Интернет

Коментар на специалиста: Готов ли е бизнесът за GDPR?

Владимир Владков

Бизнесът обработва все повече лични данни и осигуряването на адекватна защита на личните данни придобива още по-голямо значение при предоставянето на услуги през интернет сайтове и мобилни приложения. Какви са изискванията на новия регламент на ЕС, популярен под съкращението GDPR, и какви са отраженията му върху компаниите, гражданите, държавните органи и бизнес моделите коментира адв. Мартин Захариев, адвокат в адвокатско дружество „Димитров, Петров и Ко.“

Какво представлява Регламент 2016/679

Регламент (ЕС) 2016/6791, по-известен като GDPR (съкращение на английския термин General Data Protection Regulation), е правен акт на Европейския съюз, приет през 2016 г. и регламентиращ правилата за обработка на лични данни. Състоящ се от 173 встъпителни съображения, 11 глави и 99 члена, това е най-мащабният законодателен акт в областта на защитата на личните данни, приеман в цялата история на ЕС.

адв. Мартин Захариев, адвокат в адвокатско дружество „Димитров, Петров и Ко."

Регламентът се приема в условията на непрекъснат обмен на данни и нахлуване на нови и нови явления, променящи начина ни на живот (социални мрежи, мобилни приложения, облачни услуги, изкуствен интелект, Big Data и др.). Ето защо, разбираем е стремежът на европейския законодател да създаде подходящи правила за гарантиране на неприкосновеността на личната сфера на индивида, отговарящи на новите реалности. В по-глобален план модернизирането на правилата за защита на личните данни е важна стъпка към утвърждаването на дигитална цифрова икономика в ЕС.

Кого ще засегнат новите правила?

Новите правила ще засегнат всички лица, обработващи лични данни в рамките на своята дейност от свое (т. нар. администратори на лични данни) или от чуждо име (т. нар. обработващи лични данни). Регламентът ще се прилага спрямо администратори/обработващи, установени в ЕС, независимо дали самото обработване на лични данни се извършва в Съюза или не.

Нещо повече, регламентът ще се прилага и за администратори/обработващи, установени извън ЕС, когато се обработват лични данни на граждани на ЕС и дейностите по обработване са свързани с: (1) предлагането на стоки или услуги на такива лица или (2) наблюдение на тяхното поведение, доколкото то се проявява в рамките на ЕС. Това на практика означава, че съществува реална възможност всяка компания, независимо къде е установена, да попадне в обхвата на правилата на регламента, ако насочва дейността си към граждани на ЕС.

Бизнесът обработва все повече лични данни

Новите европейски правила се приемат на фона на наблюдаваната у нас тенденция към увеличаване на броя на регистрираните администратори на лични данни. По данни от Годишния отчет на Комисията за защита на личните данни (КЗЛД) за дейността ѝ през 2016 г., броят на вписаните администратори през 2014 г. е 273 069, през 2015 г. – 278 416, а през 2016 г. – 284 592. Само за 2016 г. са вписани 6 176 нови администратори на лични данни2. За сравнение, през 2016 г. КЗЛД е заличила от регистъра на администраторите на лични данни едва 70 администратори, с което общия брой на заличените администратори е 3713. Общият брой на регистрираните администратори е близо 770 пъти повече от този на заличените.

На практика в съвременните реалности функционирането на всеки бизнес предполага обработката на лични данни – най-малкото всяко предприятие трябва да обработва данни за своите служители, доставчици, клиенти и т.н. Въпросът за осигуряването на адекватна защита на личните данни придобива още по-голямо значение при предоставянето на услуги през интернет сайтове и мобилни приложения (напр. сайтове за електронна търговия, социални мрежи, интернет търсачки, интелигентни услуги и др.).

От 28 национални режима към единен европейски режим за защита на личните данни

Към момента режимът на защита на личните данни е различен в отделните държави членки. Макар и подчиняващи се на обща рамка (Директива 95/464), държавите членки са доразвили европейските правила в националното си законодателство в съответствие с правните си традиции и култура (така например у нас е приет Закон за защита на личните данни). Иначе казано, към момента в ЕС действат 28 различни режима на защита на личните данни. Процесите в електронна среда и обменът на данни обаче често надхвърлят териториалните граници на отделната държава. Това изисква съобразяването на законите на различни държави и е свързано с генерирането на допълнителни разходи, а в крайна сметка създава и правна несигурност. Ето защо, с регламента, който е задължителен в своята цялост за всички държави членки (в т.ч. и за България), се цели създаване на предвидимост за бизнеса чрез въвеждането на унифициран европейски режим на защита на личните данни.

Профил
Адв. Мартин Захариев е завършил право в Софийския университет „Св. Кл. Охридски“ и от присъединяването си към адвокатско дружество „Димитров, Петров и Ко.“ през 2012 г. специализира в областта на правото на интелектуалната собственост, спорове с домейн имена, лични данни и арбитраж. Той е представител по индустриална собственост в областта на марки и дизайни към Патентното ведомство, както и европейски представител по марки и дизайни. Понастоящем Мартин Захариев е докторант в Института за научни изследвания и обучение на докторанти (ИНИОД) към Университета по библиотекознание и информационни технологии (УНИБИТ), София, и подготвя докторска дисертация на тема “Организация и управление на автоматизираното профилиране в контекста на защитата на личните данни”.


Разширява се понятието за „лични данни“

Регламентът разширява понятието „лични данни“, като изрично включва в обхвата му данните за местонмхпждение, онлайн идентификаторите, както и специфичните признаци за генетичната идентичност на физическото лице. Този подход е в унисон и с практиката на Съда на ЕС, която приема, че динамичните IP адреси при определени условия също могат да представляват лични данни (вж. Решение по дело C-582/14, Breyer v. Bundesrepublik Deutschland~cup>5).

Разширява се и понятието за „специална категория данни“, т.е. данни, които поради своята чувствителност ск еабранени за обработка, освен при наличието на ограничен кръг основания (напр. данни за расов/етнически произход, политически възгледи, религиозни/философски убеждения, данни за сексуалния живот и сексуалната ориентация и др.). Регламентът дефинира две нови категории данни като „специална категория“ &ndasy;"генетичните данни и биометричните данни (напр. лицеви изображения или дактилоскопични данни), използвани за целите единственоЈма идентифицирането на физическо лице. Ето защо всяка компания, обработваща подобни данни, трябва да е в състояние да докаже някое от изчерпателно изброените условия за обработка на специалната категория данни.

… и се променят условията за даване на съгласие за обработка на данните

Едно от най-често срещаните в практиката основания за обработка на личните данни – съгласието – търпи съществени изменения с регламента. Мълчанието, предварително отметнатите полета или липсата на действие няма да представляват валидно съгласие за обработка на лични данни. Ако съгласието се дава с декларация, засягаща и други въпроси, то трябва да бъде ясно отличено от другите въпроси, в разбираема и лесно достъпна форма, на ясен и прост език. Съгласието няма да се счита за сл®бодно дадено, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване или ако изпълнението на договор/предоставянето на услуга е поставено в зависимост от даването на съгласие, въпреки че това не е необходимо за изпълнениет®. Съгласието ще може да бъде оттегляно по всяко време и това оттегляне трябва де е също толкова лесно колкото даването му.

Специален режим за даване на съгласие се въвежда за децата, които според регламента са уязвима категория субекти. Деца под 16 години (допуска се държавите членки да снижат този праг до 13 години) няма да могат да дават самостоятелно съгласие при пряко предлагане на услуги на информационното общество. Съгласие за обработката в такъв случай трябва да се даде от носителя на родителската отговорност и администраторът трябва да е в състояние да докаже това обстоятелство.

В този смисъл, всяко предприятие, което основава обработката на лични данни на съгласие респ. насочва услугИЄкъм деца, трябва да извърши сериозен анализ на процедурите за получаване на такова съгласие и съответствието им с регламента.

В част 2: Права за субектите, задължения на бизнеса, санкции


Забележки:

1 Пълното наименование на акта е Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

2 Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2016 г., с. 12, URL: <https://www.cpdp.bg/?p=element&aid=1056> (19.07.2017 г.).

3 Пак там, с. 13.

4 Пълното наименование на акта е Директива 95/46/ЕО на Европейския парламент и на съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X