В законодателството на Европейския съюз отдавна е залегнал принципът на прозрачност[1]. Той цели изграждане на доверие в процесите, които засягат гражданите, като им се дава възможност да разбират и ако е необходимо, да оспорват тези процеси. В Общия Регламент за Защита на Данните (Регламента) принципът на прозрачност е неразривно свързан с още два принципа, а именно този на добросъвестността и новия принцип, който въвежда Регламента – отчетността[2].
Същност и приложение на принципа на прозрачност
В Регламента не е дадена легална дефиниция на понятието „прозрачност“. В съображение 39 обаче се дава информация относно значението и въздействието на принципа в контекста на обработването на данни:
„За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват…“
Концепцията за прозрачност съгласно Регламента е по-скоро ориентирана към ползвателя и се реализира чрез конкретни практически изисквания към администраторите и обработващите лични данни, предвидени в редица членове. Практическите изисквания относно информираността на субектите на данни са регламентирани в членовете 12-14 от Регламента.
Прозрачността като принцип е приложима в следните 3 основни етапа от цикъла по обработване:
– Преди обработването – при предоставянето на информацията на субектите на данни във връзка със събирането на техните лични данни и предстоящото им обработване;
– През целия период на обработването – при начините, по които администраторите на лични данни комуникират със субектите във връзка с техните права предвидени в Регламента;
– В специални случаи по време на обработването – например при нарушаването на сигурността на личните данни или в случаи на съществени промени при обработването.
Елементи на прозрачността
В чл. 12 от Регламента са посочени изискванията, на които трябва да отговаря информацията предоставяна на субектите на данни във връзка с обработването на личните им данни.
Кратка, прозрачна, разбираема и лесно достъпна форма
Това изискване за прозрачността може да бъде разделено на 3 отделни, но взаимосвързани елемента.
–Кратка и прозрачна форма – изискването за кратка и прозрачна форма означава, че администраторите следва да представят информацията ефикасно и сбито, за да се избегне информационна умора. Информацията трябва да бъде ясно разграничена от друга информация, която не е свързана с поверителността като например договорни клаузи или условия за използване.
–Разбираема форма – изискването информацията да бъде разбираема е тясно свързано с изискването за използване на ясен и просто език. Така например, администратор, който събира лични данни на работещи специалисти, може да предположи, че степента на разбиране на неговата аудитория е по-висока, отколкото тази, с която работи администратор, събиращ лични данни на деца.
–Лесно достъпна форма – този елемент изисква информацията да е поставена на видно място, така че на субекта на данни да не му се налага да я търси. Така например всяка организация, която поддържа уебсайт, на който се обработват лични данни, следва да публикува Политика за поверителност. В този случай, за да бъде спазен елемента на „лесно достъпна форма“, потребителите на сайта следва да могат да отворят Политиката за поверителност от всяка една страница на уебсайта.
Ясен и прост език
При информацията в писмена форма трябва да бъдат следвани най-добрите практики за писане на ясни текстове[3]. Изискването за ясен и прост език означава, че информацията следва да се предоставя във възможно най-опростена форма, като се избягват прекалено легалистичен, технически или специализиран език или терминология. Информацията не трябва да бъде представена по абстрактен или двусмислен начин, или да оставя място за различни интерпретации.
Формулировки с оценъчен характер като „може“, „може би“, „често“ и т.н. също трябва да се избягват. Когато администраторите изберат да използват неопределен израз, те трябва да могат да докажат, в съответствие с принципа за отчетност, защо употребата на такъв израз не може да бъде избегната и как това не накърнява добросъвестността на обработването.
Предоставяне на информация на деца и други уязвими лица
В случаите, когато адресати на администратора са деца[4], той трябва да гарантира, че речникът, тонът и стилът на използвания език са подходящи и в съзвучие с езика на децата, така че детето адресат на информацията да разпознае, че информацията е насочена към него. В този смисъл са и съображения 38 и 58, където се посочва, че децата се ползват със специална защита, тъй като не разбират съответните рискове при обработването, както и правата си във връзка с обработването, поради което информацията насочена към деца следва да е още по-ясна, проста и лесноразбираема.
Въпреки че съгласие в много случаи се дава или разрешава еднократно от носещия родителска отговорност за детето, едно дете има постоянно право на прозрачност през целия период на правоотношението си с администратора. Това е в съответствие с чл. 13 от Конвенцията на ООН за правата на детето, който гласи, че детето има право на свобода на изразяване на мнение, което включва свобода да търси, получава и предава информация и идеи от всякакъв вид.
Важно е да се отбележи, че когато децата са много малки мерките за прозрачност следва да бъдат насочени към родителите носещи родителска отговорност за детето, тъй като в повечето случаи тези деца няма да разберат дори най-основните послания в писмена или друга форма относно прозрачността.
Предоставяне на информацията писмено или по друг начин
Предоставянето на информация на субектите на данни по подразбиране се извършва в писмена форма. Регламентът обаче допуска и използването на други неуточнени начини, включително и електронни средства. В допълнение към основния способ за предоставяне на информация могат да бъдат включени и допълнителни такива като видеоклипове, гласови съобщения, карикатури, диаграми и т.н. От съществено значение е избраният метод или методи за предоставяне на информация да бъдат подходящи за конкретните обстоятелства.
В чл. 12, пар. 1 от Регламента специално е предвидено, че информацията може да бъде дадена устно на субектите на данни, ако те са поискали това, при условие че идентичността им е доказана с други средства.
Безплатно предоставяне на информация
Администраторите не могат да налагат такси на субектите на данни за предоставяне на информация по чл. 13 и 14, за комуникацията и действията във връзка с правата им съгласно чл. 15-22 и за съобщаването при нарушения на сигурността на личните данни съгласно чл. 34. Регламентът обаче въвежда изключение от това правило в случаите когато исканията на субектите на данни са неоснователи или прекомерни. В тази случаи администраторът може да наложи разумна такса или да откаже да предприеме действие по искането. Важно е да се отбележи, че администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.
Информация предоставяна на субектите на данни
Категориите информация, която следва да бъде предоставена на субекта на данни във връзка с обработването на неговите лични данни, са изброени в чл. 13 за случаите, когато личните данни се събират от субекта на данни и чл. 14 за случаите, когато личните данни се получават от друг източник.
Освен съдържанието, формата и начинът на предоставяне на информацията също са важни. Предоставянето на информацията относно обработването следва да бъде отделно от всяка друга информация – на практика трябва да се съставят отделни документи (декларации за информираност, политика за поверителност т.н.). Информацията, която трябва да се предостави на субектите на данни, може да бъде предоставена в комбинация със стандартизирани икони, чрез което администраторът да представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.
Информацията за обработването на лични данни следва да се предостави на субекта на данни в момента на събирането й от него или ако личните данни са получени от друг източник – в рамките на разумен срок след получаването на личните данни, но най-късно в срок до един месец.
Едномесечният срок на общо основание, предвиден в чл. 14, пар. 3, буква (а), може допълнително да бъде ограничен съгласно чл. 14, пар. 3, буква (б), където се предвижда ситуация, при която данните се използват за връзка със субекта на данни. В този случай информацията трябва да бъде предоставена най-късно при осъществяване на първи контакт със субекта на данните. Ако първият контакт бъде осъществен по-късно от един месец след момента на получаването на личните данни, тогава продължава да се прилага чл. 14, пар. 3, буква (а), така че информацията трябва да бъде предоставена на субекта на данните най-късно до един месец след получаването им.
Едномесечният срок също така може да бъде ограничен съгласно чл. 14, пар. 3, буква (в), когато данните се разкриват пред друг получател. В тази хипотеза информацията трябва да бъде предоставена най-късно при разкриване на личните данни за първи път, ако това разкриване бъде извършено в рамките на първия месец от получаването на личните данни.
Промяна на информацията предоставена на субекта на данни
Отчетността по отношение на прозрачността се прилага не само на етапа на събирането на личните данни, но и през целия жизнен цикъл на обработването. Такъв е случаят например при съществена променя на Декларацията за информираност. В този случай администраторът трябва да спазва едни и същи принципи, както при предоставяне на първоначалната Декларация за информираност, така и когато уведомява за всички последващи съществени промени[5] в нея. Съществени промени са например промяна в целта на обработването, промяна в идентичността на администратора, промяна в начина, по който субектите на данни могат да упражнят своите права по отношение на обработването. От друга страна, не са съществени промени редактирането на правописни грешки или стилистични неточности.
В Регламента не са предвидени крайни срокове, които се прилагат за уведомяване относно промените в информацията, която е била предоставена преди на субект на данни. За определяне на този срок, администраторът трябва да вземе предвид принципите на добросъвестност и отчетност по отношение на всички основателни очаквания на субекта на данните или потенциалното въздействие на тези промени върху него. Ако промяната в информацията се отразява съществено върху естеството на обработването или пък е налице промяна, която може да не е от съществено значение от гледна точка на операцията по обработването, но да е от значение за субекта на данните и да окаже въздействие върху него, тогава тази информация следва да бъде предоставена на субекта на данните достатъчно рано преди действителното изпълнение на промяната.
Както в член 13, така и в член 14 се съдържа разпоредба, която изисква администраторът да информира субекта на данните, ако възнамерява да обработва личните данни и за цел, различна от тази, за която са събрани/получени. Ако това е така, администраторът „предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2„. Тези разпоредби специално привеждат в действие принципа, предвиден в член 5, параграф 1, буква (б), че личните данни се събират за конкретни, изрично указани и легитимни цели, като обработването им по начин, несъвместим с тези цели, се забранява. Във втората част на член 5, параграф 1, буква (б) се посочва, че по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели.
Информацията по отношение на по-нататъшното обработване трябва да се предоставя в разумен срок преди това обработване. Принципът на добросъвестност изисква срокът да е по-дълъг, когато намесата при последващото използване на личните данни е по-неочаквано. Това ще позволи на субекта на данни да обмисли по-нататъшното обработване.
В заключение следва да обобщим, че спазването на принципа на прозрачност е от изключително значение, както за субектите на данни, които остават информирани за обработването на техните данни, така и за администраторите, които си гарантират защита от санкции и доверието на своите клиенти и бизнес партньори. Все пак трябва да отбележим. че спазването на принципа на прозрачност само по себе си не е достатъчно, тъй като той е неразривно свързан с принципа на отчетност, според който администраторите носят тежестта да докажат, че дейността им е в съответствие с изискванията на Регламента. Ето защо е необходимо надлежното документиране, чрез изработване на политика и процедури за защита на личните данни, кое да служи като доказателство за спазването на Регламента.
Бележки под линия:
[1] Член 1 от ДЕС се отнася до вземането на решения „при възможно най-голямо зачитане на принципа на откритост и възможно най-близко до гражданите“; В член 11, параграф 2 се посочва, че „институциите поддържат открит, прозрачен и редовен диалог с представителните организации и гражданското общество“; В чл. 15 от ДФЕС се посочва, наред с другото, че гражданите на Съюза имат право на достъп до документите на институциите, органите, службите и агенциите на Съюза, а от съответните институции, органи, служби и агенции на Съюза се изисква да гарантират, че техните процедури са прозрачни.
[2] Съгласно принципа на отчетност администраторът трябва винаги да е в състояние да докаже, че личните данни се обработват по прозрачен начин по отношение на субектите на данни. Във връзка с това принципът на отчетност изисква прозрачност на операциите по обработване, така че администраторите да бъдат в състояние да докажат, че спазват задълженията си съгласно Регламента.
[3] Вж. публикацията „Как да пишем ясно“, достъпна на адрес: https://publications.europa.eu/bg/publication-detail/-/publication/c2dab20c-0414-408d-87b5-dd3c6e5dd9a5
[4] Регламентът не дава легална дефиниция за „дете“, но Работната група по чл.29 признава, че в съответствие с Конвенцията на ООН за правата на детето, която е ратифицирана от всички държави членки ЕС – дете е човешко същество на възраст под 18 години.
[5] Факторите, които администраторите следва да вземат предвид при оценката на това какво представлява съществена промяна, включват въздействието върху субекта на данни (включително способността да упражняват своите права) и това колко непредвидена/изненадваща е промяната за субекта на данни.
[6] Съображение 38 гласи: „На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Съгласието на носещия родителска отговорност не следва да е необходимо в контекста на пряко предлаганите на деца услуги за превенция и консултиране.“
[7] Изречение четвърто на съображение 58 глас: „…Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.“
0 Коментара