Основни положения в новия регламент на ЕС за личните данни (GDPR)

Важна информация относно влизането в сила на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (GDPR).

На 25 май в целия ЕС ще започне да се прилага нов единен набор от правила за защита на данните. Новата рамка ще донесе значителни ползи на гражданите, предприятията, публичните администрации и другите сходни организации. Тя също така е възможност за ЕС да се превърне в световен лидер в областта на защитата на личните данни. Реформата обаче може да постигне успех само ако всички заинтересовани страни поемат своите задължения и права.

С приемането на Регламента възникват редица предизвикателства, които следва да бъдат преодолени в сравнително кратък срок – до 25 май 2018 г., а именно:

  1. Разширена дефиниция за личните данни

Към новата дефиниция за лични данни се включват данни за местонахождение, IP адреси, онлайн и други технологични идентификатори.

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице

  1. Акцентиране върху отчетността

Бизнесът следва да увеличи отчетността си по отношение на процеса по обработка на лични данни, чрез разпределяне и налагане на нови отговорности и непрекъснато доказване за съответствие с изискванията на Регламента. С цел насърчаване на прозрачността, следва да са налице ясно дефинирани отговорности по регулиране на информацията, както и процеси и процедури за управление и контрол на достъпа до информация.

  1. Разширени права на субектите на лични данни

Ясно са дефинирани права на субекта на данните, като правото на преносимост на данни, на достъп, на информация, на корекция, на забрана за автоматизирано обработван и правото да бъдат забравени ще трябва да намерят своето място във вътрешни процеси и системи на всяка една организация.

  1. Задължение за докладване на инциденти

Регламентът налага на бизнеса задължение да води вътрешни записи на своите дейности за защита на данните. Също така, нарушенията на данните трябва не само да бъдат съобщени без неоправдано забавяне (в срок до 72 часа), но и да бъдат документирани, като се обясняват основните факти, последиците и предприетите коригиращи действия.

  1. Разширяване на териториалният обхват

Регламентът се прилага както за организации, установени в ЕС, така и за тези, които не са регистрирани в ЕС, но обработват данни на субекти – граждани на ЕС. Създава се и механизъм “на едно гише“ в рамките на ЕС, т.е надзорният орган на основното място на установяване на администратора/обработващия лични данни ще може да действа като водещ при проверки и разследвания на инциденти.

  1. Съгласие

Съгласно Регламента съгласието на субекта на данните трябва да бъде свободно изразено, конкретно, информирано и недвусмислено. Следва да има изрична воля за обработка на личните данни. Администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни за всяка една от целите на обработка. Оттеглянето на волята, следва да се осъществява също толкова лесно, колкото и даването. В Регламента се обръща внимание на обработката на лични данни на деца.

Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

  1. Международен трансфер на данни

Регламентът запазва забраната за трансфер извън ЕС. Посочени са изключения при изпълнение на определени условия и основания, към които са въведени някой нови изисквания.

Предаване на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, се осъществява само при условие че са спазени разпоредбите на Регламента. Само в случаите, когато администраторът и обработващият лични данни спазват условията на Регламента, могат да се извършват последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация. Задължението да се прилагат всички разпоредби на Регламента, е с цел да се направи необходимото ниво на защита на личните данни на физическите лица, осигурено от Регламента, както и да не се излагат на риск.

  1. Повишаване на глобите и санкциите

Регламентът ще да има огромно въздействие върху бизнеса, който не спазва изискванията. Надзорните органи могат да предприемат една или повече мерки, изброени в Регламента, като например:

– да издадат предупреждение или да наложат временна или окончателна забрана за обработване на лични данни; или

– да наложат глоба до 20 000 000 EUR или 4% от общия оборот в световен мащаб, в зависимост от обстоятелствата на всеки отделен случай или и двете.

  1. Необходимост от прилагане на комбиниран подход

Съгласно целите за осигуряване на съответствие с изискванията на Регламента бизнесът следва да приложи комбинативен подход, в който да бъде въвлечена експертиза за бизнес процеси, юридическа и ИТ и който изисква много време за извършването на адекватна оценка на състоянието на самата организация.

  1. Административнонаказателна отговорност

Комисията за защита на личните данни (КЗЛД) – надзорният орган в България, както и при досега действащия режим има правомощието да налага административни наказания „глоба“ или „имуществена санкция“. Регламентът посочва нарушенията, максималният размер и критериите за определяне на съответните административни наказания „глоба“ или „имуществена санкция“, които следва да се определят от КЗЛД във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация. Акцентира се върху надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по Регламента и за да се предотвратят или смекчат последиците от нарушението.

С цел осигуряване на стриктно спазване на Регламента, неговите разпоредби предвиждат увеличаване на размера на предвидените санкции за нарушения на разпоредбите на Регламента в размер до 10 000 000 EUR (или 20 000 000 EUR в определени случай) или, в случай на предприятие – до 2 % (или 4 % в определени случаи) от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

Оправдано, по-високи санкции са предвидени за нарушения свързани с:

  1. основните принципи за обработване на лични данни (законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност, отчетност), включително условията, свързани с даването на съгласие;
  2. правата на субектите на данни съгласно членове 12-22 от Регламента (вкл. право на достъп на субекта на данните, право на коригиране, право на изтриване (право „да бъдеш забравен“), право на ограничаване на обработването, право на възражение и автоматизирано вземане на индивидуални решения, включително профилиране и др.;
  3. предаването на лични данни на получател в трета държава или международна организация;
  4. всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX от Регламента, а именно, свързани с особени ситуации на обработване (вкл. обработване и публичен достъп до официални документи, обработване на националния идентификационен номер, обработване в контекста на трудово или служебно правоотношение и др.;
  5. неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни или непредоставяне на достъп в нарушение;
  6. неспазването на разпореждане на надзорния орган.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

^