Настоящата статия няма за цел да разглежда Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) в неговата цялост, а по-скоро да обърне внимание на аспектите, касаещи предприятия, упражняващи своята дейност на територията на няколко държави (независимо от правната им форма: дъщерно дружества, клон на чуждестранен търговец или пък търговско представителство) или такива, чиято дейност би могла да засегне субекти на различни държави.
Общият регламент относно защитата на данните започна да се прилага от 25 май 2018 година и неслучайно е назован “общ”. Регламентът е задължителен и се прилага във всички държави членки на ЕС, като той създава задължения и за субекти, намиращи се извън територията на ЕС, в случаите, в които те обработват лични данни на граждани на Съюза. Регламентът намира директно приложение и не съществува необходимост от транспониране на разпоредбите му, макар част от държавите членки да са приели национални закони с цел конкретизация и улеснена приложимост на разпоредбите му. Въпреки това всяка държава членка е длъжна да уведоми Комисията за разпоредбите в своето законодателство, които приема по силата на глава VI „Надзорен орган” най-късно до 25 май 2018 г.
Новата правна рамка въвежда завишени стандарти за защита на данните, като разширява правата на физическите лица и създава нови задължения на администраторите на лични данни. Фокусът е изместен от формалната процедура на първоначалната регистрация, към динамичен контрол на действително осъществяваната дейност по администрирането на личните данни и активната реакция на потребителски искания и жалби. Регламентът прогласява принципа на целесъобразност при събирането на лични данни, като се избягва събирането и обработването на данни, които не са необходими за извършване на дейността на обработващия. Необходимо е съгласие на лицето, чиито данни ще бъдат обработвани, освен ако обработването не се основава на законово задължение или е необходимо с оглед изпълнението на сключен договор. Заедно с това на физическите лица е предоставено правото „да бъдат забравени”, т.е. при липса на правно основание за обработването на данните на дадено лице или същото не желае повече те да бъдат обработвани, то може да поиска заличаването им при наличие на някое от предвидените в Регламента основания.
С оглед технологичните иновации и развитието на онлайн търговията всекидневно се обработват лични данни на физически множество физически лица. Много корпорации в днешно време имат повече от едно място на стопанска дейност, например в различни държави, или обработват данните на лица от друга държава (наблюдава се например при облачните структури).
Тъй като „трансграничното движение на лични данни извън Съюза може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, по-специално да се защитят срещу неправомерна употреба или разкриване на тези данни” Регламентът обръща внимание на случаите на трансгранично обработване, като в чл. 4, параграф 23 въвежда дефиниция за „трансгранично обработване“, а именно:
„a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или
б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка.”
От дефиницията е видно, че не всяко обработване на лични данни, осъществявано на едно място на установяване е „трансгранично обработване” по смисъла на Регламента. За да е налице трансгранично обработване на лични данни в хипотезата на едно място на установяване е необходимо да съществува вероятност обработването съществено да засегне физическите лица, чиито данни се обработват. Всеки един случай ще бъде разглеждан самостоятелно с оглед критерия дали е налице „съществено засягане”. Според насоките на Работна група за защита на личните данни по член 29 следните обстоятелства ще бъдат съобразявани при формиране на преценката:
- обработването причинява или е вероятно да причини щети, загуба или страдание на физически лица;
- обработването има или е вероятно да има въздействие от гледна точка на ограничаване на права или лишаване от възможност;
- обработването засяга или е вероятно да засегне здравето, благосъстоянието или спокойствието на физически лица;
- обработването засяга или е вероятно да засегне финансовото или икономическото състояние или материалното положение на физически лица;
- обработването излага физически лица на дискриминация или несправедливо третиране;
- обработването включва анализирането на специални категории лични или други предполагащи вмешателство данни, особено личните данни на деца;
- обработването кара или е вероятно да накара физическите лица значително да променят своето поведение; o има необичайни, неочаквани или нежелани последици за физически лица;
- обработването причинява неудобство или други отрицателни резултати, в това число увреждане на репутацията; или
- обработването включва обработването на широк диапазон от лични данни.
Втората хипотеза на трансгранично обработване на лични данни само при едно място на установяване не е налице, ако се обработват данни макар и на голям брой физически лица от различни държави, ако няма съществено засягане на същите, респективно вероятност за такова.
Надзорен орган
Регламентът въвежда фигурата на надзорния орган в глава VI. Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза. В Република България надзорен орган е Комисията за защита на личните данни.
Трансграничното обработване на лични данни логично събужда въпроса кой е компетентният орган, който носи основната отговорност по отношение на дейност, включваща такова обработване.
Според член 56 „надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения”. Регламентът дава дефиниция на „основно място на установяване“ в член 4, параграф 16, а именно:
„a) по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;
б) по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент.”
Регламентът постановява,че централното управление е мястото, на което се вземат решенията, касаещи обработването на данни (техните цели и средства), и което има правомощия за прилагането им. В случай обработването на лични данни е разпределено между различни места, то тогава е възможно да бъде определен и повече от един водещ орган (така в Насоките на Работна група за защита на личните данни по член 29).
Ние съветваме всички компании, осъществяващи транснационална дейност да преосмислят данните, които обработват с оглед целите на дейността си, като намалят обема им до минимум, както и да преразгледат средствата за обработването им с оглед реално съществуващия риск.
Обвързващото тълкуване на законодателството на ЕС е от изключителната компетентност на Съда на Европейския съюз. Гледните точки, изразени в настоящата статия, не засягат позицията, която може да заеме Комисията пред Съда.