Брюксел, 9 октомври — По време на последното си пленарно заседание Европейският комитет по защита на данните (ЕКЗД) прие становище относно някои задължения, произтичащи от разчитането на обработващи лични данни и подизпълнители, насоки относно законния интерес, изявление относно определянето на допълнителни процедурни правила за прилагането на ОРЗД и работната програма на ЕКЗД за периода 2024—2025 г.
Първо, ЕКЗД прие становище относно някои задължения, произтичащи от позоваването на обработващи лични данни и подизпълнител(и) вследствие на искане по член 64, параграф 2 от ОРЗД до Комитета от страна на датския орган за защита на данните (ОЗД). Член 64, параграф 2 от ОРЗД предвижда, че всеки ОЗД може да поиска от Комитета да издаде становище по въпроси с общо приложение или пораждащи последици в повече от една държава членка.
Становището се отнася до ситуации, при които администраторите разчитат на един или повече обработващи лични данни и подизпълнители. По-специално в него се разглеждат осем въпроса относно тълкуването на някои задължения на администраторите, които разчитат на обработващи лични данни и подизпълнители, както и формулировката на договорите на администратора и обработващия лични данни, произтичащи по-специално от член 28 от ОРЗД.
В становището се обяснява, че администраторите следва да разполагат по всяко време с леснодостъпна информация относно самоличността (т.е. име, адрес, лице за контакт) на всички обработващи лични данни, подизпълнители и т.н., така че да могат по най-добрия начин да изпълняват задълженията си по член 28 от ОРЗД. Освен това задължението на администратора да проверява дали (под)обработващите лични данни предоставят „достатъчни гаранции“ следва да се прилага независимо от риска за правата и свободите на субектите на данни, въпреки че обхватът на тази проверка може да варира, по-специално въз основа на рисковете, свързани с обработването.
В становището се посочва също, че докато първоначалният обработващ лични данни следва да гарантира, че предлага подизпълнители с достатъчно гаранции, окончателното решение и отговорността за ангажирането на конкретен подизпълнител остават на администратора.
ЕКЗД счита, че съгласно ОРЗД администраторът няма задължение систематично да изисква договорите за подизпълнение да проверяват дали задълженията за защита на данните са били прехвърлени надолу по веригата на обработване. Администраторът следва да прецени дали е необходимо да поиска копие от такива договори или да ги преразгледа, за да може да докаже съответствие с ОРЗД.
Освен това, когато предаването на лични данни извън Европейското икономическо пространство се извършва между двама (под)обработващи лични данни, обработващият лични данни като износител на данни следва да изготви съответната документация, като например относно използваното основание за предаване, оценката на въздействието на предаването и евентуалните допълнителни мерки. Въпреки това, тъй като администраторът все още е обект на задълженията, произтичащи от член 28, параграф 1 от ОРЗД относно „достатъчните гаранции“, освен тези по член 44, за да се гарантира, че нивото на защита не се подкопава от предаването на лични данни, той следва да направи оценка на тази документация и да може да я покаже на компетентния орган за защита на данните.
На следващо място Комитетът прие Насоки относно обработването на лични данни въз основа на законен интерес.
Администраторите на данни се нуждаят от правно основание за законосъобразно обработване на лични данни. Законният интерес е едно от шестте възможни правни основания.
В настоящите насоки се анализират критериите, посочени в член 6, параграф 1, буква е) от ОРЗД, на които администраторите трябва да отговарят, за да обработват законно лични данни въз основа на законен интерес. В него също така се взема предвид неотдавнашното решение на Съда на ЕС по този въпрос (C-621/22, 4 октомври 2024 г.).
За да се позове на законен интерес, администраторът трябва да изпълни три кумулативни условия:
-
Преследването на законен интерес от администратора или от трета страна;
-
Необходимостта от обработване на лични данни за целите на преследването на законния интерес;
-
Интересите или основните свободи и права на физическите лица нямат предимство пред законния(те) интерес(и) на администратора или на трета страна (установяване на баланса).
На първо място, само интересите, които са законни, ясно и точно формулирани, реални и настоящи, могат да се считат за законни. Например такива законни интереси биха могли да съществуват в ситуация, в която физическото лице е клиент или в услуга на администратора.
Второ, ако съществуват разумни, също толкова ефективни, но по-малко натрапчиви алтернативи за постигане на преследваните интереси, обработването може да не се счита за необхо��имо. Необходимостта от обработване следва също да бъде разгледана с принципа за свеждане до минимум на данните.
Трето, администраторът трябва да гарантира, че неговият законен интерес няма да има предимство пред интересите на лицето, основните права на свободи. При това балансиране администраторът трябва да вземе предвид интересите на физическите лица, въздействието на обработването и техните разумни очаквания, както и наличието на допълнителни гаранции, които биха могли да ограничат въздействието върху физическото лице.
Освен това в настоящите насоки се обяснява как тази оценка следва да се извършва на практика, включително в редица специфични контексти, като предотвратяване на измами, директен маркетинг и информационна сигурност. Документът също така обяснява връзката между това правно основание и редица права на субектите на данни съгласно ОРЗД.
Насоките ще бъдат предмет на обществена консултация до 20 ноември 2024 г.
След това Комитетът прие изявление след измененията, внесени от Европейския парламент и Съвета в предложението на Европейската комисия за регламент за установяване на допълнителни процедурни правила във връзка с прилагането на ОРЗД.
В изявлението като цяло се приветстват измененията, въведени от Европейския парламент и Съвета, и се препоръчва по-нататъшно разглеждане на конкретни елементи, за да може новият регламент да постигне целите за рационализиране на сътрудничеството между органите и подобряване на прилагането на ОРЗД.
В изявлението се отправят практически препоръки, които могат да бъдат използвани в контекста на предстоящите тристранни срещи. По-специално ЕКЗД изтъква отново необходимостта от правно основание и хармонизирана процедура за уреждане на спорове по взаимно съгласие и отправя препоръки, за да се гарантира постигането на консенсус по обобщението на основните въпроси по най-ефективния начин. Комитетът приветства също така включването на допълнителни срокове, като същевременно припомня, че те трябва да бъдат реалистични, и настоятелно призовава съзаконодателите да премахнат разпоредбите, свързани със съответните и обосновани възражения и „изясняването на мотивите“ в процедурата за разрешаване на спорове.
Въпреки че в изявлението се приветства целта за постигане на по-голяма прозрачност, въвеждането на съвместно досие по делото, предложено от Европейския парламент, ще изисква сложни промени в системите за управление на документи и комуникационни системи, използвани на европейско и национално равнище. Техническите решения за неговото прилагане следва да бъдат внимателно оценени, а условията за предоставяне на достъп до него следва да бъдат допълнително изяснени.
ЕКЗД приветства изменението на Съвета, което позволява на водещия орган по защита на данните да се откаже от т.нар. засилено сътрудничество в прости и ясни случаи, но подчертава необходимостта от допълнително изясняване на обхвата на тази възможност за неучастие.
Председателят на ЕКЗД Ану Талус заяви: „Проектът за регламент има потенциала значително да рационализира прилагането на ОРЗД чрез повишаване на ефективността на разглеждането на делата. Необходима е по-голяма хармонизация на равнището на ЕС, за да се увеличи максимално пълната ефективност на механизмите за сътрудничество и съгласуваност на ОРЗД.“
По време на последната си пленарна сесия Комитетът прие работната си програма за периода 2024—2025 г.. Това е първата от двете работни програми, с които ще се изпълнява стратегията на ЕКЗД за периода 2024—2027 г., приета през април 2024 г. Тя се основава на приоритетите, определени в стратегията на ЕКЗД, и отчита също така нуждите, определени като най-важни за заинтересованите страни.
И накрая, членовете на ЕКЗД се споразумяха да предоставят статут на наблюдател на дейностите на ЕКЗД на Агенцията за информация и неприкосновеността на личния живот в Косово в съответствие с член 8 от Процедурния правилник на ЕКЗД.
Прессъобщението, публикувано тук, е преведено автоматично от английски език. ЕКЗД не гарантира точността на превода. Моля, вижте официалния текст в неговата версия на английски език, ако има съмнение.