Най-интересните становища на КЗЛД

В годишния отчет на комисията пише, че е изразила официални становища по 67 искания.

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

ПРОИЗВОДСТВА ПО ИЗРАЗЯВАНЕ НА СТАНОВИЩА И УЧАСТИЕ В СЪГЛАСУВАТЕЛНИ ПРОЦЕДУРИ НА НОРМАТИВНИ АКТОВЕ ПО ВЪПРОСИТЕ, СВЪРЗАНИ СЪС ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

През 2019 г. КЗЛД е изразила официални становища на основание чл. 58, §3, б. „б“ от Регламент (ЕС) 2016/679, както и на основание чл. 106, ал. 1, т. 3 от Закона за гражданската регистрация, по 67 искания.

През изтеклата година се наблюдава тенденция за сезиране на КЗЛД с искания за становища на теми, по които е налице известна яснота или дори предходно произнасяне по аналогични въпроси, но които носят по-голяма степен на детайлност или налагат определени нови тенденции в тълкуването на правната рамка. Анализът, който може да се направи по отношение на предмета на становищата и заявилите ги администратори, е, че темата за защита на личните данни остава все така актуална във всички области, особено след навлизане на новите правила, относно защитата на личните данни, както и вменените допълнителни задължения на администраторите.

 

  1. Обща статистика и по-интересни случаи

В началото на 2019 г. КЗЛД е сезирана от Централната избирателна комисия (ЦИК), за която възниква необходимост от приемане на мерки по защита на личните данни на лицата и при осъществяване на достъпа до тях във връзка с предстоящите тогава избори за членове на Европейския парламент. В тази връзка КЗЛД приема становище относно обработването на лични данни в изборния процес, в което са разгледани общите положения и изисквания за защита на данните при произвеждане на избори, приложимото законодателство, разграничаването на фигурите „администратор“ и „обработващ“ в различните хипотези (инициативни комитети, партии, коалиции и т.н.), указанията, които следва да бъдат дадени към администраторите, както и основанията и принципите за обработване на лични данни. Това становище е основа за издаване на Указания относно обработването и защитата на личните данни в изборния процес, приети съвместно от ЦИК и КЗЛД на основание чл. 57, ал. 1, т. 49 от Изборния кодекс.

И през 2019 г. КЗЛД пълноценно изпълнява задълженията си по Закона за гражданската регистрация, като има над 15 произнасяния по реда на чл. 106 от него. В тези случаи КЗЛД следва установената си практика по постановяване на отказ при искания от страна на банкови, небанкови кредитни институции и застрахователни дружества за снабдяване с удостоверения за наследници на починали длъжници или застраховани лица. За сметка на това в редица искания за предоставяне на достъп до регистър ГРАО, постъпили от публични органи, КЗЛД потвърждава, че не са им необходими разрешения за достъп, а следва да изпълняват вменените им по закон задължения и правомощия чрез еднократни заявки до регистъра посредством системата за междурегистров обмен Regix.

Интерес представлява становището относно прилагане правото на изтриване на личните данни. Изразено е разбирането, че правото „да бъдеш забравен” не е абсолютно право и упражняването му може да бъде дерогирано на някое от основанията, предвидени в практиката на Европейския съд по правата на човека (ЕСПЧ). Медиите и в частност журналистите са призвани да осигуряват прозрачност и информираност на гражданите, като по този начин способстват за защитата на обществения интерес. Основание за отказ на предявеното право на изтриване на лични данни е налице винаги когато обработването е необходимо за упражняване на правото на свобода на изразяване и правото на информация.

Новост в практиката на КЗЛД представлява и произнасянето по искане за уточняване на сроковете за съхраняване на данни на кандидати при участие в процедури по набиране и подбор на персонала в рамките на максималния 6-месечен срок, предвиден в ЗЗЛД. КЗЛД смята, че срокът за съхранение на лични данни на участници в процедури по набиране и подбор на персонал по чл. 25к от ЗЗЛД започва да тече от момента на окончателно приключване на визираните процедури, съответно след изтичане на сроковете за тяхното обжалване. Съществува правна възможност за удължаване на 6-месечния срок със съгласието на кандидата за работа. При тази хипотеза субектът на данни има право по всяко време и без да излага причини, да оттегли своето съгласие, в резултат на което по-нататъшното обработване на данните трябва да бъде преустановено, като същите следва да бъдат изтрити или унищожени от АЛД.

Принципно произнасяне е направено по отношение на фигурите „администратор“ – „обработващ“ по повод отношенията между аптеки и НЗОК при наличието на подписан договор между тях. Разбирането на дружеството, сезирало КЗЛД, е, че в случаите, когато аптека обработва лични данни, които обработки са ѝ възложени с Договор за отпускане на лекарствени продукти, медицински изделия и диетични храни за специални медицински цели за домашно лечение, заплащани напълно или частично от НЗОК/РЗОК, тя действа като ОЛД на НЗОК, а последната е АЛД. Това виждане е подкрепено с позицията, че обработките на лични данни, предвидени в договора, се правят от аптеката и тя не би ги правила, ако не са ѝ възложени с Договора. Целите и средствата за обработката (включително софтуера) се определят от НЗОК, а аптеките са просто изпълнител. Виждането на КЗЛД по случая обаче е, че договорът между НЗОК и аптеките, който урежда отношенията между тях на основание Закона за здравното осигуряване и Наредба №4 от 4 март 2009 г. за условията и реда за предписване и отпускане на лекарствени продукти, издадена от министъра на здравеопазването, не води до възникване на правоотношение АЛД – ОЛД по смисъла на чл. 28 от Регламент (ЕС) 2016/679. Въпросният договор има характер на нормативен административен акт, който допълва императивната правна уредба в тази област. Специалното законодателство в сферата на здравеопазването предвижда редица задължения, мерки, механизми, ред и условия за обработка и защита на личните данни, които не могат да бъдат дерогирани с договор по смисъла на чл. 28 от Регламент (ЕС) 2016/679.

Друго произнасяне с по-голямо обществено значение е във връзка с формата на публикуване в интернет пространството на общодостъпна информация от клиентска база данни. В това свое становище КЗЛД потвърждава позицията си по отношение на обработването на лични данни за журналистически цели и намира, че последващото обработване на лични данни, придобити от публичен регистър, който е предназначен да предоставя информация на обществеността, следва да е съобразено с разпоредбите на Регламент (ЕС) 2016/679 и ЗЗЛД. Също така препотвърждава, че по правило данните на лица, които не са публични личности, не са обект на журналистическо разследване и нямат пряко отношение към дебат от обществен интерес, следва да бъдат публикувани от съответната медия или журналист в анонимизирана форма. Ако това е неприложимо от гледна точка на осъществяването на свободата на изразяване и упражняването на правото на информация, тогава публикуването следва да се извърши при спазване на принципа за свеждане на данните до минимум.

През отчетния период е налице и принципно произнасяне по искане за комбинирано прилагане на Закона за защита от дискриминация (ЗЗДискр.) и ЗЗЛД в рамките отново на процедури по подбор. КЗЛД приема, че първичните документи на кандидатите за работа като автобиографии, мотивационни писма, документи, доказващи квалификация и опит, и други документи, представени или събрани за целите на конкурсната процедура, както и копията от тях следва да се съхраняват по предвидения в чл. 25к от ЗЗЛД общ ред. Няма нормативна пречка лични данни на участници в конкурсна процедура, съдържащи се в създадените от работодателя или органа по назначаване вътрешни документи относно проведените процедури по набиране и подбор на персонал, да се съхраняват за целите на предвидения в чл. 52 от ЗЗДискр. 3-годишен срок при спазване изискванията на чл. 5, §1, б. „в” и „д” от Регламент (ЕС) 2016/679. В този случай за целите на евентуално производство по ЗЗДискр. работодателят или органът по назначаване ще разполага с доказателства, които ще се базират върху информация, налична в първичните документи, без това да нарушава предвидения в чл. 25к от ЗЗЛД общ ред за ограничаване срока на съхранение на тези документи с лични данни.

Интерес представлява и произнасянето на КЗЛД по прилагане на хипотезата за защита на жизненоважни интереси на субекта на данни. В конкретния случай става въпрос за това, че общинска администрация в качеството си на администратор на лични данни на основание чл. 6, §1, буква „в” и „г” от Регламент (ЕС) 2016/679, във връзка с чл. 6, ал. 1 от Закона за лечебните заведения и Наредба №24 от 7.07.2004 г. за утвърждаване на медицинския стандарт „Психиатрия“, може да предоставя на център за психично здраве лични данни на близки на пациенти на лечебното заведение. Данните могат да бъдат предоставени в следния обем: три имена, адрес и телефон за връзка, съгласно принципа за „свеждане на данните до минимум”, визиран в чл. 5, §1, буква „в” от Регламент (ЕС) 2016/679.

Важно и принципно произнасяне е направено и на тема следва ли въз основа на предоставеното удостоверение по висящо производство, издадено от Арбитражен съд, администрацията на община да издаде удостоверение, съдържащо лични данни, без наличието на съдебно удостоверение и/или съгласието на посоченото в заявлението лице. В конкретния случай се касае за висящо арбитражно производство и предвид факта, че арбитражът е доброволен способ, подсъдността му е по волята на страните. Арбитражният съд разглежда и решава спорове, които са му възложени с арбитражно споразумение и, избягвайки компетентността на държавните съдилища, страните поверяват разрешаването на спора на недържавен правораздавателен орган, като решението му се ползва със сила на пресъдено нещо, т.е. правните последици са приравнени с тези на съдебното решение на държавния съд. Възникналите спорове се разглеждат съобразно Закона за международния търговски арбитраж и правилниците на съответния арбитражен съд. Аналогично на нормативната уредба в ГПК, касаеща представянето на официални документи, в частност правомощието на съда да снабди страна по спора със съдебно удостоверение, учреждението, пред което е предявено удостоверението на арбитража, е длъжно да издаде исканите документи или да обясни причините за неиздаването им (арг. чл. 186 от ГПК). Предвид делегираните от страна на държавата правомощия по разглеждане на спорове от арбитражните съдилища КЗЛД прави извод за наличие на законово основание за предоставяне на данните от ЕСГРАОН на ищеца по делото. В случая приложение намира основанието по чл. 106, ал. 1, т. 3, пр. 1 от ЗГР: „данните от ЕСГРАОН се предоставят на български и чуждестранни юридически лица – въз основа на закон“.

 

Можете да споделите: