Какво е важно да знаем за новите правила за защита на личните данни на територията на Европейския съюз?
„Лични данни“ по смисъла на регламента са всяка информация, свързана с идентификацията на дадено физическо лице, като име, единен граждански номер, адрес, телефон, имейл адрес, банкова сметка и други. Тези данни трябва да са достатъчни, за да бъде идентифицирано лицето, като например: име и адрес, име и телефон и т.н. Целта на регламента е лицето да бъде защитено от всякакъв вид незаконно използване на данните му.
Регулацията на защитата на личните данни е особено актуална тема, защото живеем в технологично време и огромни бази с лични данни се предават електронно посредством Интернет. В световен мащаб големи корпорации се стремят да докажат пред публичните си надзорни органи, че вземат оптимални мерки за сигурност на личните данни на своите клиенти и че не съхраняват данните безсрочно. Предвид бързото, почти светкавично, развитие на технологиите е спорно доколко прилагането на този регламент ще бъде ефикасно, но това е нещо, което предстои да разберем.
С регламента отпада изискването за регистрация на администраторите на лични данни пред надзорния орган – за България това е Комисията за защита на личните данни, тъй като това създаваше излишна административна тежест. „Администратор“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други лица определя целите и средствата за обработването на лични данни. „Обработващ лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора, т.е. по силата на договор за възлагане на обработването.
Регламентът не се прилага за обработването на лични данни за целите на наказателните производства, но се прилага за съдилищата, доколкото не е пречка за упражняване на техните правомощия по правораздаване.
Лични данни могат да бъдат обработвани, когато трябва да бъде изпълнено законово задължение на администратора на лични данни, както например за целите на трудовото и осигурителното законодателство по отношение на досиетата на работниците и служителите; също така, когато администраторът има сключен договор с физическо лице, за да може да бъде реализиран договорът; или по силата на изрично съгласие от страна на физическото лице, дадено за точно определени цели и действия. Препоръчително е физическото лице винаги да дава съгласие за обработване на личните му данни, независимо от законовото и договорното основание.
Физическото лице има право на възражение относно начина на обработка на личните му данни, а също така да поиска данните му да бъдат изтрити, т.нар. право да бъдеш забравен. Това право не се упражнява абсолютно, в някои случаи администраторът може да откаже да изтрие данните, най-вече когато това е свързано със законово задължение на администратора да ги съхранява.
Въвежда се правило да се иска лично съгласието за обработка на данни от всяко навършило 16 години лице, а когато лицето е под 16 години – да се иска съгласието за обработка на данните му от лицето, което е носител на родителската отговорност.
Физическото лице има право на безплатно производство по негова жалба за нарушаване на правата му пред независимия надзорен орган – за България това е Комисията за защита на личните данни.
Лицето също има право да оспорва по съдебен ред решението на надзорния орган, ако то не го удовлетворява, а също и да потърси директно правата си по съдебен ред, независимо от осигуреното му безплатно производство пред Комисията за защита на личните данни.
На самата Комисия за защита на личните данни се вменяват повече отговорности.
Тя трябва да работи в засилено сътрудничество с администраторите на лични данни, за да определи с тях правилата, които трябва да спазват във връзка със спецификата на тяхната дейност. Може да извършва и текущи проверки.
Комисията като надзорен орган дава становище на изготвените проекти за кодекси за поведение, а после ги регистрира и публикува.
Кодексите за поведение имат за цел да допринесат за правилното прилагане на регламента, като се отчитат специфичните характеристики на различните сектори и конкретните нужди на микропредприятията и малките и средните предприятия. Сдруженията и други структури, представляващи различни категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение.
Комисията за защита на личните данни освен това акредитира органите за наблюдение за спазването на кодексите за поведение и сертифициращите органи, които издават и подновяват сертификати за защита на данните и на печати и маркировки за защита на данните. Издаването на сертификат е друг начин, по който един администратор може да гарантира пред Комисията, че е взел необходимите мерки за защита на личните данни на физическите лица. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.
Най-важните методи за защита на личните данни са криптирането и псевдонимизацията.
Администраторът и обработващият лични данни определят длъжностно лице по защита на данните задължително във всички случаи, когато:
1. обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
2. основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
3. основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специални категории данни, свързани със здравословно състояние, политическа принадлежност, сексуална ориентация и други.
Длъжностното лице по защита на личните данни се определя въз основа на неговите професионални качества, т.е. въз основа на експертните му познания в областта на законодателството и практиките за защита на данните. То консултира администратора и обработващия лични данни и е лицето за контакт с надзорния орган (Комисията за защита на личните данни).
Всеки администратор на лични данни с повече от 250 служители е длъжен да поддържа регистър на хартиен и електронен носител на дейностите по обработка на личните данни, освен ако и при по-малко служители има вероятност извършваното обработване да породи риск за правата и свободите на физическите лица; ако обработването не е спорадично или включва специални категории данни, свързани със здравословното състояние, политическата принадлежност, сексуалната ориентация на лицата и други.
Регистърът трябва да съдържа информация какви лични данни се обработват, за какви цели се обработват, къде се съхраняват, за какъв период от време ще се съхраняват, кои са ползвателите и получателите на личните данни и какви са предприетите мерки за сигурност.
Целта е във всеки един момент по искане на физическото лице, субект на данните, да бъде извършена справка за обработваните за него лични данни, а също и да може да се осигури адекватна информация при проверка от надзорния орган (Комисията за защита на личните данни).
Санкциите за нарушения на новия регламент са значително завишени. Комисията за защита на личните данни може да налага глоби и имуществени санкции в размер до 20 000 000 евро или 4 % от годишния световен оборот на предприятието за предходната финансова година, като се избира по-голямата сума измежду двете. Тези санкции се налагат при наличието на тежки нарушения, като се отчитат всички факти по случая. Те могат да бъдат наложени независимо или заедно с други административни мерки като официално предупреждение, задължителни предписания, временна забрана за обработване на лични данни и други.
Регламентът ще се прилага и когато администраторът на лични данни или обработващият лични данни имат седалище или основен адрес на дейност извън Европейския съюз, но обработват лични данни на граждани на Европейския съюз или на други лица, които живеят в държава-членка на Европейския съюз.