Интернет

Коментар на специалиста: Готов ли е бизнесът за GDPR? (част 2)

Мартин Захариев

адв. Мартин Захариев, адвокат в адвокатско дружество Какво представлява Регламент 2016/679 (GDPR), защо се наложи неговото приемане и кого ще засегнат новите правила обясни адв. Мартин Захариев, адвокат в адвокатско дружество "Димитров, Петров и Ко.", в първата част от своя коментар на новия регламент.
Въвеждат се повече права за субектите на данни
Може би един от най-големите проблеми пред ефективната защита на личните данни е липсата на информираност за правата, с които субектите на данни разполагат. За това свидетелства и ниският брой жалби, подадени през 2016 г. пред КЗЛД - едва 650, от които 206 са разгледани по същество (79 са били основателни, а 127 - неоснователни)1. Именно с оглед засилване на защитата на субектите на данни регламентът надгражда над действащите правила, разширявайки набора от права на субектите на данни. Основната цел е по този начин всеки потребител да получи контрол върху данните, които се отнасят до него.
Създава се правото "да бъдеш забравен" - то позволява при определени хипотези (напр. ако не са налице основанията за законосъобразна обработка или съгласието за обработка е оттеглено) субектите да поискат техните данни да бъдат изтрити без ненужно забавяне. Нещо повече, ако администраторът е направил такива данни публично достояние, той трябва чрез "разумни стъпки" да уведоми всички други администратори, обработващи данните, че субектът на данните е поискал от тях изтриване на всички връзки, копия или реплики на тези данни.
Правото на ограничение на обработването пък ще позволява на субектите в определени случаи (напр. при оспорване на точността на данните или при неправомерно обработване, при което субектът не желае тяхното изтриване) да поискат от администратора да преустанови обработването на техните данни и само да ги съхранява. Допълнителна обработка ще е допустима само (1) със съгласието на субекта на данните; (2) за установяването, упражняването или защитата на правни претенции; (3) за защита на правата на друго физическо лице; или (4) поради основания от обществен интерес. Препоръчително е компаниите да са в състояние да маркират кои категории лични данни са "ограничени", за да не се допуска допълнителната им обработка, докато въпросът за законосъобразността на тяхното обработване бъде окончателно решен.
Въведено за пръв път с регламента е правото на преносимост на данните. То позволява на субекта на данните да получи личните данни, които го засягат и които е предоставил на администратора, в структуриран, широко използван и машинно четим формат, както и да прехвърли тези данни на друг администратор. Когато е технически осъществимо, субектът има право да поиска директното прехвърляне на данните от един администратор на друг. Това право може да се приложи само ако обработването на данните се основава на съгласие или договор и се извършва по автоматизиран начин. Ето защо, ако бизнесът Ви обработва данни на посочените основания, трябва да сте в състояние да отговаряте на подобни искания за преносимост и възможността за подобно прехвърляне на данните да бъде технически обезпечена.
и се предвиждат реципрочни задължения за бизнеса
Фундаментално значение за разбирането на логиката на регламента има новият принцип на "отчетност". Според този принцип администраторите носят отговорност и трябва да са в състояние да докажат, че спазват правилата на регламента. Това задължение се доразвива в изискването администраторите на лични данни да поддържат регистри на дейностите по обработване. На практика това означава, че задължителната регистрация на администраторите на лични данни в КЗЛД ще отпадне. За сметка на това всяка компания - при проверка - ще е длъжна да докаже какви операции по обработване извършва, какви регистри поддържа, на какво основание извършва обработката и изобщо как е осигурено спазването на правилата на регламента.
Компаниите следва да осигурят защита на данните на етапа на проектирането и по подразбиране. Това означава, че всяко предприятие, обработващо лични данни, е длъжно да въведе подходящи технически и организационни мерки, които осигурят спазване на изискванията на регламента и гарантирането на правата на субектите на данни. Нещо повече, по подразбиране следва да се обработват само тези лични данни, които са необходими за всяка конкретна цел на обработването. Това неминуемо налага преглед на наличните системи за обработка на данните в предприятието, а при необходимост - инвестиране в тях с цел тяхното привеждане в съответствие с новите правила.
В контекста на зачестилите в световен мащаб кибер атаки, важно значение за бизнеса ще има задължението за уведомяване. Администраторите ще са длъжни да уведомяват надзорните органи за всяко нарушение на сигурността на данните в срок до 72 часа от узнаване на нарушението. Отделно от това, администраторите трябва да уведомят с ясен и прост език субектите, чиито данни са засегнати, за естеството на нарушението, евентуалните последици от него, предприетите мерки за справяне с нарушението и др. Задължението за уведомяване на субектите на данни може да отпадне, ако администраторът: (1) е предприел подходящи технически и организационни мерки за защита спрямо засегнатите данни (напр. криптиране); (2) е взел впоследствие мерки, гарантиращи, че няма да настъпи висок риск за правата и свободите на субектите на данни; или (3) би положил непропорционални усилия (в последния случай се осигурява ефективно информиране по друг подходящ начин - напр. чрез публично съобщение).
Администраторите ще трябва да извършват оценка на въздействието, когато определен вид обработване (напр. включващо използването на нови технологии) има опасност да породи висок риск за правата и свободите на физическите лица. Извършването на такава оценка ще е задължително, при (1) систематична и подробна оценка на личните аспекти на физическите лица, служеща за вземане на решения с правни и други значими последици за тях (т. нар. "профилиране" - напр. автоматичен отказ на онлайн искания за кредит, електронни практики за набиране на персонал без човешка намеса и др.); (2) мащабно обработване на специални категории данни или на лични данни за присъди и нарушения; (3) систематично мащабно наблюдение на публично достъпна зона.
Регламентът въвежда нова фигура - длъжностното лице по защита на данните или DPO (съкращение от английския термин data protection officer). То трябва да разполага с експертни познания в областта на законодателството и практиките за защитата на данните и да участва във всички въпроси, свързани със защитата на личните данни в предприятието. Назначаването на такова лице е задължително, ако: (1) администраторът/обработващият е публичен орган или структура (не се прилага за съдилища при изпълнение на съдебните им функции); (2) основните му дейности се състоят в (2.1) операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни или (2.2) мащабно обработване на специалните категории данни или на лични данни, свързани с присъди и нарушения.
Според регламента DPO може да бъде както служител на предприятието2, така и да изпълнява задълженията си по договор за услуги. И двете възможности имат своите предимства и недостатъци. При всички положения възлагането на вече нает служител на функциите на DPO (чрез договор за допълнителен труд при същия работодател, чрез подписване на анекси за промяна на трудовата функция и др.) ще е свързано с по-ниски разходи. Предприятия, обработващи данни в по-малки количества, могат да сключат договори за непълен работен ден с DPO. Големи корпорации, чиито бизнес се основава на обработката на лични данни, по всяка вероятност ще се нуждаят от няколко DPO, които да бъдат взаимозаменяеми при отпуски и други отсъствия. От друга страна ангажирането с граждански договор на DPO, специализирани само в защита на личните данни, също не е лишено от логика. Ето защо, необходима е внимателна преценка за всеки отделен случай с оглед нуждите и ресурсите на съответното предприятие.
Санкциите скачат близо 400 пъти
Може би най-осезаемата промяна, която се прави с регламента, е въвеждането на огромни по размер санкции в случай на нарушение на новите правила. Най-високата санкция според регламента достига до по-високата сума измежду 20 милиона евро или 4% от общия годишен световен оборот на предприятието за предходната финансова година. За сравнение, най-високата санкция според българския Закон за защита на личните данни към момента е 100 000 лева. Иначе казано, налице е увеличение в размер на близо 400 пъти. Ако за основа на санкцията се ползва годишният световен оборот на големи корпорации, има немалка вероятност и увеличението да се окаже дори по-голямо.
Часовникът тиктака
Регламент 2016/679 ще започне да се прилага от 25 май 2018 г. Действията в следващите няколко месеца ще са от ключово значение за това как бизнесът ще отговори на това ново предизвикателство. Огромните санкции, които са непосилни за немалка част от българските компании, не трябва да са единственият стимул за съобразяване с регламента. На новите правила не следва да се гледа като поредното административно бреме, наложено на бизнеса от "чиновници от Брюксел", а като на нова възможност за оптимизиране на процесите по обмен и съхранение на данни в предприятията. Не на последно място, в чисто репутационен план едва ли държавата членка, излъчила еврокомисар в областта на цифровата икономика, ще бъде атрактивна дестинация за нови инвеститори във века на информацията, ако местните компании не бъдат за пример за съответствие с европейските правила за защита на данните.
Забележки:
1Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2016 г., с. 14 - 16. , URL: <<a href="https://www.cpdp.bg/?p=element&aid=1056">https://www.cpdp.bg/?p=element&aid=1056> (19.07.2017 г.).
2Позицията "длъжностно лице по защита на данните" е въведена в Класификатора на длъжностите в администрацията (ДВ, бр. 76 от 30.09.2016 г.), а аналогични изменения се очакват и в Националната класификация на професиите и длъжностите - в този смисъл вж. Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2016 г., с. 6, URL: <<a href="https://www.cpdp.bg/?p=element&aid=1056">https://www.cpdp.bg/?p=element&aid=1056> (19.07.2017 г.).

© Ай Си Ти Медиа ЕООД 1997-2021 съгласно Общи условия за ползване

X