Общ регламент за защита на данните - Регламент (ЕС) 2016/679 за защитата на ФЛ във връзка с обработването на лични данни

С бързото технологично развитие и глобализацията, развитието на електронната търговия, социалните мрежи, осезаемо нарастна обема на електронната обработка и обмен на данни, като технологиите позволяват на публичните органи (НАП, НОИ, НЗОК, Общини и др.), както и частните дружества (работодатели, адвокатски кантори, счетоводни кантори, частни здравни клиники и практики и др) да използват лични данни в безпрецедентни размери, за да упражняват дейността си. Все повече физическите лица, използвайки свои лични данни в Интернет, ги правят публично достъпни в световен мащаб. Всекидневно се увеличава и трансграничният поток от лични данни. Всичко това обуслови необходимостта от защита на личните данни и съответно унифицирането на правилата за защита на личните данни във всички държави – членки на ЕС. Именно това стана с приемането на Регламент (ЕС) 2016/679 на Европейския парламент (General Data Protection Regulation), с който се отменя Директива 95/46/ЕО на Европейския парламент и на Съвета на ЕС за защита на физическите лица при обработването на лични данни и свободно движение на тези данни – същият влиза в сила, считано от 25.05.2018г. Регламентът е задължителен и се прилага пряко в държавите-членки на Европейския съюз. Регламентът не следва да се прилага за лични/домашни дейности; наказателна дейност (има отделна директива на Европейския парламент) и относно отбраната и сигурността, които се определят на национално ниво.
      
Общият регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни. Конкретно основните понятия:

Разшири се обхватът на понятието „лични данни“ -  всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице, което може да бъде идентифицирано, пряко или косвено, по-специално чрез посочване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическото, физиологичното, генетична, умствена, икономическа, културна или социална идентичност на това физическо лице;
- Основна информация за самоличността, като име, адрес и ЕГН / идентификационен номер
- Домашен адрес
- Снимки
- Банкова информация
- Web данни като местоположение, IP адрес, данни от "бисквитки" и RFID етикети
- Здравни и генетични данни
- Биометрични данни
- Расови или етнически данни
- Политически мнения
- Сексуална ориентация и т.н

 
➤ „обработване на данни“ – всяка операция или набор от операции, извършвана с лични данни или на набор от лични данни, независимо дали чрез автоматизирани средства, като събиране, записване, организация, структуриране, съхранение, адаптиране или промяна, извличане, използване, разкриване чрез предаване, разпространение или по друг начин предоставяне, привеждане в съответствие или комбиниране, ограничаване, заличаване или унищожаване

Кой кой е в обработването и събирането на данни?

➤„администратор на лични данни“ - физическо или юридическо лице, публичен орган, агенция или друг орган, който самостоятелно или съвместно с други определя целите и средствата за обработване на лични данни;  Новото, което се въведе, е фигурата на „съвместни администратори“, което на практика означава, че двама или повече администратори съвместно определят целите и средствата на обработването на лични данни. Физическото лице, за което се отнасят данните (субект на данни), може да упражнява своите права в областта на защитата на личните данни по отношение на всеки и срещу всеки от администраторите. Съвместните администратори са длъжни да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си по регламента.

➤„обработващ лични данни“ –  физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администартора.

Обработването се урежда от договор (или друг правен акт съгласно правото на Съюза или на държавата-членка) между администратора и обработващия, който е обвързващ за обработващия по отношение на администратора и който определя предмета и продължителността на обработката, естеството и целта на обработката, вида на личните данни и категориите субекти на данни и задълженията и правата на администратора.

➤„субект на данните“ – физическо лице (клиент, потенциален клиент, работник, служител или нает по граждански договор и всяко друго физическо лице, чиито лични данни се събират)


Общият регламент за защита на личните данни въвежда редица задължения за администраторите и обработващите лични данни, някои от които са изцяло нови и непознати в досега действащата правна уредба. Те са :



Определянето на длъжностно лице по защита на данните е задължително в следните случаи:
- Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
- Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
- Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Според Регламента длъжностното лице по защита на данните може да бъде както служител на организацията, така и да изпълнява задълженията си по договор за услуги. Затова администраторите нямат задължение да назначават специално такъв служител, а само имат задължение да определят лице, което да изпълнява функциите на служител но защита на данните .Достатъчно е лицето по защита на личните данни да притежава задълбочени експертни познания в областта на законодателството и практиката на защитата на личните данни.

Лицето по защита на личните данни има набор от задължения, сред които:
- Да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения  по силата на нормативните актове за защита на личните данни;
- Да наблюдава спазването на правилата за защита на личните данни и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности,   повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
- При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката;
- Да си сътрудничи с надзорния орган;
- Да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация и по целесъобразност да се консултира по всякакви други въпроси.
 

- Псевдонимизация -  означава обработването на лични данни  да е по такъв начин, че личните данни вече да не могат да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с лице, което може да бъде идентифицирано.
- Криптиране – обработват се по начин, така че данните са четими само за този, който има ключа за разкодирането им;
- Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки.
- Сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи от регламента.

А „по подразбиране“ следва да се обработват само тези лични данни, които се необходими за всяка конкретна цел на обработването.



 
Осъществяване на надзор за спазване на новата правна рамка по защита на личните данни и санкции
           
Единственият надзорен орган по защита на личните данни в Република България е Комисията за защита на личните данни. Като такъв Комисията ще осъществява контрол за спазването на изискванията на регламента. В рамките на своите правомощия Комисията има право да разглежда жалби от физически лица, да извършва проверки на администратори и обработващите лични данни, да издава становища, задължителни предписания и да налага глоби и имуществени санкции. Новият Регламент значително увеличава максималния размер на налаганите глоби и имуществени санкции за нарушения на задълженията на администратора и обработващия лични данни – до 10 млн. евро или до 2 % от годишния оборот на дружеството за предходната година (която от двете суми е по-висока); до 20 млн.евро или до 4% от общия годишен световен оборот на предприятието на предходната финансова година (която от двете суми е по висока). Съгласно чл. 83, ал. 2 от Регламента при индивидуализирането на наказанието във всеки конкретен случай се вземат предвид: 
- Естеството, тежестта и продължителността нарушението, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
- Дали нарушението е извършено умишлено или по небрежност;
- Действията предприети от администратора  или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субекта на данни;
- Предишни нарушения;
- Категории лични данни, засегнати от нарушението;
- Други обстоятелства, имащи характера на смекчаващи или утежняващи обстоятелства, разглеждани в контекста на всеки конкретен случай.