fbpx

Драстични промени в уредбата на защитата на лични данни на физическите лица

Нарасналият обмен на лични данни, бързото технологично развитие и глобализацията са причините за приемането на РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива. Разпоредбите му ще започнат да се прилагат от 25 май 2018 г., заменяйки действащата към момента правна уредба (Директива 95/46/ЕО).

Териториалният обхват на новия законодателен акт ще се простира не само в пределите на Европейския съюз, но и в трети страни, спрямо администратори и лица, обработващи лични данни на европейски граждани.

Една от основите промени, която се въвежда с Регламента, е отпадането на досегашното задължение за регистрация на администраторите на лични данни в Комисията за защита на личните данни. КЗЛД обаче ще продължава да бъде единственият надзорен орган по защита на личните данни и като такъв ще осъществява контрол за спазването изискванията на регламента.

Съществена новост представлява фигурата на т.нар. „длъжностно лице по защита на данните“. То може да е служител на администратора или външно лице, въз основа на договор за услуги. Ролята му се изразява в наблюдаване спазването на разпоредбите на Регламента и вътрешните политики на администратора/обработващия лични данни. Сред задълженията на длъжностното лице е и сътрудничество с  надзорния орган – КЗЛД.

Необходимостта от подобна длъжност ще възникне само за определени категории администратори и обработващи лични данни лица. На първо място, това са публичните органи и структури, с изключение на съдилищата по отношение изпълнението на съдебните им функции. В списъка влизат и  администратори/обработващи лични данни, които извършват операции, изискващи редовно и систематично наблюдение на субектите на данни, а също и такива, които обработват лични данни по чл. 9 и  чл. 10 от Регламента.

Ключово в новата уредба е подробното регламентиране на т.нар. „право да бъдеш забравен“, което се прилага от 2014 г. насам, по силата на решението на Съда на ЕС по дело C‑131/12 Google Spain. Това право дава възможност на субектите на лични данни, при посочените в чл.17 от Регламента условия, да поискат от администраторите изтриване и спиране на разпространението на техните данни. Трябва да се отбележи, че то не е абсолютно и може да бъде ограничавано, когато други права и интереси имат приоритет.

Освен да бъде „забравен“ всеки субект на лични данни ще може да поиска данните му да бъдат прехвърлени от електронната система на един администратор към друг, стига това да е технически осъществимо (чл. 20 „Право на преносимост на данните“).

С цел гарантиране защитеността на личните данни, новият акт на ЕС задължава администраторите да прилагат подходящи технически и организационни мерки при обработване на личните данни на физическите лица. Сред посочените мерки, особен интерес представлява „псевдонимизацията“ на лични данни, чиято същина е в обработване на данните по такъв начин, че да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация.

При нарушение на сигурността на личните данни, Регламентът въвежда задължение за администраторите да уведомят надзорния орган в рамките на 72 часа от установяването му, освен ако е малко вероятно да предизвика рискове за субектите. Когато обаче вероятността е голяма, за нарушението трябва да се съобщи и на физическите лица, субекти на лични данни.

Свързано със сигурността на личните данни, е и новото задължение на администраторите да извършват предварителна „оценка на въздействието върху защитата на лични данни“,  в случаи, когато е възможно определен вид обработване да се окаже рисково за правата и свободите на физическите лица.

С Регламента се създава ново задължение по поддържане на регистър на дейностите по обработване, за които съответният администратор или обработващ лични данни отговаря. Регистърът трябва да съдържа посочената в чл. 30, т.1/т.2 от Регламента информация. При поискване, администраторът или обработващият лични данни и – когато това е приложимо – представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

Детайлна уредба получава даването на съгласие на физическите лица за обработване на личните им данни. То трябва да бъде изрично, т.е. субектите ясно и недвусмислено да са изразили волята си относно това кои техни данни, за какви цели ще се обработват, на кои лица ще бъдат предоставени и за какъв период ще бъдат обработвани.

За да осигури ефективното спазване на правилата, Регламентът предвижда значителни имуществени санкции и глоби – до 10 млн. евро или до 2 % от годишния оборот на дружеството за предходната финансова година, като се взима по-високата от двете суми.

 

автор: Кристина Везенкова