Кратки бележки относно отговорността при незаконосъобразно обработване на лични данни

КРАТКИ БЕЛЕЖКИ ОТНОСНО ОТГОВОРНОСТTА ПРИ НЕЗАКОНОСЪОБРАЗНО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

гл. ас. д-р Йорданка Нонева-Златкова

ЮЗУ ,, Неофит Рилски‘‘

BRIEF NOTES ON THE RESPONSIBILITY FOR UNLAWFUL PROCESSING OF PERSONAL DATA

Chief Assist. Prof. Yordanka Noneva-Zlatkova, PhD.

  SWU ,, Neofit Rilski‘‘

Резюме: В нашето съвремие личните данни се утвърждават като ценен ресурс. Тяхната защита и управление са от изключително важно значение, за да се гарантира, че те се използват и обработват в съответствие със законовите и етични стандарти. Ето защо правните средства за защита правата на субектите на данни и начините на тяхното реализиране са от ключово значение. Настоящата статия има за цел да направи кратко въведение на видовете отговорност при незаконосъобразно обработване на лични данни, като прави терминологично уточнение и изясняване на спецификите на правоотношението между субекта на данни и администратора и/или обработващия при незаконосъобразно обработване на лични данни. Поставя се акцент в изложение на елементите от фактическия състав на гражданската отговорност по чл. 82 от ОРЗД и същата се квалифицира като специален деликтен състав по отношение на генералния деликт, уреден в чл. 45 от ЗЗД.

Ключови думи: гражданска отговорност, лични данни, незаконосъобразно обработване

Abstract: In our modern era, personal data is increasingly recognized as a valuable resource. Protecting and managing personal data is of paramount importance to ensure they are used and processed in accordance with legal and ethical standards. This is why legal measures to protect the rights of data subjects and the ways to enforce them are crucial. This article aims to provide a brief introduction to the types of liability in cases of unlawful processing of personal data, clarifying terminology and explaining the specifics of the legal relationship between the data subject and the data controller and/or processor in cases of unlawful data processing. It focus on the elements of the factual composition of civil liability under Article 82 of the General Data Protection Regulation and qualifies it as a specific tortious form concerning general tort law regulated in Article 45 of the Obligations and Contracts Act.

Keywords: civil liability, personal data, unlawful processing

I.                    Уводни бележки и видове отговорност при незаконосъобразно обработване на лични данни

Общият регламент за защита на личните данни (ОРЗД)[1] установява детайлни правила и процедури за определяне на отговорността при незаконосъобразно обработване на лични данни и съчетава граждански и административно-наказателни мерки с цел защита на правата на физическите лица и създаване на подходяща среда за сигурност и защита на личните данни. Този регламент налага сериозни задължения на субектите на отговорност и предоставя инструменти на физическите лица за защита на техните субективни права и законни интереси. Защитата на личните данни се откроява като важен аспект както в гражданското право, така и в административното право, също така има и наказателноправни перспективи. В настоящия доклад авторът поставя акцент върху гражданскоправните измерения на отговорността при незаконосъобразното обработване на лични данни. Другите видове отговорност са изложени с цел завършеност на статията.

Въз основа на ОРЗД, могат да се обобщят някои принципни аспекти на правото на защита на личните данни, които водят началото си от гражданското право. На първо място, това е заложеното в ОРЗД изискване за наличието на съгласие на лицето, чиито данни се събират и/или обработват. Това съгласие трябва да бъде доброволно и информирано, и лицето трябва да има право да го оттегли по всяко време. На второ място, лицата имат право да заявят достъп до своите лични данни[2], което включва информация за това, какви данни се събират, за какви цели и как се обработват. Ключова възможност за физическите лица е да искат коригиране или изтриване[3] на неточни или ненужни лични данни. Ограничаването на целите на обработката на лични данни до конкретните и законни цели, за които данните са събрани, и забраната да се използват по начин, който не е съвместим с тези цели. Гражданското право обикновено се стреми да защити правото на личния и семейния живот и личните данни на лицата, като предоставя защита срещу неправомерно обработване на лични данни. Отговорността на лицата или организациите, които обработват лични данни, е ключов аспект на защитата на данните. Те трябва да осигурят подходящи технически и организационни мерки за защита на данните от неразрешен достъп.

Преди да започна същинското изложение бих искала да направя уточнение, че незаконосъобразно обработване на лични данни е родовото понятие, в което е включено и предаването на данни по аргумент от определението за  „обработване“, дадено в ОРЗД, където последното означава ,,всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване‘‘[4]

Още с влизането в сила на ОРЗД сериозен акцент беше поставен върху средствата за правна защита, отговорността за причинени вреди и санкции. Като последните получиха най-широк отзвук в общественото пространство. И се създаде убеждението, че отговорността на администратора и обработващия за нарушаване на правилата за защита на личните данни се отъждествява само с административните наказания, предвидени в ОРЗД. Всъщност ОРЗД предвижда различни видове отговорност[5] за нарушения на правилата за защита на личните данни в рамките на всеки вид юридическа отговорност, която следва от конкретно нарушение.

В член 77 от ОРЗД се предоставят няколко алтернативни възможности за физическите лица за защита на данните им. Всяко лице може да реши да подаде жалба пред надзорен орган, който действа в съответната държава-членка, където този човек обикновено пребивава, работи или предполага, че нарушението на правилата на регламента настъпило. Тази жалба се подава, ако лицето счита, че обработването на техните лични данни нарушава правилата и нормите, уредени в ОРЗД. Като отговорността, която може да понесе администраторът или обработващият зависи от обстоятелствата на конкретното неизпълнение на изискванията за защита на личните данни.

В случаите, в които това неизпълнение осъществява състава на административно нарушение съответно то ще бъде санкционирано с налагане на административно наказание ,,глоба‘‘ или ,, имуществена санкция‘‘ при спазване на общите условия предвидени в чл. 83 от ОРЗД. Следователно тази отговорност ще бъде реализирана по реда на административно наказателното производство.

На следващо място в чл. 84 от ОРЗД е предвидена възможност държавите членки да определят правила за други санкции, приложими за други нарушения на ОРЗД, които не попадат в обхвата на административното наказание. Тази разпоредба предоставя в прерогативите на всяка държава членки в зависимост от степента на обществена опасност да предвиди ефективни, пропорционални и възпиращи санкция в рамките на наказателната политика на всяка държава като например чл. 249 от НК: ,,Който използва платежен инструмент или данни от платежен инструмент без съгласието на титуляря ако деянието не съставлява по-тежко престъпление, се наказва с лишаване от свобода от две до осем години и с глоба до двойния размер на получената сума“

Следващият аспект, който трябва да се отбележи, е че всеки, който претърпи вреди в резултат на нарушение на Регламента, има право на компенсация от отговорните лица, както е предвидено в член 82 от Общия регламент за защита на данните (ОРЗД). Важно е да се подчертае, че съдебните производства, свързани с този вид компенсация, се провеждат пред съдилищата, които са компетентни съгласно законодателството на държавата-членка, указана в член 79, параграф 2 от ОРЗД. Това означава, че съдебните дела срещу администратори или обработващи лични данни се решават пред съдилищата на държавата-членка, където администраторът или обработващият има своето място на установяване. Има и алтернативна възможност- такива дела да бъдат започнати пред съдилищата на държавата-членка, където субектът на данните обикновено пребивава, освен ако администраторът или обработващият лични данни е публичен орган на държава-членка, който действа в изпълнение на своите публични функции.

Не е изключено и налагане на дисциплинарна отговорност на лицата действащи под ръководството на администратора или на обработващия, които имат достъп до личните данни, но ги обработват в нарушение на изискванията на правото на ЕС. Съгласно член 29 от ОРЗД: ,,Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка.‘‘

Административно-наказателната отговорност възниква в случаите, когато определено действие или непредприемане на такова представлява нарушение на установения ред на управление на държавата. Това нарушение трябва да бъде извършено с умисъл и трябва да бъде определено като такова, което се наказва с административно наказание, което се налага в хода на административно-наказателно производство.

Важно е да се отбележи, че по отношение на кумулирането на отговорности тази отговорност не може да се кумулира единствено с наказателната, защото разликата между административните нарушения и престъпленията е единствено и само в степента на обществена опасност. Възможно е съчетаването на тази отговорност с гражданската и дисциплинарната поради разликата в основанията, на които се реализират.

По отношение на административните нарушения те са предвидени в Регламента, а на ДЧ е дадена възможност да определи реда, по който да налага административните наказания.

В изложението по-долу авторът акцентира върху гражданскоправните аспекти на отговорността от незаконосъобразно обработване на лични данни.

II.                 Гражданскоправни аспекти

Целта на гражданската отговорност е да възстанови вредите от причиненото противоправно поведение, което може да се изразява както в непозволено увреждане (деликт), така и в неизпълнение на договор. Въпросите на гражданската отговорност са предмет на множество изследвания в правната наука[6], ето защо с оглед изискванията за ограничен обем на статиите авторът проследява само особеностите предвидени в ОРЗД. Тази отговорност е  предвидена в чл. 82 от ОРЗД като отговорност, която се реализира в рамките на съдебно производство, а не в производство пред надзорните органи. Това, което привлича вниманието на теорията е именно обособяването й като особен деликтен състав. В настоящата статия авторът изяснява спецификите на елементите от основанието на база, което се реализира тази отговорност и които имат правно значение.

В този контекст при незаконосъобразно обработване на лични данни възниква правно отношение между равнопоставени правни субекти, което очертава и неговите гражданскоправни характеристики. Едната страна в това правоотношение е лицето, което има право на обезвреда, това което е претърпяло материални или нематериални вреди. В конфигурацията на правоотношението, претърпялото вреди лице обикновено е физическо лице, както ясно се вижда и от заглавието на Регламента, който е насочен към защита на личните данни на физическите лица. Другата страна, участваща в това правоотношение, е администраторът или обработващият лични данни. Те са лицата, които са задължени да компенсират вредите, предвидени в член 82, точка 1 от Регламента. В този ред на мисли подлежи на изясняване понятията за администратор и обработващ лични данни. Според член 4, точка 7 от ОРЗД , администратор е ,,физическо или юридическо лице, публичен орган, агенция или друга структура, която самостоятелно или съвместно с други определя целите и средствата за обработването на лични данни‘‘. Без значение е какво е конкретното правно отношение между администратора и физическото лице във връзка с обработването на данните, нарушението на някое от правилата на ОРЗД наред с другите предпоставки от специалния деликтен състав водят до реализирането на гражданската отговорност на администратора или обработващия, свързана с обезщетение за вредите, причинени от нарушението. В чл. 82 от ОРЗД се регламентира гражданската, а не административната отговорност.

Друго понятие, което трябва да се изясни е правната фигура на обработващия. Според член 4, точка 8 от ОРЗД, то е ,,физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.“ То действа като представител на администратора. Обработващият е задължен от администратора да работи само с лични данни, за които е упълномощен, и да предприема подходящи технически и организационни мерки за защита на личните данни на физическото лице. Между администратора и обработващия е налице договорно отношение, по което администраторът делегира на обработващия отговорността за обработка на определени данни. Този договор трябва да бъде сключен писмено или електронно и може да включва стандартни договорни клаузи, предвидени от Комисията за защита на личните данни. Въпреки това задължението за обработка е незаместимо освен ако със съгласието на администратора е допуснато прехвърляне на трето лице. Администраторът трябва да бъде информиран за включването или промяната на третите лица, които обработват данните. Регламентът допуска отношенията между администратора и обработващия на лични данни да възникнат не само по силата на договор, но и в резултат на други правни актове, като например административни актове или при наличие на определени фактически обстоятелства. Обработващият лични данни носи отговорност пред администратора за нарушения на задълженията по договора и трябва да отговаря пред него, ако е възложил обработката на данните на друго лице и не е предприел необходимите мерки за защита на данните на физическите лица.

-          Неправомерните действия или бездействия на администратора или обработващия данните

Според чл. 82, ал. 2 от ОРЗД, администраторът носи отговорност за вреди, произтичащи от обработването, което нарушава правилата на настоящия Регламент. Противоправността произтича от действие или бездействие, което се отклонява от предписаното в Регламента поведение или нарушава изискванията му, включително и неспазване на въведените с него правила за поведение. Неспазването на предвидените в регламента норми се осъществява, когато не са приложени подходящи мерки за техническа и организационна защита по време на обработката на данните[7]. На следващо място противоправността може да възникне, когато данните не са били адекватно защитени, за да се предотвратят потенциални измами с фалшиви самоличности или други форми на злоупотреба[8]. Тези мерки имат за цел да защитят интересите на субектите на данните. Регламентът обаче изисква и да се вземат предвид законните интереси на правоприлагащите органи, когато ранното разкриване на нарушението може да навреди на разследването на събитията, свързани със защитата на личните данни. Следва да се подчертае, че Регламентът урежда два различни начина за противоправност в дейността на администратора и на обработващия данните. Отговорността на последния е по-ограничена, тъй като границите на неправомерните действия от негова страна са ограничени до два аспекта. Първо, той носи отговорност само тогава, когато не е спазил задълженията, които са изрично посочени в Регламента и са насочени към всеки обработващ данните. Тези задължения са подробно изложени в чл. 28 на Регламента. За да се установи самостоятелната отговорност на обработващия данните, увреденото лице трябва да докаже, че той е нарушил едно или повече от тези задължения по чл. 28 на Регламента. Второ, отговорността също се налага, когато не е нарушено някакво задължение, което е конкретно насочено към обработващия данните, но той се е отклонил от указанията на администратора или е действал в нарушение на тях, при условие че тези действия са законосъобразни. Като обобщаващ белег може да се посочи, че неправомерните действия или бездействия се свързват с нарушаване на сигурността на личните данни.

-          Субективният елемент в специалния деликтен състав

Наличието на вината като елемент при реализирането на отговорността се извлича от чл. 28, параграф 3 от ОРЗД. Тя се предполага, но субектите на отговорността могат да се освободят, ако докажат, че не биха могли да предотвратят събитието, довело до вредата, или че не са били длъжни да предприемат никакви мерки, за да го предотвратят.

-          Причинната връзка

Другият елемент във фактическия е причинната връзка между неправомерното и виновно деяние на администратора или обработващия данните и вредите, настъпили в правната сфера на физическото лице, чиито данни се обработват. Вредите трябва да са закономерен, необходим и адекватен резултат от нарушението на субекта на отговорност. Ако тази причинна връзка съществува в случай на повече от един администратор и/или обработващ данните, отговорността им е солидарна. Увреденото лице има право да търси обезщетение от всяко от тях по свой избор. Съпоставяйки възникването на солидарните задължения по силата на договор или в изрично предвидените в закон случаи. В настоящия случай възниква по силата на самия регламент, който е пряко приложим в Република България и има превес при противоречие с друг закон. Този, който плати обезщетението, има право на регрес срещу останалите, при условие че отговорността между тях не е солидарна, а разделна, и всеки носи отговорност за своя дял от причинената вреда. Важно е да се обърне внимание, че при регреса следва да се отчита фактът, че администраторът/ите носят отговорност за всяко нарушение на Регламента, докато обработващият на лични данни носи отговорност само за нарушения, които са специфично насочени към него или администратора.

-          Вредите

Вредите, произтичащи от обработката на лични данни, могат да бъдат как имуществени, така и неимуществени. Имуществените вреди включват унищожаване или повреждане на имущество, загуба на права, намаление на имуществото или увеличаване на задълженията на физическото лице. Имуществените вреди се доказват от увреденото лице. Важно е да се подчертае, че както имуществените, така и неимуществените вреди не се предполагат, а трябва да бъдат доказвани от увреденото физическо лице. Неимуществените вреди могат да включват увреждане на здравето, включително смърт, ако нарушението на данните се разкрие на обществеността поради нарушаване на мерките за сигурност. Те могат да се проявят като нарушаване на репутацията, достойнството, дискриминация, измама с фалшива самоличност, финансови загуби и други негативни емоционални последици. Не е задължително вредите да включват психически болки и  страдания. Когато става въпрос за обезщетение, съгласно чл. 51 и чл. 52 от Закона за задълженията и договорите, неимуществените вреди обикновено се обезщетяват от съда по справедливост.

III.               Заключение

В ОРЗД са уредени различни средства за правна защита на правото на защита на личните данни на субектите на данни. От гледна точка на производствата, по които се развива тя може да бъде разделена на такава развиваща се по административен ред пред съответния надзорен орган и на такава реализираща се по съдебен ред по линия както на административното правораздаване, така и на общото гражданско правораздаване. Субектите извършващи незаконосъобразно обработване на лични данни могат да носят както административно-наказателната отговорност, така и дисциплинарна в отделни хипотези, а също така и наказателна и гражданска отговорност.  За целите на настоящата статия в анализа се обръща по сериозно внимание на гражданската отговорност като се анализирана фактическия състав при реализирането на тази отговорност. В отговорността за обработване на лични данни участват различни субекти. Правоотношението се формира между равнопоставени субекти, което му придава гражданскоправен характер. Основните субекти в този смисъл са оправомощеното лице, което има право на обезщетение или увреденото лице физическо лице, администратор или обработващ лични данни, задължени да обезщетят за вреди, произтичащи от нарушението. За да се установи отговорност, е необходимо действието или бездействието да бъде неправомерно, виновно и да причини вреди, както и да има двупосочна причинна връзка с неправомерното действие и/или бездействие и вредите. В обобщение правната характеристика на гражданската отговорност при незаконосъобразно обработване на лични данни се реализира по специален деликтен състав, уреден в ОРЗД. Член 82 от ОРЗД установява отговорността на администратора или обработващия лични данни като гражданска на специална деликтна основа. Тя се прилага, когато се причиняват вреди на лице, с което няма договорно правоотношение. Тази отговорност изисква виновно поведение. Важно е да се отбележи, че нейната противоправност се различава от генералния деликт, както е описан в член 45 от Закона за задълженията и договорите. Не всички действия, които причиняват вреди на физически лица, задължават администратора или обработващият лични данни да поеме отговорност, а само тези, които нарушават конкретни задължения за сигурност при обработването на лични данни. Изричното нарушение на правилата за сигурност трябва да имат причинна връзка с вредите, причинени на субекта на данните.

Литература:

1.       Голева, П. Облигационно право. Седмо преработено и допълнено издание. С. 2021.

2.       Калайджиев, А. Облигационно право. Обща част. Седмо издание. С. 2016. 419-488.

3.       Конов, Тр. Подбрани съчинения. Основание на гражданската отговорност. С., 2010. С. 7-249.

4.       Фети, Н., Тошкова-Николова, Д. Защита на личните данни. С., 2019,.