# 9 Комисията за защита на личните данни отмени Наредба № 1 от 30 януари 2013 г. – какви технически и организационни мерки е необходимо организациите да предприемат оттук нататък?

В брой 43 на Държавен вестник от 25.05.2018 г. бе обнародвана отмяната на Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредбата). Комисията за защита на личните данни (КЗЛД) оповести, че предстои преработването й в методическо ръководство към администраторите, без да се ангажира с конкретен срок (https://www.cpdp.bg/index.php?p=element&aid=1151).

Така наред с останалите въпросителни относно прилагането на Регламента за защита на личните данни („GDPR“/ „Регламента“) се поставя и още един въпрос – какви технически и организационни мерки следва да предприемат организациите оттук нататък, за да гарантират подходящо ниво на сигурност на данните, които обработват.

Приложими мерки по отменената Наредба

Отменената Наредба предвиждаше 5 вида защита на личните данни (физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи и криптографска защита) и съдържаше подробна регламентация на техническите и организационни мерки по прилагането им.

Предишният подход, възприет от КЗЛД, бе да задължи администраторите да извършват оценка на въздействието спрямо всеки регистър с лични данни, които поддържат. На база на определеното ниво на въздействие за регистъра администраторите следваше да прилагат съответстващо на него ниво на защита на данните в него – задължителен минимален набор от мерки, уредени за всяко ниво в Наредбата. Сега след като това задължение отпадна, се отвори широко поле за спекулации относно приложимите типове мерки в тази насока, поради което анализът по-долу има за цел да внесе известна яснота по въпроса.

Чл. 32 от GDPR изброява някои примерни, но не и задължителни мерки, като псевдонимизация, криптиране и др., които могат да насочат организациите към това какви мерки биха се счели за подходящи. Разбира се, крайният избор зависи от контекста и целите на обработването. В този смисъл, въпреки, че администраторите и обработващите не са длъжни да прилагат някоя от конкретно изброените в GDPR мерки, задължението им да гарантират сигурността на обработваните данни остава.

Технически и организационни мерки оттук нататък

При преценката си всеки администратор/ обработващ лични данни е редно да има предвид следното:

На първо място, GDPR е насочен към защитата на личните данни като основно човешко право на гражданите на ЕС. В този смисъл, разбирането, че Регламентът съдържа „изцяло технологична уредба“, е неверен. Изискването за прилагане на технически и организационни мерки за гарантиране сигурността на данните безспорно има своето важно значение, но това е само един от седемте основни принципа на GDPR за защита на данните. С други думи, дори и да сме приложили изключително високи мерки за сигурност, дори и цялата информация, с която боравим да е криптирана – ако обработваме тези данни без правно основание или за незаконосъобразна цели, или не сме информирали надлежно физическите лица за това обработване и т.н., дейността ни няма да съответства на изискванията на GDPR.

На следващо място, Регламентът посочва редица критерии, от които да се води един администратор или обработващ при определянето и изборът на най-подходящата мярка. Чрез този подход европейският законодател постига сравнително добър баланс между свободата на действие и значителната отговорност за постигането на адекватно ниво на защита на данните.

Все пак основният набор от мерки, заложен в отменената Наредба би могъл да служи като добър ориентир или отправна точка за целите на защитата на личните данни. Разбира се, преценката следва да се извършва с оглед особеностите на обработваните лични данни наред с установените стандарти и добри практики за информационна сигурност.

Междувременно ние ще продължим да следим и да Ви информираме за развитието на казуса и последващата регулация по въпросите за подходящите мерки за защита на личните данни, както и конкретните мерки по прилагането на GDPR, предприети на местно ниво.

# 8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR

В продължение на публикациите относно GDPR с настоящия материал ще засегнем един от изцяло новите принципи на защитата на личните данни, въведен с Регламента – отчетността.

Отчетност на практика означава способността на администратора на лични данни във всеки един момент да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно и в минимален обем за постигане на ясно определени цели, като данните се съхраняват точни и само за времето, необходимо за постигане на тези цели, а посоченото обработване е обезпечено с подходящо ниво на сигурност и защита на данните.

Отчетността предполага надлежно документиране на всички процеси по обработване на лични данни в предприятието. Иначе казано, предприятията трябва да създадат „документална следа“ относно обработването – да разполагат с писмен документ, който позволява проследимост на процесите по обработване на данните и който може да се ползва като доказателство при проверка от КЗЛД относно спазването на изискванията на GDPR.

Сред някои от най-важните инструменти за постигане на отчетност можем да посочим средства :
• поддържането на регистри на дейностите по обработване по чл. 30 GDPR;
• надлежно уреждане на отношенията със субектите на данни по повод обработването на данни (чрез политики за защита на личните данни, декларации за информираност и др. под.);
• надлежно уреждане на отношенията с трети лица по повод предаване на данни (договори между администратори и между администратори и обработващи);
• определяне на длъжностно лице по защита на личните данни, когато такова се изисква;
• извършване на оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица;
• своевременно уведомяване на Комисията за защита на личните данни и субекта на данните при нарушения на сигурността;
• прилагане на доброволни механизми за сертифициране и/или спазване на кодекси на поведение;
• приемане на вътрешни правила за защита на личните данни (инструкции, политики, и др. под.).

Сред посочените по-горе средства особено внимание следва да се отдели на воденето на регистри на дейностите по обработване. Тези регистри се поддържат от администратора и обработващия лични данни и при поискване трябва да осигурят достъп до регистъра на надзорния орган. Съдържанието на регистрите е подробно уредено в GDPR (чл. 30, пар. 1 и пар. 2).

Задължението за водене на регистър не се прилага по отношение на организации с по-малко от 250 служители, освен ако (i) има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, (ii) ако обработването не е спорадично или (ii) включва специални категории данни или лични данни, свързани с присъди и нарушения. Кое да е от тези изключения да е налице, съответната организация трябва да води регистри за съответната дейност по обработване.

От значение за спазване на принципа на отчетност е и оценката на въздействието върху защитата на данните. Работната група по член 29 приема, че оценката на въздействието върху защитата на данните представлява важен инструмент за отчетност, тъй като подпомага не само спазването на установените изисквания, но и демонстрира, че са предприети подходящи мерки.

Работната група по член 29 – консултативен орган на ниво ЕС относно защитата на личните данни – посочва в едно от становищата си по стария режим за защита на личните данни още някои категории общи мерки за отчетност извън посочените по-горе, по-важните от които са[1] :
• идентифициране на всички процеси по обработване на данните в организацията;
• предоставяне на адекватна защита на данните, обучение на членовете на персонала, които обработват или отговарят за личните данни (като например директорите на човешките ресурси), но също и ИТ мениджъри, разработчици и директори на бизнес звена, както и заделяне на достатъчно ресурси за защита на личните данни в организацията;
• създаване на вътрешен механизъм за разглеждане на жалби;
• създаване на вътрешни процедури за ефективно управление и докладване на нарушения на сигурността;
• изпълнение и надзор на процедурите за проверка, за да се гарантира, че всички мерки не само съществуват на хартия, но и че те се изпълняват и работят на практика (вътрешни или външни одити и т.н.).

Каква е практическата нужда от принципа на отчетност и защо трябва една организация да положи усилия, за да го спазва?

Личните данни представляват особен „ресурс“ на всяка една организация. Те са мощен инструмент за правене на бизнес, доколкото носят информация за изборите, предпочитанията, нагласите и желанията на потребителите. Това разкрива големи възможности за по-добър маркетинг, PR и др. под. В същото време, освен ресурс, личните данни са особена категория информация, която може да засегне личната сфера на лицата, за които се отнасят, или да даде възможност за недобросъвестни практики (манипулации и др. под. – пример за това е скандалът с Cambridge Analytica и данните от социалната мрежа Фейсбук). Ето защо, организациите трябва да осигурят адекватна защита на този вид информация. Това става още по-наложително в контекста на новите правила и високите санкции на GDPR.

Смисълът на принципа на отчетност е постепенно в компаниите да се развие култура на надлежно документиране на цялото движение на всякакви лични данни в организацията. Така компаниите ще имат по-голям контрол и ще могат по-адекватно да управляват ресурсите си, а при проверка – да докажат спазването правилата на GDPR.

[1] Opinion 3/2010 on the principle of accountability, WP 173, Adopted on 13 July 2010, p. 11-12.

 

#7 Проект на Закон за изменение и допълнение на Закона за защита на личните данни е публикуван за обществено обсъждане

На 30.04.2018 г., по-малко от месец преди датата, от която започва да се прилага новият европейски регламент за защита на личните данни – Регламент 2016/679 (GDPR), в публичното пространство бе публикуван Проект на Закон за изменение и допълнение на действащия в момента в България Закон за защита на личните данни (Проекта). С Проекта се цели хармонизирането на българското законодателство за защита на личните данни с европейското такова.

В настоящата публикация ще обърнем внимание само на някои от най-съществените и интересни елементи в Проекта, като целият Проект следва да бъде обект на детайлен анализ и оценка от всички заинтересовани лица в идните дни:

  • Съвсем очаквано за надзорен орган по смисъла на GDPR официално бе определена Комисията за защита на личните данни (КЗЛД), която и до този момент изпълняваше тази функция. Тя ще е независимият орган, който ще следи за защитата на лицата при обработването на техните лични данни, както и контрола по спазването на Регламента.
  • GDPR представи пред обществото една нова фигура, а именно на длъжностното лице по защита на личните данни. С Проекта българският законодател добавя ново основание за назначаването такова лице, поставяйки точни граници за назначаването му, а именно обработка на лични данни на „10 000 физически лица“.
  • Проектът предвижда КЗЛД да организира и провежда обучения на лицата, определени за заемане на длъжността „длъжностно лице по защита на личните данни“ или на лица, желаещи да бъдат обучени за заемане на тази длъжност. Обученията ще се заплащат по тарифа, определена от Министъра на финансите. Това е специфични национално разрешение, което няма аналог в GDPR и което е в известна степен спорно, защото европейското законодателство не предвижда специфично сертифициране/задължителна регистрация за тази длъжност.
  • Едно от интересните нововъведения е свързано със задължението при получаване на данни без правно основание, независимо дали от администратор или от обработващ, същите да бъдат върнати незабавно или изтрити в срок от един месец от узнаването.
  • Снижен е възрастовият праг за получаване на съгласие от деца при предлагане на услуги на информационното общество (от 16 г. по GDPR до 14 г. по Проекта). Тук промяната е съвсем резонна предвид института на „пълната недееспособност“, установен за лицата под 14 годишна възраст по българското законодателство.
  • Съгласно Проекта, публичният достъп до ЕГН/ЛНЧ ще се предоставя само ако закон изисква това. Затова и администраторите, предоставящи услуги по електронен път , ще трябва да предприемат технически и организационни мерки, чрез които да се избягва ЕГН-то да е единственият идентификатор за предоставяне на съответната услуга.
  • Проектът съдържа специфични правила за балансиране на свободата на академичното, художественото и литературното изразяване със защитата на личните данни.

Важни промени стоят и пред работодателите. Законодателят се е възползвал от възможността, дадена му в чл. 88 от Регламента, като е предвидил особени правила в това отношение.

  • Проектът предвижда забрана за копиране на документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник/държавен служител, като поставя само една допустима хипотеза, а именно наличието на изрично законово задължение у администратора или обработващия.
  • Работодателите ще трябва да предвидят и редица правила и процедури, с оглед показването на съответствие с новия закон, както и да подсигури за довеждането им до знанието на работниците и служителите. Такива ще са необходими например при: (i) система за доказване на нарушения, (ii) ограничения при използване на вътрешнофирмени ресурси и (iii) системите за контрол на достъпа, работното време и трудовата дисциплина.
  • Работодателят ще може да съхранява за срок до 3 години личните данни на участниците в процедури по подбор на персонала.

С Проекта, освен синхронизиране на националните разпоредби с изискванията на GDPR законодателят ще транспонира и Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета, като за тази цел и е отделил цяла глава в Проекта.

Интересно разрешение е възприел законодателят относно санкциите, с които GDPR толкова нашумя, като е поставил тяхна минимална граница (каквато няма по GDPR) от 10 000 лева, за нарушения за които се предвижда санкция до 20 000 000 евро, и 5 000 лева за нарушения, за които Регламента предвижда санкция в размер на  10 000 000 евро.

За други нарушения, извън посочените по GDPR, e предвидена глоба или с имуществена санкция от 1 000 до 5 000 лева. За неизпълнение на предписание на КЗЛД, санкциите ще варират в също доста високи размери между 2 000 лева и 200 000 лева.

Предстои да видим дали този Проект ще бъде приет окончателно в предложената редакция. При всички случаи следва да оценим положително стремежът на българския законодател да уреди въпроса с привеждане на националното законодателство в съответствие с новите правила за защита на личните данни преди 25 май 2018 г. За съжаление обаче кратките срокове за обществено обсъждане (становища по Проекта могат да се подават до 14 май 2018 г.) могат да се окажат пречка пред възможността за детайлно и всеобхватно обсъждане на национално равнище на предложените мерки.

Линк към Проекта

Въведение

Уважаеми клиенти и партньори,

От 25 май 2018 г. ще започне да се прилага новият европейски регламент за защита на личните данни – Регламент 2016/679 (“GDPR“). GDPR въвежда завишени изисквания към бизнеса за защита на личните данни и безпрецедентни санкции. Размерите на предвидените санкции могат да достигат до 20 млн. евро или 4 % от общия световен годишен оборот на предприятието за предходната финансова година, която от двете суми е по-висока.

Какво са лични данни? Обработваме ли такива?
Засягат ли ни новите правила на GDPR?
Готов ли е бизнесът ни да отговори на това ново предизвикателство?
Как най-добре да се защитим от санкциите? Как да минимизираме рисковете за бизнеса си?
Трябва ли да променим бизнес процесите?

Всеки един от Вас с основание си задава поне част от тези въпроси, а може би и много повече. Като Ваш доверен партньор екипът на „Димитров, Петров и Ко.“ ще Ви помогне да се запознаете със същината на новите изисквания като подготви серия от разяснителни публикации по ключови теми за GDPR.

Представяме на Вашето внимание първата от публикация за GDPR, посветена на длъжностното лице по защита на данните (ДЛЗД). Нека заедно направим първите крачки към GDPR!

Екипът на „Димитров, Петров и Ко.

# 1 Длъжностно лице по защита на данните

Длъжностното лице по защита на данните (ДЛЗД) е нова фигура, която GDPR въвежда на помощ на организациите в процеса по управление на защитата на личните данни. ДЛЗД е призвано да бъде своеобразен „отговорник“ по всички въпроси, свързани със защитата на личните данни в предприятието – от даването на разяснения и съвети на служителите и ръководството, през осъществяването на контрол върху процесите по обработване на данните, до функционирането като единна точка за контакт за надзорните органи и лицата, чиито данни се обработват.

Ако по сега действащия режим предприятията имаха възможност по своя преценка да назначат т.нар. „лице по защита на личните данни“, то с GDPR за първи път назначаването на подобен отговорник по защитата на личните данни става задължение за организациите (администратори и обработващи лични данни). Според GDPR задължение за назначаване на ДЛЗД възниква, ако:

  • обработването се извършва от публичен орган или структура (с някои малки изключения за съдебните функции на съдилищата);
  • основните дейности на организацията се състоят в:
    • операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни. За „мащабно“ се приема напр. обработването на пациентски данни в болниците; на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град; на клиентски данни от застрахователни дружества и банки; на лични данни от търсачка с цел поведенческа реклама; на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги и др. „Редовно и систематично“ пък е наблюдението, когато се осъществяват дейности като експлоатация на далекосъобщителна мрежа; предоставяне на далекосъобщителни услуги; пренасочване на електронни съобщения, основани на данни маркетингови дейности; профилиране и оценяване за целите на оценка риска (кредитоспособност, изчисляване на застрахователни премии, предотвратяване на измами и пране на пари); проследяване на местоположението чрез мобилни приложения; програми за лоялност; поведенческа реклама; вътрешна система за видеонаблюдение и др. под.[1];
    • мащабно обработване на специални по смисъла на GDPR категории данни (напр. данни за расов или етнически произход; данни за здравословното състояние, сексуалния живот и сексуалната ориентация; генетични данни; биометрични данни като пръстови отпечатъци, лицеви характеристики, очен ирис, ретина и др.) или лични данни, свързани с присъди/ нарушения.

Освен в посочените случаи, държавите членки могат да предвидят и други изисквания за назначаване на ДЛЗД. Според информация, достъпна на сайта на българската Комисия за защита на личните данни, ДЛЗД трябва да се назначи и ако организацията обработва лични данни на над 10 000 физически лица[2]. Дори когато назначаването на ДЛЗД не е задължително, GDPR допуска организациите доброволно да определят такова – назначаването на ДЛЗД може да бъде успешен маркетингов и репутационен ход, а също и ефикасен начин за изпълнение на някои обременяващи задължения. Ако предприятието, дори да няма такова задължение, назначи ДЛЗД, то следва да спазва всички правила на GDPR относно тази позиция, включително осигуряването на независимост.

ДЛЗД трябва да притежава задълбочени експертни познания относно законодателството и практиката на защитата на личните данни. Едно ДЛЗД може да бъде назначено за група предприятия (ако всяко от тях има лесен достъп до ДЛЗД) или за няколко публични органа/ структури, като се отчита организационната им структура и размер. GDPR допуска ДЛЗД да бъде член на персонала на организацията или да бъде външен изпълнител по договор за услуги. Въпрос на преценка за всяка организация с оглед специфичния ѝ начин на функциониране е как най-целесъобразно да се ангажира ДЛЗД. Ако ДЛЗД ще бъде член на персонала, то не може да съвместява други функции, които са в конфликт на интереси с функциите му на ДЛЗД. Така напр. главният изпълнителен директор, мениджърът „Човешки ресурси“, главният финансов директор или ръководителят на ИТ отдела не може да действат като ДЛЗД, защото ще трябва сами да контролират себе си. ДЛЗД трябва да бъде „независимо“ – то е подчинено само на най-висшето ръководство на организацията и не може да бъде освободено от длъжност или санкционирано по причини, свързани с изпълнение на своите задачи (напр. за даване на съвет на администратора да извърши оценка на въздействието, защото ДЛЗД счита дадена операция по обработвана на данни за особено рискова).

Правилата за ДЛЗД трябва да бъдат взети сериозно, защото нарушаването им може да доведе до глоба от 10 милиона евро или 2% от общия световен годишен оборот за предходната финансова година на предприятието, което от двете е по-високо. Ако се използва правилно, фигурата на ДЛЗД може да бъде мощен инструмент за постигане и поддържане на съответствие с новите правила.

[1] Вж. в този смисъл Насоки за длъжностните лица по защита на данните („ДЛЗД“) на Работната група по чл. 29, достъпни на следния интернет адрес: http://ec.europa.eu/newsroom/document.cfm?doc_id=44100

[2] Вж. Десет практически стъпки за прилагане на Общия регламент за защита на данните на КЗЛД, достъпни на следния интернет адрес: https://www.cpdp.bg/?p=element&aid=1109/

Екипът на „Димитров, Петров и Ко.

Настоящият материал е изготвен от екипа на Адвокатско дружество Димитров, Петров & Ко. и е предназначен за клиенти и партньори на дружеството, както и за други читатели с интереси в областта на правото и защитата на личните данни.

Информацията и становищата, съдържащи се в материала, не съставляват изчерпателен и детайлен анализ на разгледаните правни въпроси.

Представените анализи и други информационни материали нямат характера на правен съвет или консултация, и не следва да бъдат възприемани като достатъчни за разрешаването на конкретни правни проблеми, казуси и др. Всички материали, съдържащи се в електронния блог на Димитров, Петров & Ко. са обект на закрила по ЗАПСП. Всяко изменение, публикуване, разпространяване и др. подобни без изричното предварително съгласие на Димитров, Петров & Ко. е забранено.