Промени в ЗЗЛД
адв. Десислава Димитрова
МВР публикува дългоочакваните промени в Закона за защита на личните данни, породени от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016.
Много бизнеси в България изпитваха сериозни притеснения относно наближаването на 25 май и липсата на законодателни промени в Закона за защита на личните данни. Макар Регламент 2016/679 да има пряко действие, на страните членки е предоставена самостоятелност за регламентирането на определени дейности на национално ниво. Това създаваше определена доза несигурност при предприемането на действия по привеждане в съответствие с новите правила.
В момента законопроектът е обявен за обществено обсъждане до 14 май, едва след което ще бъде внесен за гласуване в Народното събрание. Предстои да разберем дали до 25 май предложените промени в закона ще станат окончателни.
Ето и някои от основните промени и допълнения към Регламент (ЕС) 2016/679, известен още като GDPR:
Комисията за защита на личните данни (КЗЛД) ще води регистър на Длъжностните лица по защита на данните, който ще е публичен. Всяка една организация, която има назначено такова длъжностно лице трябва да уведоми Комисията за неговите данни. Това уведомяване, съгласно промените, ще става по утвърдена форма и ред, които предстои да бъдат приети. В проектозакона е предвидено още, че ДЛЗД може да бъде назначено както на трудов договор, така и по външен договор за услуги. Има изрична забрана администраторът и обработващият личните данни да съвместяват и функциите на ДЛЗД.
Други публични регистри, които ще се водят при Комисията, ще са за Кодексите на поведение, които ще уреждат на браншово ниво общите принципи за защита на личните данни в дадената област. Така например, всички HR агенции, туристически компании, счетоводители и др., могат да създадат Кодекс на поведение за начините, по които те събират и обработват личните данни на лицата, участващи в подбора, на лицата, ползващи туристически услуги, на лицата, получаващи заплати, както и спазването на всички принципи, права и задължения, съгласно Регламента и местното законодателство. Всяка една организация ще може да види дали за нейната дейност вече има одобрен Кодекс за поведение и да иска да се ползва от принципите за защита на личните данни, съобразно тях. Това много би улеснило малкия бизнес, но предстои да разберем кога такива Кодекси ще бъдат изработени и одобрени.
КЗЛД ще води и регистър на нарушенията, който няма да е публичен, но ще ѝ служи при определяне на наказания при повторност на нарушенията.
Ако в процедурата по подбор кандидатът е предоставил оригинал или нотариално заверено копие на документ, и това лице не бъде одобрено за назначаване, то има право в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи.
Доразвит е и редът, по който лицата могат да упражняват правата си, как може да се подава заявлението, като администраторът е длъжен да информира писмено и без излишно забавяне субекта на данните за действията, предприети във връзка с неговото искане. Срокът, в който лицето може да сезира КЗЛД, ако са нарушени правата му по Регламента и закона е 1-годишен от узнаване на нарушението, но не по-късно от пет години от извършването му.
Предвидени са и специални правила за видеонаблюдението на публично достъпни зони, сроковете на съхранение на записите с информация и изтриването им, правото на преглед от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица. Предстои КЗЛД да определи минималните изисквания към администраторите при видеонаблюдението, които да публикува на Интернет страницата си.
В проектозакона е предвидено, че администраторът трябва да е в състояние да докаже спазването на разпоредбите на Регламента и местното законодателство. Това означава, че доказателствената тежест за установяване на съответствие е върху администратора.
За обработването ли личните данни и тяхната законосъобразност от органите на съдебната власт ще следи Инспекторатът към Висшия съдебен съвет, който ще може да разглежда и жалбите на граждани във връзка с обработването на личните им данни.
Освен имуществените санкции, Комисията ще има правомощия да налага и други принудителни мерки за предотвратяване и преустановяване на нарушенията. Тя може да налага временно или окончателно ограничаване, както и забрана, на обработването на данни, както и да разпорежда на администратора да съобщава на субекта на данните за нарушения на сигурността им. Какви мерки ще бъдат наложени зависи от вида на нарушението, повторността му, мерките, които са предприети за предотвратяването му и др.
адв. Десислава Димитрова
Много бизнеси в България изпитваха сериозни притеснения относно наближаването на 25 май и липсата на законодателни промени в Закона за защита на личните данни. Макар Регламент 2016/679 да има пряко действие, на страните членки е предоставена самостоятелност за регламентирането на определени дейности на национално ниво. Това създаваше определена доза несигурност при предприемането на действия по привеждане в съответствие с новите правила.
В момента законопроектът е обявен за обществено обсъждане до 14 май, едва след което ще бъде внесен за гласуване в Народното събрание. Предстои да разберем дали до 25 май предложените промени в закона ще станат окончателни.
Ето и някои от основните промени и допълнения към Регламент (ЕС) 2016/679, известен още като GDPR:
На първо място, виждаме, че организациите, които обработват лични данни, на над 10000 физически лица ще имат задължение да назначат Длъжностно лице по защита на данните (ДЛЗД или т.нар. DPO). В Регламента има изрично посочени 4 основания, при които организациите са длъжни да назначат ДЛЗД, като този критерий за 10000 данни на физически лица е изискване за администраторите в България. Тази промяна беше продиктувана от виждането на КЗЛД, че обработването на такъв брой данни изисква по-сериозна ангажираност към правата на лицата и осигуряването на защита чрез лице, което да следи за спазването на Регламента и местното законодателство.
Комисията за защита на личните данни (КЗЛД) ще води регистър на Длъжностните лица по защита на данните, който ще е публичен. Всяка една организация, която има назначено такова длъжностно лице трябва да уведоми Комисията за неговите данни. Това уведомяване, съгласно промените, ще става по утвърдена форма и ред, които предстои да бъдат приети. В проектозакона е предвидено още, че ДЛЗД може да бъде назначено както на трудов договор, така и по външен договор за услуги. Има изрична забрана администраторът и обработващият личните данни да съвместяват и функциите на ДЛЗД.
Други публични регистри, които ще се водят при Комисията, ще са за Кодексите на поведение, които ще уреждат на браншово ниво общите принципи за защита на личните данни в дадената област. Така например, всички HR агенции, туристически компании, счетоводители и др., могат да създадат Кодекс на поведение за начините, по които те събират и обработват личните данни на лицата, участващи в подбора, на лицата, ползващи туристически услуги, на лицата, получаващи заплати, както и спазването на всички принципи, права и задължения, съгласно Регламента и местното законодателство. Всяка една организация ще може да види дали за нейната дейност вече има одобрен Кодекс за поведение и да иска да се ползва от принципите за защита на личните данни, съобразно тях. Това много би улеснило малкия бизнес, но предстои да разберем кога такива Кодекси ще бъдат изработени и одобрени.
КЗЛД ще води и регистър на нарушенията, който няма да е публичен, но ще ѝ служи при определяне на наказания при повторност на нарушенията.
От 25 май отпада регистрацията като администратори на лични данни, няма да има задължителна регистрация, но за сметка на това всички администратори и обработващи ще трябва да имат регистри на обработването за всички категории дейности по обработване в самата организация. Минималното съдържание на регистъра е предвидено в закона, като организациите трябва да са в състояние да предоставят достъп до него на КЗЛД при поискване.
Важни промени за работодателите, които са доразвити с проектозакона, са при осъществяването на дейности по подбор на персонал. Съгласно промените, работодателят се задължава да определи срок за съхранение на личните данни на участници в процедурите по подбор на персонала, който не може да бъде по-дълъг от три години. С изтичането на срока, данните трябва да бъдат изтрити.Важни промени за работодателите, които са доразвити с проектозакона, са при осъществяването на дейности по подбор на персонал. Съгласно промените, работодателят се задължава да определи срок за съхранение на личните данни на участници в процедурите по подбор на персонала, който не може да бъде по-дълъг от три години. С изтичането на срока, данните трябва да бъдат изтрити.
Ако в процедурата по подбор кандидатът е предоставил оригинал или нотариално заверено копие на документ, и това лице не бъде одобрено за назначаване, то има право в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи.
Предвидено е още, че при назначаването на служители работодателят може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване на работник, само ако закон предвижда това. Досега масова практика на работодателите беше да копират и съхраняват неограничено във времето и независимо от основанието посочените документи на своите служители. С въвеждането на това правило, законодателят се стреми да ограничи случаите, в които такова копиране е законосъобразно – само ако закон изрично го предвижда, като премахва и съгласието като възможност за продължаване на тази практика. Работодателите ще трябва да преразгледат политиките си и данните, които събират и съхраняват и да премахнат тези, за които нямат нормативно основание.
Доразвит е и редът, по който лицата могат да упражняват правата си, как може да се подава заявлението, като администраторът е длъжен да информира писмено и без излишно забавяне субекта на данните за действията, предприети във връзка с неговото искане. Срокът, в който лицето може да сезира КЗЛД, ако са нарушени правата му по Регламента и закона е 1-годишен от узнаване на нарушението, но не по-късно от пет години от извършването му.
Предвидени са и специални правила за видеонаблюдението на публично достъпни зони, сроковете на съхранение на записите с информация и изтриването им, правото на преглед от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица. Предстои КЗЛД да определи минималните изисквания към администраторите при видеонаблюдението, които да публикува на Интернет страницата си.
В проектозакона е предвидено, че администраторът трябва да е в състояние да докаже спазването на разпоредбите на Регламента и местното законодателство. Това означава, че доказателствената тежест за установяване на съответствие е върху администратора.
За обработването ли личните данни и тяхната законосъобразност от органите на съдебната власт ще следи Инспекторатът към Висшия съдебен съвет, който ще може да разглежда и жалбите на граждани във връзка с обработването на личните им данни.
Въпреки завишените изисквания спрямо администраторите и обработващите лични данни, в проектозакона липсва един от сериозните критерии при определяне на размера на наказанията, а именно – 2%, респ. 4% от общия годишен световен оборот на организацията за предходната финансова година. Самите санкции варират според нарушенията на конкретните изисквания на Регламента и достигат до левовата равностойност 20 млн. евро, както е предвидено и в него. Например, за неизпълнение на задължително предписание на комисията се налага глоба или имуществена санкция от 2 000 лв. до 200 000 лв. Въпреки това, ако администраторът обработва данни и на дружи граждани в ЕС, те имат право да подадат оплакване до Комисията, в държавата, която е тяхното местоживеене и тогава тя ще бъде тази, която ще наложи наказанието съобразно техния закон.
Освен имуществените санкции, Комисията ще има правомощия да налага и други принудителни мерки за предотвратяване и преустановяване на нарушенията. Тя може да налага временно или окончателно ограничаване, както и забрана, на обработването на данни, както и да разпорежда на администратора да съобщава на субекта на данните за нарушения на сигурността им. Какви мерки ще бъдат наложени зависи от вида на нарушението, повторността му, мерките, които са предприети за предотвратяването му и др.
адв. Десислава Димитрова
Оценете отговора на експерта
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
Съдържанието, дизайнът и публикуваните статии в portaltrznormativi.bg подлежат на РС Издателство и Бизнес Консултации и са защитени по смисъла на закона за авторското право и сродните му права. Копирането и разпространението на съдържанието е забранено! Общи условия
Подобни статии
04Ноем2021
Комисията за защита от дискриминация също взе отношение по темата за третирането на лицата във връзка с ваксинационния им статус
от доц. д-р Андрей Александров
04 Ноем 2021
02Ноем2021
Комисията за защита на личните данни разяснява обработването на данни за ваксинационния статус на лицата
от доц. д-р Андрей Александров
02 Ноем 2021
23Юли2020
Допустимо ли е задължителното подлагане на тестове на персонала за COVID-19 и за чия сметка трябва да се провежда?
от доц. д-р Андрей Александров
23 Юли 2020
21Апр2020
Граници на допустимото вмешателство в личното пространство в условия на извънредно положение
от доц. д-р Андрей Александров
21 Апр 2020