5
(2)

Автор: адв. Лиляна Попова

От 25 май 2018 г. влиза в сила Общият Регламент за защита на личните данни /General Data Protection Regulation/ на EС. Той заменя Директивата за защита на лични 65/46/ЕС данни на ЕС от 1995 г. Регламентът е разработен с цел да уеднакви правата на физическите лица в областта на защитата на личната информация в ЕС, като въвежда единни регулаторни правила за бизнеса – вместо действащите на национално ниво закони. Към момента всички държави-членки са имплементирали въведените през 1995 г. правила по различен начин – което затруднява международните бизнес корпорации при работата им в рамките на ЕС.

Приложно поле

Новият регламент се прилага по отношение на обработването на лични данни от администратор или обработващ лични данни на територията на ЕС, независимо дали обработването се извършва в Съюза или не. Регламентът се прилага и за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на субекти на данни на територията на Съюза, независимо дали предлаганите стоки или услуги са платени или наблюдението на поведение на такива субекти. Регламентът се прилага и по отношение на администратори на лични данни, които не са установени на територията на ЕС, а на територията, на която по силата на нормите на международното право се прилага законодателството на Съюза.

Задължението за регистрация като администратор на лични данни

С влизане в сила на регламента отпада задължението за регистрация като администратор на лични данни на лицата, обработващи данни. На мястото на това задължение се появява т.нар. принцип за отчетност. Същият се изразява в задължението на администратора да може да докаже във всеки един момент, че спазва изискванията на Регламента. Т.е. във всеки един момент, при евентуална проверка от КЗЛД следва да може да бъде установено какви лични данни се обработват, за какви цели и за какъв период от време, как се съхраняват данните, предоставят ли се данните на трети лица и кои са тези лица, какви мерки са взети, за да се гарантира сигурността на обработваните данни.

Принципи при обработка на личните данни

Принципите, които новият регламент въвежда в областта на обработката и защитата на личните данни са:

  • законосъобразност, добросъвестност и прозрачност на обработката;
  • ограничение на целите – данните се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;
  • свеждане на данните до минимум – обработват се само подходящи данни, свързани със и ограничени до необходимото във връзка с целите, за които се обработват;
  • точност – данните следва да бъдат поддържани в актуален вид, като трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
  • ограничение на съхранението – данните биват съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;
  • цялостност и поверителност – данните биват обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

Длъжностно лице по защита на личните данни

В определени случаи Регламентът въвежда задължение за администратора на лични данни да определи и Длъжностно лице по защита на личните данни, което може да е: служител на самия администратор или физическо или юридическо лице, което действа въз основа на сключен договор за услуги. Посоченото лице има задължението да осъществява надзор за спазването на Регламента и да консултира администратора в областта на защитата на личните данни.

Права на лицата

Новият регламент засилва съществуващите права на гражданите в областта на личните данни, предвижда нови такива и осигурява по-голям контрол на гражданите. Основните права са:

  • улеснен достъп до данните за субекта, които се обработват ;
  • право на преносимост на данните, което е ново;
  • пояснено право на изтриване („право на забравяне“) — когато дадено лице вече не желае данните му да се обработват и не съществува законна причина те да се съхраняват, данните ще бъдат изтрити;
  • правото да се знае кога личните данни са били обект на външно проникване — администраторите на лични данни следва да уведомят субектите на данните своевременно за сериозни нарушения, свързани с техните данни. Те ще трябва също така да уведомят съответния надзорен орган за защита на данните.

Задължения за администраторите на личните данни

Новият регламент с оглед възприетия принцип на отчетност възлага в тежест на администраторите на лични данни редица задължения, сред които:

  • предоставяне на субектите на данните на ясна информация относно събирането на лични данни, целите на обработка на лични данни, правилата за съхранение и изтриване на лични данни;
  • осигуряване на подходяща и адекватна защита на съхраняваните лични данни;
  • възприемане на процедура за действие в случай на нарушение на сигурността на данните, в т.ч. и приемане на ясни правила относно уведомяване на надзорните органи;
  • обработване на данни едва след получаване на съгласие от страна на субекта на данните;
  • провеждане на обучения на служителите, боравещи с лични данни;
  • приемане на нови/ или актуализиране на политиките на дружеството в областта на личните данни;
  • осигуряване на длъжностно лице по защита на данните, когато това е необходимо;

Нарушения

Ако бъде установено нарушение на сигурността на личните данни, следва да бъде уведомена КЗЛД не по-късно от 72 часа от установяване на нарушението, както и лицето, чиито лични данни са обект на нарушението. Нарушението следва да бъде документирано, както и последиците от него, и предприетите действия за справяне с нарушението.

Санкции

Контролът за спазване изискванията на Регламента ще се осъществява от Комисията за защита на личните данни. Санкциите, предвидени в Регламента са значителни и могат да достигнат до 4 % от годишния оборот на дружеството.

Полезна ли Ви беше статията?

Последвайте ни и следете за нови полезни публикации:

Съжаляваме, че не сте харесали статията ни.

Кажете ни как можем да я подобрим?