На 18 май 2018 г. в Елсинор, Съветът на Европа прие Протокол за изменение на Конвенция № 108 от 28.01.1981 г. за защита на лицата при автоматизираната обработка на лични данни („Конвенцията“).
Какво представлява Конвенцията?
До този момент Конвенцията е единственият международен договор с глобално значение в областта на защитата на данните и е създадена в отговор на нестихващите предизвикателства пред опазването на неприкосновеността на личния живот, произтичащи от използването на нови информационни и комуникационни технологии. С предприетата цялостна ревизия на Конвенцията Съветът на Европа цели да я актуализира, да разшири обхвата ѝ и да укрепи механизмите, заложени в нея, за да гарантира нейното ефективно прилагане.
Какво е новото в Конвенцията?
Основна цел на промените в Конвенцията е улесняването на трансграничния обмен на данни, като същевременно се доразвиват и основните механизми за защита при обработването на лични данни, заложени в Конвенцията, в съответствие с последните законодателни промени на ниво ЕС. Конвенцията обхваща обработването на данни както в публичния, така и в частния сектор, като по този начин заложените изменения целят да подобрят нивото на защита на личните данни в максимална степен и обхват. Работата по приетите тази година нововъведения започна още през 2012 г. и протече паралелно с останалите промени в законодателството по отношение на защитата на личните данни в ЕС, включително с приемането и началото на прилагането на прословутия нов Общ регламент относно защитата на данните (GDPR).
Генералният секретар на Съвета на Европа Турбьорн Ягланд посочва, че необходимостта от модернизацията е продиктувана от честите нарушения на правото на защита на данните, като предотвратяването им следва да бъде основния фокус при прилагането на Конвенцията.
Редица от новостите в Конвенцията са съобразени със заложеното в GDPR. Някои от основните новости включват:
- Разширени са категориите чувствителни данни, като към забраната за обработване на лични данни, разкриващи расов произход, политически възгледи или религиозни или други убеждения, здравословен живот или лични данни, свързани с престъпления, наказателни производства и присъди, са включени и генетичните и биометричните данни, както и данни относно членството в синдикални организации и данни за етническия произход;
- Разширени са правата на субекта на данни, в това число:- Право на субекта на данни да не бъде обект на автоматизирано вземане на решения, което значително го засяга, без да се съобрази гледната му точка;
– Право на информация на субекта на данни относно обработването;
– Право на субекта на данни да получи информация за логиката на обработването на личните данни, по-специално за случаите, при които се използват алгоритми за автоматизирано вземане на решения и профилиране;
– Право на възражение на субекта на данни, по-специално правото на субекта да се противопостави на обработването на лични данни, свързани с него, освен ако легитимния интерес на администратора, не е с по-висок приоритет; - Добавени са допълнителни задължения по отношение на администраторите и обработващите лични данни:- Принципите за защита на данните следва да се прилагат на всички етапи на обработването, включително фазата на проектиране (“privacy by design и “privacy by default”);
– Подходящите мерки, които трябва да предприемат, включват: обучение на служителите; създаване на подходящи процедури за уведомяване (например, установяване на срокове, в рамките на които трябва да бъдат съхранявани данни и конкретни дати, на които да бъдат изтрити от системата); установяване на специфични договорни разпоредби, когато обработването е делегирано; създаване на вътрешни процедури, които да дават възможност за проверка и доказване на съответствието и др.
– Подсилени са правомощията на надзорния орган, който страните по Конвенцията следва да изберат по тяхна преценка с цел да се гарантира изпълнението и съответствието на разпоредбите на акта. Според Обяснителния протокол към Конвенцията, този орган може да бъде едноличен (комисар) или колективен, като по-важното е да има ефективни правомощия и функции и да бъде независим при изпълнение на задълженията си;
– Страните по Конвенцията могат да въведат специфични надзорни органи, чиято дейност е ограничена до конкретен сектор (според обяснителния протокол в това число попадат и: секторът на електронните комуникации, здравния сектор, публичния сектор и др.);
– Страните следва да предоставят на надзорния орган правомощието да възбужда и/или участва в съдебни производства във връзка с всякакви нарушения на защитата на данните. Това правомощие е тясно свързано с правомощията за провеждане на разследвания и откриване на нарушения.
– Въведено е задължително уведомяване за нарушения на сигурността на данните;
- Засилени са мерките за пропорционално обработване на данните и прилагане на принципа за свеждане на данните до минимум;
- Изменена е и използваната до момента терминология, като е премахнато понятието „автоматизиран регистър с данни“ и е въведен един нов участник в процеса по обработване на лични данни – „получател“ (1) и т.н.;
- Предприетите от тях мерки за защита на данните следва да са свързани с отговорността им да бъдат в състояние да докажат, че обработването на данни е в съответствие с приложимото право (т.нар. принцип на „отчетност“);
- Едно от най-важните нововъведения в Конвенцията е засилената роля на Консултативния комитет, който вече е освен с консултативни, и с оценителни и надзорни функции. Той ще преценява до каква степен страна-членка или международна организация е изпълнила изискванията на Конвенцията. Комитетът има право да оцени и съответствието на вътрешното право на страна по Конвенцията и да определи ефективността на предприетите мерки.
Важно е да се отбележи, че към Конвенцията могат да се присъединяват както държави от всяка точка на света, така и международни организации, в това число и Европейския съюз. Това превръща Конвенцията в ключов инструмент за хармонизиране на различните правни режими за защита на личните данни и за осигуряване на високо ниво на тази защита на международно равнище.
Модернизирането на Конвенцията е много важна стъпка към утвърждаването на глобални стандарти за защита на личните данни. Обновената Конвенция се стреми да стимулира присъединяването на колкото може повече държави по света с цел да стимулира международният бизнес и развитието му, вече на базата на по-сигурни и общоприложими правила в сферата на личните данни и тяхната ефикасна защита.
Повече информация можете да намерите в официалния уебсайт на Съвета на Европа тук.
(1) На английски разпоредбата гласи следното: Art. 3, “e” – “recipient” means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available; Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), URL.