Защита на лични данни

Oперации по обработка на лични данни, за които е задължителна предварителна консултация

Автор: Преслав Балджиев

Личните данни представляват огромна част от информационния поток, който преминава през интернет-пространството. Дали ще изпратим локация на новото си жилище, за да може гостите ни по-лесно да го намерят, или ще оставим данни като имена и телефон номер, за да може куриерът да се свърже с нас – личната информация е все в обращение, а получателите ѝ я обработват под една или друга форма.

Но всяка обработка ли е позволена? Кога е необходимо Администраторът или обработващият личните данни да проведат предварителни консултации с компетентния орган Комисия за защита на личните данни (КЗЛД)? Какви са последствията, ако такава консултация не се проведе? Отговорът на тези и други въпроси, касаещи пряко или непряко обработката на лични данни, ще бъдат дадени в следващите редове.

Какво е обработка на лични данни?

Основополагащият акт, касаещ обработката на лични данни, е Регламент 2016/679, известен в обществените среди като GDPR. Благодарение на своята изчерпателност, Регламентът урежда няколко ключови понятия, едно от които е обработването на лични данни.

Според чл. 4, параграф 2 от GDPR под обработване следва да се разбира „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;“.

Кога се провеждат консултации?

Според член 65, ал. 1 Закон за защита на личните данни (ЗЗЛД) Администраторите или Обработващите лични данни следва да се консултират предварително (преди началото на обработката на личните данни) с КЗЛД или с Инспектората към Висшия съдебен съвет (Инспекторат), когато обработването ще бъде част от нов, все още не създаден регистър с лични данни, ако това обработване:

  • крие висок риск (независимо от предприетите мерки); или
  • включва нови технологии, механизми или процедури, които предполагат висока степен на риск за правата и свободите на субектите на личните данни.

Така написана, разпоредбата не носи никаква конкретика, а се осланя изцяло на преценката на Администраторите или Обработващите лични данни. За по-ясното разбиране на тези условия и тяхното по-голямо прецизиране, КЗЛД одобри и публикува на официалната си интернет-страница Списък на операциите по обработване на лични данни (наричан Списъкът) въз основа чл. 65, ал. 3 ЗЗЛД. Списъкът е неизчерпателен и Комисията запазва правото си да го актуализира и променя към всеки момент.

Какво съдържа Списъкът?

Списъкът е разделен на две части, като първата представя общи положения – най-общо казано причините за изготвянето и одобрението на подобен документ. Особено внимание следва да се обърне на втората част на Списъка, тъй като там се съдържа неизчерпателно изброяване на операции по обработка на лични данни, които налагат провеждането на предварителни консултации. Изброените основания (към момента на написване на статията) са 5 и те са:

  1. Редовно и систематично обработване на данни за местоположение на лица с технически средства с цел осъществяване на контрол по спазването на мярка за неотклонение по чл. 58 от Наказателнопроцесуалния кодекс – Тук се визират мерките подписка, гаранция, домашен арест и задържане под стража. Това основание е приложимо към съответните органи на досъдебното и съдебното производство, които следят за спазване на наложената мярка.
  2. Мащабно обработване на лични данни на деца за целите на предотвратяване, разследване или разкриване на противообществени прояви или престъпления, извършени от или срещу малолетни и непълнолетни, вкл. за целите на прилагане на възпитателни мерки или наказания – Това основание отново касае органите на досъдебното и съдебното производство.
  3. Мащабно обработване на специални категории лични данни по чл. 51, ал. 1 от ЗЗЛД, когато това е свързано с автоматизирано вземане на решения, вкл. с цел извършване на криминологичен анализ – По смисъла на ЗЗЛД специални категории лични данни са данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философки убеждения, членство в профсъюзи, обработване на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравословното състояние или сексуалния живот и сексуалната ориентация на лицето. Обработването на подобна информация крие по-големи рискове от стандартните категории лични данни.
  4. Осъществяване на систематично мащабно наблюдение на публично достъпни зони, когато това е свързано с автоматизирано вземане на решения, вкл. лицево разпознаване – Такива публично достъпни зони могат да бъдат спирки, стадиони, спортни и концертни зали и прочие. Подобно наблюдение се осъществява с превантивна мярка и с идеята да се съхрани имуществото, намиращо се на публично достъпната зона.
  5. Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни – Под миграция следва да се разбира прехвърляне, трансфер на тези данни по инициатива на Администратора или Обработващия лични данни.

Какво става, ако не се проведе консултация?

Задължителният характер на консултации е скрепен и със санкция, като ЗЗЛД препраща към GDPR. В случай, че Администраторът или Обработващият лични данни не спазят законовите си задължения, се налага глоба или имуществена санкция в размер до 10 000 000 евро или, в случай на предприятие, до 2% от общия годишен световен оборот за предходната финансова година (прилага се сумата, която е по-висока).

Заключение

Законодателството уреждащо лични данни се е насочило към приоритетната защита на субектите на лични данни – нещо ясно забележимо и от разгледания Списък. Подобен подход е равнозначен на завишен брой задължения за Администраторите и Обработващите личните данни, което често води до абстрактност на формулираните правила за поведение. Тази липса на конкретика често се избягва с подобни актове (като Списъка), чрез които Администраторите и Обработващите лични данни получават насоките, от които се нуждаят в своята дейност.

Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно операциите по обработка на лични данни, за които е задължителна предварителна консултация. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. От 2017 година Преслав Балджиев е студент по право в Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.

error: Content is protected !!