Какво трябва да знаем за GDPR

Комисията за защита на личните данни публикува дългоочакваното предложение за промени в Закона за защита на личните данни, което отговаря на част от въпросите, свързани с въвеждането на Общия регламент за защита на личните данни, по-известен като GDPR.

Независимо от това дали промените ще бъдат одобрени, регламентът ще започне да действа пряко от 25 май 2018 г. – срокът, който важи за целия ЕС.

Промените разясняват приложението в някои области, за които регламентът е дал право на преценка на националния орган – например, обработване на лични данни от медиите или за научни цели, както и задълженията на работодателите. Той се занимава и с някои специфични въпроси като минималната възраст, след която дете може само да преценява правата си на субект на данни в интернет, както и обработването на лични данни на основание законово задължение и използването на национален идентификатор като ЕГН.

Значителна част от промените се отнася до дейността на самата Комисия за защита на личните данни.
Като обем най-голяма част са поправките, които засягат обработването на лични данни за нуждите на предотвратяване или разкриване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност. Това е така, тъй като тези правила се въвеждат на основание на директива, която няма пряко действие. Тези текстове систематизират познати разпоредби с някои важни отлики – например, срокът за отговор на искания, с които субектът на данни упражнява правата си на достъп, коригиране и изтриване на данни, е 60 дни. Една отлика с регламента и общите правила е в определението за администратор на лични данни. Докато GDPR допуска такова роля да изпълнява и физическо лице (например, самонает), в проектозакона е използвано определението компетентен орган.

По-нататък ще се спрем на новостите, които засягат администраторите и обработващите лични данни в общия случай с акцент върху тези правила, които уточняват, допълват или внасят нов нюанс в текстовете на самия Регламент.

Уточнява се, че администраторите и обработващите лични данни трябва да назначат длъжностно лице по защита на данните и в случай, че се обработват лични данни на над 10 000 физически лица (критерий само по отношение на DPO). Няма изискване това обработване да е редовно, тоест критерият е в сила и по отношение на лица, с които вече нямаме контакти (спящи профили, клиенти или бивши служители, чиито данни се пазят на основание на законово изискване).

За назначаването трябва да бъде уведомена Комисията, която ще води регистър на длъжностните лица.

В допълнителните разпоредби се определя, че „мащабно“ е системното наблюдение и/или обработване на лични данни на неограничен кръг субекти на лични данни. Това може да наложи както назначаване на длъжностно лице, така и извършване на оценка на въздействие (обърнете внимание, че критериите не съвпадат напълно).

С подзаконови актове ще се определят минималните изисквания при систематично мащабно видеонаблюдение на публично достъпни зони, както и по отношение на автоматизираното вземане на индивидуални решения, включително профилиране.
По-конкретно, администраторът или обработващият трябва да приеме специални правила за систематично мащабно, вкл. чрез видеонаблюдение. В правилата се уреждат правните основания и целите за изграждане на система за наблюдение, местоположение, обхват на наблюдение и средства за наблюдение, срок на съхранение на записите с информация и изтриването им, правото на преглед от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица. Минималните изисквания при профилиране се споменават само в мотивите на законопроекта.

Законопроектът предлага по-детайлна регламентация по отношение упражняването на правото на свобода на изразяване и информация и за целите на академичното, художественото или литературното изразяване.

По-конкретно, когато при упражняването на правото на свобода на изразяване и информация, включително за журналистически цели и за целите на академичното, художественото или литературното изразяване, се обработват лични данни на физически лица, администраторът на лични данни прави преценка за законосъобразността на обработването във всеки конкретен случай.
При преценката се вземат предвид естеството на данните, обществения интерес, дали лицето заема висши държавни и други длъжности, както и дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот. Последното се отнася до случаите, когато лицата сами разкриват лична информация във форуми и социални мрежи.

Регламентира се обработване на лични данни в контекста на трудови/служебни правоотношения.
За съжаление, една от най-важните разпоредби е неясна. Тя гласи: „Работодател/орган по назначаване може да обработва лични данни на работник/служител, които не е поискал или които не се изискват от нормативен акт, ако субектът на данни е дал своето изрично съгласие и няма забрана за това в нормативен акт.” Не е ясно дали се изключва договорното основание или то се крие зад думите „не е поискал”. Освен това някои случаи работодател може да се наложи да обработва лични данни и на друго основание – например, за защита на жизнен интерес.
Изрично се казва, че работодателят, респективно органът по назначаването по смисъла на Закона за държавния служител може да копира документ за самоличност, свидетелство за управление на МПС, документ за пребиваване на работник/държавен служител, само ако закон предвижда това.
Работодателят приема правила и процедури за:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.
От законопроекта не става ясно, но се предполага, че това са процедури в контекста на защитата на лични данни, например, достъп до сървърни помещения или до трудовите досиета.

Определя се, че срокът за съхранение на лични данни на участници в процедури по подбор на персонала не може да бъде по-дълъг от три години. Копия от дипломи или документи, доказващи стаж, физическа и психическа годност се връщат в срок от 30 дни след приключване на процедурата за подбор, ако кандидатът не е одобрен.

Въведено е изискване за законово основание за публичен достъп до ЕГН/ЛНЧ, като специалният закон следва да ограничи общодостъпността му. Общодостъпност означава разкриване на лични данни на неограничен брой лица без мерки за осигуряване на отчетност, което може да е равнозначно на публичност и се нуждае от тълкуване.

Много важна добавка е налице по отношение на упражняване на правата по чл. 15-22 от Регламента (правото на достъп, коригиране, изтриване и пр.). Според проекта това става само с писмено заявление на лицето или в електронна форма, ако искането е подписано с електронен подпис. По този начин се улеснява документирането на исканията, но се затрудняват субектите на данни, които според регламента могат да подават и устни искания или чрез автоматизирани средства (аргумент от чл. 12 и чл. 21). Текстът вероятно се нуждае от прецизиране, тъй като засяга и оттеглянето на съгласие (чл. 17 във вр. с чл. 8), което според Регламента не може да е по-трудно от даването му. Освен това са изключени услугите с персонален код, които се предлагат от НАП и НОИ.

Предвижда се когато личните данни са предоставени без правно основание (например, без валидно съгласие) администраторът/обработващият да ги връща незабавно или да ги изтрива, или унищожава в срок от един месец от узнаването. Този свеобразен гратисен период се отнася само за случаите, когато данните са предоставени от самото лице, но не и за случаите, когато например, те са резултат от обработване, например, установяване на предпочитанията на лицето въз основа на онлайн проследяване. Не е ясно как ще се доказва узнаването на липсата на правно основание.

Данните на починали лица се изключват от кръга на личните данни, но се позволява разкриване на наследниците им.

В случаите на пряко предлагане на услуги на информационното общество, ако субектът на данните е лице под 14 години, обработването изисква изрично съгласие от родител или от настойник на детето. В регламента тази граница е 16 години, но е дадено право националните органи да предвидят по-ниска възраст.

От гледна точка на функциите на комисията като орган по защита на данните, важно е уточнението, че тя извършва не само проверки, а и предварителни консултации и съвместни операции за спазване на Регламента и на закона. Предварителни консултации се налагат не само когато оценката за въздействие покаже висок риск или когато се застрашават правата и законните интереси на физическите лица (при решение на КЗЛД), така и ако се обработват данни в изпълнение на задача в обществен интерес, включително обработване във връзка със социалната закрила и общественото здраве. В този случай комисията може да разреши обработването, като даде предавателно разрешение за това. Срокът за произнасяне в рамките на предварителна консултация е 8 седмици.

Проверки (одити) се извършват по инициатива на комисията, по молба на заинтересовани лица и след подаден сигнал. Наличието на търговска или друга тайна не е основание да се откаже съдействие на комисията.

Комисията освен това ще извършва акредитацията на сертифициращи органи и одобрява кодексите за поведение.

За компаниите, които бяха стресирани от големите глоби, предвидени от регламента, ще е важно да научат, че има срок за подаване на сигнали до комисията, както и че са предвидени по-малки глоби за маловажни нарушения. Предвидено е, че субектът на данни има право да сезира комисията в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му. Минималната глоба за нарушение на чл. 83 от регламента е 5000 лева (или евро?), а когато се засегнати правата на субекта на данни или основните принципи (например, при обработване на данни без съгласие) минималната глоба е “от 10 000 до левовата равностойност на 20 000 000 евро”. По-нататък се казва, че за други нарушения на закона се налага глоба от 1000 до 5000 лева, а за неизпълнение на предписания – от от 2 000 лв. до 200 000 лв. Въпреки това тези размери са достатъчно плашещи за най-дребния бизнес.

Компаниите трябва да имат предвид, че регламентът позволява подаване на граждански искове от лицата, които смятат, че правата им са нарушени.

Предвижда се Законът за защита на личните данни да не се прилага за обработването на лични данни за целите на отбраната на страната и националната сигурност.

В проекта изрично се казва, че не се третират като трети страни държавите от Европейско икономическо пространство и Швейцария, които са равнопоставени на държавите членки на Европейския съюз. Това значение по отношение на трансфера на лични данни извън ЕС и означава, че например съхранение на данни на сървър в Норвегия не изисква допълнителни гаранции.

Изрично се казва, че регистрацията на администратор в комисията отпада, което вече е добре известно.

Проектът оставя редица открити въпроси, например, по отношение на директния маркетинг, критерия за разумни мерки или сроковете на обработване, особено в случаите, когато данните се предават на обработващ лични данни.

Важно: Всички лица, които са закупили доклада Готови за GDPR + Набор документи ще получат безплатна актуализация, съобразена с проекта, на 8 май 2017