Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, или накратко GDPR/General Data Protection Reglament/ ще започне да се прилага от 25.05.2018г. във всички държави-членки на Европейския съюз и отменя Директива 96/45/Е0.
Понастоящем в България защитата на личните данни на физическите лица е регламентиранa в Законa за защита на личните данни и Наредба НАРЕДБА № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. За да може да се извършва законосъобразно обработване на личните данни, законът изисква регистрацията на определени лица като администратори на лични данни. Законът за личните данни дефинира кои данни са лични, каква е защитата им, кой може да бъде администратор на лични данни, какви са задълженията му и т.н., като по този начин дава общата рамка на защитата на личните данни на физическите лица към настоящия момент.
КAКВО ЩЕ СЕ ПРОМЕНИ СЛЕД 25.05.2018г.?
Нуждите на съвременното информационно и дигитално общество налагат да се създадат повече гаранции за защита правата на гражданите, проявление на които е и защитата на техните лични данни. Следва да се отбележи предварително, че лични данни са не само ЕГН, три имена и адрес, както голяма част от хората считат – лични данни са всички данни относно социалната ни идентичност; медицински данни; данни относно икономическата идентичност, както и културна и обществена идентичност; политическа ориентация, сексуална ориентация, расова и етническа идентичност, банкова информация, изобщо всички данни, чрез които едно лице може да бъде идентифицирано. Законът за личните данни предоставя защита на тези данни и понастоящем чрез различни свои инструменти, но GDPR въвежда нови положения и много повече гаранции, като:
- повече права за субектите: правото на достъп и информация до данните, правото да искаш корекция на данните, право на възражение, право да не бъдеш профилиран, право на изтриване (the right to be forgotten); право на преносимост на данните от един администатратор на друг; правото да не бъдеш обект на решение, основано единиствено на автоматизирано обработване.
- изрични правила за съгласието и достъпа до информация
- повече задължения за обработващите личните данни
- въвеждат се нови технически мерки за защита като криптиране и псевдонимизация
- осигуряване на защита на данните на етапа на проектирането и по подразбиране( privacy by design and privacy by default)
- преносимост на данните
- имуществени санкции при нарушения в значителен размер
- извършване на оценка на въздействието върху защитата на данните
- назначаване на длъжностно лице по защита на данните (data protection officer) в изрично посочени в Регламента случаи
- уведомяване на надзорния орган и субекта на данните в случай на нарушения
В настоящия материал, първи от поредицата, посветени на защитата на личните данни, посочвам съществените нововъведения в регламента GDPR:
НОВАТА ФИГУРА ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ (DPO)
Длъжностното лице по защита на данните е новата фигура съгласно регламента и се различава от обработващия личните данни и администратора на лични данни – последните две лица са разграничени и понастоящем, и дефинирани изрично и в Закона за защита на личните данни. Длъжностното лице по защита на данните може да бъде назначен служител вътре в организацията/компанията или част от персонала на обработващия/, както и да изпълнява задачите си по договор за услуги/външно лице/. При всички положения, длъжностното лице по защита на данните трябва да притежава експертни познания в областта и законодателството и практиките по защита на личните данни.
Голяма част от компаниите вероятно си задават въпроса дали трябва да назначават длъжностно лице по защита на данните. Трябва да се каже това, че в няколко случая назначаването на длъжностно лице по защита на данните (DPO) e задължително:
- Когато обработването се извършва от публичен орган или структура, с изключение на съдилищата при изпълнение на съдебните им функции
- Когато е необходимо редовно систематично мащабно наблюдение на субекти
- Когато се обработват специални категории лични данни и данни, свързани с присъди и нарушения( т.н. чувстителни данни)
Функциите на длъжностното лице по защита на данните се изразяват в това да информира и съветва администратора или обработващия лични данни за техните задължения по силата на регламента; да наблюдава спазването на регламента и други разпоредби за защита на данните, включително възлагане на отговорности, повишаване на осведомеността и обучението на персонала; да предоставя съвети по отношение на оценката въздействието върху защитата на данните; да си сътрудничи с надзорния орган; да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в чл. 36.
КАКВО ДА РАЗБИРАМЕ ПОД ‘‘ПОДХОДЯЩИ ТЕХНИЧЕСКИ И ОРГАНИЗИЦИОННИ МЕРКИ‘‘
Регламетентът изисква от администратора и обработващия лични данни да прилагат подходящи технически и организационни мерки, като:
- псевдонимизация и криптиране на личните данни;
- гарантиране на поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.
КРИПТИРАНЕ
Криптирането представлява техника, при която данните се превръщат в код, чрез използването на криптографски алготирми с цел да не могат да бъдат разчетени от лица без оторизация.
ПСЕВДОНИМИЗАЦИЯ
Псеводнимизацията е процес, при който обработването на данните се извършва по такъв начин, че данните да не могат да се свържат с конкретен субект. Идентифицируемите данни се подменят с псевдоними, така че да не могат да се свържат с явните данни, като е необходимо използването на някакъв допълнителен елемент, който да позволи обратното възстанояване на данните. Самата допълнителна информация следва също да бъде предмет на технически и организационни мерки за защита с цел да гарантира защитата на правата на субектите и задължително се съхранява отделно.
ЗАЩИТА НА ЕТАПА НА ПРОЕКТИРАНЕ И ПО ПОДРАЗБИРАНЕ
В какво се изразява това задължение за администратора на лични данни?
Администраторът трябва да въвежда, както към момента на определяне на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, като например псевдонимизация, които са разработени с оглед ефективното прилагане на принципите защита на данните, като свеждане на данните до минимум. Освен това администраторът следва да въведе подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, необходими за конкретната цел. Това задължение важи и за обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност.
ИЗВЪРШВАНЕ НА ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ
Кога трябва да се извършва оценка на въздействието върху защита на данните?
При обработване на данни, при което се използват нови технологии, както и предвид естеството, обхвата, контекста и целите на обработването, когато е възможно да се породи риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът прави оценка на въздействието на предвидените операции по обработването върху защитата на данните.
Такава оценка се изисква, когато е налице:
- систематична и подробна оценка на личните аспекти на физически лица, която се базира на автоматично обработване, включително профилиране
- мащабно обработване на специални категории данни, посочени в чл. 9, пар.1 или на лични данни за присъди и нарушения
- систематично мащабно наблюдение на публично достъпна зона
Администраторът е длъжен да се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска. Надзорният орган трябва да даде писмено становище, когато е на мнение, че планираното обработване нарушава регламента, като може да използва и правомощията си съгласно регламента.
УВЕДОМЯВАНЕ НА НАДЗОРНИЯ ОРГАН И СУБЕКТА НА ДАННИТЕ В СЛУЧАЙ НА НАРУШЕНИЯ
Администраторът е длъжен, без ненужно забавяне, не по-късно от 72 часа, след като е разбрал за нарушението в сигурността на данните, да уведоми надзорния орган. Същото задължение има и обработващият личните данни, който е длъжне да уведоми администратора, без ненужно забавяне.
Администраторът следва да уведоми субекта на данните, без ненужно забавяне, когато има вероятност нарушението в сигурността на данните да породи висок риск за правата и свободите на физическите лица.
Изпълнението на тези задължения на администратора, обработващия личните данни и надзорния орган, е предпоставено от непрекъснато изследване и наблюдение относно обработването на личните данни на субектите, с цел откриване на нарушения в изискванията, поставени от регламента.
ЗНАЧИТЕЛЕН РАЗМЕР НА ИМУЩЕСТВЕНИТЕ САНКЦИИ
Регламентът въвежда изключително висок размер на глобите и имуществените санкции при нарушения на регламента. Диференцирани са два различни размера, съобразно различни фактори, като във всеки конкретен случай, следва да се направи и индивидуализация на нарушението.
- Глоба или имуществена санкция в размер до 10 000 000 ЕUR , или в случай на предприятие-до 2% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при нарушения на: задълженията на администратора и обработващия личните данни във връзка със съгласието на децата при услугите на информационното общество; нарушения на обработващите личните данни съгласно чл. 11, 25-39; нарушения, свързани с уведомяването за нарушения; нарушения, свързани с оценката на въздействието; нарушения, свързани със сертифицирането; нарушения на задължения на сертифициращия орган и задълженията на органа за наблюдение.
- Глоба или имуществена сакнция в размер до 20 000 000 EUR, или в случай на предприятие – до 4% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при нарушаване на: основните принципи на обработване, включително условията, свързани с даване на съгласие, правата на субектите съгласно регламента; трасфера на лични данни в трета държава или международна организация; всички задължения на държавите членки, произтичащи от разпоредбите, свързани с особени ситуации на обработване; неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни, или непредоставяне на достъп
/Настоящата статия представлява аторски материал на адв.Светослава Ангелова и няма претенции за изчерпателност. Във всеки конкретен случай и казус следва да се направи консултация с юрист, специалист по засегнатата тема./
19.12.2017г.