В края на февруари бяха обнародвани промените в Закона за защита на личните данни (ЗЗЛД), които успяха да привлекат общественото внимание, поради наложеното президентско вето и дългоочаквана хармонизация на закона с Общия регламент относно защита на личните данни (GDPR/Регламента).
Защо бяха необходими измененията на ЗЗЛД и как се съотнасят те с GDPR?
Въпреки че Регламентът се прилага пряко в националното законодателство на държавите членки, измененията на българския закон бяха необходими по няколко причини. На първо място, ЗЗЛД съдържаше правила, които станаха неприложими с влизането в сила на GDPR, като например изискването за регистрация на администраторите на лични данни. Освен това самият Регламент предвижда възможности на държавите членки да въведат допълнителни правила и да уредят защитата на данните там, където GDPR мълчи. С други думи – разпоредбите на ЗЗЛД или конкретизират GDPR в случаите, в които самият той допуска това, или въвеждат нови правила съобразно дерогациите по чл. 85 и сл. от Регламента.
Именно поради факта, че основните отношения по защита на данните се уреждат от GDPR, настоящият ЗЗЛД съдържа предимно допълващи правила, както и уредба на функциите на Комисията по защита на личните данни (КЗЛД) като надзорен орган в областта. Значима част от ЗЗЛД – цялата Глава 8, дори не е пряко свързана с GDPR, а транспонира т.нар. „полицейска директива“ (Директива 2016/680). Задълженията, предвидени в нея, се отнасят само за компетентните държавни органи, които осъществяват разследването на престъпления и изпълнението на наказания.
Какви допълнителни правила за бизнеса предвижда българският закон?
Основната част от допълнителните правила са уредени в чл. 25а – чл.25о от ЗЗЛД. Според първото от тях, ако администратор/обработващ разполага с данни, предоставени от субекта, чието обработване е без правно основание или противоречи с принципите на GDPR, той следва да върне данните в срок от 1 месец от узнаване. След това данните трябва да се изтрият или унищожат, като това се документира по надлежния начин.
Нашият закон предвижда няколко изисквания, свързани с чувствителни данни на субектите, включително и относно техните единни идентификационни номера. Важно правило е, че копирането на лични карти или свидетелства за управление на МПС не се допуска, освен ако това не е предвидено в закон. Към момента това е масова практика на голяма част от българските работодатели, която следва да бъде преустановена. Освен това законът забранява предоставянето на свободна публична информация, която съдържа ЕГН/ЛНЧ, както и използването на тези номера като единствено средство за идентификация при предоставянето на отдалечен достъп до електронни услуги (т.е. не следва да бъдат парола за достъп).
Българският закон въвежда по-ниска възраст, до която е нужно родителско съгласие за законосъобразно обработване на данни на деца – а именно навършени 14 вместо 16 години. Допълнителни изисквания са предвидени относно мащабното обработване на лични данни (включително и при видеонаблюдение), според които администраторите/обработващите трябва задължително да приемат правила за обработването.
Специални правила са предвидени и за обработването на лични данни за журналистически, научни и литературни цели, като това е и разпоредбата, която предизвика налагането на президентското вето. Правилото беше прието въпреки противопоставянето и предвижда, че обработването в тези случаи трябва да се прави след балансиране на свободата на изразяване с правото на информация и правото на защита на личните данни. Въпреки че това беше разпоредбата, която привлече най-много обществено внимание, от най-голямо практическо значение за бизнеса са правилата, свързани с обработването на данни на работници и служители.
Обработване на данни на работници и служители
Регламентът предвижда, че държавите членки са свободни да предвидят по-конкретни мерки по отношение обработването на лични данни в контекста на трудовите правоотношения (чл. 88 GDPR). Това, което българският законодател урежда в тази насока, е че ако даден работодател използва системи за докладване на нарушения или пък такива за контрол на достъпа, работното време и трудовата дисциплина, както и при въведени ограничения при използване на вътрешнофирмени ресурси, той трябва да приеме специални правила и процедури за обработваните данни и да ги доведе до знанието на служителите си.
Работодателите трябва да определят срок за съхранение на лични данни на кандидати за работа. Според закона, той трябва да е максимум 6 месеца, ако не е дадено съгласие за по-дълъг срок. Когато пък по време на кандидатстването се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност, необходимата квалификационна степен и стаж, работодателят трябва да ги върне на неодобрените кандидати в 6-месечен срок от приключване на процедурата.
Заключение
След приемането на GDPR, българският закон играе ролята на допълващ и конкретизиращ основната уредба на европейско ниво. От практическо значение за бизнеса са правилата на ЗЗЛД, които са свързани със защитата на данните в контекста на трудовите правоотношения. Те целят да ограничат количеството чувствителни данни, които работодателите събират, както и времето, за което се обработват данните на неодобрените кандидати за работа. Законодателят поставя акцент и върху изготвянето на писмени правила и политики за обработване на лични данни както в контекста на работното място, така и във всеки случай на мащабно и систематично събиране на информация.
Поискайте консултация с наш експерт, за да разберете дали допълненията в ЗЗЛД се прилагат за Вашия бизнес.