I. ВЪВЕДЕНИЕ
Поради възникналата нужда от намиране на нов подход към защитата на личните данни, от 25 Май 2018 г. влиза в сила новият Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни („Регламентът“), напоследък придобил повече известност като GDPR. С въвеждането му се цели хармонизиране на националните законодателства на държавите-членки в областта на защитата на личните данни, като в същото време се отговаря на нуждите на бизнеса, възникнали във връзка с технологичното развитие.
Основните концептуални рамки на Регламента могат да бъдат разграничени по следния начин:
Цел: Целта на Регламента е да създаде набор от правила за обработването на лични данни на физическите лица и да гарантира неприкосновеността на личния им живот и на личността им.
Обхват: Регламентът обхваща защитата на личните данни на територията на целия Европейски съюз, но в определени хипотези има действие и за компании, чието седалище е базирано извън ЕС. Прилага се както в публичния, така и в частния сектор.
Действие на национално ниво: Разпоредбите на Регламентът се прилагат пряко в държавите-членки, без необходимостта от създаването на национален закон, който да въведе новата уредба.
Надзор: В България като надзорен орган остава да действа Комисията за защита на личните данни. Въведен е обаче механизъм за съгласуваност и е създаден Европейски комитет по защита на данните.
II. ДЕФИНИЦИИ
С въвеждането на Регламентът, някои основни дефиниции търпят промени. Съществена промяна търпи дефиницията на „Съгласие на физическото лице“. На практика, получаването на съгласие става значително по-трудно и ще се наложи администраторите на лични данни да преразгледат своите политики и практики и да се уверят, че получават недвусмисленото съгласие на физическото лице, чиито лични данни се обработват.
Разширен е и обхватът на дефиницията за „Лични данни“. Този термин вече обхваща всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Специални категории лични данни“: лични данни, разкриващи расов илиетнически произход, политическивъзгледи, религиозни или философскиубеждения или членство в синдикалниорганизации, както и обработването нагенетични данни, биометрични данни зацелите единствено на идентифициранетона физическо лице, данни заздравословното състояние или данни засексуалния живот или сексуалнатаориентация на физическото лице. Регламентът изрично забранява обработването на подобни лични данни, освен в изрично уредени изключения.
На базата на посочените дефиниции администраторите на лични данни трябва да направят вътрешен анализ на дейностите по обработване на лични данни, който включва няколко основни въпроса:
1) Какви категории лични данни и на какви категории физически лица биват обработвани?
2) За каква цел се обработват личните данни?
3) Предоставят ли се личните данни на трето лице (data processor)?
4) Трансферират ли се лични данни в трети държави и международни организации, кои са те и има ли правно основание за това?
5) Какви технически и организационни мерки се прилагат за защита на личните данни?
III. ОТПАДАНЕ НА ЗАДЪЛЖЕНИЕТО ЗА РЕГИСТРАЦИЯ.
За разлика от уредбата в Директивата и ЗЗЛД, Регламентът не предвижда задължение за регистрация на администраторите на лични данни в регистъра на местния надзорен орган. Вместо това администраторите са задължени да поддържат вътрешни регистри на дейностите по обработване, отговарящи на определени специфични изисквания. а именно:
1) името и координатите за връзка на администратора, на представителя на администратора и на Длъжностното лице по защита на личните данни, ако има такива;
2) целите на обработването;
3) описание на категориите субекти на данни и на категориите лични данни;
4) категориите получатели, пред които са или ще бъдат разкрити личните данни;
5) когато е приложимо – предаването на лични данни на трета държава или международна организация;
6) предвидените срокове за изтриване на различните категории данни;
7) описание на техническите и организационни мерки за сигурност.
IV. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ.
GDPRвменява в задължение на определена категория администратори за назначаването на Длъжностно лице по защита на личните данни данните (DataProtectionOfficer). Длъжностното лице по защита на данните може да служител или външно за организацията физическо лице на граждански договор с експертни познания в областта на защитата на личните данни. Длъжностното лице трябва да оперира независимо, да не следва инструкциите на мениджмънта що се отнася до упражняване на функциите си.
Ролята на Длъжностното лице е:
- да консултира организацията относно спазването на задълженията по релевантното законодателство;
- да осъществява наблюдение над изпълнението на задълженията;
- да бъде свързващото звено със субектите на лични данни и с надзорния орган;
- да дава становища и съвети относно оценката на въздействието върху защитата на данните;
V. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
Оценка на въздействието върху защитата на личните данни при наличие на висок риск ще се изисква в две насоки – оценка на риска за личните данни при предложена дейност при обработка на лични данни и определяне мерки за преодоляване на този риск. Ако оценката индикира наличие на висок риск и че не е възможно преодоляването му, за администратора възниква задължение да се консултира с надзорния орган.
Регламентът изброява неизчерпателно хипотезите, при които има висок риск:
- систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;
- мащабно обработване на специални категории данни или на лични данни за присъди и нарушения; или
- систематично мащабно наблюдение на публично достъпна зона.
VI. ОРГАНИЗАЦИОННИ И ТЕХНИЧЕСКИ МЕРКИ ЗА СИГУРНОСТ
За да се гарантира сигурността на обработваните лични данни и да се докаже спазването на Регламента е необходимо за администраторите да въведат подходящи организационни и технически мерки. Сред посочените от Комисията за защита на личните данни мерки са:
- псевдонимизация на личните данни;
- криптиране на личните данни;
- гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване;
VII. ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ. СЪГЛАСИЕ НА СУБЕКТА.
Обработването на лични данни може да бъде осъществено единствено на някое от изрично посочените в GDPR основания.
Едно от най-важните основания е дадено съгласие от субекта на данните. Ако съгласието на субекта на личните данни е единственото основание за обработването им, администраторът следва да може да докаже, че то е:
- свободно изразено – не дадено под заплаха или натиск;
- конкретно – отделно съгласие за всяка конкретно определена цел и за конкретна категория лични данни;
- информирано – дадено на основата на пълна и точна информация, предоставена на лесно разбираем език;
- недвусмислено – не предизвиква никакви съмнения относно смисъла и факта на даването на съгласието;
- изрично изявление или ясно потвърждаващо действие – мълчанието на лицето вече не може да се приеме за съгласие, както и конклудентните му действия;
Така даденото съгласие трябва да се документира, за да бъде възможно да бъде доказано пред Комисията за защита на личните данни.
Регламентът изисква още да се даде възможност на субектите на личните данни да оттеглят съгласието си толкова лесно, колкото е било и да го дадат.
VIII. ПРЕДОСТАВЯНЕ НА ИНФОРМАЦИЯ НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ
Едно от най-важните задължения на администраторите на лични данни по новата уредба е за предоставяне на информация за субектите на лични данни. Регламентът посочва задължителен набор от информация, която трябва да бъде предоставена на субектите на лични данни като установява по-висок стандарт разширявайки кръга на предоставяната информация, като в него вече се включват:
- идентифициране на дружеството или организацията наименование и начин за контакт, включително с Длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);
- какви категории лични данни се събират и за какви цели се обработват;
- категориите получатели на лични данни извън дружеството или организацията, както и дали ще се трансферират данни в трети страни извън ЕС;
- срока за съхранение на данните;
- съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
- правото на субектите на данни да подадат жалба до КЗЛД или до съда;
- дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;
- (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране
Установяват се изисквания относно формата, в който трябва да бъде предоставена съответната информация, като администраторът е длъжен да представи същата в „кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца.“
Промени се наблюдават и относно момента, в който най-късно информацията трябва да бъде предоставена на субекта. Същата трябва да бъде предоставена без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането, като при необходимост този срок може да бъде удължен с още два месеца.
IX. ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ
Досегашната уредба предоставяше на субектите на лични данни следните права:
- Право на минимален набор от информация (развивайки принципа за обработване само на най-необходимите за администратора данни, свързани с целите на обработването);
- Право на достъп – субектите имат право да информация относно обработваните лични данни, обработването на тези данни и целта на това обработване без ненужно забавяне и разходи;
- Право на възражение – субектите имат право да възразят въз основа на неопровержими законови основания срещу обработването на личните им данни, когато обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес или обработването е необходимо за целите на законните интереси, преследвани от администратора или от трето лице;
- Право на поправяне, изтриване или блокиране на лични данни – субектът може да упражни тези права когато администраторът не обработва данните в съответствие със законовите изисквания, и по-точно – когато данните са неточни и/или непълни;
- Правото да не бъде обект на решение, което има правни последици за него или го засяга съществено, и което се основава единствено на автоматизираната обработка на данни, имаща за цел да се оценяват някои лични аспекти, свързани с него, като резултатите от работата му, кредитоспособност, надеждност, поведение, и т.н.
Регламентът доразвива тази уредба като предоставя на субектите следните права:
- Правото „да бъдеш забравен“ – По своята същност това е правото на изтриване, но модифицирано и доразвито. промените се въвеждат в следствие на решението на Съда на Европейския съюз по делото Google Spain v AEPD and Mario Costeja González. Съгласно чл.17 от Регламента субектът може да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, когато личните данни се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
- Право на преносимост на данните – право на субектите да получат свързани с тях лични данни ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат.
X. УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
С Регламента се въвежда задължение за администраторите да уведомяват КЗЛД и субекта на данни в случай на нарушаване на сигурността на личните данни, както и задължение за документиране на всяко нарушение на сигурността на личните данни. Ако такова нарушение възникне при обработването на данните от обработващ личните данни, то той има задължение незабавно да уведоми администратора за него. Администраторът е задължен да уведоми КЗЛД за всяко нарушение на сигурността на личните данни, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица.
Уведомлението до КЗЛД трябва да се подаде в срок до 72 часа от установяване на нарушението, или ако това не е възможно – без ненужно забавяне, като уведомлението трябва да съдържа причините за забавянето.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни. Уведомлението трябва да описва на ясен и прост език естеството на нарушението и информацията, която се предоставя с уведомлението до КЗЛД.
XI. САНКЦИИ
Що се отнася до санкциите, налагани на администраторите, когато не съдействат за упражняване на правата на субектите, промяната е драстична, като GDPR определя размерът на максималната имуществена санкция в рамките на EUR 10 000 000 до EUR 20 000 000 или oт 2 %до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.
Leave A Comment