От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Общият регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни, което е причина за неговото отложено прилагане. Той ще бъде задължителен за всички държави, които са членки на ЕС. Те обаче имат имат право да не прилагат Регламента по въпроси, касаещи националната им сигурност. Неговата цел е да въведе по-строг контрол върху обработващите лични данни, което респективно да доведе до по-висока степен на защита спрямо субектите на лични данни. Обработващият е задължен да спазва всички установени правила и норми за защита на личните данни и носи солидарна отговорност за причинени вреди заедно с администратора. Регламентът въвежда задължението обработващият лични данни да търси съгласието на администратора всеки път когато възлага обработването на подизпълнител.
Към кои компании ще се прилага Регламентът?
Истината е, че Регламентът се прилага към почти всички компании, защото всички компании имат работници и служители и обработват техните лични данни. Разбира се, някои компании имат физически лица- клиенти , определени индустрии - финансови институции, банки, болници, компании за електронна търговия, хотели - ред компании са тясно свързани с физически лица-клиенти. Така че там големият обем от лични данни, които обработват, е на техните клиенти. Но от гледна точка на работодател всяка компания ще бъде администратор на лични данни и поради тази причина това наистина важи за всички дружества.
По какъв начин се изменя процедурата, по която една компания може да стане администратор на лични данни?
Досегашният режим беше такъв, че всеки администратор, всяка фирма, която е работодател или обработва лични данни на своите клиенти, има качеството на администратор и следва да се регистрира в КЗЛД. Това задължение ще отпадне, няма да го има при действието на новия регламент. Но ще има доста други задължения за отчетност, които компаниите ще следва да спазват. Те ще трябва да поддържат специални регистри за обработката на личните данни. Ще има нови хипотези, в които ще трябва да адресират конкретни запитвания и искания за одобрение към Комисията например в контекста на оценката на риска. Така че с отпадането на изискването за регистрация като администратор на лични данни, не бихме могли да кажем, че ще се облекчат отчетните и комуникационните задължения на работодателите към Комисията.
Задължение за отчетност
Това е едно от основните нови правила по Регламента. Това е такова задължение за всички работодатели и компании, които обработват лични данни, за документално обосноваване на обработката на лични данни, т.е. трябва да има документално разписване на процесите и процедурите за обработка на лични данни в компаниите: какви лични данни се обработват, какво е основанието за обработката, как те се съхраняват, предоставят ли се на трети лица и кои са тези трети лица, какви са рисковете за физическите лица от обработката на тези данни и какви са мерките за защита, които съответният администратор мисли да предприеме, за да може да предотврати нарушение на сигурността на данните. Така че ще има едно по-мащабно документиране и задължение за поддържане на писмена следа за видовете обработка, които работодателите правят и също така за това на кои юридически лица те предоставят личните данни в качеството на обработващи. Работодателите трябва да се уверят, че имат съгласието на лицата за предоставянето на техни конкретни данни на конкретно юридическо лице.
Регистър за обработване на лични данни
Въвежда се изискване за създаване на Регистър за обработване на лични данни. Съгласно чл. 13 малките, средни и микропредприятия ( до 250 служители ) са освободени от това задължение. Той може да е писмен или в електронна форма. В него ще се записват: типът лични данни, които се обработват; какви са целите на обработката; има ли трети лица, които получават достъп до тези данни; какви са организационните и техническите мерки за защита, които съответният администратор е взел, за да не се случи нарушаване на сигурността, както и какво би направил, ако се случи нарушаване на сигурността.
По какъв начин ще бъде осъществяван надзора за спазване на новата правна рамка по защита на личните данни?
Единственият надзорен орган по защита на личните данни в Република България е Комисията за защита на личните данни. Като такъв Комисията ще осъществява контрол за спазването на изискванията на регламента. В рамките на своите правомощия Комисията има право да разглежда жалби от физически лица, да извършва проверки на администратори и обработващи лични данни, да издава становища, задължителни предписания и имуществени санкции. Новият Регламент значително увеличава максималния размер на налаганите глоби и имуществени санкции – до 10 млн. евро или до 2 % от годишния оборот на дружеството за предходната година (която от двете суми е по-висока).
Права на субектите на лични данни, които администраторите трябва да съблюдават:
Според Регламента субектът на данни (физическото лице, за което се отнасят данните) има право на:
· Информираност;
· Достъп до собствените си лични данни;
· Коригиране (ако данните са неточни);
· Изтриване на личните данни (правото „да бъдеш забравен“);
· Ограничаване на обработването от страна на администратора или обработващия лични данни;
· Преносимост на личните данни между отделните администратори;
· Възражение спрямо обработването на негови лични данни;
· Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
· Право на защита по съдебен или административен ред, в случай че правата на субекта на данни са били нарушени.
Специална категория лични данни
Към тази категория спадат генетични данни ( РНК и ДНК проби ), данни за здравословното състояние на субекта. Субектът на данните трябва да е изрично информиран от администраторите за обработването им и да е дал изрично съгласие за това. Към тази категория данни не спада снимковият материал.
Обработване на лични данни на деца
На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, заплахи и евентуални неблагоприятни последици от неправомерното обработване на данни, както и своите права. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.
Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е навършило 16 години. Ако то е под 16 години това обработване е законосъобразно само в случай, че родителите или настойникът са дали изрично съгласие за това.
Предстои Комисията за защита на личните данни да внесе по-голяма яснота по отношение на прилагането на новия Регламент.
Автор: Янка Касапска, юрист
9010, Варна, ул. "Добротица" 3
Моб: +359 895 64 59 40
Сайт: advokatvarna.com
Ел.поща: iulia.danova@abv.bg