От 25 май 2018 г. предстои да започне директно прилагане на Регламент 2016/679, който ще засегне и внесе нови правила относно защита на личните данни.

Уредба за защита на личните данни в България има още от 2002 г., когато влиза в сила Закона за защита на личните данни. И до сега лицата, обработващи лични данни, следваше да се регистрират като „администратори на лични данни“ в Комисията за защита на личните данни и да предприемат определени мерки за опазване неприкосновеността на тези данни.

Причината, поради която Регламент 2016/679 (известен още като GDPR /General Data Protection Regulation/) стана толкова популярен, са завишените изисквания, които европейският акт постави към администраторите, както и предвидената по-сериозна санкция за нарушения.

НОВ начин за даване на съгласие за обработка на лични данни

Една от основните промени в уредбата е във връзка с начина на даване на съгласие от субектите на данни /лицата, за чиито лични данни се отнасят/. Регламентът поставя изисквания за активно поведение от страна на лицата, които обработват и съхраняват лични данни, включващо ангажираност за представяне на по-подробна, ясна и точна информация на субектите.

Администраторът е задължен да уведоми субекта на лични данни:

• Кое лице обработва неговите данни
• Целта, за която се обработват данните
• Точният вид на лични данни, които ще се събират и обработват
• Възможността за оттегляне на съгласието за обработка на данни
• Тези данни ще се използват за вземане на решение за автоматично обработване/профилиране.

Самото лице трябва да изрази активно и изрично своето съгласие. Тази изричност е добре да бъде декларира от субекта под формата на писмено волеизявление. Когато се налага това да бъде направено в дигиталния свят, съгласие за обработка на лични данни може да бъде дадено чрез попълнена електронна форма, изпратена на e-mail или подписана чрез електронен подпис.

Регламентът не посочва точните и конкретни методи, които Администраторите на лични данни трябва да използват, за да докажат получаването на съгласие от субекта на данни. Регламентът дава пълна свобода на Администраторите в използваните от тях средства и методики. Важното е администраторът да може да докаже, че е взел валидно и изрично съгласие, за което субектът предварително е бил информиран и е имал възможност да се съгласи или откаже.

Във връзка с новите правила, които въвежда Регламента, е редно да се направи важно уточнение относно получените от Администраторите на лични данни съгласия на субекти преди 25.05.2018 г. Всички те ще  продължат да бъдат валидни, стига да отговарят на новите изисквания, заложени в Регламента. В случай че те не отговарят на новите изисквания, трябва да се получат отново или да се потърси друго легитимно основание, съобразно разпоредбите на чл. 6 от Регламента.

Съхранение и унищожаване на събираните лични данни

Дадените съгласия се съхраняват в архиви само дотолкова, доколкото е необходимо за спазване на законовите задължения, приложими спрямо тях. След изтичане на сроковете на съхранение, документите, съдържащи съгласие и лични данни се унищожават, съобразно вътрешните правила на администраторите, или изрично написани политики.

В много случаи информацията, обработвана от Администраторите до момента, се обработва продължително време, което съгласно новия Регламент следва да бъде преустановено. При обработването на данни в подобни случаи, Администраторите ще имат задължението периодично да препотвърждават даденото им съгласие за обработка на данни или ще изискват изцяло ново съгласие.

Роля на нововъведеното длъжностно лице по защита на личните данни

С новия Регламент се въвежда фигурата на т.н. длъжностно лице по защита на личните данни (ДЛЗД). Това ще бъде служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала.

Регламентът не дава конкретни изисквания относно длъжностната характеристика за лицата, които ще съвместяват тази длъжност. Основното изискване е това лице да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни. Основната работа на т.н. ДЛЗД е да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения:

• Да наблюдава спазването на правилата за защита на личните данни;
• При поискване да предоставя  съвети  по отношение  на оценката  на въздействието  върху  защитата  на данните  и да наблюдава извършването на оценката;
• Да си сътрудничи с надзорния орган;
• Да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването.

Кой е Администратор на лични данни?

Важно е да се спомене, че отпада задължението за регистрация, визирано в Закона за защита на личните данни, но за сметка на това всички лица, които обработват лични данни вече имат качеството на администратори. Съответно всички те се явяват задължени да спазват всички ангажименти, въведени съгласно Регламент 2016/679, независимо, че не са се регистрирали като администратори.

Надзорният орган за Република България е Комисия за защита на личните данни, които предоставят подробна информация на своя сайт: www.cpdp.bg.

Във връзка с изпълнението на своите задължения по Регламента, КЗЛД публикува практически указания за събирането, обработката, съхраняването и достъпа до личните данни на администраторите и обработващите лични данни.

 

Автор на статията: Велислава Цветкова – Кръстева, 3 години част от екипа на В и М Компания ООД, адвокатски сътрудник в Адвокатско съдружие „ADVOCATIO“.

Още по темата за защита на личните данни и други важни законодателни промени може да следите на сайта на Адвокатско съдружие „ADVOCATIO“ www.advocatio.bg