Автор: Преслав Балджиев
На 25.05.2018 в сила влезе Общия регламент за защита на личните данни (ОРЗД/Регламентът), който се превърна в основополагащ не само за ЕС, но и за държави извън общността. Според член 97 на всеки 4 години, считано от 25.05.2020 Европейската комисия трябва да създаде доклад, с който да оцени и прегледа Регламента.
Какво представлява ОРЗД?
ОРЗД е нормативен акт (регламент), който е задължителен в цялост за всички държави-членки на ЕС. За разлика от своя предшественик (Директива 95/46), който е различен вид нормативен акт (директива) и който има задължителен характер единствено за резултата, то Регламентът задължава страните от Евро-общността да изпълнят конкретни стъпки, за да постигнат конкретни резултати.
ОРЗД може да се определи като един завършен нормативен акт, тъй като с него се въвеждат и се поясняват нови термини (пример: Длъжностно лице по защита на личните данни), разяснени са моделите, които държавите-членки трябва да следват и са предвидени санкции, които да бъдат налагани при неизпълнение.
Какво промени ОРЗД?
В по-голямата си част разпоредбите, които са залегнали в ОРЗД, се срещат под една или друга форма и в националните законодателства на държавите-членки. С изготвянето на единния за ЕС нормативен акт се целеше уеднаквяване на законодателната уредба, която страните от Европейската общност са приели в сферата на защитата на лични данни.
Независимо дали вкарва иновации или само доизпипва вече установените законодателни мерки, ОРЗД издига на пиедестал няколко ключови елемента:
- Гарантира права на потребителите – Новите задължения на Администраторите на лични данни произлизат от гаранциите, които Регламентът осигурява за правата на потребителите. Пример за гарантирано право е Правото да бъдеш забравен (отказ от последваща обработка на личните данни).
- Неприкосновеност на личния живот – ОРЗД предвижда неприкосновеност на лични живот и най-вече на личните данни. Един от механизмите, с които тази неприкосновеност се гарантира и предвидената за потребителите възможност да откажат обработване на лични данни за други цели (различни от тези, за които личните данни са събрани).
- Отчетност и прозрачност – Регламентът задължава Администраторите на лични данни да докажат, че изпълняват изискванията на нормативния акт. Това включва правилно съхранение, обработка и защита на личните данни, назначаване на Длъжностно лице по защита на личните данни и други.
- Осведоменост – Това е чисто психологическа последица. Важността на Регламента направи така, че все повече граждани на ЕС да бъдат осведомени за правата си и възможните начини за защита и то не само в сферата на Личните данни.
Кои са най-разпространените нарушения на правилата за защита на личните данни?
В типично бунтарски стил, някой би казал, че правилата са създадени да се нарушават. Уви, такъв не е случаят с уредбата, която Регламентът вкарва – идеята за спазването на разпоредбите, залегнали в този документ, е скрепена с предвидените в него глоби. Въпреки това, не са малко нарушенията, които компетентните органи са констатирали. Причината тези нарушения да бъдат факт не може да се обясни с неефективността на санкциите, а по-скоро липсата на осведоменост на Администраторите на лични данни.
Най-често срещаното нарушение е свързано с основанието за обработване на лични данни. В ОРЗД са предвидени 6 основания, които са приложимо при различни ситуации, а именно:
- Съгласие – Това съгласие следва да бъде свободно, конкретно и изрично изразено от страна на субекта на лични данни, като неговата преценка (дали да даде или не даде съгласие) трябва да се основава на неговото информирано мнение. Въпреки това, в представите на много Администратори на лични данни битува схващането, че това основание е винаги приложимо и то премахва нуждата от останалите пет основания за обработване на лични данни. Всъщност, ако обработването на лични данни стъпва на някое друго основание, то не е нужно субектът на лични данни да дава съгласие (подобно съгласие дори би било невалидно).
- Изпълнение на договор – Щом личните данни се обработват на основание „изпълнение на договор“, то субектът на лични данни задължително трябва да бъде страна по сключвания договор. Формата на договора не е от значение (устна или писмена), но с цел по-лесно доказване е препоръчително да бъде сключен писмен договор между страните.
- Законово задължение – Очевидно от името, законовите задължения произтичат от закона и те касаят само Администратора на лични данни. Ключовият момент тук е, че Администраторът на лични данни следва да може да посочи конкретна правна норма, било то в Българското или Европейското законодателство, на която да се основава задължението му за обработване на личните данни.
- Жизненоважни интереси– За разлика от законовото задължение, при което има проявление по отношение на Администратора на лични данни, то жизненоважните интереси касаят живота или здравето на субекта на лични данни (евентуално и на друго физическо лице). Видно от краткото обяснение, това основание се прилага при чувствителни лични данни.
- Обществен интерес– Под обществен интерес следва да се разбира всичко свързано с благосъстоянието на дадено общество. На това основание се обработват личните данни от държавните и общински органи в рамките на тяхната компетентност и правомощия.
- Легитимен интерес– Легитимният интерес има значение за Администратора на лични данни (и евентуално за трети лица). При позоваване на това основание, Администраторът на лични данни следва да установи дали легитимният му интерес има преимущество над интересите и основните права и свободи на субекта на лични данни. Ако отговорът е утвърдителен, то основанието ще бъде законосъобразно. В противен случай, легитимният интерес няма да бъде приложимо основание.
Освен незаконосъобразност на основанията, друго често срещано нарушение е неспазване на принципите за обработване (те подробно са разгледани в друга статия). Най-често нарушаваните принципи се свеждат до четири на брой, а именно:
- Законосъобразност, добросъвестност и прозрачност;
- Съобразяване на обема лични данни с целите за тяхното обработване;
- Цялостност;
- Свеждане на данните до минимум;
- Точност и актуалност;
- Ограничение на съхранението;
- Поверителност.
Третият вид нарушения са свързани с предприетите мерки за защита на обработваните лични данни. Макар да сме ги поставили на трето място, подобни нарушения имат сериозни последици, тъй като са свързани с изтичане на лични данни, а това, само по себе си, създава условия за злоупотреба с лични данни.
Четвърти вид са нарушения, при които на субектите на лични данни не им е предоставена възможност да упражнят свое право. Примери за такива права са: Правото да бъдеш забравен, Правото да оттеглиш съгласие и прочие. Това, на пръв поглед, изглежда маловажно нарушение, но подобно невъзможност за упражняване на право е в особена тежест за Администратора на лични данни, особено в светлината на схващането, че субектът на лични данни е по-слабата страна.
Съвети за избягване на най-разпространените нарушения на правилата за защита на личните данни.
При така изложените проблеми е съвсем естествено да се търсят средства, гаранции или начини за избягване на тези нарушения, а с това и избягване на налагането на санкции. Съветите, които трябва да бъдат дадени на Администраторите на лични данни, могат да бъдат обединени в следните три групи:
- Висока теоретична и практична квалификация – В повечето случаи, нарушенията на разпоредби от Регламента могат да бъдат избегнати с добра осведоменост относно теоретичните постановки в документа, както и неговото практическо прилагане. Съвсем естествено е Администраторите на лични данни да се обърнат към специалисти в сферата на защитата на лични данни, които да им дадат насоки и препоръки относно начините и правилата за обработване.
- Адекватна и пълна защита – Ставайки въпрос за лични данни, всеки техен субект ще подходи с едно наум преди да ги предостави. Точно тук идва ролята на Администратора на лични данни, а в определени случаи и на Обработващия лични данни, които са длъжни да подсигурят необходимите физически, технически и софтуерни защити на предоставените данни. Подобни защити могат да бъдат свързани с използването на сейф, ако данните се съдържат на хартиен носител до прилагането на пароли за достъп до определени помещения или компютърни мрежи. По-подробни насоки могат да бъдат предоставени от експерти в областта на сигурността и нейното подразделение кибер-сигурността.
- Ясна преценка при събиране на личните данни – Както беше споменато по-горе, не са малко случаите, при които се налагат глоби само защото Администраторът на лични данни си е превишил правата при обработването им. Причините за подобни, нека условно ги наречем, грешки, могат да бъдат различни, но най-често се изчерпват до липсата на ясна представа защо и с каква цел се събират лични данни. Правилото на Мечо Пух „Колкото повече, толкова повече“ не винаги е най-добрият съвет, от който Администратор на лични данни следва да се води. Конкретна препоръка в светлината на този механизъм за превенция е трудно да се даде особено като се има предвид, че всяко обработване на лични данни е различно. Затова е необходимо Администраторът на лични данни да има ясна представа защо, как и по какъв начин тези лични данни ще бъдат обработвани от него.
Какво следва оттук нататък?
Макар ОРЗД да е влязъл в сила преди около четири години, неговото прилагане е един непрестанен динамичен процес, при който е необходимо постоянно да се отправя поглед към развитието на технологиите. Точно това налага поставянето на нови цели за следващия 4-годишен период до новия Доклад на Европейската комисия:
- Хармонизиране на националните законодателства – Към момента ОРЗД съдържа разпоредби, които могат да бъдат доуточнявани от държавите-членки. Занапред се предвижда този подход да бъде цялостно преустановен, като това да доведе до намаляване и евентуално премахване на фрагментацията в законодателството на отделните държави.
- Гарантиране на независимост на националните органи – Националните органи, които са ангажирани със следенето и прилагането на ОРЗД се оказаха ключово звено по транспонирането на Регламента. Затова Европейската комисия ще продължи да насърчава тяхната независима дейност и ще им предостави всякакви необходими средства, свързани с прилагането на Регламента.
- Подпомагане на държавите-членки – Още преди ОРЗД да влезе в сила, бе създадена Работна група, която да подпомага комуникацията с отделните държави-членки. Тази работна група ще продължи да съществува и да оказва необходимото съдействие на страните в Европейската общност.
Извод
Още с влизането си в сила, ОРЗД се оказа един ключов нормативен акт с продължително действие, който гарантира, че данните, свързани със свободния трафик на услуги, стоки, капитали и хора, ще останат защитени. Регламентът не само осигурява безопасност за субектите на лични данни, но и създава единна законодателна система, чрез която да улесни всеки един Администратор – било то от държава-членка или от страна извън Европейския съюз.
Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно прилагането на GDPR в България няколко години след влизането в сила на Регламента, както и най-разпространените нарушения на правилата за защита на личните данни. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. От 2017 година Преслав Балджиев е студент по право в Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.