Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на личните данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (“Регламента”) влиза в сила на 25 май 2018 г. Регламентът въвежда редица задължения за администраторите на лични данни (“АЛД”) и обработващите лични данни (“ОЛД”), някои от които се въвеждат за пръв път правната уредба.

01 Март 2018

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на личните данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (“Регламента”) влиза в сила на 25 май 2018 г. Регламентът въвежда редица задължения за администраторите на лични данни (“АЛД”) и обработващите лични данни (“ОЛД”), някои от които се въвеждат за пръв път правната уредба.

1. Разширяване на териториалния обхват на приложимост на Регламента
С новия Регламент се разширява териториалният обхват на европейските правила за защита на личните данни и последните са приложими и за АЛД/ОЛД, които не са установени в ЕС, но обработват лични данни на субекти на данни, които се намират в ЕС, когато дейностите по обработване на данни от страна на такива АЛД/ОЛД са свързани с: предлагането на стоки или услуги на субекти на данни в ЕС, независимо дали от субекта на данни се изисква плащане; или наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на ЕС.

2. Принцип на отчетност
Регламентът въвежда принцип на отчетност, съгласно който АЛД/ОЛД носят отговорността да доказват спазването на всички останали принципи на обработване на лични данни, въведени с Регламента и приложими и по действащия към момента Закон за защита на личните данни (“ЗЗЛД“), а именно принципите на: законосъобразност, добросъвестност и прозрачност; ограничение на целите; свеждане на данните до минимум; точност; ограничение на съхранението; цялостност и поверителност.

3. Съгласие за обработване на личните данни 
Съгласието остава едно от алтернативните условия за обработване на лични данни. 
Свободно дадено съгласие е налично в случаите когато субектът на данни има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.  

4. Обработване на лични данни на деца
Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години, това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето. В такива случаи АЛД/ОЛД, който обработва данни за детето, полага разумни усилия да удостовери, че съгласието е дадено или разрешено от носещия родителска отговорност за детето, като взема предвид наличната технология. 
Специална защита следва да се прилага при използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесно разбираеми за детето.

5. Права на субектите на лични данни
Според Регламента субектът на данни (физическото лице, за което се отнасят данните) има следните права:

5.1. Право на информираност:
- предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството/организацията или по друг достъпен за субектите на данни начин относно: идентифициране на дружеството или организацията – наименование и начин за контакт, включително с Длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.); 
- какви категории лични данни се събират, за какви цели и на какво правно основание; 
- категориите получатели на лични данни извън дружеството или организацията, както и дали ще се предават (трансферират) данни в трети страни; 
- срока за съхранение на данните; 
- информация за всички права, които субектът на данни има и реда за упражняването им; 
- правото на жалба до Комисия за защита на личните данни („Комисията“) и до съда; 
- дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени; 
- (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране;
- информиране по подходящ начин на работниците и служителите в дружеството/организацията в случай че работодателят: извършва видеонаблюдение на работното място; следи средствата за електронна комуникация на работното място, предоставени от дружеството/организацията (интернет, телефон, мобилен телефон), с цел предотвратяване на злоупотреби.
5.2. Право на достъп до собствените си лични данни;
5.3. Право на коригиране, ако данните са неточни;
5.4. Право на изтриване на личните данни (право „да бъдеш забравен“);
5.5. Право на ограничаване на обработването, когато:
- точността на личните данни се оспорва от субекта на данните. В този случай ограничаването на обработването е за срок, който позволява на АЛД/ОЛД да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- АЛД/ОЛД не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции; и др.
5.6. Право на преносимост на личните данни между отделните АЛД/ОЛД
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил в структуриран, широко използван и пригоден за машинно четене формат, има право да прехвърли тези данни на друг АЛД/ОЛД, както и има право да изиска пряко прехвърляне на личните данни от един АЛД/ОЛД към друг, когато това е технически осъществимо.
5.7. Право на възражение спрямо обработването
5.8. Право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.

5.9. Право на защита по съдебен или административен ред

6. Регистри на дейностите по обработване 
Задължението за регистрация като администратор на лични данни в Комисията отпада, считано от 25 май 2018 г., като АЛД/ОЛД следва сами да създават и редовно актуализират вътрешен регистър на дейностите по обработване на лични данни в дружеството/организацията със следната информация:
6.1. Името и координатите за връзка на АЛД/ОЛД и, когато това е приложимо, на всички съвместни администратори, на представителя на АЛД/ОЛД и на Длъжностното лице по защита на данните, ако има такива;
6.2. Целите на обработването;
6.3. Описание на категориите субекти на данни и на категориите лични данни;
6.4. Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
6.5. Когато е приложимо - предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции;
6.6. Предвидените срокове за изтриване на различните категории данни;
6.7. Общо описание на техническите и организационни мерки за сигурност.

7. Извършване на оценка на въздействието върху защитата на личните данни при наличие на висок риск (в резултат на профилиране, мащабно обработване на специални (чувствителни) лични данни, систематично мащабно наблюдение на публично достъпна зона, нови технологии и др.). Задължителна предварителна консултация с Комисията, ако оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск и АЛД/ОЛД не може да предприеме ефективни мерки за ограничаването му. 

8. Технически и организационни мерки
АЛД/ОЛД предприемат подходящи технически и организационни мерки, за да могат да гарантират и докажат спазване на Регламента, като:
8.1. Защита на данните на етапа на проектирането и по подразбиране;
8.2. Псевдонимизация на личните данни - обработване на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано. Именно поради тези специфики на псевдонимизираните данни, Регламентът предвижда по-малко строги правила за обработване на псевдонимизирани данни, като по този начин насърчава администраторите да използват тази техника;
8.3. Криптиране на личните данни;
8.4. Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
8.5. Обучение на служители и др.;
8.6. Евентуално присъединяване към кодекси за поведение и/или сертифициране (незадължително);
8.7. Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
8.8. Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;
8.9. Изготвяне и прилагане на вътрешни процедури относно приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни.

9. Сътрудничество с надзорния орган 
9.1. Единственият надзорен орган по защита на личните данни в Република България е Комисията. Като такъв Комисията ще осъществява контрол за спазването на изискванията на Регламента. В рамките на своите правомощия Комисията има право да разглежда жалби от физически лица, да извършва проверки на АЛД и ОЛД, да издава становища, задължителни предписания и имуществени санкции. 
9.2. Уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, както и документиране на всяко нарушение на сигурността на личните данни, в т.ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;
9.2.1. Приемане на вътрешна процедура и план за действие в случай на нарушение на сигурността на личните данни.
9.2.2. Определяне на отговорен служител/екип за реакция при нарушение на сигурността на личните данни, инструктаж на персонала, др.
9.2.3. Създаване на вътрешна организация за своевременно уведомяване на Комисията в срок до 72 часа от узнаването за нарушението.

10. Длъжностно лице по защита на данните 
Регламентът въвежда фигурата на т. нар. длъжностно лице по защита на данните („Длъжностно лице“). Това е служител на АЛД/ОЛД или външно за организацията на АЛД/ОЛД физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламента в организацията на АЛД/ОЛД и повишаването на осведомеността и обучението на персонала. 
Всеки АЛД/ОЛД следва задължително да определи Длъжностно лице в случаите на системно и мащабно наблюдение на субектите на данните - обработване на лични данни на над 10 000 физически лица; или мащабно обработване на специални (чувствителни) лични данни;
Лицето по защита на личните данни има набор от задължения, най-съществените от които:
10.1. Да информира и съветва АЛД/ОЛД и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;
10.2. Да наблюдава спазването на правилата за защита на личните данни и на политиките на АЛД/ОЛД по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
10.3. При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;

10.4. Да си сътрудничи с надзорния орган;
10.5. Да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация и по целесъобразност да се консултира по всякакви други въпроси.
Отчитайки необходимостта от обучение и хармонизиране на стандартите и практиките в сферата на защитата на личните данни, Комисията планира да изгради национален обучителен център, който да осигури нужното обучение за лицата по защита на личните данни. Очаква се центърът да стартира своята дейност през 2018 г., непосредствено преди стартиране на прилагането на Регламента.

11. Глоби и имуществени санкции
Регламентът значително увеличава максималния размер на налаганите глоби и имуществени санкции – до 10 млн. евро или до 2 % от годишния оборот на дружеството за предходната година (която от двете суми е по-висока).

12. Право на обезщетение за претърпени вреди
Съгласно Регламента всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламента, има право да получи обезщетение от АЛД/ОЛД за нанесените вреди. Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на съответната държава членка.

Назад