20 years together

DPC с успех в дело за обработване на генетични данни

06 Април 2021

Екипът на DPC успешно защити свой клиент по спор относно прилагането на правилата за защита на личните данни при обработване на генетични данни. Спорът се разви пред три последователни инстанции: Комисията за защита на личните данни, Административен съд – София-град и Върховния административен съд (ВАС), като пред всяка от тях изходът бе положителен за клиента ни. Спорът засягаше следните най-важни въпроси:

  • На какво правно основание могат да се обработват генетични данни, които са чувствителни данни съгласно Общия регламент за защита на данните (GDPR), когато обработването им е част от договор и същият е изпълнен? Може ли администраторът на лични данни да обоснове легитимен интерес от съхранението на такива данни след срока на договора с оглед защита срещу евентуални правни претенции от контрагента? Счита ли се този интерес за надделяващ над правата, свободите и интересите на засегна субекта на данни и направена ли е преценката за това от самия законодател в GDPR? Освободен ли е администраторът от необходимостта да прави тест за баланс между своя интерес и правата, свободите и интересите на субекта, когато обосновава легитимен интерес от защита срещу евентуални правни претенции?
  • Какви са сроковете за съхранение на генетични данни и могат ли същите да се определят от администратора по аналогия с правилата на медицинските стандарти относно работа и съхранение на генетични данни, макар същите да не са пряко приложими към дейността на администратора?
  • С оглед горните въпроси, следва ли да се уважи упражнено право на изтриване от субекта на данни след изпълнение на договора?
  • Осигурява ли GDPR еквивалентна защита на правата на човека, каквато се предоставя с Европейската конвенция по правата на човека (ЕКПЧ)?

В окончателното решение по спора ВАС прие, че:

  • Генетичните данни могат да се обработват на основание легитимен интерес след изпълнение на договора с оглед защита не само срещу предявени, но и срещу евентуални бъдещи правни претенции. В допълнение, това е надделяващ интерес в полза на администратора, при който преценката за баланса на интереси е направена от самия европейски законодател и администраторът е освободен от това да прави тест за баланс;
  • Администраторът може да определи срокове, които счита с подходящи с оглед дейността си, и няма пречка да приложи медицински стандарти по аналогия, дори самият той да не е пряк техен адресат, защото това е най-близката уредба до извършваната от него дейност;
  • Правото на изтриване не може да бъде уважено с оглед горните обстоятелства, независимо че договорът е изпълнен;
  • GDPR и правото на ЕС като цяло осигуряват „еквивалентна защита“ на основните права на човека като тази по ЕКПЧ, както е прогласено и в практиката на Съда по правата на човека с презумпцията по делото Bosphorus Hava Yollari Turizm Ve Ticaret Anonim Єirкeti v. Ireland, жалба № 45036/98.

Така ВАС изцяло възприе аргументацията, изложена от DPC, а екипът ни допринесе за създаването на актуална съдебна практика по ключови въпроси относно приложението на GDPR и ЕКПЧ. 

Успешният резултат е дело на отборния труд на д-р Мартин Захариев, адв. Десислава Кръстева, адв. Радослава Макшутова и адв. Донка Стоянова.

 

 

 

« Предишна