адв. Невена Янева, адвокатско дружество „Точева и Мандажиева“

 

В края на изминалата седмица Европейският комитет по защита на данните („Комитетът“), публикува становище по списък с дейности, предложен от българската Комисията за защита на личните данни („КЗЛД“).

Списъкът на КЗЛД обозначава видове дейности по обработване на лични данни, преди извършването на които администраторът трябва да проведе оценка на въздействието върху защитата на данните („оценка на въздействието“) съгласно изискванията на Общия регламент за защита на личните данни /General Data Protection Regulation („Регламентът“,“GDPR“).

 

Какви задължения предвижда GDPR към администраторите на лични данни?

Съгласно изискванията на GDPR в тежест на всеки администратор е да проведе оценка на въздействието, когато съществува вероятност определен вид обработка да породи висок риск за правата и свободите на физическите лица. Оценката на въздействието има за цел да установи как обработката на лични данни, която администраторът възнамерява да проведе, ще рефлектира върху правата и интересите на физическите лица, които ще бъдат засегнати.  Също така с тази оценка администраторът демонстрира какви подходящи мерки за защита на данните ще предприеме, за да гарантира, че е спазил изискванията на Регламента. Съгласно Регламента неспазването на изискванията за оценка на въздействието може да доведе до налагане на глоби.

Въпросът, който пряко интересува всеки администратор, е за кои обработки на лични данни за него възниква задължение за оценка на въздействието и в кои случаи това не се изисква.

С изключение на хипотезите[1], за които Регламентът предвижда задължение на администратора за оценка на въздействието, в останалите случаи администраторът сам преценява дали има вероятност предвидените от него обработки да породят висок риск и дали е необходимо да бъде проведена оценка на въздействието.

С цел улеснение на администраторите и за да намали тежестта върху тях от преценката, GDPR предоставя правомощие на надзорния орган във всяка държава-членка да състави списък на национално ниво с дейности, които биха породили висок риск и за които администраторите трябва да подготвят оценка на въздействието. В своите Насоки относно оценката на въздействието върху защитата на данни Работната група[2] зададе 9 критерия, по които всеки надзорен орган като КЗЛД следва да се ръководи при изготвянето на своя списък. Списъкът на КЗЛД бе представен на Комитета и във връзка с него Комитетът оповести своето становище. Интерес представляват указанията, които Комитетът е отправил към  КЗЛД.

 

Становището на Европейския комитет по защита на личните данни

В своето становище Комитетът е установил пропуски и неточности в списъка на българския надзорен орган и е направил препоръки за допълване и изменения.

Конкретно са коментирани следните обработки, посочени от КЗЛД, с които администраторите предстои да се съобразяват:

Обработка на биометрични и генетични данни – Комитетът потвърждава включването в списъка на КЗЛД на тези обработки като изискващи провеждане на оценка на въздействието, но уточнява, че трябва да е налице допълнително условие, което да породи вероятност от висок риск.

Като пример за такива дейности по обработване на генетични данни могат да се посочат дейностите по провеждане на медицински изследвания от медико-диагностични лаборатории. Някои от високоспециализираните изследвания не могат да бъдат провеждани в България и българските лаборатории, след като съберат пробите от пациентите, ги изпращат в специализирана лаборатория извън Европейския съюз и Европейското икономическо пространство, където е възможно да бъде проведено съответното изследване. При тази медицинска дейност е налице не само обработка на генетични данни, но и допълнително условие –  предаване на генетични лични данни на трета държава по смисъла на Глава V от GDPR. Така предаването като допълнително условие в комбинация с обработката на генетични лични данни може да породи висок риск за правата и интересите на физическите лица, от което следва, че лабораторията – администратор в България ще има задължение да провежда оценка на въздействието.

Обработка на данни за местоположението – за да се осигури съгласуваното прилагане на Регламента в държавите-членки на ЕС и тъй като в повечето от списъците на другите надзорни органи е включена тази обработка, Комитетът препоръчва на КЗЛД да включи в списъка си с високорисковите дейности и обработката на личните данни, при която се събират данни за местоположението на физическите лица.

Включването на тази обработка ще рефлектира, например, върху доставчиците на GPS услуги, които като администратори получават достъп до местоположението на физическите лица, проследявани с предлаганите от тях устройства и софтуер. Така, в случай, че доставчик на GPS услуги може да идентифицира физическите лица, чието местоположение проследява, той като администратор на лични данни ще има задължение да провежда оценка на въздействието.

Обработки на данни, за които администраторът не информира субектите на данни съгласно изключенията на чл. 14, параграф 5 от GDPR – Комитетът указва на КЗЛД, че тези обработки сами по себе си не пораждат висок риск и е необходимо да се допълни, че висок риск в тези случаи ще е налице само при наличието на допълнително условие;

Обработка на основание изпълнение на законово задължение – Комитетът препоръчва на КЗЛД да премахне от списъка си всички обработки, които се извършват от администраторите на основание изпълнение на законово задължение, тъй като те не биха довели до висок риск и задължение за оценка на въздействието;

Обработка от съвместни администратори – съгласно становището на Комитета обработката на данни от съвместни администратори сама по себе си или при наличието на допълнителни условия не би мога да поражда високи рискове, поради което също следва да отпадне от списъка на КЗЛД с обработки, изискващи оценка на въздействието;

Трансгранична обработка на лични данни с информационни системи – Комитетът отправя критика към КЗЛД и по отношение на заложената в списъка обработка на лични данни с информационни системи, при която личните данни се прехвърлят между държави в рамките на ЕС; според Комитета тази обработка сама по себе си или при наличието на допълнителни условия не може да породи висок риск и не следва да се изисква от администраторите за нея да провеждат оценка на въздействието; така КЗЛД следва да премахне и нея от списъка си;

Миграция на данни от една информационна система в друга – Комитетът уточнява, че миграцията на данни между информационни системи сама по себе си не би могла да породи висок риск, както е посочила КЗЛД, а това би могло да се случи само при наличието и на поне едно допълнително условие; в този смисъл КЗЛД следва да измени списъка си, за да възникне задължение за администраторите за провеждане на оценка на въздействието;

Обработка, включваща използването на нови или иновативни технологии –  Комитетът потвърждава включването на тази обработка в списъка на КЗЛД, от което следва, че при използването на такива технологии за администраторите ще възникне задължение за провеждане на оценка на въздействието.

Тъй като понятието „нови или иновативни технологии“ е широко формулирано, то е необходимо във всеки конкретен случай да се прави допълнителен анализ от администратора, за да се установи дали конкретната дейност по обработване на лични данни, която той ще провежда, попада в обхвата на хипотезата да са използвани нови или иновативни технологии.

 

Освен по конкретните видове дейности по обработване на лични данни Комитетът е направил и някои общи препоръки към КЗЛД. Така КЗЛД следва да включи в списъка си изрично пояснението, че списъкът е неизчерпателен по своя характер. Това означава, че дейностите в него, изискващи оценка на въздействието, могат да бъдат допълвани. Друга основна препоръка към КЗЛД е да обоснове избора си на посочените в списъка дейности. В резултат на тази препоръка КЗЛД трябва да посочи кое определя обработките като такива, които могат да породят висок риск за правата и задълженията на физическите лица. Комитетът препоръчва обосновката да се извърши с референции към някои от деветте критерия, заложени в Насоките на Работната група относно оценката на въздействието върху защитата на данни.

Администраторите следва да имат предвид, че коментираното становище на Комитета е адресирано към КЗДЛ. Едва след като КЗЛД отрази препоръките на Комитета и след като оповести окончателния вариант на списъка си, администраторите ще трябва да се съобразяват с него и да провеждат оценка на въздействието върху защита на данните, преди да започнат обработка на данни, включена в списъка на КЗЛД.

 

Бележки:

[1] Съгласно чл. 35, параграф 3 от GDPR оценка на въздействието се изисква от администратора, ако той осъществява обработка на лични данни, при която е налице някой от елементите:

  1. систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;
  2. мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10 от GDPR; или
  3. систематично мащабно наблюдение на публично достъпна зона.

[2] Тази работна група е създадена в съответствие с член 29 от Директива 95/46/ЕО. Нейните насоки са одобрени от Комитета и са приложими при действието на GDPR.

 

Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора на e-mail: yaneva@tmlawoffice.bg или на www.tmlawoffice.bg