fbpx

Пропуските по въвеждане на GDPR възникват като следствие от забавеното приемане на закона, съобразен с новия регламент

Адвокат Асен Велинов, старши партньор в Консултантска къща „Велинов и партньори“ с опит в областта на търговското право и обществените поръчки, участва в представянето на GDPR (Регламент за защита на личните данни) и неговите изисквания в няколко семинара през изминалите месеци. Два такива бяха „Get Ready For GDPR” в София и „Семинар за GDPR“ в Русе.

„Над 90% от компаниите и организациите, които трябва да бъдат съгласувани с GDPR изискванията, не са готови с процеса по въвеждане на регламента, което трябваше да се случи до 25 май“

споделя адв. Велинов. Причината за възникналите грешки и пропуски се дължи на забавянето на влизането в сила на промените в Закона за защита на личните данни. Ето какво съветва адв. Асен Велинов собствениците на бизнес и институциите, които не са получили достатъчно информация за изискванията на GDPR.

Какво се случи след 25 май тази година?

Това, което се случи, беше, че повечето хора се презастраховаха и започнаха да изпълняват изискванията на GDPR така, както те самите ги разбират. Също започнаха да въвеждат декларации, които трябва да бъдат попълвани навсякъде и от всеки, за това, че предоставяш личните си данни – независимо дали тази декларация се изисква или става дума за субект, който следва да извърши определени действия или услуга без да бъде подадена такава декларация. Всички започнаха да изискват подписването на такъв документ – държавни, общински служби, лаборатории, включително Столична община. Например, вчера на стажант от нашата консултантска къща, който трябваше да подаде жалба от мое име, беше поискана декларация за това, че предоставям личните си данни. Това продължава да се случва, въпреки че от 5-ти юли Комисия за защита на личните данни е публикувала на официалния си сайт „Практически насоки в случаите, при които не е необходимо съгласие за обработване на личните данни“. Там на челна позиция лесно можем да открием публичните органи в лицето на държавните и общински администрации, които изпълняват задачи в обществен интерес или упражняват официалните си правомощия по силата на закон, който им вменява да извършват определени услуги за всички граждани. В този случай не е необходимо да бъдат допълнително събирани декларации за обработка лични данни. Така или иначе, Столична община разполага с личните данни, дори още преди да ги предоставим. Ще дам още един пример със Закона за администрацията. Когато приносител на даден документ – жалба, молба или друго – го предаде при грешния орган, дори да не е адресиран до Столична община, служителят от Столична община е длъжен да входира документа и да ми даде входящ номер. Ако не е адресиран до него, следва да го изпрати към съответния компетентен орган. Но във всеки случай, ако аз „гоня“ срок, ще съм успял да го спазя.

Споделете от свой опит: какво пропуснаха повечето хора, когато започнаха да се подготвят за въвеждането на GDPR? Къде се появява заблудата?

Заблудата се появява, защото Комисията за защита на личните данни публикува подобни практически насоки от време на време и те не достигат до всеки. Освен това, законът се забави значително – в момента е внесен в парламента на първо четене и не е минал през всички комисии, за да бъде ясно, дали ще се приеме точно в този вид, в който е формулиран. Няма разписани правилници към законите, които засягат GDPR. Много от разписаните задължения в регламента са направени твърде общо. Всяка държава има право да специфицира тези задължения и спрямо законодателството си да уточни кое и как ще влезе в сила и как ще се прилага на територията на тази държава. България твърде много се забави. Този регламент е гласуван и приет през 2016 година. Беше даден достатъчно дълъг период за въвеждане и до момента България трябваше да бъде готова, като е гласувала съответния закон, както и вече трябваше да има разписани правилници с конкретни правила и процедури, кое как ще се прилага. Все още няма такива процедури и точно това е причината много институции, включително и държавни такива, да прилагат Регламента за защита на личните данни по неправилен начин. Получават се пропуски и грешки, тъй като до момента не съществува закон в България, който да е съгласуван с регламента. Има Закон за защита на личните данни, но се прилага в различна посока от регламента и не е в съответствие с неговите изисквания. След като законът бъде гласуван на второ четене, бъде обнародван и влезе в сила, тогава можем да кажем, дали е специфицирал изискванията на регламента достатъчно добре. Това е едно от нещата, които не се случиха.

Следващото важно нещо е, че повечето частни или публични организации започнаха да прилагат регламента така, както те смятат за необходимо или  с две думи – да се презастраховат. Към момента навсякъде, където отидете, ще ви бъде изисквана декларация, че доброволно предоставяте личните си данни за съответните цели. Никъде обаче не е ясно, дали органът, който изисква декларацията, може да обработва лични данни и без нея. Регламентът е предоставил достатъчно основания, на които администраторите на лични данни могат да обработват информация и не е необходимо тя да бъде дублирана. Един трудов договор позволява на работодателя да обработва личните данни в него. Не е необходима изрична декларация от лицето, което се назначава на трудов договор, защото за да сключи такъв, трябва бъдат предоставени личните му данни. Това са нормални житейски ситуации, затова е важно да се информираме пряко от Комисията за защита на личните данни и от информацията, която ни предоставя тя. Второто важно нещо е да се работи с консултанти, които разбират от GDPR и извършват действията в последователността, която се изисква.