Нови регулации за защита на личните данни

26/05/2017

Димитър Николов и Ивелина Терзийска

През 2016 г. е приет Общ регламент относно защитата на личните данни – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 (GDPR). Той въвежда нови задължения за администраторите и обработващите лични данни. До 25 май 2018 г. всички администратори на лични данни следва да са привели в съответствие с него процедурите си по обработване на лични данни. Регламентът увеличава значително максималния размер на налаганите глоби и имуществени санкции за нарушения на законодателството относно защита на личните данни – до 20.000.000 евро или до 4% от общия годишен световен оборот за предходната финансова година.

 

Администраторите се освобождават от задължението си да се регистрират в  Комисията за защита на личните данни (КЗЛД) – надзорен орган по Регламента за България. Вместо това едно от новите задължения на администраторите е те да поддържат регистри на дейностите по обработване на данни. Това задължение се отнася и до обработващите лични данни – физически или юридически лица, които действат от името на администратора. При проверка администраторът/ обработващият трябва да докаже, че обработва данните в съответствие с установените норми и принципи. В противен случай той подлежи на санкция.

Друго основно задължение е определянето на длъжностно лице по защита на личните данни. Изискването е приложимо за предприятия, ако те извършват операции по обработване на данни, които изискват редовно и систематично мащабно наблюдение на субектите (физическите лица, за които данните се отнасят). Длъжностното лице може да бъде служител на администратора или юридическо лице, развиващо професионално тази дейност. Неговите задължения са да следи за спазването на правилата и прилагането на политиките на администратора относно защитата на личните данни. То също така отговаря за комуникацията с надзорния орган – КЗЛД.

В определени случаи администраторът е задължен да извърши оценка на въздействието на планираните от него операции върху защитата на лични данни. При извършване й администраторът изисква становище на длъжностното лице по защита на данните. Задължително е провеждането на предварителна консултация с надзорния орган преди обработването, когато оценката на въздействието покаже, че обработването ще породи висок риск.

Друго важно задължение, чието изпълнение се изисква от администраторите, е прилагането на подходящи технически и организационни мерки за осигуряване на сигурност на данните. Такива технически мерки са: криптиране, псевдонимизация и др. Сред организационните мерки е редовната оценка на ефективността на предвидената защита и сътрудничеството с надзорния орган при изпълнение на задълженията.

Обработването на лични данни става само със съгласието на лицето, чиито данни се обработват, както и при наличието на други условия, посочени в Регламента. Когато обработването се извършва на основание получено съгласие, задължение на администратора е да докаже наличието на такова. Съгласието на съответното лице трябва да бъде обективирано в конкретно, информирано и недвусмислено заявление. Съгласието е оттегляемо по всяко време.

 

Администраторът е задължен да уведоми надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни. Той следва да документира всяко нарушение на сигурността, в това число: фактите, свързани с нарушението; последиците от него; предприетите действия за справяне с нарушението.

Предаването на лични данни в трета държава или международна организация е допустимо, ако по преценка на Европейската комисия приемащата държава/организация гарантира адекватно ниво на защита. В останалите случаи предаването може да се извърши след разрешение на надзорния орган. Предвидени са изключения, сред които попада трансграничното прехвърляне на данни между дружества от една и съща група, при спазване на одобрени от надзорния орган задължителни корпоративни правила/кодекс за поведение.

Обработващият е задължен да спазва всички установени правила и норми за защита на личните данни и носи солидарна отговорност за причинени вреди заедно с администратора. Обработващият на лични данни е задължен да търси съгласието на администратора, когато възлага обработването на подизпълнител. Дефинирани са изисквания за съдържанието на договора между администратора и обработващия.

Регламентът въвежда нови права на физическите лица при обработване на техни лични данни. Те включват: достъп до собствените им лични данни, информираност; коригиране, ако данните са неточни; изтриване на лични данни или правото „да бъдеш забравен”; ограничаване на обработването от страна на администратора или обработващия лични данни; преносимост на личните данни между отделните администратори; право на възражение спрямо обработването на негови лични данни. Субектът има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране (използването на лични данни за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионални задължения, икономическо състояние, здраве и др.). Също така, физическите лица имат право на защита по съдебен или административен ред, в случай че правата им са били нарушени.

Регламентът разширява териториалния обхват на европейските правила за защита на личните данни. Tе ще важат и за администратори, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС. Посочените администратори са длъжни да прилагат правилата на Регламента, когато дейностите по обработване на данни от тях са свързани с предлагането на стоки и услуги на физически лица, намиращи се в съюза (независимо дали от субекта на данни се изисква плащане) или с наблюдението на тяхното поведение, доколкото това поведение са проявява в рамките на съюза.

Въвежда се принципът “one stop shop при трансгранично обработване на данни в рамките на съюза, според който всяка организация подлежи на надзор само от един надзорен орган – органът на държавата, в която е основното й място на дейност.

„Попов и Партньори” предлага специален пакет услуги, свързани с подготовката на частни и публични клиенти за съответствие с новите изисквания относно защитата на лични данни. В пакета се включва и осъществяване на функцията по Длъжностно лице за защита на данните.  Експертният екип се състои от юристи, които могат да комуникират с клиента на английски, немски, испански и френски език.

При интерес можете да се свържете с нас на e-mail dataprotection@popov-partners.com.