На 30.07.2019 беше публикуван Правилникът за дейността на Комисията за защита на личните данни, в който подробно са уредени устройството на Комисията, организацията на работата ѝ, производствата, които се извършват пред нея, както и дейностите по консултиране и обучение, с които тя съдейства на администраторите на лични данни.
Правилникът изрежда всички производства, които се развиват пред Комисията: разглеждане на жалби за нарушения на правaта на физически лица; прилагане на предвидените от Регламент 679/2016 (Регламент/GDPR) правомощия на надзорните органи; изразяване на становища по въпроси от областта на защитата на личните данни; приемане на стандартни договорни клаузи по Регламента; разглеждане на производства по предоставяне на данни на трети лица или международни организации; провеждане на предварителни консултации; разглеждане на уведомления за нарушения на сигурността на личните данни; одобряване на кодекси за поведение; акредитация и отнемане на акредитация на органи за наблюдение на одобрени кодекси за поведение; акредитация и отнемане на акредитация на сертифициращи органи. Тя може да провежда и други производства, когато това е предвидено в закон. В статията ще разгледаме основните производства и тези, които са релевантни за най-широк кръг от субекти.
Жалби и сигнали за нарушени права
Чрез жалба или сигнал до Комисията се съобщава за нарушение на права по Регламента и по ЗЗЛД. Разликата между двете е в лицето, чиито права са нарушени – жалба се подава, когато са нарушени права на искателя, а сигнал, когато са нарушени права на лице, различно от искателя. Исканията не могат да бъдат анонимни или неподписани и трябва да посочват точно лицето, срещу което са подадени, датата и естеството на нарушението. Комисията дава 3-дневен срок за отстраняване на нередовности. Редовността, допустимостта и основателността се преценяват от дирекция „Правни производства и надзор“. Заседанията, в които жалбата или сигналът се разглеждат по същество, са открити, и за тях се уведомяват страните и заинтересованите лица. Производството може да приключи с мерки по GDPR или ЗЗЛД, както и с административно-наказателни мерки.
Уведомление за нарушения на сигурността на личните данни
Това уведомление се подава от администратор, като необходимото съдържание е изложено в чл. 67, ал.3 ЗЗЛД и чл. 33, пар. 3 от GDPR. При постъпването му Комисията извършва проверка в двуседмичен срок, при която изяснява въпросите за това, в какво качество е КЗЛД (дали е водещ орган или подпомага работата на органи по защита на личните данни от други държави членки), естеството на нарушението, броя засегнати субекти на данни, броя засегнати записи, евентуалните последици и предприетите мерки, както и за нивото на риск от нарушението. Въз основа на анализа, информацията и нивото на риск, Комисията може да приеме уведомлението за сведение, да направи проверка по документи или проверка на място. Комисията има право да направи проверка на място при всяко ниво на риск.
Предварителна консултация
Регламентът задължава администраторите да се обърнат към това производство, когато оценката на въздействието върху защитата на данните покаже, че даденото обработване ще породи висок риск за правата и свободите на физическите лица. На Комисията се предоставя цялата информация, относима към обработването, и тя дава писмено становище. Регламентът предвижда и възможност за държавите членки да направят това производство задължително за някои операции по обработване, свързани с обществен интерес, социална закрила и обществено здраве. В Правилника на КЗЛД е уредено, че в някои случаи Комисията може да изисква от администраторите да се консултират и да търсят предварителни разрешения от нея във връзка с обработването на данни по повод на дейности в обществен интерес и социална закрила. Тази предварителна консултация има за цел да осигури предварителен контрол, но също така и да помогне на администраторите да предприемат необходимите мерки за сигурността на правата на субектите на лични данни. В зависимост от резултатите от консултацията, Комисията може да упражни всяко от правомощията си по Регламента (например да наложи ограничения и забрани на обработването на лични данни, да наложи глоби и имуществени санкции или да отправи предупреждения до администратора или обработващия) или да се произнесе с разрешение за планираното обработване.
Одобряване на Кодекси за поведение
За всички предприятия, сдружения, представителни структури и категории администратори на лични данни е предвидена възможност за приемане на кодекси за поведение. Тяхната цел е да улесняват прилагането на правилата на Регламента и да съдържат гаранции за правата и свободите на физическите лица, чиито данни ще бъдат обработвани. Процедурата започва отново с искане, което трябва да съдържа индивидуализация на предлагащия кодекса за поведение, уникално наименование и категориите администратори, за които ще се прилага. Проверката, на която подлежи проекта за кодекс, е дали той съответства на Регламента, дали улеснява прилагането му от администраторите и дали гарантира спазването на правата на субектите на данни. Неодобреният проект се връща на подателя за допълване или внасяне на поправки, а одобреният се изпраща на Европейския комитет по защита на данните. Тази процедура се прилага също и за изменения и допълвания на вече съществуващи Кодекси за поведение.
Обучения
Дейността, в която могат да се включат най-широк кръг субекти, е тази по обученията в областта на защита на личните данни. Те могат да бъдат по подадено искане или по инициатива на Комисията. Искането трябва да съдържа имена, адрес и телефон на подателя, приложимите документи и информация и да бъде подписано и датирано. За дейности от висок обществен интерес или значимост, както и такива, които поради естеството си изискват специално внимание, Комисията организира обучения за администратори и обработващи лични данни по своя инициатива. Според Правилника, в обученията могат да се включват субекти на данни, сертифициращи органи, администратори, обработващи лични данни и длъжностни лица по защита на данните. Процедурата включва изпит преди обучението за установяване на първоначалните знания, както и изпит в неговия край. Участвалите получават сертификат, който удостоверява успешното завършване на обучението.