1. Въведение
Регламент 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., който от 25.05.2018 г. влиза в сила, става задължителен и се прилага пряко във всички държави членки, без да е необходимо реципирането му в закони. Затова през последните месеци се организират масово семинари, конференции, обучителни курсове, целящи запознаването на юристите, а и на цялото население с неговите правила.
Преди да започне да се прилага, бих искала да анализирам разпоредбите му относно отговорността, която възниква, ако нормите за дължимо поведение бъдат нарушени. Освен запознаване на читателите с новата правна материя, ползата от разглеждане на отговорността, уредена в чл. 82 от Регламента, е и за развитието на правната наука. Защото с Регламента се въвежда нов вид отговорност за вреди, която заслужава нашето внимание.
В началото бих искала да подчертая, че ще използвам досега създадения правен инструментариум, установен от теорията, за да определя правната същност и характеристиката на тази нова отговорност.
2. Субекти на отговорността при обработване на лични данни
Първо, както при всяка отговорност, и тук възниква правоотношение. Правоотношението е между равнопоставени лица и има гражданскоправен характер.
Второ, единият субект по него е оправомощеното лице – този, който има право на обезщетение. Той е увреденото лице – този, който е претърпял материални и/или нематериални (имуществени и неимуществени) вреди. Увреденият е физическо лице, видно от заглавието на Регламента, който е насочен към защита на личните данни на физическите лица.
Трето, другият, насрещен субект е администраторът или обработващият лични данни. Това са субектите, които чл. 82, т. 1 от Регламента посочва като лица, задължени да обезщетят възникналите вреди.
При изясняване на задълженото лице, следва да имаме предвид два момента. Първият момент се отнася до понятията за администратор и за обработващ лични данни. Според чл. 4, т. 7 администратор е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Според Регламента администраторът на лични данни се избира от субекта на данните, който дава съгласие посредством свободно изразено изявление или ясно потвърждаващо действие, свързаните с него лични данни да бъдат обработени – аргумент от чл. 4, т. 11. Администраторът обаче може и да не бъде свободно определен от физическото лице, а от правото на ЕС или на държавата членка, ако в тях той е изрично посочен или са посочени критериите за неговото определяне.
Изложеното означава, че когато администраторът, заедно с целите и средствата за обработка на личните данни, се определя със съгласието на физическото лице, чиито лични данни подлежат на обработка, отношението е гражданскоправно, то е отношение между равнопоставени лица. Същото е отношението и ако администраторът е публичен орган и преди всичко държавен орган, при положение че се изисква съгласието на физическото лице. В този случай органът действа като юридическо лице. По-сложен е въпросът, когато администраторът се определя с императивни норми от правото на Европейския съюз или националното право. Ако физическото лице е задължено да предостави данните си за обработване, тогава би възникнало административно отношение. Този извод може да се направи на основата на чл. 6, т. 1 от Регламента, според който обработването на личните данни е законосъобразно, когато е налице поне едно от описаните в последващите букви условия. Само първото условие е съгласието за обработване, дадено от физическото лице. Останалите случаи бихме могли да означим като необходимо обработване, независимо дали представлява гражданско или административно отношение – обработването е необходимо за изпълнението на договор, по който субектът на данните е страна или предстои да стане страна. Отношението отново е гражданскоправно, защото самият договор е източник на облигационно, тоест на гражданскоправно отношение. Но когато обработването е необходимо за спазване на законово задължение, което се прилага спрямо администратора, характерът на правоотношението се променя – то става административно. Същото важи и за останалите условия – обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или друго физическо лице или обработването е необходимо за изпълнението на задача от обществен интерес или за упражняване на официални (разбирай властнически правомощия на администратора), респ. обработването е необходимо за целите на легитимни интереси на администратора или трета страна. Тепърва ще се създава практика по конкретизация на тези абстрактни и обобщаващи норми. Но конкретизацията на този етап, освен невъзможна, е и ненужна.
Независимо от вида на правоотношението, което се поражда между администратора и физическото лице във връзка с обработването на личните му данни, от нарушението възниква гражданско отношение по обезщетяване на вредите, причинени от нарушението. Член 82 от Регламента урежда гражданската, а не административната отговорност.
Вторият момент, подлежащ на изясняване, е какво е обработващо личните данни лице. Според чл. 4, т. 8 това е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. След като действа от името на администратора, следователно има правното качество на негов представител.
За целите на настоящата статия обаче е необходимо да се отбележи, че при обработването на личните данни възниква правоотношение между физическото лице и администратора, респ. обработващия данните, по силата на което първият се задължава да ги предостави, а вторият да ги обработи, съхранява и да обезпечи тяхната сигурност, неразгласяване, непредоставяне на трети лица и т.н. Задълженията, описани в Регламента, са същински правоотношения с права и задължения на двете страни. В Регламента са регулирани и последици от тяхното нарушение. Аргумент в полза на това твърдение черпя от по-нататъшната уредба в Регламента. Тя е посветена на правата на субекта на данни – глава трета, и задълженията на администратора, наречени „отговорност“ в глава четвърта. Тепърва съдържанието на правоотношението, неговата правна характеристика, особености ще бъдат обект на научно изследване, които сега, с оглед ограничението на статията, не може да бъдат разглеждани.
И така, нека се върнем на обработващия данните. По-подробно неговото правно положение е описано в чл. 28 от Регламента. Обработващият е субект, който е овластен от администратора да обработва само такива лични данни, които са му предоставени в нареждането от администратора. Последният е длъжен да му възлага обработването само на такива данни, за които обработващият е в състояние да обезпечи подходящи технически и организационни мерки, така че да осигурява защитата на данните на физическото лице. Между администратора и обработващия се сключва договор, по силата на който администраторът възлага на обработващия да обработва лично данните, за които е овластен. Договорът е формален – трябва да бъде включен в писмена или приравнената на него електронна форма. Комисията за защита на личните данни може да установи стандартни договорни клаузи. Задължението за обработване е лично, intuitu personae и не може да се прехвърля на трето лице без предварителното съгласие на администратора. Последният трябва да бъде уведомен за включването или замяната на третите лица в обработването. Регламентът допуска отношенията между администратора и обработващия личните данни да възникват не от договор, а от друг акт – например административен акт, по силата на закона или при осъществяване на определен фактически състав. Във всички случаи обаче в правопораждащия юридически факт следва да фигурират предметът, срокът на обработването, естеството и целта му, видът лични данни и категориите субекти на данни, правата и задълженията на страните. Обработващият личните данни изпълнява задачите, които му са възложени от администратора, като възлагането трябва да бъде в писмена форма. Той може да предава данните на трета държава само когато му е наредено или задължението произтича от правото на Съюза или от националното право. Той е длъжен да информира администратора за предаването на личните данни на трета държава или международна организация, освен ако такова информиране е забранено с оглед запазване на публичния интерес. Обработващият данните има задължението да пази в тайна данните, да заличава данните или да ги върне на администратора след приключване на дейността. Той има задължение да осигурява достъп на администратора до цялата информация, необходима за изпълнение на неговите задължения, да уведомява администратора, ако според него дадено нареждане нарушава Регламента или други разпоредби на ЕС или националното право.
Обработващият лични данни носи отговорност пред администратора за нарушения на задълженията по договора. Ако той е възложил обработката на данните на друго лице, без да се вземат достатъчни гаранционни технически и организационни мерки и вторият обработващ данните не защити данните, първият обработващ отговаря пред администратора за неизпълнението на задълженията на втория обработващ, тоест отговаря за чужда вина. Тук Регламентът има предвид договорна отговорност на обработващия личните данни пред администратора.
3. Противоправността при отговорността на администратора или обработващия данните
Според чл. 82, ал. 2 администраторът носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия Регламент. Противоправността се изразява в действие или бездействие, което се отклонява от предписаното в Регламента поведение или съставлява неспазване на негово изискване, неизпълнение на задължение. Нарушение има, когато не са приложени при обработването на данните всички подходящи мерки за технологична защита и организационни мерки. Нарушение има, когато данните не са били защитени чрез подходящи мерки за защита, които са били нужни, за да се предотврати евентуална измама с фалшива самоличност или други форми на злоупотреба. Целта на тези мерки е защитата на субекта на данните. В същото време Регламентът изисква да се отчитат и законните интереси на правоприлагащите органи в случаите, когато ранното разкриване на нарушението може ненужно да попречи при разследването на обстоятелствата, свързани с нарушението на сигурността на личните данни.
Следва да се отбележи, че Регламентът урежда по два различни начина противоправността при дейността на администратора и на обработващия данните. Отговорността на втория е по-тясна, защото границите на противоправността на неговото деяние е стеснена в две направления. Първо, той отговаря само когато при извършеното обработване не е изпълнил задълженията по Регламента, конкретно насочени към всеки обработващ данните. Тези задължения са изрично и изчерпателно изброени в чл. 28 от Регламента. Следователно, за да се ангажира самостоятелната отговорност на обработващия личните данни, увреденото лице трябва да докаже, че той е нарушил едно или повече задължения по чл. 28 от Регламента.
Второ, отговорност възниква и когато не е нарушено задължение по Регламента, конкретно адресирано до обработващия личните данни, а последният се е отклонил от указанията на администратора или е действал в противоречие с тях, стига те да са законосъобразни.
Общото за всички действия или бездействия, които са противоправни, е, че те нарушават сигурността на личните данни.
4. Отговорността на администратора и обработващия данните е виновна
Това следва от чл. 28, т. 3 от Регламента – вината се предполага, като субектите на отговорността може да се освободят, ако докажат, че не са били длъжни или не са могли по никакъв начин да предотвратят събитието, довело до вредата.
5. Причинната връзка
Третият елемент на основанието на отговорността е причинната връзка между виновното и противоправно деяние на администратора или обработващия личните данни и вредите, настъпили в правната сфера на физическото лице, чиито данни подлежат на обработване. Вредите трябва да са закономерна, необходима и адекватна причина на нарушението на субекта на отговорността.
Ако тази причинна връзка е налице по отношение на повече на един администратор и/или обработващ данните, отговорността им е солидарна. Увреденото лице може да търси обезщетение срещу всеки един от съпричинителите по свой избор. Този от тях, който е платил обезщетението, има право на регрес срещу останалите, като в отношенията между тях отговорността не е солидарна, а разделна и всеки отговаря за своята част от причинената вреда. Особеното тук е, че при регреса трябва да се съобрази фактът, че администраторът/ите отговаря/т за всяко нарушение на Регламента, а обработващият личните данни – само за конкретно адресираните до него или до администратора задължения и изисквания.
6. Вредите
Вредите при обработване на личните данни могат да бъдат имуществени и неимуществени. Имуществените вреди представляват унищожаване или повреждане на вещи, загуба на права, намаляване на актива на имуществото на физическото лице или увеличаване на неговия пасив. Имуществените вреди се доказват от увреденото лице.
Спецификата на вредите при нарушения в процеса на обработването на личните данни е загуба на контрол върху тях от администратора или обработващия данните; ограничаване на правата на физическите лица; дискриминация; кражба на самоличност; измама с фалшива самоличност; финансови загуби; неразрешено премахване на псевдонимизацията (автоматизирано обработване на лични данни по такъв начин, че те не могат повече да бъдат свързани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано; разкриване на поверителна информация за физическото лице, която е защитена от професионална тайна; всяко друго значително икономическо или социално неблагоприятно последствие за засегнатите физически лица – т. 85 от преамбюла.
Неимуществените вреди може да бъдат увреждане на здравето, дори смърт на физическото лице, ако нарушението на неблагоприятни лични данни за засегнатото лице са станали известни на обществото поради нарушаване на технически и организационни мерки по обезпечаване на сигурността на съхраняваните данни. Те могат да се изразяват в накърняване на доброто име, репутацията, рейтинга на лицето, в унижаване на неговото достойнство, в изпитване на страх, срам, неудобство и други отрицателни емоционални последици. Не е необходимо вредите да съставляват увреждане на психиката, т.е. болестно психическо състояние.
И имуществените, и неимуществените вреди не се предполагат, а подлежат на доказване от увредения.
Субсидиарно следва да се прилагат правилата на чл. 51 и чл. 52 от Закона за задълженията и договорите. Неимуществените вреди следва да се обезщетяват от съда по справедливост.
7. Задължения при настъпване на вредите
При нарушение на обработването администраторът или обработващият данните е длъжен да уведоми незабавно надзорния орган за това обстоятелство. Крайният срок за изпълнение на посоченото административно задължение е 72 часа след като администраторът или обработващият данните е разбрал за него. Той може да се освободи от това задължение, ако не е бил в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Доказателствената тежест на този факт пада върху него. Изобщо при неспазване на 72-часовия срок администраторът трябва да доказва причините за забавянето или други факти, които го оневиняват. При спазване на срока е необходимо да се отчитат естеството и тежестта на нарушението на личните данни и последиците от неблагоприятното въздействие върху физическото лице.
Освен надзорния орган, администраторът или обработващият данните е длъжен незабавно да уведоми и физическото лице. Регламентът ограничава задължението за уведомяване само за това как да ограничи потенциалните неблагоприятни последици, при които нарушението на сигурността може да създаде висок риск от засягане на правата и свободите на физическото лице и по този начин то да бъде предупредено да предприеме необходимите предпазни мерки. Наред с информирането на физическото лице за нарушението и риска, на него трябва да се дадат препоръки за това, което то самото може да направи.
Изложеното в т. 85 от преамбюла на Регламента показва спецификата на разглежданата отговорност. Поради особения й характер, тук сътрудничеството между увредител и увреден е задължително изискване. Помощта на виновния причинител на вредата е съществена част от поведението на отговорното лице, тъй като то е компетентно да отстрани или да минимизира последиците от своите противоправни действия или бездействия.
8. Правна същност на отговорността при обработване на лични данни
В обобщение, уредената в чл. 82 от Регламента отговорност е гражданска и по-конкретно деликтна отговорност – отговорност за виновно и противоправно причиняване на вреди на лице, с което администраторът или обработващият лични данни не се намира в договорно правоотношение. Отговорността е виновна. Противоправността при нея обаче се отличава от генералната клауза на деликтната отговорност по чл. 45 от Закона за задълженията и договорите. Не всяко причиняване на вреди на физическото лице води до възникване на отговорността на администратора или обработващия личните данни, а само това деяние, което нарушава конкретно определено задължение за спазване на изискванията за сигурност при обработване на личните данни. Именно конкретното нарушаване на правилата на сигурността трябва да се намира в причинна връзка с възникналите за субекта на данните вреди.
Проф. д-р Поля ГОЛЕВА
