Защитата на лични данни – какво ни очаква с приемането на новия Регламент № 679 от 2016г. на Европейския съюз

На всяко дружество, търговец, адвокат, лекар, държавен служител и т.н., се налага ежедневно да събира и обработва лични данни за целите на дейността си (назначаване на служители, сключване на договори, попълване на формуляри и други). За да може тези данни да се обработват, е необходимо дружествата да се регистрират като администратори на лични данни и да се погрижат да осигурят защита на данните, с които ще работят.

Защитата на личните данни е сложен и продължителен процес, който обхваща момента на получаване на данните, съхраняването им на сигурно място (заключени шкафове, сейфове или криптирани програми), обработването им и унищожаването им. За да бъдат максимално защитени тези данни, законодателите въвеждат множество мерки за защита.

С оглед на напредването на технологиите и огромния обем лични данни, които се обработват ежедневно Европейският съюз (ЕС) предприе действия по уеднаквяване на правилата за обработване на лични данни във всички държави членки, като по този начин се цели, да се осигури по-голяма защита на личните данни.

В края на април 2016г. ЕС прие нов регламент (единен закон задължителен за всички членове на съюза), с който държавите членки си поставиха за цел, да създадат единна процедура и защита при обработването на лични данни.

Новият регламент влиза в сила от 25.05.2018г. – т.е. от тогава ще е задължителен за всички държави членки на Европейския съюз, в това число и за самите обработващи лични данни.

В следващите редове ще направя обобщение на основните промени, които предстоят и как ще се отразят върху обработването на лични данни в България:

Към настоящия момент всеки, който обработва лични данни, е задължен да се регистрира в регистъра на администраторите на лични данни, воден от Комисията за защита на личните данни. Тази процедура е бавна и продължителна, което понякога води до непредвидени проблеми. С влизане в сила на новия регламент тази регистърна процедура се премахва, като вече няма да съществува задължение за вписване в подобен регистър.

С извършването на тази промяна и премахването на процедурата по регистрация, ще настъпят промени относно отговорността и задълженията на лицата, които обработват и които ще обработват лични ни данни:

  1. Всяко дружество трябва да назначи длъжностно лице, което да отговаря за защитата на личните данни;
  2. Всеки администратор – дружество, свободно практикуващ лекар, адвокат, държавна администрация и други, следва да изготви задължителна оценка за въздействие на нивото на защита на личните данни;
  3. Въвежда се задължителна отчетност пред Комисия за защита на личните данни за някои администратори – дружества (в зависимост от големината на предприятието);
  4. При получаване на личните данни всеки администратор следва да предостави по-широк обем предварителна информация – кой и за каква цел ще обработва данните;
  5. Ново задължение е и създаването и поддържане на регистри – само за определени дружества (с повече от 250 служители) и в зависимост от обработваните от тях данни;
  6. Всеки който обработва лични данни трябва да изготвя задължителни правила относно защитата на данните;
  7. При възникване на проблем с конкретни лични данни (изтичане на информация) незабавно дружеството уведомява регулатора – Комисия за защита на личните данни;
  8. В регламента се предвижда и завишаване на критериите за осъществяване на ефективна защита на личните данни в съответствие с определеното ниво на въздействие (въвеждане на по-сигурни мерки за защита).

Освен описаните задължения за обработващите личните данни, се въвеждат и нови права за лицата, които ги предоставят:

  1. Право на изтриване (право „да бъдеш забравен“) – всеки, който е предоставил някакви лични данни, може да изисква от администратора на лични данни спиране на обработването на данните му;
  2. Право на преносимост на данните (предоставилият данните разполага с право да прехвърли данните си от един администратор на друг без да бъде възпрепятстван);
  3. Право да изиска да бъде ограничено обработването (за определено време, за определени данни или за определени цели);
  4. Изискване за изрично съгласие при „профилиране“ (в случаите, в които се обработват данни с цел създаване на профил).

 

С новия регламент за първи път се създават правила за защитата на данни на малолетни и непълнолетни лица, като се създават множество отговорности и задължения за лицата, които ще обработват подобни данни.

С влизането в сила на регламента се осъществява революционна промяна в прехвърлянето на лични данни в границите на Европейския съюз, чрез която трансферът на информацията, ще се проверява и следи само от една организация за защита на личните данни (в България тази организация е Комисия за защита на личните данни). По този начин дружествата ще разполагат с възможността да прехвърлят лични данни в рамките на Европейския съюз, без необходимост от предварително разрешение на орган от всяка една държава членка.

Не без значение е и значителното увеличаване на глобите в  случай на злоупотреба с лични данни и/или  нарушение на законодателството в сферата на личните данни. Глобата е в размер на по – високата от двете суми, а именно: до 10 млн. евро или до 2% от общия годишен оборот от предходната финансова година.

Ако искате да научите повече за предстоящите промени, ще се радваме да се свържете с нас.

Адвокат Димитър Янев