GDPR- Практически въпроси относно защитата на личните данни

От 25.05.2018г. във всички държави – членки на Европейския съюз (ЕС) се прилагат новите правила за защита на личните данни, които са уредени в т.нар. Общ регламент за защита на личните данни (GDPR). Същият има пряко и непосредствено приложение в сферата на събирането и обработването на лични данни, независимо от това дали съответната държава – членка на ЕС е привела законодателството сив съответствие с новия Регламент.

GDPR се прилага по отношение на всички дружества/организации, които обработват лични данни, независимо от това къде се обработват те, стига съответното дружество/организация да има седалище в Държава-членка на ЕС. Той е приложим и по отношение на дружества/организации, които нямат седалище в Държава-членка на ЕС, но които предлагат стоки и услуги, ползвани от граждани на Държави-членки на ЕС. Регламентът фиксира рамката към която всички администратори на лични данни следва да се придържат, като от своя страна те самите преценяват какви действия да предприемат във връзка с осигуряване правомерното обработване на личните данни, които използват. Основните правила, които следва да спазват е поддържането на прозрачност и предприемането на достатъчно мерки за защита и контрола в процеса на събиране и обработване на лични данни.

Промените.

Общият регламент запазва голяма част от основополагащите принципи и понятия в областта на защитата на лични данни, но въвежда редица промени по отношение на действащите правила, като разширява техния обхват, поставяйки по-високи стандарти за защита на личните данни и завишени изисквания към администраторите и лицата, обработващи лични данни. Същевременно се увеличават правата на физическите лица, като се осигурява по-голяма възможност за контрол относно обработването на личните им данни.

Основните промени въведени с GDPR са в следните насоки:

  • Поверителност на личните данни.

С оглед поверителността на личните данни, на лицата се предоставя правото да осъществяват достъп и да искат експортиране на личните си данни,  да искат изтриване им (правото „да бъдеш забравен”), да искат коригиране на грешки в личните си данни, да възразяват срещу обработването им.

  • Мерки за контрол.

С GDPR се въвеждат изисквания за прилагането на подходящи технически и организационни мерки за осигуряване на сигурността на личните данните, съобразени със степента на съществуващия риск.

  • Прозрачност.

Едно от основните неща, на които набляга новият Регламент, е прозрачността по отношение на събирането и обработването на лични данни. В изпълнение на това свое задължение администраторите на лични данни следва да предоставят ясно известие за събирането на личните данни, описание защо и кога се обработват те и точно и ясно определяне на правилата за съхранение и изтриване на данни.

  • Квалифицирани кадри.

С оглед постигане на най-висока степен на защита на личните данни, администраторите на лични данни следва да осигурят обучение на служителите си за най-добрите практики за поверителност и сигурност, да проверяват и актуализират политиките относно личните данни, когато е необходимо да назначават длъжностни лице по защита на личните данни (когато това е необходимо или задължително), да създават и управляват договори за съответствие на доставчиците.

Осигуряване на прозрачност.

За постигане целите на GDPR администраторът на лични данни следва да обясни ясно и недвусмислено каква е причината, поради която се нуждае от данните на субекта на лични данни, като за всяка нововъзникнала цел е необходимо ново уведомление до субекта на лични данни. Следва да се посочи и вида на личните данни, които ще се съберат и обработват, с оглед на посочените цели, като Регламентът предвижда специални правила за т.нар. чувствителни данни, които са особена категория лични данни.

Освен посочване на причината/целта за събиране и обработване на лични данни, администраторът следва да укаже как ще бъдат използвани те и за какъв период от време, като принципът е данните да се съхраняват за възможно най-кратък срок, продължителността на който да бъде съобразена с причините за обработването на лични данни, но същото така и с всички изисквания, установени от националното законодателство относно срока за съхранение на личните данни в определена област.

Освен продължителността на срока за съхранение на данни, е необходимо да бъде определен и срок, в който лицата, чиито данни се обработват, ще имат възможност да ги прегледат.

Администраторът на лични данни следва да уведоми и да държи в течение субекта на лични данни относно движението на данните от един администратор до друг.

Основно правило, което въвежда Регламентът, е съхраняваните данни да бъдат точни и актуални. Това е особено важно по отношение на данните, които се съхраняват за по-дълъг период. В тези случаи е необходимо администраторът на лични данни да предприеме мерки относно актуализирането им на определен интервал от време.

При събирането на лични данни е необходимо субектите на лични данни да бъдат ясно информирани относно това кой е администраторът на лични данни, като се посочи информация за контакт

III. Основания за законосъобразно обработване на лични данни.

Основанията за обработването на лични данни могат да бъдат най-различни, като например наличието на съгласие, на договорно задължение, на правно задължение, обществен или жизненоважен интерес и др.

От изброените алтернативи за законосъобразно обработване на лични данни, съгласието поражда множество изисквания за администратора на лични данни, които той трябва да покрие, за да бъде в състояние да докаже, че даденото съгласие представлява законосъобразно основание за обработване на лични данни.

За да бъде валидно основание за обработване на лични данни, е необходимо то да е:

  • дадено свободно. За да бъде съгласието дадено свободно, физическото лице трябва да има свободен избор и трябва да може да откаже или да оттегли съгласието си, без да е в неравностойно положение.
  • дадено информирано. А то ще е дадено информирано, когато е получено въз основа на пълна, точна и лесно разбираема информация;
  • дадено за конкретна цел – отделно съгласие за всяка конкретно определена цел, а когато е относимо – и за конкретна категория лични данни;
  • изрично и се дава чрез положителен акт;
  • недвусмислено формулирано – не се извлича или предполага въз основа на други изявления или действия на лицето;
  • възможно да бъде оттеглено и този факт следва да е обяснен. В случай че съгласието бъде оттеглено, е необходимо данните да бъдат изтрити, освен ако няма друго правно основание за обработването им (например изисквания за съхранение или доколкото е необходимо, за да се изпълни договорът, или ако законът го изисква). Ако данните са били обработвани за няколко цели, личните данни не могат да се използват за частта от отработването, за която съгласието е оттеглено, или за някоя от целите, в зависимост от естеството на оттеглянето на съгласието.

Недопустимо е съгласието да бъде обвързано с предварителни условия от страна на администратора на лични данни или да води до неблагоприятни последици за лицето при отказ да го предостави или ако впоследствие го оттегли.

Съгласието може да бъде счетено за невалидно, ако съществува зависимост от неравноправност между субекта на лични данни и администратора. Това означава, че последният не следва да използва преимуществото си на по-силната страна.

С оглед въведения принцип на отчетност, администраторът на лични данни следва да докаже наличието на дадено съгласие. Това означава, че същото следва да бъде документирано по подходящ начин.

Относно възможността за оттеглянето на съгласието от страна на субекта на лични данни относно обработването им, е необходимо процедурата да бъде толкова лесна и достъпна, колкото е бил начинът, по който съгласието е дадено.

В Общия регламент са предвидени специални изисквания за даване на съгласие от непълнолетно лице, когато това е необходимо, като най-общо за целта се предвижда лицето, носещо родителска отговорност, да даде съгласие, респ. потвърждение по повод обработването на личните данни на детето.

Важно е да се отбележи, че съгласие, дадено преди 25.05.2018 може да се използва, ако отговаря на условията на GDPR. За целта е необходимо Дружеството/организацията да се увери, че съгласието, дадено преди влизането в сила на Регламента, отговаря на условията, определени в него. Това може да бъде постигнато успешно чрез извършването на т.нар. GAP – анализ (или официално проучване) от лица, компетентни в областта на GDPR. GAP – анализът се състои в определяне на настоящото състояние на документацията и договорите на съответното дружество/организация, желаното и целевото им състояние, като съпоставяйки ги се определя несъответствието между тях, на базата на което, се предприемат мерки за премахването на това несъответствие.

Задължения за администратора и обработващия лични данни.

Както стана ясно, администраторът на лични данни е този, който определя целите, за които ще се обработват данните, както и средствата, с които ще се извършва това, като Общият регламент въвежда редица задължения във връзка с този ангажимент на администратора. Някои от изискванията са напълно нови и непознати в досега действащата уредба, като например:

  • Обработване на данните в съответствие с принципите за защита на личните данни, заложени в Регламента, като е в състояние да докаже това (отчетност);
  • Осигуряване на защита на данните на етапа на проектирането и по подразбиране;
  • Определяне на длъжностно лице по защита на личните данни в изрично посочените от Регламента случаи, и поддържане на регистър на дейностите по обработване, за които отговаря;
  • Уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, както и документиране на всяко нарушение на сигурността, в т.ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;
  • Извършване на оценка на въздействието върху защитата на данните;
  • Провеждане на предварителна консултация с надзорния орган преди обработването, когато оценката на въздействието покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска;
  • Прилагане на подходящи технически и организационни мерки за осигуряване на сигурност на данните. В Регламента са посочени и конкретни технически и организационни мерки за сигурност, осигуряващи защитата на данните на етапа на проектиране (като псевдонимизация, криптиране), защитата на данни по подразбиране и др.

Задълженията на администратора могат да бъдат изпълнявани и от т.нар. обработващ лични данни. Това е лице, което обработва данни от името на администратора. Тази функция се изпълнява от трета външна страна на съответното дружество/организация. Задълженията на обработващия данни към администратора трябва да бъдат определени в договор или друг правен акт. Обработващият е задължен да спазва всички установени правила и норми за защита на личните данни и носи солидарна отговорност за причинени вреди, заедно с администратора. Регламентът въвежда възможността обработващият лични данни да възлага обработването на подизпълнител при определени условия и спазването на определени изисквания.

Регламентът поставя акцент върху задължението на администратора и обработващия лични данни за уведомяване надзорния орган при нарушение, застрашаващо сигурността на личните данни. Ако това се случи и има вероятност нарушението да представлява риск за правата и свободите на дадено лице, дружество/организация трябва да уведоми надзорния орган без ненужно забавяне и най-късно до 72 часа, след узнаване на нарушението. Ако дружество/организация е обработващ данни, то трябва да уведоми администратора на данни за всяко нарушение на сигурността на данните.

Ако нарушението на сигурността на данните представлява висок риск за засегнатите лица, всички те също трябва да бъдат информирани, освен ако не са въведени ефективни технически и организационни мерки за защита или други мерки, които гарантират, че вече няма вероятност рискът да се случи на практика.

Административно-наказателна отговорност по Общия регламент за защита на личните данни.

Един от основните механизми за гарантиране спазването на високите стандарти на Регламента от всички администратори, които са задължени да прилагат Регламент 2016/679, е възможността надзорните органи по защита на личните данни да налагат значителни по размер административни наказания – до 20 млн. евро или до 4% от общия годишен световен оборот, която от двете суми е по-висока.

За осигуряване на ефективност, пропорционалност и възпиращ ефект Регламентът въвежда различни критерии при определяне на вида административно наказание (парична санкция или друга корективна мярка) и неговия размер.

 


Целта на настоящото изложение е да даде разяснения на някои основни въпроси с оглед подпомагане практическото прилагане на Общия регламент, като същото не претендира за изчерпателност предвид обстоятелството, че преценката за необходимите и достатъчни действия по повод прилагането на GDPR се взема с оглед конкретните нужди на администратора на лични данни.

You may also like