#11 Съветът на Европа актуализира единствения международен правнообвързващ инструмент за защита на личните данни – Конвенция № 108

На 18 май 2018 г. в Елсинор, Съветът на Европа прие Протокол за изменение на Конвенция № 108 от 28.01.1981 г. за защита на лицата при автоматизираната обработка на лични данни („Конвенцията“).

Какво представлява Конвенцията?

До този момент Конвенцията е единственият международен договор с глобално значение в областта на защитата на данните и е създадена в отговор на нестихващите предизвикателства пред опазването на неприкосновеността на личния живот, произтичащи от използването на нови информационни и комуникационни технологии. С предприетата цялостна ревизия на Конвенцията Съветът на Европа цели да я актуализира, да разшири обхвата ѝ и да укрепи механизмите, заложени в нея, за да гарантира нейното ефективно прилагане.

Какво е новото в Конвенцията?

Основна цел на промените в Конвенцията е улесняването на трансграничния обмен на данни, като същевременно се доразвиват и основните механизми за защита при обработването на лични данни, заложени в Конвенцията, в съответствие с последните законодателни промени на ниво ЕС. Конвенцията обхваща обработването на данни както в публичния, така и в частния сектор, като по този начин заложените изменения целят да подобрят нивото на защита на личните данни в максимална степен и обхват. Работата по приетите тази година нововъведения започна още през 2012 г. и протече паралелно с останалите промени в законодателството по отношение на защитата на личните данни в ЕС, включително с приемането и началото на прилагането на прословутия нов Общ регламент относно защитата на данните (GDPR).

Генералният секретар на Съвета на Европа Турбьорн Ягланд посочва, че необходимостта от модернизацията е продиктувана от честите нарушения на правото на защита на данните, като предотвратяването им следва да бъде основния фокус при прилагането на Конвенцията.

Редица от новостите в Конвенцията са съобразени със заложеното в GDPR. Някои от основните новости включват:

  • Разширени са категориите чувствителни данни, като към забраната за обработване на лични данни, разкриващи расов произход, политически възгледи или религиозни или други убеждения, здравословен живот или лични данни, свързани с престъпления, наказателни производства и присъди, са включени и генетичните и биометричните данни, както и данни относно членството в синдикални организации и данни за етническия произход;
  • Разширени са правата на субекта на данни, в това число:- Право на субекта на данни да не бъде обект на автоматизирано вземане на решения, което значително го засяга, без да се съобрази гледната му точка;
    – Право на информация на субекта на данни относно обработването;
    – Право на субекта на данни да получи информация за логиката на обработването на личните данни, по-специално за случаите, при които се използват алгоритми за автоматизирано вземане на решения и профилиране;
    – Право на възражение на субекта на данни, по-специално правото на субекта да се противопостави на обработването на лични данни, свързани с него, освен ако легитимния интерес на администратора, не е с по-висок приоритет;
  • Добавени са допълнителни задължения по отношение на администраторите и обработващите лични данни:- Принципите за защита на данните следва да се прилагат на всички етапи на обработването, включително фазата на проектиране (“privacy by design и “privacy by default”);
    – Подходящите мерки, които трябва да предприемат, включват: обучение на служителите; създаване на подходящи процедури за уведомяване (например, установяване на срокове, в рамките на които трябва да бъдат съхранявани данни и конкретни дати, на които да бъдат изтрити от системата); установяване на специфични договорни разпоредби, когато обработването е делегирано; създаване на вътрешни процедури, които да дават възможност за проверка и доказване на съответствието и др.
    – Подсилени са правомощията на надзорния орган, който страните по Конвенцията следва да изберат по тяхна преценка с цел да се гарантира изпълнението и съответствието на разпоредбите на акта. Според Обяснителния протокол към Конвенцията, този орган може да бъде едноличен (комисар) или колективен, като по-важното е да има ефективни правомощия и функции и да бъде независим при изпълнение на задълженията си;
    – Страните по Конвенцията могат да въведат специфични надзорни органи, чиято дейност е ограничена до конкретен сектор (според обяснителния протокол в това число попадат и: секторът на електронните комуникации, здравния сектор, публичния сектор и др.);
    – Страните следва да предоставят на надзорния орган правомощието да възбужда и/или участва в съдебни производства във връзка с всякакви нарушения на защитата на данните. Това правомощие е тясно свързано с правомощията за провеждане на разследвания и откриване на нарушения.
    – Въведено е задължително уведомяване за нарушения на сигурността на данните;
  • Засилени са мерките за пропорционално обработване на данните и прилагане на принципа за свеждане на данните до минимум;
  • Изменена е и използваната до момента терминология, като е премахнато понятието „автоматизиран регистър с данни“ и е въведен един нов участник в процеса по обработване на лични данни – „получател“ (1) и т.н.;
  • Предприетите от тях мерки за защита на данните следва да са свързани с отговорността им да бъдат в състояние да докажат, че обработването на данни е в съответствие с приложимото право (т.нар. принцип на „отчетност“);
  • Едно от най-важните нововъведения в Конвенцията е засилената роля на Консултативния комитет, който вече е освен с консултативни, и с оценителни и надзорни функции. Той ще преценява до каква степен страна-членка или международна организация е изпълнила изискванията на Конвенцията. Комитетът има право да оцени и съответствието на вътрешното право на страна по Конвенцията и да определи ефективността на предприетите мерки.

Важно е да се отбележи, че към Конвенцията могат да се присъединяват както държави от всяка точка на света, така и международни организации, в това число и Европейския съюз. Това превръща Конвенцията в ключов инструмент за хармонизиране на различните правни режими за защита на личните данни и за осигуряване на високо ниво на тази защита на международно равнище.

Модернизирането на Конвенцията е много важна стъпка към утвърждаването на глобални стандарти за защита на личните данни. Обновената Конвенция се стреми да стимулира присъединяването на колкото може повече държави по света с цел да стимулира международният бизнес и развитието му, вече на базата на по-сигурни и общоприложими правила в сферата на личните данни и тяхната ефикасна защита.

Повече информация можете да намерите в официалния уебсайт на Съвета на Европа тук.

 

(1) На английски разпоредбата гласи следното: Art. 3, “e” – “recipient” means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available; Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), URL.

# 10 Законът за изменение и допълнение на Закона за защита на личните данни, синхронизиран с GDPR, официално е внесен в Народното събрание

На 18 юли Законът за изменение и допълнение на Закона за защита на личните данни беше внесен пред Народното събрание (Новия проект). Новият проект има за цел да въведе мерките за изпълнение на Общия регламент на ЕС за защита на личните данни (Регламента/ GDPR) и да транспонира Директива 2016/680 относно защитата на личните данни в полицейския сектор (предложените в тази част промени – глава 8а от Новия проект – ще бъдат обект на последващ анализ в блога ни).

Първоначалният проект (Стария проект), станал публично достъпен на 30.04.2018 г., очаквано, претърпя някои редакции в резултат на проведените в страната обществени консултации (1).

На пръв поглед и без претенции за изчерпателност, в Новия проект правят впечатление следните изменения:

1. Премахнати са минималните прагове на глобите и имуществените санкции, доколкото такива не бяха предвидени и в Регламента. Глобите/ санкциите ще се налагат съобразно посочените в Регламента критерии;
2. Предвидената глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат;
3. Предвидени са гаранции за балансиране на защитената от закона тайна (напр. адвокатската тайна) с разследващите правомощия на Комисията за защита на личните данни (КЗЛД), доколкото е предвидена възможност такава тайна да послужи на администраторите/ обработващите като основание за отказ за предоставянето ѝ или на достъпа до нея на КЗЛД при проверки;
4. КЗЛД ще поддържа вътрешен регистър на нарушенията и на предприетите мерки в съответствие с упражняването на корективните си правомощия, който няма да бъде публичен. Въвеждат се и няколко нови публични такива:
– Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните (ДЛЗД). Премахва се предложението за водене регистър на ДЛЗД поради опасенията за въвеждането на прикрит регистрационен режим за тази длъжност, който Регламентът не предвижда;
– Регистър на акредитираните сертифициращи органи;
– Регистър на кодекси за поведение.
5. Премахнати са текстовете, които предвиждаха КЗЛД да провежда обучения на ДЛЗД;
6. Срокът за съхранение на личните данни на кандидатите за работа трябва да бъде не по-дълъг от 6 месеца (в Първоначалния проект срокът бе 3 години) след окончателното приключване на процеса по подбор на персонал. Това ограничение се отнася и до документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност. Прецизирани са и други текстове относно защитата на личните данни в контекста на трудовото правоотношение (напр. отпаднало е спорното разрешение да се иска изрично съгласие от служителите за обработване на техни лични данни, които не са поискани от работодателя или които не се изискват от нормативен акт);
7. Премахнато е изискването администратори/ обработващи да назначават ДЛЗД, ако обработват данните на над 10 000 физически лица, доколкото срещу това изискване, заложено в Стария проект, постъпиха сериозни възражения в процедурата по обществена консултация (преди всичко поради неяснотите как то да се прилага на практика);
8. За публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства. Това ще рефлектира върху задължението им за назначаване на ДЛЗД;
9. Новият проект предвижда и нови текстове относно обработването на лични данни за целите на архивирането в обществен интерес, научни и исторически изследвания, статистически цели и журналистически цели.

Целият проект е достъпен тук.

Като Ваш доверен партньор ще продължим Ви информираме своевременно за законодателния процес по Новия проект, както и за всякакви новости в законодателството за защита на личните данни на национално и европейско равнище.

(1) Вж. в този смисъл и последния информационен бюлетин на КЗЛД от юли 2018 г., URL