Какво показва сравнителният анализ на исканията за становища до КЗЛД?

В отчета на комисията разпределението на запитванията е според предмета им и вида на администраторите

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

Сравнителен анализ на исканията за становища според предмета на запитванията и вида на администраторите, които са поискали становище в предходни години и през настоящата

2.1. Становища, свързани с изпълнението на задълженията за защита на правата на физическите лица при обработване на лични данни в съдебната система

Прави впечатление тенденцията към свеждане почти до минимум на исканията за становища по повод обработване на лични данни в рамките на съдебната система след поредицата произнасяния на КЗЛД през 2018 г. С въвеждането на глава Осма от ЗЗЛД и вменяването на надзор по защита на личните данни в съда и прокуратурата при изпълнение на задълженията им като органи на съдебната власт в по-голямата си част запитванията по тези теми отпадат през отчетния период.

2.2. Искания за становища във връзка с точното определяне на фигурите „администратор“ и „обработващ лични данни“

Остава много широко разпространено искането за определяне на ролите „администратор“ – „обработващ“ при по-сложни хипотези на взаимоотношения между двама или повече АЛД и/или ОЛД. Такива най-често са исканията за становища по отношение на медицински учреждения и организации, провеждащи клинични изпитвания. Становището на КЗЛД по тези теми е принципно и гласи, че при провеждането на клинични изпитвания лечебните заведения обработват личните данни на участниците в тях за целите на съответните клинични изпитвания. В тези случаи лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл. 26 от Регламент (ЕС) 2016/679. Всички действия на възложителя и на лечебното заведение, свързани с провеждането на клинично изпитване, включително обмена на информация между тях, се явяват обработване за тази конкретна цел. Аналогично е и описаното по-горе виждане на КЗЛД относно фигурите „администратор“ – „обработващ“ в отношенията между аптеки и НЗОК.

2.3. Становища във връзка с предоставянето на лични данни от база данни на разположение на администратора

С въвеждане на цялостната правна рамка по защита на данните възникват поредици от искания за произнасяне по предоставяне на лични данни от базите данни, поддържани на ниво общини и/или от ГД ГРАО към Министерството на регионалното развитие и благоустройството. Исканията за произнасяне в повечето случаи са въз основа на чл. 106, ал. 1, т. 3 от Закона за гражданската регистрация – искания за разрешение за получаване на удостоверения за наследници на починали длъжници/застраховани лица, за които КЗЛД има трайна практика по непредоставяне на такава информация.

Поредица от искания за становища обаче касаят исканията на различни институции (Министерството на правосъдието, Агенцията за държавна финансова инспекция, Държавната агенция за закрила на детето и др.) до регистър ГРАО, за които КЗЛД принципно се произнася, че не е необходимо индивидуално решение за разрешаване на достъп, тъй като този род институции разполагат с нормативно разписана възможност за еднократна целева справка по електронен път до описания регистър. В този предмет попадат и поредица от искания, направени от Министерството на външните работи по повод предоставяне на данни на консулски служби по повод и при изпълнение на вменени консулски задължения.

Не на последно място сходен предмет от искания се среща през отчетния период по повод текущи отчуждителни процедури и необходимостта от обезпечаване на актуални лични данни на собственици и/или ползватели на имоти за целите на иницииране на процес по обезщетяване при отчуждаване по реда на Закона за държавната собственост.

2.4. Становища във връзка с обработването на лични данни от работодател

И през 2019 г. основните искания за становища от страна на работодатели по отношение на лични данни на служители/работници или на кандидати за такива са фокусирани от една страна върху обема на личните данни, които следва да се събират, сроковете, за които същите могат да се съхраняват, както и обемите от информация, подлежащи на съхранение. Принципното произнасяне на КЗЛД отчита приложимите нормативни срокове, залегнали в ЗЗЛД, изискванията за сроковете за съхранение, разписани в специалното законодателство, и наличието на легитимен интерес на работодателя по отношение на обем данни, не по-голям от стриктно необходимия за защита при евентуални облигационни или деликтни искове.

2.5. Становища относно обработването на данни на починали лица

В рамките 2019 г. са все още налице искания за предоставяне на становища за обработване на лични данни на починали лица, които могат да бъдат категоризирани като такива, свързани с изследователска дейност, и такива в рамките на чисто семейни отношения и проучвания. За тези, ориентирани към изследователската дейност, се прилагат принципите на чл. 89 от Регламент (ЕС) 2016/679, но като се набляга на обстоятелството, че регистрите на населението не се генерират и поддържат за целите на изследователската дейност и в частност за генерирането на родословно дърво, а за втората категория изразената позиция е, че починалите лица не се ползват със закрилата на ЗЗЛД, но предоставянето на данни за тях не трябва да накърнява правата на трети лица.

 

  1. Участие в процедури по съгласуване на проекти на нормативни актове, имащи отношение към въпроси, свързани със защита на личните данни

През 2019 г. представители на КЗЛД участват в различни експертни работни групи, свързани с промяна на законодателството. Наред с това в КЗЛД постъпват искания за съгласуване на проекти на нормативни актове, които Комисията съгласува без бележки или съгласува с бележки и коментари, които следва да бъдат отразени в съответния нормативен акт. Съгласуванията на Закона за изменение и допълнение по реда на чл. 32 от Правилника за дейността на Министерския свет и на неговата администрация са в рамките на обичайната процедура по междуведомствено съгласуване, докато долуизброните са неизчерпателен списък на проекти на актове, които са били предоставени на вниманието на КЗЛД за съгласуване по компетентност:

  • Проект на Постановление на Министерския съвет за изменение и допълнение на Постановление №385 на МС от 30.12.2015 г. за дейността на Централния орган за покупки за нуждите на органите на изпълнителната власт.
  • Проект на Протокол между правителството на Република Северна Македония и правителството на Република България за сътрудничество в областта на борбата срещу трафика на хора.
  • Протокол между правителството на Република България и правителството на Република Армения за прилагане на споразумението между Европейския съюз и Република Армения за обратно приемане на незаконно пребиваващи лица, подписан на 28 октомври 2019 г. в Ереван.
  • Проект на Допълнителен протокол към Споразумението между правителството на Република България и правителството на Азербайджанската република за сътрудничество в борбата срещу престъпността, сключено в Баку на 27 април 2012 г.

 

  1. Отговаряне на запитвания на администратори

Сред основите въпроси се открояват тези за регистрацията на АЛД, както и въпроси, свързани с подаване на жалби при злоупотреба с лични данни на граждани, като напр. жалби за злоупотреба с лични данни от социални мрежи, държавни институции и т.нар. колекторски фирми. Продължават да бъдат актуални и въпросите, свързани с обучения по защита на личните данни както по отделни браншове, така и за определени категории лица (служители, натоварени с управление на човешките ресурси, длъжностни лица по защита на данните, ръководни кадри и т.н.).

Най-често задаваните въпроси произтичат от факта, че в повечето случаи АЛД трудно определят обхвата на регистрите с лични данни, които обработват, и правното основание за тяхното поддържане. Изключително често се дават разяснения относно изискванията на Регламент (ЕС) 2016/679, свързани с правните основания за обработване на лични данни, включително въз основа на съгласие на лицата, срока за съхраняване на съгласието, както и правото да бъдеш забравен, което е един нов акцент във взаимоотношенията между субекта на данни и АЛД.

Много от въпросите при регистрация на фирми с онлайн електронна търговия са свързани с предоставяне на лични данни в страни извън ЕС и ЕИП. В допълнение немалко от въпросите, свързани с електронна търговия, се отнасят до искания за предоставяне от страна на КЗЛД на бланкетни политики за поверителност и правила за обработване на лични данни, които да бъдат директно приложени от АЛД/ОЛД, предоставящ услугата.

Като цяло запитванията от АЛД могат да се обособят в две характерни категории – правни основания за обработване и задължения на АЛД/ОЛД. В този смисъл продължават и усилията на КЗЛД да разяснява системно липсата от необходимост от кумулиране на повече от едно основание за законосъобразно обработване, за точно определяне на основанието за обработване, като се избягва системното и необосновано позоваване на съгласието на субекта на данни, и за стриктно спазване правата на субектите по смисъла на чл. 15-22 от Регламент (ЕС) 2016/679. Червена линия в отговорите на запитвания на администратори е насочване на вниманието към принципа за отчетност, който поставя в тяхна тежест доказването на спазването на изискванията на Регламент (ЕС) 2016/679.

 

Можете да споделите: