Права на субектите на данни съгласно ОРЗД, и тяхното упражняване. Средства за правна защита

В новия ЗЗЛД не се изборояват изрично правата на субектите на данни. В тази връзка българският закон препраща към ОРЗД и предвижда само реда за тяхната защита. Така например съгласно нормата на чл. 37б от ЗЗЛД Субектът на данни упражнява правата по чл. 15 - 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг, определен от администратора начин. Заявление може да се подаде и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация. Заявление може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
 
Основните права на субектите на данни са изброени в  чл. 12 - 22 от ОРЗД. Така например правото на информация е регламетирано в две самостоятелни хипотези чл. 13 и чл. 14 от ОРЗД, като съдържанието му зависи от това дали данните са събрани от самият субект на данни, или от друго лице. Разпоредбата на чл. 13 се отнася до информацията, която администраторът дължи на субекта на данни в случаите, в които личните данни се събират от самият субект. Така съгласно чл. 13, ал. 1 от ОРЗД е приложим в случаите, когато лични данни, свързани с даден субект на данни, се събират от субекта на данните.
 
 
- При основание законен интерес администраторите трябва да посочат конкретния законен интерес.

 
Абстрактното позоваване на законен интерес няма да бъде достатъчно – например целта осъществяване на контрол върху достъпа до помещенията може да се привърже със законен интерес, свързан с опазване имуществото на работодателя.
 
- Когато е приложимо, намерението на администратора да предаде личните данни на трета държава/ международна организация.

 
Тук следва да се предостави информация за наличието/ отсъствието на решение на Европейската комисия относно адекватното ниво на защита или, ако няма такова решение и има предаване чрез подходящи гаранции – информация за тези гаранции и средствата за получаване на копие от тях или на информация къде са налични.
 
- Срок за съхранение на данните, а ако такъв срок не може да се посочи – критерии за определянето му.

 
Тук следва да се обърне внимание, че в практиката често битува разбирането, че данните, събрани в контекста на трудовото правоотношение, трябва да се съхраняват за 50-годишен срок. Това разбиране е погрешно.
 
У нас липсва унифицирана правна уредба, като за различни категории носители се прилагат различни срокове на съхранение.
 
Относно посочените 50 години следва да се има предвид, че този срок е законоустановен единствено за съхранението ведомостите за заплати, трудовият договор, допълнителните споразумения към него, заповедите за ползван неплатен отпуск над 30 работни дни, заповедите за прекратяване и неполучените от работниците или служителите трудови книжки, дневниците и екземпляр от издадените удостоверения в инспекциите по труда за трудови книжки, издадени от тях.
 
За останалите носители на информация сроковете са различни и администраторите трябва да съблюдават съответните законови изисквания или, когато законът не предвижда срок, да установят разумен такъв.
 
В чл. 15 от ОРЗД е регламентирано правото на достъп на субекта на данни. Това право е независимо от правото на инфорамция, като субектът на данни може да го упражни по всяко време, но на разумени интервали.
 
Както посочих по-горе, субектът на данни упражнява това право чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин. Заявлението  съдържа: име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност; описание на искането; предпочитана форма за получаване на информация при упражняване на правата по чл. 15 - 22 от Регламент (ЕС) 2016/679; подпис, дата на подаване на заявлението и адрес за кореспонденция.
 
 
В чл. 16 – чл. 17 от ОРЗД са предвидени правото на коригиране и правото на изтираване на личните данни. Правото на изтириване или право „да бъдеш забравен” осигурява на физическите лица практически механзиъм за ограничване на съхранението на личните данни от конкретен администратор.
 
Предвид колизията, която може да се породи между интереса на конкретното физическо лице от изитриване на личните данни или интереса на администратора или обществения интерес от съхраннеието им, правото на изтриване е предмет на детайлна уредба. С предвиждането на конкретните основания, при които правото може да бъде упражнено, и специфичните основания, на които може да се откаже неговото реализиране, се цели блансиране на тези противоположни интереси.
 
Така правото на изитриване може да бъде упражнено на основанията посочени в чл. 17, пар. 1 от ОРЗД, а именно:
а) личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
б) субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и няма друго правно основание за обработването;
в) субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;
г) личните данни са били обработвани незаконосъобразно;
д) личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
е) личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8, параграф 1.
 
От друга страна съгласно разпоредбата на чл. 17, пар.3 от ОРЗД, правото на изтриване не се прилага, ако обработването е необходимо за следните цели:
а) за упражняване на правото на свобода на изразяването и правото на информация;
б) за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
в) по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3;
г) за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, доколкото съществува вероятност правото, установено в параграф 1, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или
д) за установяването, упражняването или защитата на правни претенции.
 
 
Последиците от упражняването на това право са следните: допустимо е само съхранение на данните, без друга форма на обработване. Всяко такова друго обработване може да се осъществи само със съгласие от субекта на данните. Отделно субектът на данните трябва да бъде информиран от администратора преди отмяната на обработването.
 
Администраторите следва да внедрят такива технологични решения, които им позволяват да маркират съответните данни като „ограничени“, така че да се препятства последващото им обработване докато е упражнено разглежданото право.
 
В чл. 20 от ОРЗД е предвидено правото на преносимост на данните. Право на преносимост на данните е ново и непознато до този момент право. То е своеобразна еманация на правото на достъп до данните.
 

Тези две основания имат и най-голямо практическо приложение в отношенията бизнес-клиенти; и
-   обработването се извършва по автоматизиран начин (т.е. със средствата на информационните и комуникационните технологии). Това право не се прилага при обработването на хартиени носители на лични данни.
 
В обхвата на това право се включват личните данни на субекта, които той е предоставил на администратора.
 
Всички данни, които са анонимни, или не се отнасят до субекта на данните, не биха попаднали в обхвата на това право.
 
В обхвата обаче се включват данни за псевдонимите, които ясно могат да бъдат свързани с даден субект на данни (например тъй като той е предоставил съответния идентификатор).
 
Макар наглед да няма съмнение кога субектът на данните е предоставил данните на администратора – например, при попълване на данни за регистрация на акаунт, при попълване на онлайн декларации и др. подобни.
 
Работната група по чл. 29 тълкува това понятие разширително. Според нея, данни, предоставени от субекта на данни, са още данните, които се генерират в резултат от наблюдението на неговата дейност.
 
Ето защо в понятието „предоставени от“ трябва да се включват също така „личните данни, които са генерирани при наблюдението на дейностите на потребителите, като първични данни, обработени от интелигентно измервателно устройство или други видове свързани предмети, дневници на дейността, хронология на използването на уебсайтове или търсения“.
 
При упражнение на това право субектите могат да получат данните си в структуриран, широко използван и пригоден за машинно четене формат (напр. CSV, JSON, XML (19)).
 
Ако е технически осъществимо, субектът може да поиска и прякото прехвърляне на данните от един администратор на друг.
 
Оперативната съвместимост между администраторите се насърчава, но не е задължение по ОРЗД.
 
Право на преносимост не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
 
То не може да бъде упражнено по начин, който да влияе неблагоприятно върху правата и свободите на други лица – например, ако предаването на данни от един администратор на данни към друг, би попречило на трети страни да упражняват техните права като субекти на данни съгласно ОРЗД (като право на информация, достъп и др. под.).
 
Например, при прехвърляне на данните на контактите в уеб-базирана поща от един администратор на друг по искане на субекта (когато това е възможно), получаващият „нов“ администратор на данни не може да използва предадените данни на трета страна за свои собствени цели, например за да предлага продукти и услуги на въпросните субекти на данни - трети страни.
 
За да се избегне неблагоприятното влияние върху правата и свободите на тези трети страни, обработването на тези лични данни от другия администратор следва да е разрешено само доколкото данните се съхраняват под пълния контрол на потребителя, отправил искането, и се управляват единствено за лични или домакински нужди .
 
В чл. 21 и чл. 22 от ОРЗД са уредени правото на възражение и правото на лицето да не бъде обект на автоматизирано вземане на решения, включително профилиране.
 
Така правото на възражение позволява на субекта на данните, по всяко време и на основания, свързани с неговата конкретна ситуация, да възрази срещу обработване на лични данни, отнасящи се до него, което се основава на обществен интерес, официални правомощия или легитимен интерес, включително профилиране, базирано се на посочените основания. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
 
Възражение срещу обработване за целите на директния маркетинг е абсолютно, т.е. обработването на личните данни за тези цели се прекратява, а администраторът няма възможност да докаже съществуването на убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни.
 
Субектът трябва да бъде изрично уведомен за това право най-късно в момента на първото осъществяване на контакт с него.
 
То му се представя по ясен начин и отделно от всяка друга информация. В контекста на използването на услугите на информационното общество субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.
 
Тук е важно да отблежим, че в ЗЗЛД е предвидена дерогация и възраженията не могат да се приложат, когато на основание чл. 25л от ЗЗЛД, обработването на личните данни е за целите на Националния архивен фонд на Република България и когато обработването на личните данни е  за статистически цели.  
 
Последното от правата по ОРЗД, които ще разгледаме е  правото на лицето да не бъде обект на автоматизирано вземане на решения, включително профилиране.
 
 
Според Работната група по чл. 29 има два режима за профилирането по ОРЗД:
- профилиране, при което има човешка намеса на даден етап. Тогава се прилагат общите правила и принципи на ОРЗД;
- АВР, включително профилиране, което се осъществява изцяло без човешка намеса.
 
Тъй като вторият процес е по-рисков поради отсъствието на човешкия фактор, ОРЗД въвежда по-строги правила при тази обработка. ОРЗД въвежда принципна забрана за подобен вид обработване.
 
 
ОРЗД ограничава възможността за обработване на чувствителни данни с цел АВР, включително профилиране (само при изрично съгласие или важен обществен интерес на основание правото на ЕС/ държава членка).
 
В ЗЗЛД е предвиден редът, по който гореизброените права могат да се защитат. Така съгалсно чл. 38, ал. 1 от ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни има право да сезира комисията в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му. Комисията се произнася с решение, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
 
Съгласно чл. 39, ал. 1 от ЗЗЛД, при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.
 
За да се защитят обаче правата на субекта на данни по съдебен ред, спорът не трябва да е висящ пред Комисията за защита на личните данни (КЗЛД). Съгласно чл. 39, ал. 4 от ЗЗЛД, субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор.