gdpr, data

През седмицата парламентът прие на трето четене измененията в Закона за защита на личните данни, чрез които вътрешната нормативна уредба се съобразяват с Общия регламент за защита на личните данни (Регламент (ЕС) 2016/679 ), по-известен като GDPR.

Публиката научи за новите текстове само във връзка с оспорваната разпоредба, свързана с критериите за медийното отразяване на информация, съдържаща лични данни. Тази част от закона вероятно ще бъде отнесена за решение от Конституционния съд, но междувременно законът ще влезе в действие.

Въпреки че регламентът има пряко действие, текстовете на ЗЗЛД съдържат множество нови разпоредби, особено в частта за информация, свързана с присъди и нарушения, където нещата бяха оставени на преценката на националния законодател.

Кои са най-важните нови моменти обобщаваме на база на стенограмата от заседанието на парламента.

Особени случаи

Данни на персонала. Работодателите трябва да приемат правила и процедури, които отчитат спецификата на работата, за:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси (от типа на забрана за изтегляне на лична поща на служебен компютър);
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.

Данни на участници в процедури по подбор на персонал се съхраняват в срок, който не е може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. Оригинали на документи на неуспешни кандидати се връщат в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго.

Непоискани лични данни. Съгласно новия чл. 25а, когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание по чл. 6, параграф 1 от Регламента или в противоречие с принципите в чл. 5 от него (законосъобразност, добросъвестност, минимизация, отчетност и пр.), в срок един месец от узнаването администраторът или обработващият лични данни ги връща. Ако връщането е невъзможно той трябва да ги изтрие или унищожи. Текстът е неясен, особено в съпоставка с чл. 9, буква д от регламента, отнасящ се до  чувствителни лични данни, направени обществено достояние. Ще са необходими допълнителни тълкувания от КЗЛД, за да се уточни дали предоставяне на администратора означава единствено и само случаите, когато данните са разкрити на конкретен администратор/обработващ, но не и случаите, когато личните данни са публикувани, например, в интернет форума на администратора или страницата му в социална мрежа. Доколкото може да се съди по предварителните обсъждания, този текст е свързан с изпращането на непоискани лични данни в рамките на процедура за подбор на персонал.

Малки предприятия. Текстът на закона е бланкетен: “ комисията взема предвид техните специални потребности и налични ресурси.“

Деца. Обработването на лични данни на лице, ненавършило 14 години въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламента, включително в случаите на пряко предлагане на услуги на информационното общество по смисъла на чл. 1, ал. 3 от Закона за електронната търговия, е законосъобразно, само ако съгласието е дадено от  родител или от настойник. Регламентът допуска дискреция в този случай.

ЕГН и лични карти. Документ за самоличност и шофьорска книжка може да се копират, само ако е предвидено със закон. Свободен публичен достъп до информация, съдържаща ЕГН или ЛНЧ, се допуска, само ако е предвидено със закон.  Администраторите, предоставящи услуги по електронен път, предприемат мерки, които не позволяват ЕГН или ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга.

Видеонаблюдение. Администраторът или обработващият лични данни приема и прилага правила при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които въвежда подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни. Тези правила съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица. КЗЛД трябва да даде насоки.

Заявления и жалби

Заявленията до АЛД, с които лицата упражняват правата си по регламента (право на достъп, изтриване, ограничаване и т.н.) може да се подават и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните средства за идентификация.

Срокът за подаване на жалба до комисията при нарушения е 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му. Комисията информира жалбоподателя за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането й. Жалбите могат да се подадат и по електронен път, но не може да са анонимни. Субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или ако решението й е обжалвано и няма влязло в сила решение на съда. Жалбите за нарушения, извършени от орган на съдебната власт и от прокуратурата и следствените органи, се подават пред Инспектората.

Правомощия на комисията

Законът урежда правомощията на Комисията за защита на личните данни, която ще участва и в съвместни проверки с други надзорни органи, да сезира съда за нарушаване на Регламент (ЕС) 2016/679, да дава насоки и препоръки.

Редът за производствата пред комисията, вкл. по разглеждане на жалби, ще се уреди в правилника й, чието приемане предстои.

Важен е текстът на чл. 12а, ал. 2, който допуска администраторът или обработващият да откаже на КЗЛД достъп до определена информация, ако има риск да се наруши задължението му за опазване на професионална тайна или друго задължение за опазване на тайна, произтичащо от закон.

Комисията ще извършва акредитация на сертифициращи органи в съответствие с Регламент (ЕС) 2016/679 въз основа на изисквания, определени от нея в специална наредба или от Европейския комитет по защита на данните.

Комисията също така ще одобрява проекти на кодекси за поведение по сектори и области на дейност съгласно чл. 40 от Регламента, като условията за това ще се определят с правилника.

Тя ще води и регистър на длъжностните лица за защита на личните данни – решение, което не следва пряко от регламента.

Комисията ще има правото да извършва обучения срещу заплащане (освен когато обучението е инициирано от комисията, което не е ясно какво означава). На успешно завършилите ще се издават сертификати, които ще важат три години. Тези сертификати не са задължителни за заемане на длъжността DPO. Намерението на КЗЛД да създаде център за обучения бе заявено още през септември 2017 г. от председателя на КЗЛД Венцислав Караджов на форум, организиран от Economix.bg. Очаква се през настоящата година в програмата за обучения да се обхване  държавната администрация.

Със закона се уреждат още: правилата за обработване на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания; правомощията на Инспектората към Висшия съдебен съвет при осъществяването на надзор при обработването на лични данни в случаите, средствата за правна защита и др.

Запишете се за Бизнес тема: Промени в защитата на лични данни с д-р Невин Фети, за да научите повече