През май 2018 година европейските държави и граждани, както и много субекти извън ЕС  ще бъдат изправени пред правното и технологично предизвикателство наречено Общ регламент за защита на личните данни, по-известен като „GDPR“ (General Data Protection Regulation). Регламентът ще внесе значителни промени в процесите свързани със събирането, обработването и използването на лични данни, които се извършват в държавните институции, в частния сектор дори и в ежедневието на обикновения гражданин.

Регулацията в сферата на личните данни до влизането в сила на GDPR се осъществява от Директива 95/46 ЕС за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, както и от националното законодателство, прието в изпълнение на целите й (за България: Закон за защита на личните данни и съответните подзаконови нормативни актове).

Какво се променя с влизането в сила на GDPR? След като представихме в Първа част 5 промени, ето останалите 5 най-значими разлики в режима на защита на личните данни, които ще настъпят след 25-ти май 2018-та година, според „Господинов и Генчев“:

  1. Разширяване и засилване правата на субектите на данни.

Фундаменталната промяна, която Регламента осъществява, е свързана със засилването на правата на физическите лица, за които личните данни се отнасят (т.нар. „субекти на данни“/”data subjects”). По сега действащата уредба, поне на хартия, притежаваме право на достъп до нашите лични данни, да поискаме да ги поправим, изтрием или да ги блокираме, можем и да възразим срещу нечий директен маркетинг или да откажем да ни бъдат рекламирани конкретни продукти и услуги.

Какво тогава се променя?

  • Съгласието – на субектът да му се предостави честна информация за това как точно ще се обработват данните му и с каква цел, а той да се съгласи. Но не просто някак, а свободно и недвусмислено. Т.е.  изявлението му да не е просто сбутана клауза сред десетки страници общи условия, както и да не бъде условие за ползването на съответния продукт или по друг начин изкривено.
  • Правото на достъп вече е много по-засилено и целта е да се премахне ограничаването му чрез неоправдани такси, които да възпират субектите.
  • И в досегашната уредба съществува “правото да бъдеш забравен”, но то бива още по-силно застъпено от Регламента като то може да бъде пожелано не само от “търсачките”, но и от всеки един бизнес , който обработва данни. Ако субект пожелае да упражни това свое право, въпросния бизнес трябва да се съобрази с това и да гарантира, че те няма да бъдат използвани и ще бъдат заличени.
  • Може би най-значимото право дори чисто икономически погледното е правото на пренос на данните ни от един доставчик на услуги на друг. Например всички снимки, видеа, приятели и публикации от Facebook да решим да ги пренесем в негов аналог, който ни предлага по-добри условия, тогава Facebook ще бъде длъжен да ни помогне да изнесем всички данни свързани с нас към новия доставчик.
  • Друго, което новата уредба въвежда са мерките относно профилирането или „автоматичното вземане на решения“. Това са случаите, при които, без човешка намеса, само на базата на автоматизиран алгоритъм, който обработва лични данни, се вземат решения за съответния субект. Например – компания за бързи кредити одобрява даването им на база на точкуване по определени критерии, което се извършва изцяло от компютър на база лични данни. В такива случаи субектът трябва да е уведомен и може да възрази срещу вземането на такова решение по отношение на него.
  1. Съобщаване на нарушенията в сигурността на личните данни (“Data breach”).

От сега нататък нарушенията в сигурността на личните данни трябва да бъде съобщавана. Регламента залага изисквания относно докладването за тези нарушения в различни направления.

Първо бива уведомен администратора от обработващия данни, че е извършено нарушение в сигурността.

След това се уведомява съответния надзорен орган (КЗЛД в България)  – без неоправдано забавяне и до 72 часа. Изключение от задължението за уведомяване има, ако е малко вероятно да се причинят вреди на субектите на данни в следствие на пробива.

Накрая, трябва да бъдат уведомени и самите субекта на данни, което намира приложение при висок риск и опасност за техните права и свободи. Това уведомяване трябва да се случи без неоправдано забавяне. Има освобождаване от това задължение, когато данните са неразбираеми, криптирани или са взети мерки за намаляване на риска, или ако не се знае къде е това лице, или не може лесно да се свържат с него поради липса на негови контакти.

  1. Задължения за определяне на Длъжностно лице по защита на личните данни:

До момента на европейско ниво няма императивна норма, която да задължава администраторите/обработващите лични данни да ангажират специализиран професионалист за защита на личните данни, но GDPR променя това.

Не всеки обаче е задължен да има такова Длъжностно лице. Задължени са:

  • Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  • Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни;
  • Администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Разбира се, Регламентът насърчава назначаването на такова Длъжностно лице, дори и да не е задължително – като организационна мярка за осигуряване защитата на личните данни в една компания. Това длъжностно лице не е необходимо да бъде непременно служител на компанията, като то трябва да притежава определени познания в сферата на защита на данните.

  1. По-широки граници на понятието „лични данни“

Обект на GDPR са само данни, които могат да бъдат определени като лични, a, ако не могат да бъдат определени като такива, не попадат под обхвата на Регламента. Сега, наред с обичайно възприетите като лични данни: име, адрес, телефонен номер, GDPR изрично прокламира като такива и онлайн идентификатори като IP адреси, DeviceID (уникален индентификатор на устройство) и други.

Интересен вид данни са така наречените “psedounymous data” или “псевдонимизирани данни”, които са “хеширани” или преизчислени по начин, по който не могат да бъдат директно свързани с конкретно лице. Превръщайки данните, които събирате в такива издадени “под псевдоним”  при евентуално нарушение на данните разполагате с облекчени процедури за съобщаването му.

  1. Много по-тежки санкции и надзор:

Накрая, но не на последно място, една от основните причини за видимостта на GDPR в обществото и бизнеса са значителните санкции, които той въвежда за нарушители. Те могат да достигнат до 20 млн евро или 4% от годишния световен оборот на една компания (която от двете стойности е по-висока) при най-сериозните нарушения на сигурността на личните данни.

До момента не е съществувала възможност  на държавните органи да навлизат в частния бизнес сектор и да правят одит свързан с данни, както и да налагат конкретни предписания, но GDPR създава това право за регулаторите. Те ще имат възможност да издават и предписания, които са задължителни за изпълнение.

От друга страна, до момента компаниите, които оперират в различни държави в ЕС, са били длъжни да докладват на регулататора, в чиято държава се намира центъра на икономическата им активност. С новата уредба това се променя така че те ще продължават да имат регулатор, с когото работят на място, но вече всеки друг регулатор на друга държава-членка, който е сигнализиран от свои граждани, може да започне производство срещу нарушителя.

 

© 2019 Linx.bg

logo-footer