В Комисията за защита на личните данни (КЗЛД) е постъпило искане за становище от кмет на община, с което се поставя въпрос относно приложимото право при упражняване на правата за защита на личните данни чрез пълномощник. Кметът информира, че субектите на данни могат да упражняват правата си по чл. 15–22 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) чрез писмено заявление до администратора на лични данни, чийто реквизити са изчерпателно изброени в разпоредбата на чл. 37в, ал. 1 от Закона за защита на личните данни (ЗЗЛД). Съгласно ал. 2 на същата разпоредба, при подаване на заявление от упълномощено лице към него следва да се приложи и пълномощното, за което законодателят е предвидил обикновена писмена. Наред с това се изразява мнение, че упражняването на права от субекта на данни пред администратора –община, имащ качеството на публичен (административен) орган, по своето правно естество представлява административно производство, за което следва да се прилагат правилата на Административнопроцесуалния кодекс (АПК). Съгласно разпоредбата на чл. 18, ал. 2 от АПК гражданите и организациите могат да се представляват пред административните органи с писмено пълномощно с нотариална заверка на подписа и от други граждани и организации.
С оглед на гореизложеното и предвид публичноправното качество на администратора, се поставя въпрос, дали следва да се прилага разпоредбата на чл. 18, ал. 2 от АПК, изискваща нотариална заверка на подписа на упълномощителя. Разпоредбата на чл. 12 от Регламент (ЕС) 2016/679 урежда прозрачността, комуникацията и условията за упражняване на правата на субектите на данни. Ключово изискване за упражняването им е субектът на данни да бъде идентифициран от администратора. По правило идентифицирането следва да става само въз основа на данни за субекта, с които администраторът вече разполага. С оглед на пряката си приложимост, Регламентът допуска, тогава когато администраторът има основателни опасения относно самоличността на физическото лице, което е подало искане за упражняване на права, той да може да поиска от него допълнителна информация, необходима за потвърждаване на самоличността му (арг. чл. 12, § 6 от Регламента). В този случай администраторът може да откаже да предприеме действия по искането за упражняване на права. Ако администраторът прецени, че не e в състояние да идентифицира субекта на данни, върху него ще лежи и тежестта за доказване на това обстоятелство. Във връзка с необходимостта от удостоверяване самоличността на субекта на данни и гарантиране, че правата, предоставени от Регламент (ЕС) 2016/679 се упражняват от съответното правоимащо лице, ЗЗЛД въвежда определени изисквания към формата и процедурата, по която същите се реализират.
Съгласно чл. 37б от ЗЗЛД, правата по чл. 15–22 от Регламент (ЕС) 2016/679 се упражняват чрез писмено заявление до администратора или по друг определен от него начин. Реквизитите на заявлението са изчерпателно изброени в чл. 37в от ЗЗЛД. Разпоредбата на чл. 37в, ал. 2 от ЗЗЛД предвижда, че при подаване на заявлението от упълномощено лице към него се прилага и пълномощното. С оглед на гореизложеното и предвид обезпечаване на правната сигурност при упражняване на правата на субекта чрез пълномощник, за администратора е налице възможност да поиска от лицето, подаващо искането допълнителна информация, но при условие, че той не поставя изискване за представяне на нотариално заверено пълномощно, тъй като съгласно правната теория нотариалната форма е допустима, само ако е предвидена в закон.
Законодателят е възприел аналогичен подход и по отношение на адвокатските пълномощни, които също не следва да са нотариално заверени. Няма пречка администраторът да внедри и прилага методика за вторична проверка, напр. при много искания от един и същ пълномощник или когато същият не е в пряка роднинска връзка с упълномощителя. Предвид поставения въпрос, следва да се отбележи, че предмет на регулация от ЗЗЛД са обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни.
С оглед особения предмет на отношенията, които ЗЗЛД уреждат може да се направи обоснован извод, че същият се явява специален закон по отношение на разпоредбите на АПК. От друга страна нито Регламентът, нито ЗЗЛД предвиждат разграничение между публичноправните и частноправните администратори на лични данни. Напротив, целта на законодателството е да унифицира правилата за защита на личните данни, в това число и условията за упражняване на правата на субектите.
Подобен подход, създаващ двойствен режим за субектите на данни следва да се разглежда като нарушение на техните права. Нещо повече, една от целите на актуализирания ЗЗЛД е да намали административната тежест, като по този начин се изпълняват и изискванията на Регламента за по-улеснено упражняване на правата на субектите на данни. Наред с посоченото дотук, трудно би могло да се сподели и мнението, че действието или бездействието на администратор на лични данни (имащ качеството и на публичен/ административен орган) по предявено до него искане за упражняване на права по Регламента има правните белези на индивидуален административен акт.
По правило административните органи издават индивидуални административни актове в рамките на своята компетентност, от която произлизат властническите им правомощия. В конкретния случай, без да засяга неговия правен статут, Регламентът вменява на администратора задължение (а не правомощие) за разглеждане на предявеното от субекта на данните искане за упражняване на неговите права.
Във връзка с горепосоченото Комисията за защита на личните данни изразява следното становище:
Независимо от своя правен статут, администраторът на лични данни следва да прилага специалните изисквания на чл. 37в, ал. 2 от Закона за защита на личните данни, уреждащи формата на упълномощаване при упражняване на правата по Регламент (ЕС) 2016/679 чрез пълномощник.