Oсновни понятия, общи и специфични случаи при обработване на личните данни съгласно ЗЗЛД и Регламент (ЕС) 2016/679
Бойчо Момчилов
Влезналите в сила наскоро мащабни промени на българското законодателство засягащо защитата на личните данни се наложиха с оглед синхронизирането му с европейското законодателство в тази област и по-точно с оглед синхронизирането на българският ЗЗЛД с Регламент (ЕС) 2016/679, или известен още като Общ регламент относно защита на данните (ОРЗД).
В тази връзка на първо място следва да споменем, че българският ЗЗЛД изцяло възприема терминологията и легалните дефиниции на основните понятия в горепосоченият Регламент (ЕС) 2016/679, като в повечето случаи изрично препраща към тях. Такъв подход е възприет към дефинирането на основното понятие на закона, а именно какво е „лични данни”. Това препращане към ОРЗД се постига с нормата на § 1, т. 1 от ДР на ЗЗЛД, съгласно която "лични данни" е понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679.
ОРЗД от своя страна дава абстрактна дефиниция на понятието лични данни с примерно изброяване само на някои данни, които попадат в неговият обхват, без да посочва изчерпателен списък с такива. Така според чл. 4, т. 1 от ОРЗД „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Друго понятие с основополагащо значение в уредбата за защита на личните данни на физическите лица е „обработване на личните данни”. ДР на ЗЗЛД отново препраща към ОРЗД. Така съгласно т. 4. "Обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679. Според чл. 4, т. 2 от ОРЗД „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Основният субект в системата за защита на личните данни, който определя необходимостта от обработване на такива данни и контролира операциите по обработването, е администраторът на лични данни. Съгласно § 1, т. 2 от ДР на ЗЗЛД “администратор", с изключение на администратора по глава осма, е понятието по чл. 4, т. 7 от Регламент (ЕС) 2016/679. Според чл. 4, т. 7 от ОРЗД „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
Понятията администратор и обработващ лични данни са изключително важни, тъй като тези лица са и основните задължени лица съгласно ЗЗЛД. Задълженията за защита на личните данни се вменяват основно на тях и съответно те следва да носят отговорност при тяхното нарушаване. Ето защо смятам, че ще полезно да се направят няколко терминологични обяснения, а именно да се изясни какво представлява т.нар. „администратор“ на лични данни.
Именно администраторът определя:
- за какво се обработват данните (т.е. целите на обработването) и
- по какъв начин ще се обработват (т.е. средствата за обработване).
Класически примери за администратори на лични данни са:
- работодателите, които обработват лични данни на своите служители в контекста на трудовите правоотношения;
- търговците при обработване на данни на своите клиенти/ бизнес партньори/ подизпълнители;
- публичните органи при обработване на данни на гражданите с цел предоставяне на различни видове административни услуги (напр. издаване на удостоверение за данъчна оценка) или съдействие за изпълнение на законови задължения (обработване на информация за данъчни и осигурителни плащания, регистриране на придобити МПС и много други).
Фигурата на администратора следва да се отличава от другата ключова фигура, която (макар и не задължително) би могла да участва в процеса по обработване на лични данни – това е т.нар. обработващ лични данни.
Обработващ лични данни е дефиниран в чл. 4, т. 8 от ОРЗД като физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
По определени причини обаче (икономически съображения, бизнес решения, липса на собствени ресурси и достатъчно квалифициран персонал и т.н.) администраторът може да реши да превъзложи дейностите по обработване на трети лица – например:
- да наеме външна счетоводна фирма,
- да прехвърли данните си на външен облак или
- да премести хардуера си в специален дейта център (т.нар. услуги по колокация) и други подобни.
В тези случаи посочените лица ще действат като обработващи от името на администратора.
Освен обаче терминологията и основните понятия ЗЗЛД почти изцяло възприема и основните принципни положения залегнали в Регламента, като също изрично препраща към тях. Такъв основен принцип, залегнал в Регламента, към който българският закон изрично препраща, е обработването на личните данни да бъде законосъобразно, добросъвестно и по прозрачен.
Така например съгласно чл. 25а от ЗЗЛД, когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването администраторът или обработващият лични данни ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.
Личните данни трябва daбъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“).
Този принцип означава преди всичко личните данни задължително да бъдат обработвани въз основа на поне едно от правните основания предвидени в чл. 6 от Регламента:
- законово задължение;
- съгласие на субекта;
- договор;
- обществен интерес;
- официално правомощие;
- защита на жизненоважни интереси на субекта или на друго физическо лице;
- легитимен интерес на администратора или на трета страна.
На следващо място законосъобразността на обработването изисква същото да е в съответствие с цялото действащо законодателство, а не само това за защита на личните данни.
Това означава физическите лица да са информирани по ясен, прост, лесен за разбиране и достъпен начин за извършваното обработване спрямо техните данни, както и за правата, които имат във връзка със защитата на личните им данни.
Принципът за законосъобразност на обработването на лични данни ясно прозира и от нормата на чл. 25г от ЗЗЛД, съгласно която администратор или обработващ лични данни може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване само ако това е предвидено със закон.
Такъв закон например може да бъде Законът срещу мерките за изпиране на пари (ЗМИП). Така в чл. 53, ал. 1 от ЗМИП изрично е указно, че идентифицирането на физическите лица се извършва чрез представяне на официален документ за самоличност и снемане на копие от него.
Както видяхме по-горе, може би основното и най-важното задължение, както на администратора на лични данни, така и на обработващият лични данни е да събират и обработват личните данни законосъобразно, което преди всичко значи въз основа на някои от посочените в чл. 6 от Регламента правни основания. Законосъобразното обработване на лични данни можем да го изведем като общо правило за обработване на лични данни. ЗЗЛД обаче предвижда и някои хипотези на особени или специални случаи на обработване на лични данни. По-долу само бегло ще посочим някои от специфичните случаи на обработване на лични данни.
Такъв е случаят например с т.нар. мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони включително чрез видеонаблюдение.
Самото понятие за мащабно наблюдение е развито в § 1, т. 15 от ДР на ЗЗЛД, съгласно което „мащабно" е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.
Тоест в горепосочената хипотеза администраторът или обработващият лични данни е длъжен да приеме специални Правила за систематично мащабно наблюдение на публично достъпни зони, за които Комисията за защита на личните данни би следвало да даде насоки, като ги публикува на Интернет страницата си.
Специфичен случай на обработване на лични данни е и при събиране на лични данни на лица, участващи в процедури по набиране и подбор на персонала. В такива случаи съгласно чл. 25к от ЗЗЛД събраните данни могат да се съхраняват в срок не по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок.
Друг специфичен случай за събиране на лични данни е обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване. Нормата на чл. 25з от ЗЗЛД въвежда допълнителни критерии за законност на събиране на данните за журнали цели. Тук няма да се спирам подробно на тях.
В тази връзка на първо място следва да споменем, че българският ЗЗЛД изцяло възприема терминологията и легалните дефиниции на основните понятия в горепосоченият Регламент (ЕС) 2016/679, като в повечето случаи изрично препраща към тях. Такъв подход е възприет към дефинирането на основното понятие на закона, а именно какво е „лични данни”. Това препращане към ОРЗД се постига с нормата на § 1, т. 1 от ДР на ЗЗЛД, съгласно която "лични данни" е понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679.
ОРЗД от своя страна дава абстрактна дефиниция на понятието лични данни с примерно изброяване само на някои данни, които попадат в неговият обхват, без да посочва изчерпателен списък с такива. Така според чл. 4, т. 1 от ОРЗД „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Друго понятие с основополагащо значение в уредбата за защита на личните данни на физическите лица е „обработване на личните данни”. ДР на ЗЗЛД отново препраща към ОРЗД. Така съгласно т. 4. "Обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679. Според чл. 4, т. 2 от ОРЗД „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Основният субект в системата за защита на личните данни, който определя необходимостта от обработване на такива данни и контролира операциите по обработването, е администраторът на лични данни. Съгласно § 1, т. 2 от ДР на ЗЗЛД “администратор", с изключение на администратора по глава осма, е понятието по чл. 4, т. 7 от Регламент (ЕС) 2016/679. Според чл. 4, т. 7 от ОРЗД „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
Понятията администратор и обработващ лични данни са изключително важни, тъй като тези лица са и основните задължени лица съгласно ЗЗЛД. Задълженията за защита на личните данни се вменяват основно на тях и съответно те следва да носят отговорност при тяхното нарушаване. Ето защо смятам, че ще полезно да се направят няколко терминологични обяснения, а именно да се изясни какво представлява т.нар. „администратор“ на лични данни.
Администраторът винаги е бил и ще продължи да бъде централна фигура в режима на защита на личните данни. Иначе казано, това е субектът (бил той физическо или юридическо лице, публичноправен или частноправен субект), който контролира процеса по обработване на лични данни.
Именно администраторът определя:
- за какво се обработват данните (т.е. целите на обработването) и
- по какъв начин ще се обработват (т.е. средствата за обработване).
Класически примери за администратори на лични данни са:
- работодателите, които обработват лични данни на своите служители в контекста на трудовите правоотношения;
- търговците при обработване на данни на своите клиенти/ бизнес партньори/ подизпълнители;
- публичните органи при обработване на данни на гражданите с цел предоставяне на различни видове административни услуги (напр. издаване на удостоверение за данъчна оценка) или съдействие за изпълнение на законови задължения (обработване на информация за данъчни и осигурителни плащания, регистриране на придобити МПС и много други).
Фигурата на администратора следва да се отличава от другата ключова фигура, която (макар и не задължително) би могла да участва в процеса по обработване на лични данни – това е т.нар. обработващ лични данни.
Обработващ лични данни е дефиниран в чл. 4, т. 8 от ОРЗД като физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
Обработващият обработва лични данни от името на администратора.
Администраторът остава този, който определя:
Администраторът остава този, който определя:
- целите и
- средствата за обработване.
Нещо повече, именно защото администраторът определя средствата за обработване, той може да реши да обработва сам личните данни и това би било напълно в съответствие с правилата за защита на личните данни.
- средствата за обработване.
Нещо повече, именно защото администраторът определя средствата за обработване, той може да реши да обработва сам личните данни и това би било напълно в съответствие с правилата за защита на личните данни.
По определени причини обаче (икономически съображения, бизнес решения, липса на собствени ресурси и достатъчно квалифициран персонал и т.н.) администраторът може да реши да превъзложи дейностите по обработване на трети лица – например:
- да наеме външна счетоводна фирма,
- да прехвърли данните си на външен облак или
- да премести хардуера си в специален дейта център (т.нар. услуги по колокация) и други подобни.
В тези случаи посочените лица ще действат като обработващи от името на администратора.
Освен обаче терминологията и основните понятия ЗЗЛД почти изцяло възприема и основните принципни положения залегнали в Регламента, като също изрично препраща към тях. Такъв основен принцип, залегнал в Регламента, към който българският закон изрично препраща, е обработването на личните данни да бъде законосъобразно, добросъвестно и по прозрачен.
Така например съгласно чл. 25а от ЗЗЛД, когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването администраторът или обработващият лични данни ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.
Чл. 5 на Регламента от своя страна дефинира основните принципи, които е задължително да бъдат съблюдавани при обработването на лични данни. Тези принципи са най-съществените и ключови изисквания, чрез които се цели да се гарантира правото на защита на личните данни.
Личните данни трябва daбъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“).
Този принцип означава преди всичко личните данни задължително да бъдат обработвани въз основа на поне едно от правните основания предвидени в чл. 6 от Регламента:
- законово задължение;
- съгласие на субекта;
- договор;
- обществен интерес;
- официално правомощие;
- защита на жизненоважни интереси на субекта или на друго физическо лице;
- легитимен интерес на администратора или на трета страна.
На следващо място законосъобразността на обработването изисква същото да е в съответствие с цялото действащо законодателство, а не само това за защита на личните данни.
Добросъвестното обработване от своя страна изисква преди всичко извършваното обработване да не засяга неоправдано по негативен начин физическите лица, чиито данни се обработват, да не противоречи на морала и добрите нрави.
Пряко свързан с принципа за добросъвестност, е принципът за прозрачност, които изисква обработването на личните данни да се осъществява по прозрачен за физическите лица, чиито данни се обработват, начин.
Пряко свързан с принципа за добросъвестност, е принципът за прозрачност, които изисква обработването на личните данни да се осъществява по прозрачен за физическите лица, чиито данни се обработват, начин.
Това означава физическите лица да са информирани по ясен, прост, лесен за разбиране и достъпен начин за извършваното обработване спрямо техните данни, както и за правата, които имат във връзка със защитата на личните им данни.
Принципът за прозрачност пряко кореспондира и е доразвит с:
- правото на информация и на достъп на субектите на лични данни и
- със задълженията на администраторите за предоставяне на информация.
- правото на информация и на достъп на субектите на лични данни и
- със задълженията на администраторите за предоставяне на информация.
Принципът за законосъобразност на обработването на лични данни ясно прозира и от нормата на чл. 25г от ЗЗЛД, съгласно която администратор или обработващ лични данни може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване само ако това е предвидено със закон.
Такъв закон например може да бъде Законът срещу мерките за изпиране на пари (ЗМИП). Така в чл. 53, ал. 1 от ЗМИП изрично е указно, че идентифицирането на физическите лица се извършва чрез представяне на официален документ за самоличност и снемане на копие от него.
Както видяхме по-горе, може би основното и най-важното задължение, както на администратора на лични данни, така и на обработващият лични данни е да събират и обработват личните данни законосъобразно, което преди всичко значи въз основа на някои от посочените в чл. 6 от Регламента правни основания. Законосъобразното обработване на лични данни можем да го изведем като общо правило за обработване на лични данни. ЗЗЛД обаче предвижда и някои хипотези на особени или специални случаи на обработване на лични данни. По-долу само бегло ще посочим някои от специфичните случаи на обработване на лични данни.
Такъв е случаят например с т.нар. мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони включително чрез видеонаблюдение.
Самото понятие за мащабно наблюдение е развито в § 1, т. 15 от ДР на ЗЗЛД, съгласно което „мащабно" е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.
Съгласно чл. 25д от ЗЗЛД, в случаи на „мащабно" наблюдение и/или обработване на лични данни администраторът или обработващият лични данни приема и прилага правила, с които въвежда подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни. Правилата за систематично мащабно наблюдение на публично достъпни зони съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.
Тоест в горепосочената хипотеза администраторът или обработващият лични данни е длъжен да приеме специални Правила за систематично мащабно наблюдение на публично достъпни зони, за които Комисията за защита на личните данни би следвало да даде насоки, като ги публикува на Интернет страницата си.
Специфичен случай на обработване на лични данни е и при събиране на лични данни на лица, участващи в процедури по набиране и подбор на персонала. В такива случаи съгласно чл. 25к от ЗЗЛД събраните данни могат да се съхраняват в срок не по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок.
Друг специфичен случай за събиране на лични данни е обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване. Нормата на чл. 25з от ЗЗЛД въвежда допълнителни критерии за законност на събиране на данните за журнали цели. Тук няма да се спирам подробно на тях.
Оценете отговора на експерта
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
Съдържанието, дизайнът и публикуваните статии в portaltrznormativi.bg подлежат на РС Издателство и Бизнес Консултации и са защитени по смисъла на закона за авторското право и сродните му права. Копирането и разпространението на съдържанието е забранено! Общи условия
Подобни статии
04Ноем2021
Комисията за защита от дискриминация също взе отношение по темата за третирането на лицата във връзка с ваксинационния им статус
от доц. д-р Андрей Александров
04 Ноем 2021
02Ноем2021
Комисията за защита на личните данни разяснява обработването на данни за ваксинационния статус на лицата
от доц. д-р Андрей Александров
02 Ноем 2021
23Юли2020
Допустимо ли е задължителното подлагане на тестове на персонала за COVID-19 и за чия сметка трябва да се провежда?
от доц. д-р Андрей Александров
23 Юли 2020
21Апр2020
Граници на допустимото вмешателство в личното пространство в условия на извънредно положение
от доц. д-р Андрей Александров
21 Апр 2020