Права на гражданите при обработване на личните им данни
При обработване на лични данни за конкретно физическо лице правото на информираност на това лице е сред основните права, регламентирани в Закона за защита на личните данни /ЗЗЛД/ и Регламент (ЕС) 2016/679.
Съдържанието на тази информация се отнася до: потвърждение за това, дали отнасящи се до него данни се обработват; информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват; съобщение до него в разбираема форма, съдържащо информация за личните му данни, които се обработват, както и всяка налична информация за техния източник; когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита; срока, за който ще се съхраняват личните данни или критериите, използвани за определяне на този срок; информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него; данните, които идентифицират администратора и координатите за връзка с него или тези на представителя на администратора; координатите за връзка с длъжностното лице по защита на данните, когато е приложимо.
Физическите лица също трябва да са коректно информирани за тяхното право да изискват от администратора: достъп до, коригиране или изтриване на личните им данни; ограничаване на обработването на данните им; право на възражение срещу обработването; правото на преносимост, право на оттегляне на съгласието за обработването ако това е законосъобразно; информация относно извършването на профилиране; право на жалба до надзорния орган.
Информацията може да бъде предоставена под формата на устна* или писмена справка или на преглед на данните от съответното физическо лице - лично или от изрично упълномощено от него за това друго лице.
* Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Информацията се предоставя безплатно.
В срок от един месец от подаване на искане, всяко физическо лице има право на достъп до отнасящи се за него лични данни, обработвани от конкретен администратор на лични данни. То може да поиска от администратора на лични данни: да предостави информация за целите на обработването, категориите лични данни; получателите и категориите получатели, пред които са или ще бъдат разкрити личните му данни; когато е възможно, предвиденият срок за съхранение; да заличи или коригира личните му данни или да ограничи или върази срещу обработването им; да подаде жалба до надзорния орган (КЗЛД) и др.
Според действащото законодателство тези права (от чл. 15 до чл. 22 от Регламент (ЕС) 2016/679) се упражняват директно, с писмено заявление* до администратора на лични данни или по друг определен от администратора начин.
Заявлението може да бъде подадено по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация. Друга възможност е да се използва потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
Администраторът на лични данни или длъжностното лице по защита на личните данни разглежда заявлението и се произнася. Изискваните от физическото лице данни се предоставят в разумен срок, но не повече от един месец. Ако администраторът не предприеме действия по искането на лицето, то се уведомява без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.
* Заявлението трябва да съдържа: име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност; описание на искането; предпочитана форма за получаване на информация при упражняване на правата по чл. 15 - 22 от Регламент (ЕС) 2016/679; подпис, дата на подаване на заявлението и адрес за кореспонденция.
Правото "да бъдеш забравен" е определено в чл. 17 на Регламент 679 и чл. 56, ал. 2 от ЗЗЛД. Всяко физическо лице има право да поиска от администраторът на лични данни изтрие свързани с него лични данни без ненужно забавяне. Това е възможно, когато е на лице поне едно от посочените условия: личните данни повече не са необходими за целите, за които са били събрани или обработвани; физическото лице оттегля съгласието си, върху което се основава обработването на данните; физическото лице възразява срещу обработването и няма законни основания за обработването; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейския съюз или правото на държава членка, което се прилага спрямо администратора; личните данни принадлежат на дете.
Съществуват обстоятелства, при които изтриване не се осъществява: за упражняване на правото на свобода на изразяването и информация; за спазване на правно задължение; по причини от обществен интерес в областта на общественото здраве; за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели; за установяването, упражняването или защитата на правни претенции.
Правото на възражение срещу действията на администратора на лични данни е регламентирано в ЗЗЛД и Регламент 679. Това право може да бъде упражнено по всяко време и на основания, свързани с неговата конкретна ситуация, да бъде прекратено обработването на личните данни, когато обработването се основава на чл. 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби, а именно:
- обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
- обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на физическото лице, които изискват защита на личните данни, по-специално когато физическото лице е дете.
Администраторът е задължен да прекрати обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Физическото лице следва да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за предходната цел, като му бъде предоставена възможност да възрази срещу обработването им за целите на директния маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.
Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели, лицето има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес.
Физическите лица, чиито данни се обработват имат също право да поискат от администратора на лични данни да бъде ограничено обработването им. Условията, при които това може да бъде направено са определени в чл. 18 от Регламент 679 и засягат точността на данните, неправомерното им обработване, при предявяване на правни претенции и други.
Друго право на лицата е правото на преносимост на данните, т.е. физическите лица могат да поискат личните им данни, да им бъдат предоставени от администратора на лични данни в структуриран, широко използван и пригорен за машинно четене формат, когато обработването е основано на съгласие в съответствие или на договорно задължение или обработването се извършва по автоматизиран начин.
Администраторът се задължава да прехвърли данните в срок от един месец по искане на субекта на данните.