Основания за Обработване на Лични Данни

Основанията за обработване са изброените и признати от Регламента правни причини, на които се позоваваме, за да може обработването на лични данни да е законосъобразно. Във всеки един момент, в който се събират лични данни трябва да се направи анализ, за да се установи на какво правно основание да се позове администраторът/обработващият при обработването на личните данни. За да се направи въпросният анализ е необходимо да се направи изследване на целите, за които се обработват тези данни. Правните основания на които се обработват личните данни и целите, за които се обработват, се намират в корелативна връзка.

Регламентът посочва 6 основания за законосъобразно обработване на лични данни. Това са:

• Законово задължение, което се прилага спрямо администратора;
• Договор със субекта на данни / предприемане на стъпки по сключване на договор по искане на субекта;
• Жизненоважни интереси на субекта на данни / на друго физическо лице;
• Задача от обществен интерес / упражняване на официални правомощия на администратора;
• Легитимен интерес на администратора, който има преимущество пред интересите, правата и свободите на субектите на данни;
• Съгласие на субектите на данни.

1. Законово задължение, което се прилага спрямо администратора.

Едно от най-силните и лесно за отграничаване правно основание е законовото задължение. Много често в практиката се използва термина „законово основание“, който е неточен, тъй като този термин разширява хипотезата на правната норма предвидена в Регламента. Обработването на лични данни  на правното основание законово задължение се извършва в случаите, когато администраторът/обработващият е задължен да обработва въпросните данни от нормативен акт.

(Пример: Администраторът трябва да съхранява ведомостите за заплати в продължение на 50 г.)

2. Договор със субекта на данни / предприемане на стъпки по сключване на договор по искане на субекта.

В този случай обработването е необходимо за изпълнението на договор или за водене на преддоговорни отношения, където субектът на данните е страна. Тук трябва да се направи едно много важно уточнение. Договорът по своята същност е съглашение между две или повече лица, за да се създаде, уреди или прекрати една правна връзка между тях. Това съглашение е уредено в ЗЗД  и не представлява  съгласие по смисъла на Регламента. Ето защо когато администраторът на лични данни поддържа сайт, в който има регистрационна форма, обработването на личните данни на потребителите в този сайт е на база договорно основание. Да, обикновено в регистрационната форма се иска съгласие, но това съгласие е по отношение на общите условия по договора между администратора и потребителя, а не съгласие по смисъла на Регламента.

(Други примери: Договор за покупко-продажба; Извършване на услуга.)

3. Жизненоважни интереси на субекта на данни / на друго физическо лице.

Това правно основание е приложимо в случаи, когато обработването е необходимо, за да бъдат защитени жизненоважни  интереси на субектите на данни или на друго физическо лице.

4. Задача от обществен интерес / упражняване на официални правомощия на администратора.

Когато обработването на лични данни е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора[1].

(Пример: Официални правомощия – дейността на нотариус. Задача от обществен интерес – събиране на подписи за референдум.)

5. Легитимен интерес на администратора, който има преимущество пред интересите, правата и свободите на субектите на данни.

Правното основание легитимен интерес съдържа два елемента, които едновременно трябва да са налице, за да има администраторът годно основание за обработване на лични данни:

• Даден интерес припознат от правото като законен (например: опазване на имуществото).
• Този интерес да има преимущество, спрямо интересите, правата и свободите на субектите на данни, чиито лични данни се обработват.

Необходимо е да се прави анализ за всеки конкретен случай дали интересът на администратора е законен и дали натежава над интересите на субектите на данни. При преценката трябва да се търси разумният баланс между интересите на администратора и субектите на данни, така че последните да бъдат защитени от непропорционално въздействие при обработването[2].

Така например според Работната група по чл. 29 интересът на администратора от използването на биометрични данни на своите служители (субекти на данни) за общо опазване на имуществото в склад за кашони би натежало в по-малка степен от интересите, основните права и свободи на субектите на данни. Това е и причината, поради която в тази хипотеза администратора на лични данни няма да може да се позове на легитимен интерес за обработката на биометричните данни на своите служители.

Противно на това становище ще бъде анализът, когато дейността на администратора е свързана с производство и разпространение на боеприпаси. В този случай въвеждането на биометрична идентификация би натежала над интересите, правата и свободите на субектите на данни.

Важно е да се отбележи, че в съображение 47 от Регламента е посочено, че обработването на лични данни за директен маркетинг може да се разгледа като легитимен интерес на администратора. Това съображение не е залегнало пряко в нормативната част на GDPR. Въпреки това в чл. 21 пар. 3 се посочва, че когато субектът на данни възрази срещу обработването за целите на директен маркетинг, обработването на личните данни се прекратява. От тук можем да направим извод, че щом Регламентът предвижда защита чрез възразяване срещу обработката на лични данни за целите на директния маркетинг, а не чрез оттегляне на съгласие, то със сигурност последното не бива да се иска за тези цели.

По друг начин урежда тази материя проектът за Регламент за неприкосновеността на личния живот и електронните съобщения. В последния се посочва, че е необходимо съгласие на субектите, когато те не са клиенти на администратора и обратното, съгласие не е необходимо в случаите на обработка на лични данни за целите на директен маркетинг към клиенти на администратора. Естествено остава задължението на последния да предостави възможност за възразяване срещу обработването.

Разбирането на КЗЛД от последните години, е че директен маркетинг може да се осъществява само при предварително изрично съгласие на субектите на данни. Вероятно тази практика ще бъде променена в съответствие с новите европейски изисквания.

6. Съгласие на субекта на данни.

Съгласно Регламента съгласието е свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него данни да бъдат обработени.

В практика започва да се налага погрешното разбиране, че ако е налице съгласие на субекта на данни за обработване на личните му данни, това може да преодолее законовите ограничения пред обработването. Действително, в някои хипотези е възможно с помощта на съгласието да се преодолеят определени законови ограничения – напр. обработването на чувствителни данни.

Важно е да се отбележи, че във всички случаи съгласието трябва да бъде дадено активно (подписване на декларация, поставяне на отметка в дадено поле и т.н.)

Съгласието на субекта е най-слабото и несигурно правно основание за обработка на лични данни. Това е така, защото администраторът трябва да предостави възможност на субекта да оттегли съгласието си също толкова лесно, колкото е било и даването му. При оттегляне на съгласието, администраторът губи основанието за обработка и следователно обработването след това става незаконосъобразно и трябва да бъде прекратено незабавно. Ето защо е препоръчително да се търсят други правни основания за обработването и едва когато се установи със сигурност, че няма такива, да се прибягва до съгласието.

В заключение трябва да отбележа, че посочените по-горе основания са алтернативни, т.е. достатъчно е едно от тези условия да е налице, за да може администраторът да обработва лични данни. Лични Данни могат да се обработват и на повече от едно основания. От друга страна, обработването без правно основание е незаконосъобразно и подлежи на санкция.

 

---

Бележки под линия:

[1] Личните данни се събират във връзка с предоставянето на различни административни услуги от държавни органи или органи на местното самоуправление.

[2] Според последното становище на КЗЛД, когато един администратор прехвърли вземане(цесия) на друг, правното основание за обработване на личните данни  е изпълнение на законовото задължение по чл. 99, ал.3 от Закона за задълженията и договорите. След получаване на вземането новият кредитор може да обработва данните на основание своя легитимен интерес за събиране на дължимата сума, включително по реда на принудителното изпълнение.