Tag Archives: dp

Протокол за изменение на Конвенция 108 за защита на лицата при автоматизираната обработка на лични данни на Съвета на Европа

от Нели Огнянова
лиценз CC BY

Както научаваме от съобщение на Комисията за защита на личните данни, на 18 май 2018 г.  след 7 години интензивна работа и преговори е приет Протокол (CETS № 223) за изменение на Конвенцията за защита на лицата при автоматизирана обработка на лични данни (ETS № 108) заедно с обяснителен доклад.

Протоколът е открит за подписване на 25  юни 2018 г. в Страсбург по време на третата сесия на Парламентарната асамблея.

На 5 август Протоколът е внесен за ратифициране в Народното събрание.

От сайта на Съвета на Европа:

 

Съд на ЕС: Лични данни, LIKE, отговорност на уебсайтовете

от Нели Огнянова
лиценз CC BY

В края на миналата година е оповестено заkлючението на генералния адвокат Bobek по дело С-40/17 Fashion ID GmbH & Co.KG срещу Verbraucherzentrale NRW e.V.

Делото се води по преюдициално запитване, отправено от Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф, Германия.

Фактите и преюдициалното запитване

Fashion ID GmbH & Co.KG е онлайн търговец, който продава модни артикули. Същият интегрира софтуерна приставка в своя уебсайт: т.нар. бутон „харесва ми“ на Facebook. В резултат на това, когато даден ползвател посети уебсайта на Fashion ID, информация за IP адреса на ползвателя и стринга на неговия браузър се предава на Facebook. Това предаване става автоматично при зареждане на уебсайта на Fashion ID, независимо дали ползвателят е натиснал бутона „харесва ми“ и независимо дали той има профил във Facebook.

Verbraucherzentrale NRW e.V., германско сдружение за защита на потребителите, предявява иск за преустановяване на нарушение срещу Fashion ID на основание, че използването на тази софтуерна приставка води до нарушаване на законодателството за защита на данните.

Сезираният със спора Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф, Германия) иска тълкуване на няколко разпоредби от Директива 95/46/ЕО. Запитващата юрисдикция иска първо да се установи дали тази директива допуска национално законодателство, което предоставя процесуална легитимация на сдружение на потребителите да предяви иск като разглеждания в главното производство. По същество основният поставен въпрос е дали Fashion ID трябва да се счита за „администратор“ по отношение на обработването на данни и, при положителен отговор, как точно следва да се изпълняват в такъв случай индивидуалните задължения, наложени с Директива 95/46. Чии законни интереси следва да се вземат предвид при претеглянето на интереси съгласно член 7, буква е) от Директива 95/46? Длъжно ли е Fashion ID да уведоми субектите на данни за обработването? Има ли Fashion ID задължение да получи информираното съгласие на субектите на данни в това отношение?

Заключението на ГА

Използването на уебсайта на бутона LIKE на Facebook, което води до обработване на личните данни на потребителите, прави уебсайта съвместно отговорен – заедно с  третата страна (тук Facebook Ireland) –  за този етап от обработването  на данни, казва генералният адвокат на ЕС. Тази съвместна отговорност на контрольора следва да се ограничи до онези операции, за които уебсайтът взема решенията относно средствата и целите на обработката на личните данни.

Това означава, според  заключението на генералния адвокат Bobek, че уебсайтът има задължения   по отношение на операциите по обработка на данни – например да предостави на потребителите  информация и да получи, когато е необходимо, тяхното съгласие, преди данните да бъдат събрани и обработени.

Но уебсайтът  не може да бъде подведен  под отговорност нито за предходния, нито за по-късния етап от общата верига на обработване, за които не е бил  в състояние да определи нито целите, нито средствата.

Съд на ЕС: Обработване на лични данни за целите на журналистическа дейност

от Нели Огнянова
лиценз CC BY

Преюдициално запитване — Обработване на лични данни — Директива 95/46/ЕО — Член 3 — Приложно поле — Видеозапис на полицейски служители в полицейско управление при осъществяване на процесуални действия — Публикуване в интернет сайтове за видеоматериали — Член 9 — Обработване на лични данни единствено за целите на журналистическа дейност — Понятие — Свобода на словото — Защита на личния живот

Стана известно решение на Съда на ЕС по дело C‑345/17 с предмет преюдициално запитване, отправено  от Augstākā tiesa (Върховен съд, Латвия)  в рамките на производство по дело Sergejs Buivids.

 Запитването е отправено в рамките на спор между г‑н Sergejs Buivids и Datu valsts inspekcija (Национален орган за защита на данните, Латвия) по повод на жалба, с която се иска да се обяви за незаконосъобразно решението на този орган, съгласно което г‑н Buivids нарушил националното законодателство, като е публикувал в интернет сайта http://www.youtube.com заснет от самия него видеозапис със снемането на показанията му в помещенията на участък на националната полиция в рамките на административно-наказателно производство.

Вследствие на публикацията Националният орган за защита на личните данни приема, че г‑н Buivids е нарушил закона, тъй като не е предоставил на полицейските служители в качеството им на засегнати лица информация относно целта на обработването на личните им данни. Освен това г‑н Buivids не е предоставил на Националния орган за защита на личните данни информация за целта на заснемането на спорния видеозапис и публикуването му в интернет, за да докаже, че преследваната цел отговаря на Закона за защита на личните данни. Националният орган за защита на личните данни е поискал от г‑н Buivids да предприеме действия за заличаване на видеозаписа от интернет сайта http://www.youtube.com и други интернет сайтове.

Делото между гражданина и администрацията стига до ВС, като г‑н Buivids твърди, че спорният видеозапис показва служители на националната полиция, т.е. публични личности на обществено достъпно място, и поради това не попада в личния обхват на Закона за защита на личните данни.

При тези обстоятелства Augstākā tiesa (Върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Попадат ли в приложното поле на Директива 95/46 дейности като разглежданите в настоящото производство, а именно заснемане на полицейски служители в полицейско управление при осъществяване на процесуални действия и публикуване на видеоматериала в интернет сайта http://www.youtube.com?

2)      Трябва ли Директива 95/46 да се тълкува в смисъл, че посочените действия могат да се разглеждат като обработване на лични данни за журналистически цели съгласно член 9 от посочената директива?“.

По първия въпрос

30      Понятието „лични данни“ по смисъла на тази разпоредба съгласно определението в член 2, буква a) от Директивата обхваща „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице“. За подлежащо на идентифициране лице се смята „това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез […] един или повече специфични признаци, отнасящи се до неговата физическа самоличност“.

31      Съгласно практиката на Съда образът на дадено лице, заснето с камера, представлява „лични данни“ по смисъла на член 2, буква а) от Директива 95/46, доколкото позволява да се идентифицира засегнатото лице (вж. в този смисъл решение от 11 декември 2014 г., Ryneš, C‑212/13, EU:C:2014:2428, т. 22).

32      В случая, видно от акта за преюдициално запитване, полицейските служители могат да бъдат видени и чути на спорния видеозапис, поради което следва да се приеме, че образите на заснетите лица действително представляват лични данни по смисъла на член 2, буква а) от Директива 95/46.

39      […] публикуването в интернет сайт, към който потребителите могат да изпращат, гледат и споделят видеоматериали като спорния видеозапис, в който се съдържат лични данни, представлява автоматизирано обработване изцяло или частично на тези данни по смисъла на член 2, буква б) и на член 3, параграф 1 от Директива 95/46.

40      Съгласно член 3, параграф 2 от Директива 95/46 тя не се прилага към обработването на лични данни в две хипотези –  дейности, които не попадат в приложното поле на правото на Общността, като предвидените в дялове V и VI от Договора за Европейския съюз в редакцията му преди влизането в сила на Договора от Лисабон, и при всички положения за обработване с цел обществената сигурност, отбраната, държавната сигурност и дейностите на държавата в областта на наказателното право. Посочената разпоредба изключва обработването на лични данни, осъществено от физическо лице в хода на изцяло лични или домашни занимания.

43      […]    доколкото г‑н Buivids е публикувал, без ограничения в достъпа, спорния видеозапис в интернет сайт за видеоматериали, към който потребителите могат да изпращат гледат и споделят такива материали, като по този начин се предоставя достъп до лични данни на неопределен брой хора, разглежданото в главното производство обработване на лични данни не се вписва в рамките на дейност, която е изцяло лична или домашна.

Следователно, заснемането и публикуването в YouTube попада в обхвата на директивата.

По втория въпрос

Съдът започва с баланса на права:  Директива 95/46 се стреми държавите  да защитават основните права и свободи на физическите лица, и в частност правото им на личен живот, при обработването на лични данни, като същевременно дават възможност за свободно движение на тези данни. Не е възможно обаче тази цел да се следва, без да се вземе предвид обстоятелството, че трябва в определена степен да се съгласуват посочените основни права и основното право на свобода на словото. Съображение 37 от Директивата уточнява, че целта на член 9 е да се съгласуват две основни права, а именно защитата на личния живот, от една страна, и свободата на словото, от друга. Това е задача на държавите членки (вж. в този смисъл решение от 16 декември 2008 г., Satakunnan Markkinapörssi и Satamedia, C‑73/07, EU:C:2008:727, т. 52—54).

Предвидените в член 9   изключения и дерогации се прилагат не само към медийните предприятия, но и към всяко лице, което упражнява журналистическа дейност. От практиката на Съда следва, че „журналистически дейности“ са тези, чиято цел е публичното разгласяване на информация, мнения или идеи независимо от средството за предаването им. Съдът вече е постановил, че носителят, чрез който се предават обработените данни, независимо дали е класически като хартия, или радиовълни, или електронен като интернет, не е определящ при преценката дали е налице дейност, извършвана „единствено за целите на журналистическа дейност“.

Запитващата юрисдикция може по-специално да вземе предвид факта, че според г‑н Buivids спорният видеозапис е публикуван в интернет сайт, за да привлече вниманието на обществеността върху практики на полицията, за които се твърди, че са неправомерни, и които били осъществени при снемане на показанията му.

69      С оглед на гореизложените съображения на втория въпрос следва да се отговори, че член 9 от Директива 95/46 трябва да се тълкува в смисъл, че обстоятелства като разглежданите в главното производство, а именно видеозапис на полицейски служители в полицейско управление при снемане на показания и публикуване на видеозаписа в интернет сайт за видеоматериали, към който потребителите могат да изпращат, гледат и споделят такива материали, могат да представляват обработване на лични данни единствено за целите на журналистическа дейност по смисъла на тази разпоредба, при условие че от посочения запис е видно, че заснемането и публикуваното имат за цел единствено публичното разгласяване на информация, мнения или идеи, което следва да се провери от запитващата юрисдикция.

Значение за прилагането на GDPR

В центъра на решението  Buivids отново е балансът между защитата на данните и свободата на изразяване.  Обсъжда се кога една публикация е единствено за журналистически цели – има послание, цели информиране на широка аудитория, а не е просто реализация на свободата на изразяване на лицето – но решението оставя много въпроси без отговор.

Не може да се твърди, че в държавите има еднакво разбиране на изключението, съществуват  понякога доста небалансирани схеми, които вече са въведени от някои национални законодателни органи. И в България остава да се види каква ще е съдбата на новата уредба относно изключението за целите на журналистиката, която беше прегласувана в същия вид след ветото .

Съдът на ЕС ще разгледа по-нататъшното решение по този критичен въпрос в предстоящото решение по преюдициално запитване в рамките на производството Stunt/ AP – UK.

Достъп до лични данни за целите на разследване на престъпления

от Нели Огнянова
лиценз CC BY

Стана известно решението на Съда на ЕС по дело C‑207/16 с предмет преюдициално запитване   от Audiencia Provincial de Tarragona (съд на провинция Тарагона, Испания)   в рамките на производство по дело, образувано по протест на испанското Министерство на финансите по повод разрешаването на достъп на съдебната полиция до лични данни, запазени от доставчици на електронни съобщителни услуги.

Решението  по дело C-207/16 Ministerio Fiscal е част от юриспруденцията относно член 15, който в общи линии позволява на държавите-членки да разрешават намеса в тайната на кореспонденцията при определени обстоятелства, виж и  Digital Rights Ireland (C-293/12 и 594/12), Tele2 / Watson (Joined Cases C-203/15 и C-698/15).

Държавите-членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф 1, 2, 3, и 4 и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на престъпления или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива 95/46/ЕО. […]

 

Фактите

Извършен е грабеж,  полицията иска   да се разпореди на различни доставчици на електронни съобщителни услуги да предоставят телефонни  номера и личните данни във връзка със самоличността на притежателите или ползвателите на телефонните номера, свързани с разследването.

Съдът отказва – защото 1) исканата мярка не била пригодна за разкриване на извършителите на престъплението и 2) според закона това може да се извършва при тежки престъпления. Съгласно испанския наказателен кодекс тежки били престъпленията, които се наказват с лишаване от свобода над пет години — а разглежданите в главното производство деяния не съставляват такова престъпление. Прокуратурата протестира това определение пред запитващата юрисдикция. Според нея предоставянето на разглежданите данни е трябвало да бъде разрешено поради естеството на деянията.

Въпросите

 1)   Може ли достатъчната тежест на престъплението като критерий, обосноваващ засягането на признатите в членове 7 и 8 от [Хартата] основни права, да се определи единствено с оглед на наказанието, което може да се наложи за разследваното престъпление, или е необходимо освен това да се установи, че с престъпното деяние се увреждат в особена степен индивидуални и/или колективни правни интереси?

2)      Евентуално, ако определянето на тежестта на престъплението с оглед единствено на наказанието, което може да се наложи, отговаря на конституционните принципи на Съюза, приложени от Съда на ЕС в решението му [от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238] като критерии за строг контрол на Директива [2002/58], то какъв следва да е минималният праг за наказанието? Допустимо ли е по общ начин да се предвиди праг от три години лишаване от свобода?“.

Решението

Достъпът на публичните органи до такива данни съставлява намеса в основното право на зачитане на личния живот, закрепено в член 7 от Хартата. Такъв достъп представлява и намеса в основното право на защита на личните данни, гарантирано в член 8 от Хартата, тъй като представлява обработка на лични данни.

Когато  намесата, до която води такъв достъп, не е тежка, този достъп може да бъде обоснован от целта за превенция, разследване, разкриване и преследване общо на „[престъпления]“. [57]

Достъпът само до данните, посочени в разглежданото в главното производство искане, не може да бъде квалифициран като „тежка“ намеса в основните права на лицата [61]

Намесата, до която води достъп до такива данни, може следователно да бъде обоснована от целта за превенция, разследване, разкриване и преследване общо на „[престъпления]“, посочена в член 15, параграф 1, първо изречение от Директива 2002/58, без да е необходимо тези престъпления да са квалифицирани като „тежки“.[62]

В същия смисъл е и Заключението на Генералния адвокат:

мярка, която за целите на борбата с престъпленията дава на компетентните национални органи достъп до идентификационните данни на ползвателите на телефонни номера, активирани с определен мобилен телефон през ограничен период, при обстоятелства като разглежданите в главното производство води до намеса в гарантираните от споменатата директива и Хартата основни права, която не е толкова сериозна, че да налага такъв достъп да се предоставя само в случаите, в които съответното престъпление е тежко.

Коментар на проф. Лорна Удс

EDRI за значението на това решение

ЕСПЧ: Big Brother Watch

от Нели Огнянова
лиценз CC BY

Стана известно решението на ЕСПЧ по делото Big Brother Watch and Others v. the United Kingdom.

Нарушение на чл.8 и чл.10 ЕКПЧ.

Жалбите са предизвикани от информацията, разкрита от Едуард Сноудън, за съществуването на програми за наблюдение и обмен на разузнавателни данни, управлявани от разузнавателните служби на САЩ и Обединеното кралство. По-конкретно,  че  електронни съобщения и / или съобщителни данни е вероятно да бъдат задържани или получени от разузнавателните служби на Обединеното кралство, разчитащи на режима, установен в британския закон RIPA. Бяха подчертани три области на проблемите: прихващане, споделяне и достъп до комуникации.  Във всички случаи жалбоподателите смятат, че защитата срещу злоупотребите е недостатъчна и че режимите не са нито законни, нито необходими в едно демократично общество.

Жалбоподателите твърдят, че  режимът не е законосъобразен,  значимите елементи на режима не са били публично оповестени и  не отговарят на  изискванията по решението  Вебер.

Шестте принципа, установени във Weber and Saravia (app no. 54934/00)   са отправна точка за изводите:

– естеството на престъпленията, които могат да доведат до заповед за прихващане;
– определяне на категориите хора, които могат да бъдат проследявани;
– ограничение на продължителността на прихващане;
– процедурата, която трябва да бъде следвана за   използване и съхранение на получените данни;
– предпазните мерки, които трябва да се вземат при съобщаване на данните на трети страни; и
– обстоятелствата, при които събраните данни могат или трябва да бъдат заличени или унищожени.

Според ЕСПЧ към изискванията по решението Вебер трябва да се прибавят и съображенията на Голямата камара по Zakharov (app no. 47143/06).

Накрая, ЕСПЧ се позовава на  правото на ЕС – по-специално на решенията Digital Rights Ireland (дело C-293/12 и C-594/12) и Watson (дело C-698/15) –  прихващането е само за целите на борбата с тежките престъпления  и   този достъп подлежи на предварителен преглед (разрешение) от съд или независим административен орган. 
 В решението на ЕСПЧ, освен липса на нужните гаранции по чл.8,  е взето предвид, че става дума за проследяване на журналисти -по тази причина  има и аргумент по чл.10, свобода на изразяване. Прилагането на мерките не може да се разглежда в съответствие със закона за целите на чл.  10 ЕКПЧ.

Най-важните фрагменти от решението според  EJIL

Измененията на Закона за защита на личните данни по GDPR – внесени в парламента

от Нели Огнянова
лиценз CC BY

От сайта на парламента –

Законопроект за изменение и допълнение на Закона за защита на личните данни

Както ще установите,  с пар. 25 и следващите се предлагат изменения в десетки други закони.  В голяма част от тях препратката към Закона за защита на личните данни се заменя с  „изискванията за тяхната защита“, но в някои закони има и по-обстойни промени.

Мотивите започват необичайно, с теоретична рамка – четвъртата индустриална революция

Всеобхватната дигитализация на света около нас, известна още като „4-та индустриална революция“, налага цялостно преосмисляне на подходите към защитата на личните данни и личната неприкосновеност.

Целите на проекта са описани така:

Целите на законопроекта са насочени към осигуряването на ефективното прилагане на Общия регламент относно защитата на данните и изпълнение на задълженията на Република България като държава – членка на ЕС, във връзка с въвеждане в националното законодателство на законодателен акт (директива) на ЕС, с който се определят особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Какво съдържа проектът:

С проекта на закон се регламентират както въпросите, по които е оставена свобода на държавите членки, така и въпросите, които изискват изрично въвеждане на законодателни мерки на национално ниво с цел осигуряване изпълнението на новия законодателен пакет в областта на защитата на личните данни.

и в частност:

Актуализиран понятиен апарат: Регламентът значително разширява досегашния понятиен апарат в областта на защитата на личните данни. С предлаганите законодателни промени използваната терминология се актуализира в съответствие с Регламент 2016/679 и Директива 2016/680.

Регистрация на администратори: от 25 май 2018 г. отпада задължението за регистрация на администраторите на лични данни в Комисията за защита на личните данни. Това обстоятелство е отчетено в проекта на законови изменения и допълнения, като е предложено отменяне на досегашните текстове, уреждащи задължителната регистрация като администратор на лични данни.

Особени ситуации на обработване на лични данни: законопроектът предлага по-детайлно регламентиране на отделни групи обществени отношения, като упражняването на правото на свобода на изразяване и информация, включително за журналистически цели и за целите на академичното, художественото или литературното изразяване; обработване на лични данни в контекста на трудови/служебни правоотношения; законово регламентиране в специални закони на публичния достъп до ЕГН; изключване на данните на починали лица от кръга на личните данни.

Административни санкции на публични органи: не се предвижда разграничаване в санкционния режим при нарушение на правилата за защита на личните данни между публични и частни администратори.

Подзаконова уредба: с оглед на голямото разнообразие на материята, уредена с Общия регламент, съответно със ЗЗЛД, в предложените промени е предвидена законодателна делегация за приемане на подзаконови актове, като наредба в областта на сертифицирането, както и ненормативни документи, като например минималните изисквания при систематично мащабно видеонаблюдение на публично достъпни зони, както и по отношение на автоматизираното вземане на индивидуални решения, включително профилиране.

Съд на ЕС: Свидетели на Йехова и лични данни

от Нели Огнянова
лиценз CC BY

Стана известно решението на Съда на ЕС по дело C‑25/17 с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Korkein hallinto-oikeus (Върховен административен съд, Финландия).

Комисията за защита на данните във Финландия постановява решение, с което забранява на религиозната общност „Свидетели на Йехова“ да събира или да обработва лични данни при извършваната от членовете ѝ проповедническа дейност „от врата на врата“, доколкото не са изпълнени законовите изисквания за обработването на такива данни. Освен това  Комисията за защита на данните задължава тази общност да направи в шестмесечен срок необходимото, за да гарантира, че за нейните цели лични данни няма да се събират в нарушение на тези изисквания.

Според констатациите на запитващата юрисдикция при проповедническата си дейност „от врата на врата“ членовете на религиозната общност „Свидетели на Йехова“ водят записки за направените посещения на лица, които самите те или посочената общност не познават. Събраните данни съдържали, евентуално и наред с другото, името и адреса на посетените лица, както и сведения за техните религиозни убеждения и семейни отношения. Тези данни били събирани като напомнителни бележки, за да може информацията да бъде намерена и използвана при следващи посещения, като съответните лица нито са давали съгласие, нито са били уведомявани за това.

Религиозната организация обжалва.  Съдът решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Трябва ли изключенията от приложното поле на Директива [95/46], посочени в член 3, параграф 2, първо и второ тире, да се тълкуват в смисъл, че събирането и другите видове обработка на лични данни, които членовете на дадена религиозна общност извършват във връзка с осъществяваната проповедническа дейност „от врата на врата“, не попадат в приложното поле на Директивата? Какво значение при преценката на приложимостта на Директива [95/46] имат, от една страна, обстоятелството, че проповедническата дейност, във връзка с която се събират данните, се организира от религиозната общност и от нейните сборове, и от друга страна, обстоятелството, че едновременно с това става дума и за изповядване на религия лично от членовете на религиозната общност?

2)      Като се отчитат съображения 26 и 27 от Директива [95/46], трябва ли определението на понятието „файл“ в член 2, буква в) от Директивата да се тълкува в смисъл, че съвкупността от лични данни, които се събират с неавтоматични средства във връзка с описаната по-горе проповедническа дейност „от врата на врата“ (име и адрес, както и други възможни данни и характеристики, отнасящи се до лицето),

a)      не представлява такъв файл, тъй като не става въпрос за специфични картотеки или списъци или други подобни класификационни системи по смисъла на определението в [Закон № 523/1999];

б)      представлява такъв файл, тъй като от данните предвид тяхното предназначение на практика е възможно лесно и без неоправдани разходи да бъде извлечена необходимата за по-нататъшно ползване информация, както е предвидено в [Закон № 523/1999]?

3)      Трябва ли изразът в член 2, буква г) от Директива [95/46] „който сам или съвместно с други определя целите и средствата на обработка на лични данни“ да се тълкува в смисъл, че религиозна общност, организираща дейност, при която се събират лични данни (в това число чрез определянето на радиуса на действие на проповедниците, чрез проследяването на проповедническата дейност и поддържането на регистри на лицата, които не желаят да бъдат посещавани от проповедници), може да бъде разглеждана като администратор на лични данни по отношение на тази дейност на нейните членове, въпреки твърдението на религиозната общност, че само отделните проповедници имат достъп до записаната информация?

4)      Трябва ли член 2, буква г) от Директива [95/46] да се тълкува в смисъл, че религиозната общност може да се класифицира като администратор само когато предприема други специфични мерки, като нареждания или писмени указания, с които управлява събирането на данни, или е достатъчно религиозната общност фактически да играе роля при управлението на дейността на членовете си?

Решението

1 Както следва от член 1, параграф 1 и от съображение 10 от Директива 95/46, нейната цел е да се гарантира висока степен на защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 66 и от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 26).

Макар извършваната от членове на религиозна общност проповедническа дейност „от врата на врата“ да е по този начин защитена с член 10, параграф 1 от Хартата като израз на вярата на проповедника или проповедниците, това обстоятелство не придава на тази дейност характер на изцяло лично или домашно занимание по смисъла на член 3, параграф 2, второ тире от Директива 95/46. Проповедническата дейност излиза извън личната сфера на проповядващите членове на дадена религиозна общност.

С оглед на гореизложените съображения на първия въпрос следва да се отговори, че член 3, параграф 2 от Директива 95/46, разглеждан във връзка с член 10, параграф 1 от Хартата, трябва да се тълкува в смисъл, че събирането на лични данни, извършвано от членове на религиозна общност при проповедническата им дейност „от врата на врата“, и по-нататъшното обработване на тези данни не представляват нито обработване на лични данни при извършване на дейности, посочени в член 3, параграф 2, първо тире от тази директива, нито обработване на лични данни, извършвано от физически лица в хода на изцяло лични или домашни занимания по смисъла на член 3, параграф 2, второ тире от същата директива. [51]

2 Относно понятието файл – директивата определя широко понятието „файл“, по-специално визирайки „всеки“ структуриран набор от лични данни.

Въпросът точно по какъв критерий и под каква форма на практика е структурирана съвкупността от лични данни, събирани от всеки от проповедниците, е без значение, стига тази съвкупност да позволява лесно да се откриват данните на съответното посетено лице — нещо, което  запитващата юрисдикция следва да провери с оглед на всички обстоятелства в случая в главното производство.

3 Религиозна общност, съвместно с проповядващите нейни членове, може да бъде квалифицирана като администратор на личните данни, обработвани от последните в рамките на проповедническа дейност „от врата на врата“, организирана, съгласувана и насърчавана от тази общност, без да е необходимо въпросната общност да има достъп до данните или да е установено, че тя е дала на членовете си писмени указания или нареждания във връзка с обработването.

ЕНОЗД: Неприкосновеност на личния живот by design – становище 5/2018

от Нели Огнянова
лиценз CC BY

Публикувано е становище 5/2018 на Европейския надзорен орган за защита на данните (ЕНОЗД).

Становището е посветено на концепцията Privacy by design.

В началото на 2018 г. публичният дебат за обработката на лични данни  достигна безпрецедентно ниво на внимание, се казва в становището. Целта е да се разбере как  личните данни  се обработват и използват за проследяване на дейностите на гражданите в мрежата.  Въпреки огромния медиен интерес обществеността все още знае само за “върха на айсберга” по отношение на проследяването. 
ЕНОЗД вече анализира използването на лични данни за онлайн манипулиране  в неотдавнашното си становище и предостави препоръки.  Настоящото становище прави преглед на правните и технологичните постижения  в разглежданата област и дава препоръки за мерки, които допълнително ще подобрят защитата на личните данни и защитата на данните  by design.
Терминът означава  широка концепция за технологични мерки за осигуряване на неприкосновеност на личния живот.

Шремс подава оплаквания срещу Google, Facebook, Instagram и WhatsApp

от Нели Огнянова
лиценз CC BY

Макс Шремс подава оплаквания срещу Google, Facebook, Instagram и WhatsApp. Причината е, че според него е незаконен изборът, пред който са изправени потребителите им – да приемат условията на компаниите или да загубят достъп до услугите им.

Подходът “съгласи се или напусни”, казва Шремс пред Reuters Television, нарушава правото на хората съгласно Общия регламент за защита на данните (GDPR) да избират свободно дали да позволят на компаниите да използват данните им. Трябва да има  избор,  смята Шремс.

Шремс е австриецът, който все не е доволен от защитата на личните данни в социалните мрежи и не ги оставя на мира, като превръща борбата си за защита на данните и в професия, юрист е. Този път действа чрез създадена от него неправителствена организация noyb

Independent.ie 

The Guardian

КЗЛД: Информационно-разяснителни материали по Регламент 2016/679 (GDPR)

от Нели Огнянова
лиценз CC BY

Информационно-разяснителни материали по Регламент (ЕС) 2016/679 (Общ регламент за защитата на данните)