25 май 2018 година отмина и невидимото присъствие на GDPR (General Data Protection Regulation) изпълни нашето общество, а страховете на хората, подхранвани от професионални, но и често несръчни опити за анализ, пратиха здравия разум в нокаут.
Какво представлява GDPR, какво ни дава и какво ни взема той.
Започваме със същността му. Това е регламент. Което означава, че е „закон“ за целия Европейски съюз. Иначе казано, „няма мърдане“. GDPRът е дълъг и на моменти твърде труден за разбиране (и именно тази трудност провокира много хора с въпросителна компетентност, но силно перо да изпишат много гигабайти с размишления, внушаващи ни, че идва краят на света).
Колкото и да ни е трудно да повярваме, GDPR не идва, за да унищожи обществените отношения и да ни разори с глоби. Целта на регламента всъщност е друга. Много от нас, неглижирайки опасностите, аристократично раздават на всякакви хора и платформи свои и чужди ЕГН-та, телефонни номера и т.н. и рядко се замислят защо са им поискани. От тривиалното – да ви звънят и да ви предлагат стоки и услуги, от които не е сигурно, че имате нужда, до това някой да се опита да изтегли бърз кредит от ваше име…
GDPR прави опит да ограничи сериозно всички негативни последици, които могат да произтекат от злоупотребата с лични данни. И именно затова за големите, сериозни и нагли злоупотребяващи са предвидени сериозни глоби. Разбира се, тези санкции не се налагат „на око“, а когато стане ясно, че някой или безхаберно неглижира задълженията си, или когато откровено злоупотребява с личните данни, които са му попаднали по един или друг начин.
Та регламентът предвижда, както множество задължения за администраторите на лични данни, така и множество възможности за техните носители (на личните данни) за защита.
Един от честите въпроси, които възникват, е „отнасят ли се за мен задълженията в „GDPR„.
Ако сте физическо лице (т.е. човек) и обработвате личните данни за целите на собственото си домакинство, GDPR не се отнася за Вас.
А ако имам фирма?
В практиката нещата стоят така, че нито една фирма не може да работи, без да се „докосне“ до лични данни. Откъдето произтича заключението, че на практика всички фирми трябва да се съобразяват със задълженията си, които произтичат от GDPR.
А какви лични данни мога да събирам? Такива, които са достатъчни да изпълните целта, за която ги събирате? Иначе казано, не бива да се „изсилвате“ и да вземате повече информация, отколкото ви трябва?
По отношение на някои категории лични данни, пък рестрикциите са още по-сериозни. Информацията за расов, етнически произход, политически възгледи, философски убеждения, данни за сексуалния живот или ориентация на лицата … просто забравете за тях.
Сериозни ограничения има и по отношение на личните данни, касаещи здравето на хората.
При какви условия мога да обработвам лични данни?
Можете да ги обработвате, ако техният носител е дал СЪГЛАСИЕ. Важно е да се уточни, че в думата съгласие е вложено доста съдържание. Имате право да обработвате само тези лични данни, за които е дадено съгласие. И да ги обработвате само за тези цели, за които са ви позволили. Т.е. ако някой ви е разрешил да му обработвате личните данни, ама вие решите да се попрестараете с целите на това обработване, вече сте в нарушение. И, говорейки си за съгласие. Много е важно как точно трябва да го получите това съгласие. Настойчиво препоръчително е да стане писмено. Т.е. човекът да ви се е подписал, че е съгласен да ги обработвате за целите, за които е записано в самата декларация. GDPR изрично посочва, че декларацията трябва да е ясна и конкретна, така че човек да не се обърква, като я подписва. Това правило важи и за електронно даваното съгласие. Ако чрез ваша електронна платформа събирате лични данни (в тази категория влиза и IP адресът), потребителите трябва изрично да се съгласят. Т.е. трябва сами да отбележат, че са съгласни. Дългогодишната хитрост „ако продължите да използвате нашия сайт, значи сте съгласни“ остана в миналото, а опитите да продължите да я ползвате, може да ви донесе глоба.
Лични данни можете да обработвате и за да изпълните задълженията си по ДОГОВОР, по който сте страна. Очевидно е, че няма как нито да сключите, а от там и да реализирате договор, ако нямате достъп до данните на вашия контрагент. А самият факт, че сключвате договор с някой, означава, че както вие сте се съгласили той да получи и обработи вашите лични данни, така и вие неговите. Т.е., съгласието, което коментираме по-горе се „дава“ със самия факт на сключен договор. Пиша това с ясното съзнание, че често в практиката едно грешно тълкувание довежда до скандално извращаване на смисъла, който законодателят е вложил в определена норма. И тъй като не знаем кой, къде и как може да сътвори някоя атрактивна мъдрост по отношение на личните данни (имам в практиката си едно уникално съдебно решение на АССГ по отношение на личните данни, което е накарало немалко юристи, сред които и съдии да се прекръстят, като съм им го показвал), съгласието и договора, препоръчвам, когато сключвате договор, освен всичко останало, да помолите контрагента си да попълни декларацията, която съм споменал в предходната секция.
Разбира се, като си говорим за договор, личните данни, придобити заради този договор, могат да се използват само във връзка с него. А за да ги обработваме за други цели, трябва да са ни дали изрично съгласие. Т.е. тук е необходимо да получим и споменатото по-горе съгласие.
Обработването е законно и когато необходимо за спазване на ЗАКОНОВО ЗАДЪЛЖЕНИЕ. Става въпрос за задължение за администратора. Т. е. когато администраторът е задължен по закон да обработи определени лични данни. Като пример за такова задължение може да се посочи нормата на чл. 89 (1) от Закона за здравето, която задължава медиците да получат писмено информирано съгласие, преди осъществяване на определен вид дейности. По принцип самият факт, че някой получава медицинска грижа, предполага, че е налице основание за събиране на личните му данни. Но във всеки случай, когато се осъществява (например) инвазивна процедура, лекарят е длъжен да получи писмено информирано съгласие. Което означава, че той е длъжен да получи определени лични данни (при това чувствителни по смисъла на регламента) и да ги обработи. Поради посочената по-горе причина (извращаване на смисъла на правните норми) препоръчвам в бланката за информирано съгласие да има отделна графа, в която пациентът изрично декларира, че е съгласен да му бъдат обработени така предоставените от него данни.
Ще разгледам по-подробно още една от хипотезите, даваща право на законосъобразно обработване на личните данни. Става въпрос за заявеното в чл. 6, пар. 1, буква „е“ от регламента „ЗА ЦЕЛИТЕ НА ЛЕГИТИМНИТЕ ИНТЕРЕСИ НА АДМИНИСТРАТОРА„. Т.е. за защити своите цели (да речем в съда), лицето има право да обработи лични данни.
Както посочих, има и други основания, освен посочените и по-горе, но те са по-тесни и насочени в конкретни сфери, които нямат толкова сериозно отношение към масовия случай, който е цел на тази публикация.
На задълженията на администратора на личните данни, съответстват правата на носителите на лични данни. Всеки човек, чийто лични данни се обработват от администратора, има редица права. Например:
- Да поиска от администратора да преустанови обработването на личните му данни.
- Да поиска от администратора да коригира личните му данни.
- Да поиска от администратора достъп до личните му данни.
- Правото да „бъде забравен“ и т.н.
Реализацията на тези права става по искане на техния носител, което е препоръчително да бъде направено писмено. Няма стандартизирани бланки, с които да се реализира това, но повечето администратори изготвят свои собствени такива, с цел да улеснят носителят на личните данни, който желае да упражни правата си.
Следва да се отбележи и че тези права не са абсолютни. В определени случаи администраторът на лични данни има законното право да откаже на поставени искания. Например, ако пациент, който току-що е получил лечение от своя зъболекар, поиска от него да заличи личните му данни, лекарят по дентална медицина е в пълното си право да му откаже. Могат да бъдат дадени още много подобни примери.
Както се вижда от бързия преглед на „духа“ на GDPR, неговата цел съвсем не е да унищожава бизнеси, да генерира глоби, да взривява обществени отношение. Той просто цели да бъдат вкарани правила в работата с лични данни. Както и да се попречи на тези, които се научиха да злоупотребяват с тях (например facebook, които се оказа, че са предоставили огромно количество такива данни).
Това, че нямаме намерение да злоупотребяваме с личните данни на хората, е един голям плюс. Но за да не се окаже недостатъчен, се налага да проверим начина, по който работим. И в някои аспекти да направим реорганизация на дейността си. Трябва да се предвидят мерки, по които личните данни ще бъдат съхранявани. Става въпрос, както за тези, които се намират „на хартия“, така и за електронните масиви с информация. Необходимо е тези мерки и съпътстващите процеси да бъдат „разписани“ в специални правила, политика за защита на личните данни, инструкции към служителите, а и да намерят място в длъжностните характеристики на тези, които имат достъп до лични данни. Препоръчително е да се изготвят и декларации от лицата, чиито лични данни обработваме. А и заявления, които да им дадат възможност да реализират правата си.
През последните няколко месеца GDPR (който е приет преди две години) придоби широка популярност. Направиха се множество семинари. Започнаха да се изготвят и предлагат и множество бланки, „сламки“ и т.н. Част от тези документи, които излязоха на пазара, действително имат своята висока правна и практическа стойност. Но нерядко се получава и една „инерция“, която не води в правилна посока. Колкото и добре да са изготвени едни документи, те няма как да бъдат „дялан“ камък и да вършат работа за всяка фирма, структура или организация. За да бъдат адекватни, правилата за защита на личните данни са строго индивидуални и трябва да бъдат съобразени с начина, по който конкретният администратор работи. Иначе казано, всяка кола се движи върху гуми, но дори и най-перфектната гума не може да бъде монтирана върху всяка кола.
Поради това препоръчвам на всички, който се отнасят сериозно към своята фирма/ дейност, а и на всички останали, да не се подвеждат по промоциите, които надничат от банери от всеки ъгъл, а да потърсят индивидуално решение на своята собствена политика по събиране, обработване и съхраняване на личните данни.