На 30.04.2018 г., по-малко от месец преди датата, от която започва да се прилага новият европейски регламент за защита на личните данни – Регламент 2016/679 (GDPR), в публичното пространство бе публикуван Проект на Закон за изменение и допълнение на действащия в момента в България Закон за защита на личните данни (Проекта). С Проекта се цели хармонизирането на българското законодателство за защита на личните данни с европейското такова.
В настоящата публикация ще обърнем внимание само на някои от най-съществените и интересни елементи в Проекта, като целият Проект следва да бъде обект на детайлен анализ и оценка от всички заинтересовани лица в идните дни:
- Съвсем очаквано за надзорен орган по смисъла на GDPR официално бе определена Комисията за защита на личните данни (КЗЛД), която и до този момент изпълняваше тази функция. Тя ще е независимият орган, който ще следи за защитата на лицата при обработването на техните лични данни, както и контрола по спазването на Регламента.
- GDPR представи пред обществото една нова фигура, а именно на длъжностното лице по защита на личните данни. С Проекта българският законодател добавя ново основание за назначаването такова лице, поставяйки точни граници за назначаването му, а именно обработка на лични данни на „10 000 физически лица“.
- Проектът предвижда КЗЛД да организира и провежда обучения на лицата, определени за заемане на длъжността „длъжностно лице по защита на личните данни“ или на лица, желаещи да бъдат обучени за заемане на тази длъжност. Обученията ще се заплащат по тарифа, определена от Министъра на финансите. Това е специфични национално разрешение, което няма аналог в GDPR и което е в известна степен спорно, защото европейското законодателство не предвижда специфично сертифициране/задължителна регистрация за тази длъжност.
- Едно от интересните нововъведения е свързано със задължението при получаване на данни без правно основание, независимо дали от администратор или от обработващ, същите да бъдат върнати незабавно или изтрити в срок от един месец от узнаването.
- Снижен е възрастовият праг за получаване на съгласие от деца при предлагане на услуги на информационното общество (от 16 г. по GDPR до 14 г. по Проекта). Тук промяната е съвсем резонна предвид института на „пълната недееспособност“, установен за лицата под 14 годишна възраст по българското законодателство.
- Съгласно Проекта, публичният достъп до ЕГН/ЛНЧ ще се предоставя само ако закон изисква това. Затова и администраторите, предоставящи услуги по електронен път , ще трябва да предприемат технически и организационни мерки, чрез които да се избягва ЕГН-то да е единственият идентификатор за предоставяне на съответната услуга.
- Проектът съдържа специфични правила за балансиране на свободата на академичното, художественото и литературното изразяване със защитата на личните данни.
Важни промени стоят и пред работодателите. Законодателят се е възползвал от възможността, дадена му в чл. 88 от Регламента, като е предвидил особени правила в това отношение.
- Проектът предвижда забрана за копиране на документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник/държавен служител, като поставя само една допустима хипотеза, а именно наличието на изрично законово задължение у администратора или обработващия.
- Работодателите ще трябва да предвидят и редица правила и процедури, с оглед показването на съответствие с новия закон, както и да подсигури за довеждането им до знанието на работниците и служителите. Такива ще са необходими например при: (i) система за доказване на нарушения, (ii) ограничения при използване на вътрешнофирмени ресурси и (iii) системите за контрол на достъпа, работното време и трудовата дисциплина.
- Работодателят ще може да съхранява за срок до 3 години личните данни на участниците в процедури по подбор на персонала.
С Проекта, освен синхронизиране на националните разпоредби с изискванията на GDPR законодателят ще транспонира и Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета, като за тази цел и е отделил цяла глава в Проекта.
Интересно разрешение е възприел законодателят относно санкциите, с които GDPR толкова нашумя, като е поставил тяхна минимална граница (каквато няма по GDPR) от 10 000 лева, за нарушения за които се предвижда санкция до 20 000 000 евро, и 5 000 лева за нарушения, за които Регламента предвижда санкция в размер на 10 000 000 евро.
За други нарушения, извън посочените по GDPR, e предвидена глоба или с имуществена санкция от 1 000 до 5 000 лева. За неизпълнение на предписание на КЗЛД, санкциите ще варират в също доста високи размери между 2 000 лева и 200 000 лева.
Предстои да видим дали този Проект ще бъде приет окончателно в предложената редакция. При всички случаи следва да оценим положително стремежът на българския законодател да уреди въпроса с привеждане на националното законодателство в съответствие с новите правила за защита на личните данни преди 25 май 2018 г. За съжаление обаче кратките срокове за обществено обсъждане (становища по Проекта могат да се подават до 14 май 2018 г.) могат да се окажат пречка пред възможността за детайлно и всеобхватно обсъждане на национално равнище на предложените мерки.