Кмет попита за това Комисията за защита на личните данни във връзка с упражняване на права по GDPR
Субектите на данни могат да упражняват правата си по чл. 15–22 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) чрез писмено заявление до администратора на лични данни, чийто реквизити са изчерпателно изброени в разпоредбата на чл. 37в, ал. 1 от Закона за защита на личните данни (ЗЗЛД). Съгласно ал. 2 на същата разпоредба, при подаване на заявление от упълномощено лице към него следва да се приложи и пълномощното, за което законодателят е предвидил обикновена писмена форма (видно от логическото тълкуване на нормата). Това пише в искането за становище от Комисията за защита на личните данни, публикувано във втори брой на бюлетина й за тази година. Кметът изразява мнение, че упражняването на права от субекта на данни пред администратора – ***** община, имащ качеството на публичен (административен) орган, по своето правно естество представлява административно производство, за което следва да се прилагат правилата на Административнопроцесуалния кодекс (АПК). Съгласно разпоредбата на чл. 18, ал. 2 от АПК гражданите и организациите могат да се представляват пред административните органи с писмено пълномощно с нотариална заверка на подписа и от други граждани и организации.
Какво е становишето на КЗЛД: „С оглед на гореизложеното и предвид обезпечаване на правната сигурност при упражняване на правата на субекта чрез пълномощник, за администратора е налице възможност да поиска от лицето, подаващо искането допълнителна информация, но при условие, че той не поставя изискване за представяне на нотариално заверено пълномощно, тъй като съгласно правната теория нотариалната форма е допустима, само ако е предвидена в закон. Законодателят е възприел аналогичен подход и по отношение на адвокатските пълномощни, които също не следва да са нотариално заверени.“
Ето и пълния текст на становището:
СТАНОВИЩЕ НА КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № НДМСПО-01-335/2019 г.
гр. София, 20.02.2020 г.
ОТНОСНО: Форма на упълномощаване при упражняване на права чрез пълномощник пред администратор на лични данни – публичен (административен) орган
Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов и Мария Матева, на заседание, проведено на 05.02.2020 г., разгледа искане за становище (рег. № НДМСПО-01-335/10.12.2019 г.) от кмета на ***** община, с което се поставя въпрос относно приложимото право при упражняване на правата за защита на личните данни чрез пълномощник.
Кметът на ***** община информира, че субектите на данни могат да упражняват правата си по чл. 15–22 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) чрез писмено заявление до администратора на лични данни, чийто реквизити са изчерпателно изброени в разпоредбата на чл. 37в, ал. 1 от Закона за защита на личните данни (ЗЗЛД). Съгласно ал. 2 на същата разпоредба, при подаване на заявление от упълномощено лице към него следва да се приложи и пълномощното, за което законодателят е предвидил обикновена писмена форма (видно от логическото тълкуване на нормата).
Наред с това се изразява мнение, че упражняването на права от субекта на данни пред администратора – ***** община, имащ качеството на публичен (административен) орган, по своето правно естество представлява административно производство, за което следва да се прилагат правилата на Административнопроцесуалния кодекс (АПК). Съгласно разпоредбата на чл. 18, ал. 2 от АПК гражданите и организациите могат да се представляват пред административните органи с писмено пълномощно с нотариална заверка на подписа и от други граждани и организации.
Следва да се отбележи, че КЗЛД вече се е произнасяла по сходно искане /рег. № НДМСПО-01-197/27.05.2019 г./ за становище от УМБАЛ, съгласно което, лечебните заведения, в качеството им на администратори на лични данни, нямат правно основание да изискват нотариална заверка на подписа при упълномощаване на друго лице, чрез което се упражнят правата на субекта на данни по Регламент (ЕС) 2016/679.
С оглед на гореизложеното и предвид публичноправното качество на администратора, се поставя въпрос, дали следва да се прилага разпоредбата на чл. 18, ал. 2 от АПК, изискваща нотариална заверка на подписа на упълномощителя.
Правен анализ:
Разпоредбата на чл. 12 от Регламент (ЕС) 2016/679 урежда прозрачността, комуникацията и условията за упражняване на правата на субектите на данни. Ключово изискване за упражняването им е субектът на данни да бъде идентифициран от администратора. Поради своята технологична неутралност, регламентът не посочва конкретни способи и механизми за удостоверяване самоличността на субекта на данните. Това зависи от контекста, в който данните се обработват. По правило идентифицирането следва да става само въз основа на данни за субекта, с които администраторът вече разполага.
С оглед на пряката си приложимост, Регламентът допуска, тогава когато администраторът има основателни опасения относно самоличността на физическото лице, което е подало искане за упражняване на права, той да може да поиска от него допълнителна информация, необходима за потвърждаване на самоличността му (арг. чл. 12, § 6 от Регламента). В този случай администраторът може да откаже да предприеме действия по искането за упражняване на права. Ако администраторът прецени, че не e в състояние да идентифицира субекта на данни, върху него ще лежи и тежестта за доказване на това обстоятелство.
Във връзка с необходимостта от удостоверяване самоличността на субекта на данни и гарантиране, че правата, предоставени от Регламент (ЕС) 2016/679 се упражняват от съответното правоимащо лице, ЗЗЛД въвежда определени изисквания към формата и процедурата, по която същите се реализират.
Съгласно чл. 37б от ЗЗЛД, правата по чл. 15–22 от Регламент (ЕС) 2016/679 се упражняват чрез писмено заявление до администратора или по друг определен от него начин. Заявлението може да бъде подадено по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация. Заявлението може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
Реквизитите на заявлението са изчерпателно изброени в чл. 37в от ЗЗЛД. Разпоредбата на чл. 37в, ал. 2 от ЗЗЛД предвижда, че при подаване на заявлението от упълномощено лице към него се прилага и пълномощното.
С оглед на гореизложеното и предвид обезпечаване на правната сигурност при упражняване на правата на субекта чрез пълномощник, за администратора е налице възможност да поиска от лицето, подаващо искането допълнителна информация, но при условие, че той не поставя изискване за представяне на нотариално заверено пълномощно, тъй като съгласно правната теория нотариалната форма е допустима, само ако е предвидена в закон. Законодателят е възприел аналогичен подход и по отношение на адвокатските пълномощни, които също не следва да са нотариално заверени.
Няма пречка администраторът да внедри и прилага методика за вторична проверка, напр. при много искания от един и същ пълномощник или когато същият не е в пряка роднинска връзка с упълномощителя.
Предвид поставения въпрос, следва да се отбележи, че предмет на регулация от ЗЗЛД са обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени от Регламент (ЕС) 2016/679 (арг. чл. 1, ал. 1 ЗЗЛД). С оглед неговия особен предмет може да се направи обоснован извод, че същият се явява специален закон по отношение на разпоредбите на АПК.
От друга страна, нито Регламентът, нито ЗЗЛД предвиждат разграничение между публичноправните и частноправните администратори на лични данни. Напротив, целта на законодателството е да унифицира правилата за защита на личните данни, в т.ч. и условията за упражняване на правата на субектите. Подобен подход, създаващ двойствен режим за субектите на данни следва да се разглежда като нарушение на техните права. Нещо повече, една от целите на актуализирания ЗЗЛД е да намали административната тежест, като по този начин се изпълняват и изискванията на Регламента за по-улеснено упражняване на правата на субектите на данни.
Наред с посоченото дотук, трудно би могло да се сподели и мнението, че действието или бездействието на администратор на лични данни (имащ качеството и на публичен/ административен орган) по предявено до него искане за упражняване на права по Регламента има правните белези на индивидуален административен акт. По правило административните органи издават индивидуални административни актове в рамките на своята компетентност, от която произлизат властническите им правомощия. В конкретния случай, без да засяга неговия правен статут, Регламентът вменява на администратора задължение (а не правомощие) за разглеждане на предявеното от субекта на данните искане за упражняване на неговите права.
Във връзка с горепосоченото и на основание чл. 58, § 3, б. „б“ от Регламент (ЕС) 2016/679, Комисията за защита на личните данни изразява следното
Независимо от своя правен статут, администраторът на лични данни следва да прилага специалните изисквания на чл. 37в, ал. 2 от Закона за защита на личните данни, уреждащи формата на упълномощаване при упражняване на правата по Регламент (ЕС) 2016/679 чрез пълномощник.
ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ: