На 18 юли Законът за изменение и допълнение на Закона за защита на личните данни беше внесен пред Народното събрание (Новия проект). Новият проект има за цел да въведе мерките за изпълнение на Общия регламент на ЕС за защита на личните данни (Регламента/ GDPR) и да транспонира Директива 2016/680 относно защитата на личните данни в полицейския сектор (предложените в тази част промени – глава 8а от Новия проект – ще бъдат обект на последващ анализ в блога ни).
Първоначалният проект (Стария проект), станал публично достъпен на 30.04.2018 г., очаквано, претърпя някои редакции в резултат на проведените в страната обществени консултации (1).
На пръв поглед и без претенции за изчерпателност, в Новия проект правят впечатление следните изменения:
1. Премахнати са минималните прагове на глобите и имуществените санкции, доколкото такива не бяха предвидени и в Регламента. Глобите/ санкциите ще се налагат съобразно посочените в Регламента критерии;
2. Предвидената глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат;
3. Предвидени са гаранции за балансиране на защитената от закона тайна (напр. адвокатската тайна) с разследващите правомощия на Комисията за защита на личните данни (КЗЛД), доколкото е предвидена възможност такава тайна да послужи на администраторите/ обработващите като основание за отказ за предоставянето ѝ или на достъпа до нея на КЗЛД при проверки;
4. КЗЛД ще поддържа вътрешен регистър на нарушенията и на предприетите мерки в съответствие с упражняването на корективните си правомощия, който няма да бъде публичен. Въвеждат се и няколко нови публични такива:
– Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните (ДЛЗД). Премахва се предложението за водене регистър на ДЛЗД поради опасенията за въвеждането на прикрит регистрационен режим за тази длъжност, който Регламентът не предвижда;
– Регистър на акредитираните сертифициращи органи;
– Регистър на кодекси за поведение.
5. Премахнати са текстовете, които предвиждаха КЗЛД да провежда обучения на ДЛЗД;
6. Срокът за съхранение на личните данни на кандидатите за работа трябва да бъде не по-дълъг от 6 месеца (в Първоначалния проект срокът бе 3 години) след окончателното приключване на процеса по подбор на персонал. Това ограничение се отнася и до документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност. Прецизирани са и други текстове относно защитата на личните данни в контекста на трудовото правоотношение (напр. отпаднало е спорното разрешение да се иска изрично съгласие от служителите за обработване на техни лични данни, които не са поискани от работодателя или които не се изискват от нормативен акт);
7. Премахнато е изискването администратори/ обработващи да назначават ДЛЗД, ако обработват данните на над 10 000 физически лица, доколкото срещу това изискване, заложено в Стария проект, постъпиха сериозни възражения в процедурата по обществена консултация (преди всичко поради неяснотите как то да се прилага на практика);
8. За публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства. Това ще рефлектира върху задължението им за назначаване на ДЛЗД;
9. Новият проект предвижда и нови текстове относно обработването на лични данни за целите на архивирането в обществен интерес, научни и исторически изследвания, статистически цели и журналистически цели.
Целият проект е достъпен тук.
Като Ваш доверен партньор ще продължим Ви информираме своевременно за законодателния процес по Новия проект, както и за всякакви новости в законодателството за защита на личните данни на национално и европейско равнище.
(1) Вж. в този смисъл и последния информационен бюлетин на КЗЛД от юли 2018 г., URL