През май 2018 година европейските държави и граждани, както и много субекти извън ЕС  ще бъдат изправени пред правното и технологично предизвикателство наречено Общ регламент за защита на личните данни, по-известен като „GDPR“ (General Data Protection Regulation). Регламентът ще внесе значителни промени в процесите свързани със събирането, обработването и използването на лични данни, които се извършват в държавните институции, в частния сектор дори и в ежедневието на обикновения гражданин.
Регулацията в сферата на личните данни до влизането в сила на GDPR се осъществява от Директива 95/46 ЕС за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, както и от националното законодателство, прието в изпълнение на целите й (за България: Закон за защита на личните данни и съответните подзаконови нормативни актове).

Какво се променя с влизането в сила на GDPR? Ето кои са 10-те най-значими разлики в режима на защита на личните данни, които ще настъпят след 25-ти май 2018-та година, според „Господинов и Генчев“:

1. Вече е Регламент, а не Директива

Към днешна дата основният акт за защита на личните данни на ниво ЕС е Директива 95/46 ЕС. За разлика от нея, GDPR е Регламент, който съдържа конкретни правила за поведение, които се изпълняват пряко. Директивата определя цели, които трябва да бъдат постигнати от страните членки в определен срок. Този срок позволява на националните правителства да адаптират местното законодателство към новата регламентация (транспониране на директивата). Чрез нея се постига „хармонизация“ на националните законодателства в ЕС. Докато Регламентът има пряко действие, прилага се в неговата цялост във всички страни от съюза веднага след влизането му в сила, без националните правителства да е необходимо да приемат национално законодателство. Естествено, GDPR допуска държавите членки да се отклоняват в известна степен от нормите му, особено що се касае до предвиждането на по-тежка или по-детайлна уредба. Но, в крайна сметка ефективността на политиката на ЕС е по-голяма, постига се „унификация“, не само хармонизация.

2. Обхват – екстериториалност

Друга много важна промяна, особено за компаниите намиращи се извън Европейския съюз, е обхватът, който регламента ще има. Той намира приложение за всички установени в Европейски съюз субекти, но не приключва до там. Под регулацията на регламента попадат и субекти създадени и функциониращи извън ЕС, които предлагат своите услуги и стоки на европейски граждани, дори те да са безплатни. От новата регулация бива засегнати и тези, които осъществяват  следенето на поведението на гражданите на ЕС, независимо къде са установени. Същото се отнася за таргетирането или намерението за таргетиране на хора, които са на територията на ЕС. Важно за компаниите, които се намират извън ЕС, но извършват някоя от посочените дейности е, освен да съобразят с новото законодателство, но и  да посочат представител на територията на Европейското икономическо пространство, за да могат надзорните органи да се свързват с тях или да извършват проверки, когато това е необходимо.

3. Отчетността е цар

Принципът на отчетността е една от основните нишки, от които е изтъкана нормативната база на GDPR. Накратко, това означава, че задължените субекти по регламента не просто трябва да го спазват, а трябва да могат във всеки един момент „да демонстрират“ съответствие. Т.е. необходимо е извършването на редица „подходящи“ процедури и водене на регистри, чиято основна цел е създаване на доказателства и документиране на съответствието на една компания с GDPR. Такива са, например:

  • Регистър на дейностите по обработване;
  • Процедури за въвеждане и изпълнение на мерки за сигурност на данните;
  • Оценки за въздействие при обработването на лични данни;
  • Трябва да може да се демонстрира, че са взети мерки за неприкосновеност на данните още на етапа на проектиране (“privacy by design”);
  • Неприкосновеността трябва да е по подразбиране („privacy by default”) и т.н.

Друго измерение на принципа на отчетността е доказателствената тежест за администратора по отношение спазването на правата на субектите. Така, например, той трябва да може да демонстрира, че е приел и изпълнил в срок заявка на субекта да бъдат изтрити всички негови данни в системата на администратора.

4. Отчетност и на обработващите данни

За разлика от досегашната уредба, GDPR засяга сериозно компаниите обработващи данни (например доставчиците на т.нар. „cloud based” услуги). Разбира се, отговорността остава предимно за администратора, но новите правила създават директни задължения за отчетност на обработващите данни, както и задължения за сключване на договори между тях и администраторите, които трябва да имат определени задължителни клаузи.

Обработващите данни в голяма част от случаите ангажират подизпълнители, които обработват част от данните, за които администраторът отговаря.  При тези случаи европейският законодател задължава в договорите между обработващият и неговия подизпълнител, да се включат поне същите задължения за осигуряване сигурността на данните, които сам обработващият е поел пред администратора. Това изискване съдържа голяма вероятно да доведе до усложнения в  търговските преговори между обработващите.

5. Условията за пренос на данни в трети стани не стават по-леки

Съществуващата уредба ограничава изнасянето на данни извън Европейското икономическо пространство, а очакванията за  някаква по-голяма гъвкавост или нова методология за изнасяне на данни извън ЕС, меко казано, не се оправдават от GDPR.  Напротив – системата се затвърждава.  Решенията на ЕК за наличие на адекватни защити на личните данни в страните от ЕС остават, също, както и стандартните клаузи в договори за пренос на данни, които вече ще могат да се одобряват и от местните надзорни органи (КЗЛД в България).

Очаквайте Част втора от прегледа на разликите, които GDPR въвежда, в които ще разгледаме правата на субектите на лични данни, Длъжностното лице по защита на личните данни и други.

 

© 2019 Linx.bg

logo-footer