Защита на личните данни - GDPR

I.Принципни положения на правната уредба:

1.Законът за защита на личните данни (ЗЗЛД) урежда защитата на правата на физическите лица при обработването на личните им данни. Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

2.Системата за защита на личните данни, както на европейско, така и на национално ниво, въвежда принципното положение, че по отношение на физическите лица – субекти на данните, съществуват само права, а за администраторите на лични данни се разписват само задължения.

II. Регламент 2016/679 на ЕП и Съвета, означаван още и като GDPR (general data protection regulation). Регламентът (GDРR) ще се прилага след 25 май 2018 г. и има за цел да улесни свободното движение на потоци от лични данни в ЕС и извън него, свързано с международна търговия и международното сътрудничество, като осигурява механизми за защита от нарушаване на неприкосновеността на личните данни при използване на автоматизирани и други средства за обработката им.

1.Обхватът на Регламента  е разширен (в сравнение с действащата досега Директива 95/46 ЕО, на чието място идва Регламентът) -  ще се прилага и по отношение на дружества и лица, които не са позиционирани на територията на ЕС и Европейското икономическо пространство, но в търговската си дейност обработват лични данни на европейски граждани, тоест става дума за адресиране до всяко  предприятие (всяка организационна форма, развиваща стопанска дейност), независимо от неговото местоположение.Това означава, че обхватът на нормативната регулация е разширен както териториално, така и по отношение на  адресатите. Регламентът има директен ефект, което означава, че физическите лица  могат да се позовават директно на него при нарушаване на правата им от страна на администратори на ЛД или от  обработващите от името на администратора ЛД лица. Извод – налице е единна правна рамка, която уеднаквява законодателството, защитаващо личните данни на европейските граждани.

1.1  Изхождайки от прекия ефект на Регламента, както и от настоящата липса на адекватна законодателна имплементация, е необходимо да се въведат изискуемите методи за защита на личните данни, както и да се осигурят правата на техните носители, чрез директното тълкуване и анализ на нормите му.

2.Разширяване правата на потребителите: това са каталог от права, които се прибавят към фигуриращите в глава пета "Права на физическите лица" от ЗЗЛД.

2.1 Даване на съгласие: когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни. Оттеглянето на съгласие следва да бъде също толкова лесно, колкото и даването му и може да се прави по всяко време.

Важно е да се отбележи, че разпоредбата на чл.9 от Регламента предоставя възможност на субекта на лични данни да изрази съгласие за  (и в този смисъл да разреши) обработването на т.нар. „чувствителни данни“, изброени в същия, а също дефинирани и в  § 1, т.16 от ЗЗЛД, като по този начин се преодолява общата забрана за обработването на  специфични по своя характер лични данни. Регламентът предоставя възможност на държавите-членки да въведат забрана за такъв вид обработване, но видимо от  чл.5,ал.2  ЗЗЛД, българският законодател е предвидил даването на съгласие за обработване на специфични данни. Единствено със специален закон може да бъде дерогирано правото на такова съгласие. Това навежда на мисълта, че субектът на лични данни следва не само да изрази становище по въпроса дали да бъдат обработвани негови лични данни, но и да повиши вниманието си относно характера лични данни, чието обработване се иска.

2.2 Всеки доставчик на услуги е задължен да предоставя на клиентите си достъп до предоставените от тях лични данни, както и право на промяната им или пълното им заличаване - познато като "Правото да бъдеш забравен".  Правото на бъдеш забравен се изразява в това субектът на данните да получава право, което му позволява да поиска от администратора на лични данни изтриване на личните данни и прекратяване по-нататъшното им разпространение и обработка.

• Настоящата правна уредба у нас разбира правото на заличаване по следния начин: правата на заличаване, коригиране и блокиране по чл. 28а от ЗЗЛД се отнасят за данни, чието обработване не отговаря на изискванията на ЗЗЛД. Причините могат да бъдат с различен характер - непълнота или неточност на самите данни, липсата на правно основание за обработването на конкретните данни, произтичащо от хипотезите на чл. 4, ал. 1 от ЗЗЛД, или неспазването на основните принципи по смисъла на чл. 2, ал. 2 от ЗЗЛД. Администраторът на лични данни е длъжен да разгледа постъпилите искания и да се съобрази с тях.
• Регламентът разширява обхвата на обстоятелствата, чието наличие обуславя правото на субекта на личните данни да поиска тяхното заличаване, като по този начин се надскача идеята за незаконосъобразно обработване. Освен когато е  незаконосъобразно (т.е. противоречи на ЗЗЛД), обработването следва да бъде прекратено и когато:
  • личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин – администраторът не само трябва да следи за законовите изисквания, но и да бъде готов да обоснове и докаже целесъобразността на обработването, тоест неговата връзка с извършваната от лицето дейност
  • субектът на данните оттегля своето съгласие, върху което се основава обработването на данните (включително и съгласие, дадено за обработване на специфични данни) и няма друго правно основание за обработването
  • субектът на данните възразява срещу обработването и няма законни основания за обработването или легитимни интереси на обработващия и/или трети лица, които да имат преимущество
  • личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора

2.3 Право на допълнителна информация: в момента на получаване на личните данни администраторът предоставя на субекта на данните допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване, включваща – посочване на правното основание за  предоставянето на ЛД  (дали то е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави ЛД и евентуалните последствия, ако тези данни не бъдат предоставени); срока или критериите за определянето на срока, за който ще се обработват личните данни; право на жалба до надзорен орган.

2.4 Право на възражение: субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, когато смята, че неговите права имат преимущество пред общетвения интерес или легитимния интерес на администратора, обуславящ обработването. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. Компаниите трябва да въведат достъпен процес по получаване на жалби от физическите лица и адресиране на техните искания за поправка или изтриване на данни.

2.5 Право на жалба до надзорния орган – КЗЛД

2.6 Право на съдебна защита срещу КЗЛД  - пред националните съдилища

2.7 Право на съдебна защита срещу адмнистратора или обработващия ЛД– пред съдилищата по местоустановяването на администратора

 

3.Изменя се процедурата, по която една компания може да стане администратор на лични данни: отпада задължението на компаниите-работодатели или обработващи ЛД на свои клиенти да се регистрират в КЗЛД като администратори на ЛД.  Рисковете пред администратора се увеличават: при проверка той ще е длъжен да представи доказателства относно това какви дейности по обработване на данните извършва, какви регистри поддържа, на какво основание извършва обработката и изобщо как е осигурил спазването правилата на Регламента по своя собствена инициатива.

3.1 Работодателите поддържат регистри за обработка на ЛД. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип. Регистърът  може да е писмен или в електронна форма. В него се записват: типът лични данни, които се обработват; какви са целите на обработката; има ли трети лица, които получават достъп до тези данни; какви са организационните и техническите мерки за защита, които съответният администратор е взел, за да не се случи нарушаване на сигурността, както и какво би направил, ако се случи нарушаване на сигурността.

3.2 Въвежда се задължение за отчетност: задължение за всички работодатели и компании, които обработват лични данни, за документално обосноваване на обработката на лични данни, т.е. трябва да има документално разписване на процесите и процедурите за обработка на лични данни в компаниите - какви лични данни се обработват, какво е основанието за обработката, как те се съхраняват, предоставят ли се на трети лица и кои са тези трети лица, какви са рисковете за физическите лица от обработката на тези данни и какви са мерките за защита, които съответният администратор мисли да предприеме, за да може да предотврати нарушение на сигурността на данните.

• Принцип на „свеждане на данните до минимум“ – обработваните личните данни следва да са подходящи, свързани с ограничени до необходимото във връзка с целите, за които се обработват
• Принцип на „ограничение на съхранението“ – ЛД се съхраняват за срок не по-дълъг от целите на тяхната обработка. ЛД могат да се съхраняват и за по-дълги срокове доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели

 

4.Задължение за администраторите на ЛД да правят оценка на риска от обработката и да въвеждат механизми за предотвратяването му чрез въвеждане на съответно ниво на сигурност. Когато администраторът анализира какви типове данни получава, от кого, за какви цели, на кого ги предоставя, когато прецени, че рискът от обработката на тези данни е висок, трябва да документира и да направи така наречената оценка на риска.

4.1 Тепърва предстои в новия закон да се разпишат конкретни дейности, за които оценката на риска ще бъде задължителна. Когато компаниите извършват тези дейности, те ще трябва да документират това, че са направили анализ на риска от обработка и са предвидили подходящи мерки за адресиране на този риск.

4.2 Когато установят че рискът от обработката е висок, предприятията следва да уведомят КЗЛД, която на свой ред ще трябва да оцени дали предприетите мерки за защита съответстват на изискванията на Регламента или да препоръча алтернативни мерки.

4.3 Спрямо чувствителните данни трябва да се приложат по-високи мерки на защита. Регламентът препоръчва прилагането на криптирането и псевдонимизацията като едни подходящи технически мерки за защита на личните данни.

• Псевдонимизацията е способ, който разделя различни категории лични данни за съхранение на различни места с различни ключове за достъп, така че в случай на пробив, ако едно лице достигне до едната база данни, а няма ключ за другата база данни, не може да направи връзката между информацията в двете бази данни. Това означава,че ЛД не могат да бъдат свързани с конкретен субект без да се използва допълнителната информация, налична в самостоятелно обособените места за съхранение

4.4 При пробив в сигурността отново се уведомява КЗЛД. Ако сигурността е застрашена в такава степен, че се поставят във висок риск основни права и свободи на субекта на лични данни, то администраторът уведомява и него.

 

5. Налице са и конкретни изисквания за това как в един договор следва да бъдат позиционирани клаузите за личните данни. Ако се искат данни, които не са изискуеми по закон, следва да се получи изричното съгласие на лицето за предоставянето им и то по такъв начин, че то да може да направи избор да ги предостави или не и този избор да няма негативни последици за него. Клаузите за личните данни да бъдат разбираеми, разграничими от останалото съдържание, като могат да се опишат в отделен анекс или декларация към договора.

6. При някои компании ще бъде задължително и назначаването на нова фигура в корпоративната им структура – "длъжностно лице по защита на данните":

• публичните органи и техните структури с изключение на съдилищата
• компаниите, които систематично и редовно обработват лични данни на големи групи от лица
• компаниите, които систематично и редовно обработват така наречените специални категории лични данни (това са данни, свързани със здравословното състояние на лицата, сексуална ориентация, принадлежност към политически партии и др.)

6.1 Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните. Длъжностното лице може да бъде "външно" за компанията, като в западните страни от ЕС вече се налага тази практика. Услугата "длъжностно лице по защита на данните" вече се предлага от адвокатски кантори (включително и в България), одиторски фирми, както и от дружества, занимаващи се основно с услуги по защита на информацията.

От чл.25 на Инструкцията за мерките и средствата за защита на личните данни събирани, обработвани, съхранявани и предоставяни от Националния Статистически Институт, където е регламентирано „лице по защита на личните данни“ може да  направим извод за функциите, които едно такова длъжностно лице следва да извършва: осигуряване организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита; контрол по спазването на конкретните мерки за защита и на достъпа съобразно спецификата на водените регистри; поддържане на  връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни; контрол по спазването правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка; специфициране на техническите ресурси, прилагани за обработка на личните данни; контрол по спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда; определяне на ред за съхраняване и унищожаване на информационни носители; определяне на ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ; определяне на правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.; провеждане на периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

 6.2 Наличието на такова длъжностно лице спомага за развитието на персоналната защита, уредено в Наредбата за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни от 2013г. Персоналната защита представлява система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на администратора. Основните мерки на персоналната защита са: познаване на нормативната уредба в областта на защитата на личните данни; познаване на политиката и ръководствата за защита на личните данни; знания за опасностите за личните данни, обработвани от администратора; тренировка на персонала за реакция при събития, застрашаващи сигурността на данните.

7.Трябва да се определи кога компанията действа като администратор и кога като обработващ и да се подпишат нови договори, които отговарят на изискванията на регламента.

7.1 Администратор (controller): фл/юл, публичен орган, агенция или структура, която сама или съвместно с други определя целите и средствата за обработка на ЛД.

7.2 Обработващ (processor): фл/юл, публичен орган, агенция или структура, която обработва ЛД от името на администратора. Много важна новост в Регламента е отговорността на обработващите лични данни. Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. Ако обработващ лични данни наруши Регламента, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване. Задължително съдържание на договора:

• документирано нареждане на администратора за обработване на ЛД, освен когато обработващият е  длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес
• задължение за  незабавно уведомяване на  администратора, ако според обработващия лични данни дадено нареждане нарушава Регламента или други разпоредби на Съюза или на държавите членки относно защитата на данни
• гаранции, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност
• задължение за взимане на предварителното конкретно или общо писмено разрешение на администратора за включване на друг обработващ данни;
• права на администратора да нареди заличаване или връщане на всички лични данни след приключване на услугите по обработване и заличаване  съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение

8.Сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на Регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.Сертифицирането се извършва от нарочен за целта орган, акредитиран от КЗЛД.

9.Административни наказания - "Глоба" или "Имуществена санкция". Санкциите се определят за всеки конкретен случай, като максималният размер е до 20 000 000 EUR или до 4 % от общия годишен световен оборот на организацията за предходната финансова година, като се използва по-голямата сума.

Определения по Регламента:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.