължава да прехвърли данните в срок от един месец по искане на субекта на данните.

7. Право на възражение

Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, да бъде прекратено обработването на личните данни, когато обработването се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби, а именно:

– обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

и

– обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на физическото лице, които изискват защита на личните данни, по-специално когато физическото лице е дете.

Администраторът се задължава да прекрати обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото на възражение описано по-горе,  което му се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация.

Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес.

8. Права при профилиране

Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

Това право не се прилага, ако решението:

– е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

– е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните;

или

– се основава на изричното съгласие на субекта на данни.

В случаите когато това е необходимо за сключването или изпълнението на договор между субект на данни и администратор и се основава на изричното съгласие на субекта, администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

9. Право на уведомяване за нарушение на сигурността на личните данни

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, субектът на данните трябва да бъде уведомен чрез изпращане на съобщение от администратора, без ненужно забавяне, за нарушението на сигурността на личните данни.

В съобщението до субекта на данните за нарушение на сигурността на личните данни, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко следната информацията и мерки:

– посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

– описание на евентуалните последици от нарушението на сигурността на личните данни;

– описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

Не се изисква субектът на данните да бъде уведомен чрез изпращане на съобщение, ако някое от следните условия е изпълнено:

– администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

– администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

– то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

10. Право на по-високо ниво на защита на личните данни на деца

На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Съгласието на носещия родителска отговорност не следва да е необходимо в контекста на пряко предлаганите на деца услуги за превенция и консултиране. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

11. Право на защита по съдебен и административен ред

А: Право на подаване на жалба до надзорен орган

Всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него,нарушава разпоредбите на Регламента.

Б: Право на ефективна съдебна защита срещу надзорен орган

Всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.

Всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77 от Регламента, или за резултата от нея.

Производствата срещу надзорен орган се образуват пред съдилищата на държавата членка, в която е установен надзорният орган.

В: Право на ефективна съдебна защита срещу администратор или обработващ лични данни

Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по Регламента са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с Регламента.

Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган на държава членка, действащ в изпълнение на публичните си правомощия.

12. Право на обезщетение за претърпени вреди

Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на  Регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава Регламента. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по Регламента, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях. Администраторът или обработващият лични данни се освобождава от отговорност, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на държавата членка, посочена в член 79, параграф 2 от Регламента, а именно: съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган на държава членка, действащ в изпълнение на публичните си правомощия.

Този материал, изготвен от Красимира Кадиева, има за цел да предостави информация относно правата на субектите на данни съгласно Регламент (ЕС) 679/2016. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист с опит в тази материя. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с автора Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. Адвокат Красимира Кадиева предоставя правни услуги за привеждане на бизнеса на клиентите си по прилагането и съответствието с Регламента от правна страна.