На авансцената: „Личните данни“ и Регламента за тяхната защита

private-information-reverse-phone-lookup

През 2001 г. в Литва, ежедневен вестник помества статия, с информация, че едно конкретно лице е ХИВ позитивно. Съществували са твърдения, че информацията е била потвърдена от медици от местната болница. Това става и повод за завеждане на делото Biriuk/ Литва, като жалбоподателя предявява иск за нанесени щети от печатното издание. Европейският съд по правата на човека се произнася, че защитата на личните данни, не на последно място на медицинските данни, е от особена важност, за да може лицето да се ползва от правото си на зачитане на личния и семейния живот, както е гарантирано в член 8 от Европейската конвенция по правата на човека. Емблематичен случай, очертаващ допустимите граници на разгласяване на субективна информация.

Всеки вид информация може да представлява лични данни, при условие че е тя е свързана с дадено лице.

Личните данни съдържат идентификатори като име, дата на раждане, пол,  адрес. Лични данни са включително кадри от системи за видеонаблюдение  – Европейски съд по правата на човека, Решение от 28.01.2003 г. по делото Peck/Обединеното кралство, № 44647/98. Първият в света национален закон за защита на данните е приет в Швеция на 11 май 1973 г. У нас е в сила Законът за защита на личните данни, приложим за защита на правата на физическите лица при обработването на техните лични данни от лица, имащи качество на администратори на лични данни, по смисъла на чл. 3. Съгласно легалната дефиниция (чл. 2, ал. 1 от Закон за защита на личните данни), лични данни са всяка информация, отнасяща се до физическото лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

Съгл. член 8 от Европейската конвенция за правата на човека, правото на защита срещу събирането и използването на лични данни е част от правото на зачитане на личния и семейния живот, на жилището и тайната на кореспонденцията.

А според Хартата на основните права на Европейския Съюз и член 8, „Всеки има право на защита на неговите лични данни. Тези данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. Всеки има право на достъп до събраните данни, отнасящи се до него, както и правото да изиска поправянето им. Спазването на тези правила подлежи на контрол от независим орган“. С влизането в сила на Договора от Лисабон през декември 2009 г., Хартата на основните права на ЕС придобива правнообвързващ характер и с това правото на защита на личните данни е издигнато до статута на отделно основно право.

Характерна особеност на защитата на данните е, че тя се свързва основно със защитата на физически лица. Съществува и диференциация на личните данни, на така нар. „чувствителни данни“, напр. в Директивата за защита на личните данни като чувствителни данни се посочва „членството в професионални съюзи“, а в Конвенция № 108 – свързаните с наказателни присъди. И двата акта определят като такива и данните, отнасящи се до здравословното състояние на съответното физическо лице.

Нарушаването на сигурността на лични данни може да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията (обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация), накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица.

ЕСПЧ е постановил, че „концепцията за необходимост предполага, че намесата съответства на належаща обществена нужда, и по-специално, че тя е пропорционална на преследваната законна цел“ (Решение от 11.07.1985 г. по дело Leander/Швеция).

Сред основните принципи за защита на данните са:

  • За всички събрани данни трябва да има определена цел;
  • Информацията, събрана от дадено лице, не може да бъде разкривана на други организации или лица, освен ако не е изрично упълномощено от закона или със съгласието на лицето;
  • Данните трябва да бъдат изтрити, когато вече не са необходими за посочената цел;
  • Някои данни са твърде „чувствителни“, за да бъдат събирани, освен ако няма конкретен повод (напр. относно изповядвана религия).

И така стигаме до приложимия от 25 май 2018 година Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните). Припомням, че Регламентът е законодателен акт на Европейския съюз, който е незабавно изпълним, като правило, във всичко държави членки едновременно. Регламентите се различават от директивите, които не се прилагат пряко, а първо трябва да бъдат транспонирани в националните законодателства на страните членки.

Регламентът не обхваща обработването на лични данни, засягащи юридически лица. Не е и приложим за обработването на лични данни от физическо лице в рамките на изцяло лична дейност

(напр. воденето на кореспонденция и поддържането на адресни указатели или участието в социални мрежи и онлайн дейности, предприети в контекста на тези дейности)  или дейност в рамките на домакинството, която следователно няма връзка с професионална или търговска дейност. Това не важи за администратори или обработващи лични данни, които осигуряват средствата за обработване на лични данни при такива лични дейности или дейности в рамките на домакинството.

Първото условие за законосъобразно обработване на данни, независимо от това дали те са нечувствителни или чувствителни данни, е съгласието на физическото лице.        

Съгласието е компонент на законосъобразното обработване на лични данни. Съгласие следва да се дава, според този нормативен акт, чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие.

Други ключови точки из Регламента и встъпителната му част са, че:

  • На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни;
  • Създаването в държавите членки на надзорни органи, оправомощени да изпълняват задачите и упражняват своите правомощия при пълна независимост, е първостепенен елемент от защитата на физическите лица във връзка с обработването на личните им данни.

Не са подминати и по-големите санкции, относими към транснационалните корпорации.

Също така, субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него. Така напр. съгл. чл. 82, т. 1 и 2, „Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях“.

Правата на потребителите се поясняват, от гледна точка, че всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране.

Използвани източници:

  • Закон за защита на личните данни;
  • Европейска конвенция по правата на човека;
  • Харта на основните права на Европейския Съюз;
  • Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО;
  • Практика на ЕСПЧ – http://www.echr.coe.int/Pages/home.aspx?p=home;
  • „Наръчник по европейско право в областта на защитата на данните“ `2014 г. (изготвен съвместно от Агенцията на Европейския съюз за основните права (АОП) и Съвета на Европа заедно със Секретариата на Европейския съд по правата на човека).

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *