През пролетта на 2018 г. едно четирибуквено съкращение беше навсякъде - GDPR (от английското General Data Protection Regulation - Общ регламент за защита на данните). Темата за защитата на личните данни изведнъж се превърна във водеща, хората започнаха да обръщат повече внимание на това как и защо се обработват данните им, а бизнесите в Европейския съюз (ЕС) и извън него - да разучават новите изисквания и да се опитват да приведат дейностите си в съответствие. Причината бе, че от 25 май 2018 г. започна да се прилага новият европейски регламент за защита на данните. Той въведе по-строги изисквания за обработването на лични данни, придружени със сурови санкции за нарушения.
Какво се промени три години след като новите правила на GDPR започнаха да се прилагат и какво научихме?
Три години по-късно вече знаем, че макар GDPR да въвежда множество изисквания, той не е равнозначен на забрана за обработване на лични данни. Всеки от нас присъства в обществото със своето име, професия и професионален опит, външен облик, знания, компетенции и мнение и обработването на тези данни е необходимо за нашето идентифициране, за да можем пълноценно да участваме в обществения живот и да бъдем различавани от другите. В допълнение, всеки от нас ежедневно има досег до лични данни и няма как това да се избегне, независимо дали попада в обхвата на GDPR или не. Нещо повече - няма бизнес или публичен орган, който в хода на нормалната си дейност да не обработва лични данни - за служители, за клиенти или техни представители/служители, за граждани и т.н.
В последните три години често се говори за "пълно съответствие" (full compliance) на един бизнес с GDPR и представата обикновено е за набор от документи, който трябва да бъде изготвен еднократно и с който може да се гарантира съответствието занапред. За съжаление изпълнението на изискванията на GDPR не е еднократно усилие по изготвяне на документи. Както всеки бизнес се развива, така и извършваните операции по обработване на лични данни се развиват и променят и прилаганите документи и процедури се нуждаят от редовен преглед и актуализация. Отделно от това, важно е не само администраторът (който определя защо и как се обработват лични данни) да разполага със съответните документи, но и да ги прилага ефективно в максимална степен. Дори една организация да има чудесни документи, ако на практика не ги спазва и това бъде установено от Комисията за защита на личните данни (КЗЛД) (като например нарушение на сигурността или събиране на данни без основание), тя ще бъде санкционирана въпреки приложимите по документи процедури. Както воденето на счетоводство е динамичен процес и предполага осчетоводяването на всяка стопанска операция, така и всяко обработване на лични данни следва да бъде документирано, в компанията да е ясно защо се извършва обработването и какви правила и гаранции трябва да се прилагат, за да се спазват изискванията на закона.
GDPR въведе нов принцип при обработването на лични данни - този на отчетността. Това означава, че администраторите на лични данни трябва да могат да докажат, че спазват всички принципи на GDPR (законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност). Какво означава това на практика? Най-често за целите на отчетността служат вътрешни документи на администратора, в които горните принципи намират място. Пример за такива са вътрешни правила, в които се определят задълженията на служителите по обработването на лични данни, политики за съхранение на лични данни, инструкции за спазване на технически и организационни мерки за обработване на лични данни, както и задължителните за почти всички администратори регистри на дейностите по обработване. В тези регистри се отразяват спецификите на основните процеси по обработване на данни - отношения с персонал, кандидати за работа, клиенти, доставчици, видеонаблюдение и др. Във връзка с принципа за прозрачност администраторът следва да информира лицата, чиито данни обработва, за извършваното от него обработване, като им предостави детайлна и лесно разбираема информация за това какви данни обработва, какви цели преследва с това и на какво основание. Субектите на данни трябва да са информирани и за какви срокове се пазят данните им, на кого могат да се разкриват, какви права имат хората и как могат да ги упражнят ефективно. В допълнение, администраторите трябва да прилагат процедури за разглеждане на искания за упражняване на права и за съобщаване в случай на нарушаване на сигурността (когато се изисква), съществени промени в обработването и всяка друга информация, която засяга значително хората.
GDPR въведе една нова фигура - на длъжностното лице по защита на данните (ДЛЗД). ДЛЗД не е задължително за всяка организация, обработваща данни, а само в някои случаи, очертани от GDPR. Такива са публичните органи (с изключение на съдилищата за съдебните им функции) и администраторите и обработващите, чиито основни дейности се състоят в редовно и систематично мащабно наблюдение на хора или в мащабно обработване на "чувствителни" лични данни (като данни за здравето, биометрични данни, генетични данни и др. изчерпателно посочени в член 9 GDPR) и на лични данни, свързани с присъди и нарушения.
На първо място, всеки администратор в България е необходимо да уведоми КЗЛД за назначеното от него ДЛЗД. Това се случва чрез формуляр, публикуван на интернет страницата на КЗЛД, който може да бъде подаден и електронно с квалифициран електронен подпис.
Три години по-късно вече е значително по-ясно кой може да изпълнява функциите на ДЛЗД и кой - не. Като за начало няма пречка ДЛЗД да е служител на компанията, но също така е възможно да е външен за организацията човек или дори юридическо лице, което предоставя изпълнението на функцията "ДЛЗД" като услуга. Когато ДЛЗД е служител, най-същественото е, че не трябва да има конфликт между функциите му на ДЛЗД и другите му трудови или служебни функции, ако съвместява такива. Най-честият пример за конфликт е, когато за ДЛЗД е назначен човек с управленчески функции в организацията, който на практика взема решения за това как да се обработват лични данни. Подобно назначение би било в противоречие със задължението ДЛЗД да е независим консултант и наблюдател за спазването на задълженията по GDPR и да посредничи и да си сътрудничи с надзорните органи. Иначе казано, в такава ситуация ДЛЗД би трябвало да контролира сам себе си, което е конфликт на интереси. Затова не може главният счетоводител, главният юрисконсулт, главният IT специалист, ръководителят на човешки ресурси, управителят и др. под. ръководни длъжности да бъдат определени и за ДЛЗД. При сключване на договор с юридическо лице за изпълнение на функциите на ДЛЗД най-същественото е, че макар да има сключен договор с дружество, за възложителя, ползващ услугите му, трябва да се посочи конкретно физическо лице, което ще бъде отговорно за неговото обслужване. Това се налага, тъй като формулярът за уведомяване за назначаване на ДЛЗД изисква попълване на данните на физическо лице, а и КЗЛД публикува изрични указания в този смисъл.
Преди GDPR да започне да се прилага, законът предвиждаше всеки администратор на лични данни да се регистрира пред КЗЛД, преди да започне обработването. С GDPR се въведе нов режим, при който всяка организация може да обработва лични данни, без да се регистрира. Това означава, че всички изисквания на GDPR се прилагат автоматично към всеки администратор и обработващ личните данни, стига обработването да попада в обхвата на Регламента. Не се искат формалности и допълнителни стъпки, за да се започне обработването. В същото време обаче организациите по всяко време носят тежестта да докажат, че спазват законовите изисквания за обработване на лични данни (виж т. 3 по-горе за отчетността).
Често срещан въпрос е в какъв мащаб обработването на лични данни поражда задължения по GDPR. Отговорът е, че макар GDPR да предвижда изключения от обхвата си, нито едно от тях не е свързано с обема или вида на обработваните данни. Например уебсайт, който събира единствено имейл адреси от потребителите, желаещи да получават бюлетин, се счита за администратор на данни и трябва да се съобрази с всички приложими правила на GPDR. Нещо повече - с решение от 2016 г. (C-582/14, по-известно като "Breyer") Съдът на ЕС приема с известни условности, че динамичните IP адреси, обработвани от уебсайт, са лични данни, тоест всеки уебсайт, достъпен в интернет, би могъл да се приеме за администратор на лични данни, дори и да не събира каквито и да било други лични данни.
Източник : Капитал
Автори : Радослава Макшутова, доц. д-р Мартин Захариев
Запитай тук