# 17 Териториалният обхват на GDPR

В продължение на серията публикации относно промените, въведени с GDPR, с настоящата публикация ще ви запознаем с териториалния обхват на GDPR.

Териториалният обхват на GDPR е ключов фактор при привеждането на дейността на бизнеса в съответствие с правилата по защита на личните данни, тъй като в днешно време много услуги се предоставят в световен мащаб и онлайн. Компаниите извън ЕС са поставени пред проблема да определят дали те са пряко подчинени на строгите изисквания на GDPR или не. В помощ на компаниите, през края на 2018 г., правоприемникът на WP29, Европейският комитет по защита на данните (EDPB) публикува „Насоки за териториалният обхват на GDPR“.

Тази статия има за цел да обобщи и изясни критериите, както и да предостави някои насоки и полезна информация за териториалния обхват на GDPR.

Териториалният обхват на GDPR е определен в член 3, като разпоредбата съдържа три основни критерия.

Установяване на територията на ЕС
Първият критерии за определяне на териториалния обхват на GDPR е установяването на администратор или обработващ лични данни в ЕС (Чл. 3 (1)).

Съгласно GDPR, „установяването“ предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Формата на тези договорености, например дали дейността се извършва чрез клон или дъщерно дружество, не е от значение.

Съдът на ЕС също постановява в неговата практика, че понятието за установяване обхваща всяка реална и ефективна дейност, осъществявана чрез стабилни договорености. Всъщност дори наличието на един служител или представител на дружество извън ЕС, би могло да бъде достатъчно за да представлява стабилно споразумение, ако този служител или представител действа с достатъчна степен на стабилност.

Това, че дадено дружество извън ЕС няма клон или дъщерно дружество в държава-членка, не изключва възможността то да бъде счетено за установено на територията а ЕС по смисъла на GDPR. Трябва да се има предвид, че когато компания със седалище в САЩ има клон, офис за продажби или просто когато извършва дейности за повишаване на нейните приходи в ЕС, може да се счете, че има стабилни договорености в ЕС и следователно GDPR да се прилага спряно нейната дейност.

Следва да се обърне внимание, че съгласно Член 3 критерият за установяване на територията на ЕС се преценя поотделно както за администратора, така и за обработващия лични данни. EDPB е на мнение, че когато става въпрос за идентифициране на различните задължения, породени от приложимостта на GDPR, дейностите по обработване на лични данни от всеки правен субект, бил той администратор или обработващ, следва да се разглеждат самостоятелно.

Например, в случаите, когато администратор на лични данни е установен на територията на ЕС и включи на обработващ лични данни, който се намира извън ЕС, такъв обработващ няма да се счита като установен в рамките на ЕС, само защото администраторът е дружество в ЕС. В този случай GDPR няма да бъде директно приложим за обработващия, установен извън ЕС. Единствено администраторът в ЕС ще бъде задължен да прилага изисквания на GDPR, приложими към администратори на лични данни („задълженията на администраторите на лични данни на GDPR“). Едно от тези изисквания е именно администраторът на лични данни да подсигури чрез договор или друг правен акт, че обработващият, установен извън ЕС, обработва данните в съответствие с GDPR.

Точно обратното се отнася за администратор на лични данни, установен извън рамките на Европейския съюз. Той не може да се счита за установен в ЕС, само защото използва обработващ лични данни от ЕС. В този случай, GDPR ще бъде приложим само за обработващия лични данни и само той ще трябва да се съобразява с изискванията на GDPR, приложими към обработващите лични данни („задълженията на обработващите лични данни на GDPR“). Например, това са задълженията на обработващия лични данни в ЕС да приложи подходящи технически и организационни мерки в съответствие с Регламента относно обмена на данни с администратора, да уведомява администратора без неоправдано забавяне, след като разбере за нарушение на сигурността на личните данни, или да определи длъжностно лице по защита на данните (ДЛЗД), когато това се изисква от Регламента.

Таргетиране на лица в ЕС
Вторият критерии за териториална приложимост на GDPR е така нареченото „таргетиране“ на лица в ЕС (Член 3 (2)).

GDPR определя критерия за таргетиране като „предлагането на стоки или услуги, независимо от това дали се изисква плащане от субекта на данни в ЕС“, както и като „наблюдение на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза“. Налице ли е таргетиране зависи главно от въпроса дали дейностите на дадено предприятие са насочени към потребители, намиращи се в ЕС, което трябва да се определи във всеки отделен случай.

Местоположението на субекта данни на територията на ЕС е определящ фактор за прилагането на критерия за таргетиране. Европейският комитет за защита на данните смята, че националността или правният статут на лицето не може да ограничава териториалния обхват на GDPR. Следователно и дейностите, насочени към жителите на трети държави, които се намират в ЕС, също могат да предизвикат прилагането на критерия за таргетиране и да доведат до прилагане на GDPR спрямо тези дейности.

За да могат дружествата да определят дали техните дейности трябва да се считат за предлагане на стоки и услуги на субекти на данни в ЕС, последните следва да преценяват всички особености на техния бизнес модел, като например намерението им да предлагат стоки или услуги в ЕС чрез уебсайт, дали ги предлагат на местен език и приемат местна валута, дали са посочили местно лице за контакт за целите на продажби и съпорт т.н.

За да се задейства прилагането на втория критерий за таргетиране, а именно „наблюдение на поведение“, дейността по наблюдението трябва на първо място да се отнася за лице в ЕС и наблюдаваното поведение трябва да се извършва на територията на ЕС.
GDPR и Европейският комитет за защита на данните отбелязват като няколко примера за наблюдение дейностите на поведенческата реклама, гео-локализиращите дейности, онлайн проследяването чрез използване на бисквитки или други техники за проследяване, персонализираните диети и онлайн услугите за анализ на здравето, видеонаблюдението, пазарните проучвания и други поведенчески проучвания, базирани на индивидуални профили, мониторинг или редовно следене на здравословното състояние на индивида и други.
Важно е да се отбележи, че обработването на лични данни на лица, които се намират извън територията на ЕС, били те и граждани на ЕС, не предизвиква прилагане на GDPR, доколкото обработването на лични данни не е свързано с предлагане на конкретна услуга, насочена към лица в ЕС, или към наблюдение на тяхното поведение в ЕС.

Прилагане на правото на държавите-членки по силата на международното право
Разпоредбата на чл. 3(3) е по-обстойно обяснена в Съображение 25, което гласи, че когато правото на държавите-членки се прилага по силата на международното публично право, то GDPR следва да се прилага и за администратор, който не е установен на територията на ЕС.

Това означава, че GDPR може да се прилага и за обработването на лични данни, извършвано от посолствата и консулствата на държавите-членки на ЕС, или в кораби на ЕС, когато те се намират в международни води. Фактът, че дадена дейност се извършва на кораб, регистриран в ЕС, означава, че по силата на международното публично право се прилага GDPR.

Администраторите или обработващите лични данни, които не са установени в Съюза, трябва да назначат местен представител.
И накрая, е важно да се има предвид, че администратор или обработващ лични данни, който не е установен в ЕС, но спрямо него се прилага GDPR, е длъжен да определи представител в ЕС в съответствие с член 27, а ако не бъде определен такъв представител, следователно съответният администратор или обработващ ще бъде в нарушение на Регламента.

GDPR и Европейският комитет за защита на данните, дават някои допълнителни насоки относно процеса на определяне, задълженията и отговорностите на представителя в ЕС. Например, важно е да се знае, че представителят:
• може да бъде физическо или юридическо лице, установено в Съюза;
• следва да бъде изрично посочен с писмен мандат, например договор с администратора или обработващия лични данни да действа от негово име и във връзка с неговите задължения съгласно GDPR;
• не може да бъде едновременно Длъжностно лице за защита на данните (DPO) на дружеството;

Член 27(2) предвижда някои изключения от задължението за определяне на представител в Съюза, като например:
• когато обработването е спорадично, не включва мащабно обработване на специални категории лични данни или обработване на лични данни, свързани с присъди и нарушения; или
• когато обработването се извършва от публичен орган или структура.

Член 27(3) предвижда, че представителят трябва да бъде установен в една от държавите-членки, където субектите на данни, чиито лични данни се обработват във връзка с предлагането на стоки или услуги на тях или чието поведение се наблюдава.

Освен това, Европейският комитет за защита на данните препоръчва представителят да бъде лесно достъпен за всички субекти на данни във всяка от държавите-членки, в която се предлагат услугите или стоките или се наблюдава поведението.

Моля, имайте предвид, че представителят в Съюза действа от името на администратора или обработващия лични данни, който ги представлява по отношение на задълженията им съгласно GDPR. Това е особено важно за изпълнението на задълженията, свързани с упражняването на правата на субектите на данни, и в това отношение данните за контакт на представителя трябва да бъдат включени във всички информационни документи на администаторите на лични данни съгласно изискванията на чл. 13 и 14, като например уведомленията им за защита на личните данни.

Представителят следва също така да изпълнява задачите си в съответствие с мандата, получен от администратора или обработващия лични данни, включително да си сътрудничи с компетентните надзорни органи по отношение на всяко действие, предприето за осигуряване на съответствието с GDPR.

Насоките 3/2018 относно териториалния обхват на GDPR (член 3) на Европейския комитет по защита на данните могат да бъдат намерени тук.

# 16 Платформата за дистанционно обучение по проект INFORM – удобен начин за увод в тематиката за защита на лични данни

Наскоро колегите от Фондация „Право и Интернет“ представиха платформа за онлайн обучение, която по достъпен начин въвежда в тематиката за защита на личните данни. Платформата е резултат от изпълнението на проекта INFORM (Представяне на реформата в сферата на защита на лични данни пред съдебната система) и е достъпна на следния линк.

Регистрацията е лесна, само в една стъпка, като позволява на потребителите да изберат и своята професия (магистрат, съдебна администрация или практикуващ юрист), тъй като платформата е структурирана в три различни модула. Всеки от тях предоставя адаптирано съдържание в зависимост от различните професионални отговорности на потребителите.

Платформата предлага обстойно въведение в правилата на Европейския съюз за защита на данните, като съдържанието не се ограничава само до разпоредбите на Общия регламент за защита на данните, но се разпростира и върху тези на Директива 2016/680. Регистрираните потребители на платформата могат лесно да проверят знанията си по разглежданите теми, тъй като е налице и функционалност за самостоятелна оценка.

Настоящата статия е създадена като част от проектa INFORM, финансиран с подкрепата на програма Правосъдие (2014-2020) на Европейската комисия. Съдържанието на настоящата публикация отразява единствено възгледите на авторите, които носят отговорност за съдържанието ѝ. Европейската комисия не поема никаква отговорност за информацията в публикацията.

# 15 ЗЗЛД – Кратки стъпки по спазването му

Дългоочакваните промени в Закона за защита на личните данни (“Законa/ЗЗЛД”), с които се цели хармонизиране на българското законодателство с Общия регламент за защита на личните данни (GDPR), от днес, 26.02.2019 г., вече са факт. Заедно с тях Законът въвежда и някои специфични национални правила.

По-долу предлагаме кратък списък на някои от най-важните изисквания по новия Закон:

Как да изпълним изискванията на ЗЗЛД

  • Приемете изрични вътрешни правила, ако извършвате някоя от следните дейности или ако сте внедрили някой от следните процеси в организацията си:
    – Извършвате видеонаблюдение;
    – Ограничили сте използването на фирмените устройства, системи или ресурси (например, ограничили сте достъпа на служителите си до някои сайтове);
    – Въвели сте система за докладване на нарушения (т.нар. “whistleblowing” системи);
    – Внедрили сте системи за контрол на достъпа, работното време или трудовата дисциплина (системи за чекиране с карти, GPS системи за следене на служебни автомобили и други служебни технически устройства);
  • Информирайте работниците и служителите си за приетите вътрешни правила и им осигурете достъп до тези документи;
  • Пазете данните, събирани в рамките на подбор на персонал, за не повече от 6 месеца. Искайте съгласието на кандидата за съхранение на данните му/ѝ за по-дълъг срок;
  • Назначете Длъжностно лице по защита на личните данни (“ДЛЗД”), ако попадате в дефиницията на „публичен орган“ по смисъла на Закона – държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства;
  • Съобщете имената, ЕГН/ЛНЧ и данните за контакт на вашето ДЛЗД (ако сте назначили такова) на КЗЛД;
  • Винаги когато обработвате данни на малолетни лица (лица под 14-годишна възраст) на основание съгласие, изисквайте съгласие от родителя, упражняващ родителски права/ настойника. Това изискване важи не само при предоставяне на услуги на информационното общество, а за всяко обработване въз основа на съгласие;
  • Ако обработвате данни за починали лица, това трябва да става само при наличие на правно основание за това и при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес;
  • При обработване на данни за журналистически цели, академичното, художественото или литературно изразяване винаги съобразявайте баланса между свободата на изразяване и правото на информация, и неприкосновеността на личния живот, съобразно критериите, заложени в ЗЗЛД.

Забранено по ЗЗЛД

  • Не копирайте документи за самоличност (лична карта, паспорт, шофьорска книжка) или разрешение за пребиваване (освен ако не разполагате с правно основание предвидено в закона за това);
  • Не допускайте свободен публичен достъп до информация, съдържаща ЕГН/ЛНЧ, освен ако закон предвижда друго;
  • Не ползвайте ЕГН като парола, тъй като Законът изисква предприемането на подходящи технически и организационни мерки, които да не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до услуги, предоставяни по електронен път (напр. като парола за достъп до медицински изследвания).

Сверете практиките си с новите правила, но не забравяйте, че списъкът ни не е изчерпателен и цели единствено да Ви въведе в общата рамка на приетите промени.

Очаквайте следващите ни публикации, в които ще анализираме в повече детайли най-важните промени и ще продължим да Ви информираме за най-актуалното от областта на защитата на личните данни!

# 14 Българската Комисия за защита на личните данни прие списък с операциите по обработване, когато задължително се изисква оценка на въздействието съгласно GDPR

В продължение на публикация #12 Оценка на въздействието за защита на данните от нашия Блог Ви информираме, че Комисията за защита на личните данни публикува списък на видовете операции по обработване на данни, за които задължително се изисква Оценка на въздействието за защита на данните (ОВЗД). Списъкът бе публикува на 13.02.2019 г. на сайта на Комисията.

Съгласно този списък администраторите, чието основно или единствено място на установяване е на територията на Република България, следва задължително да извършват ОВЗД във всеки от следните случаи:
• Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично;
• Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от GDPR или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни;
• Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България;
• Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от GDPR от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия;
• Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество;
• Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Настоящият списък е приет на основание чл. 35 пар. 4 от GDPR, като същият е неизчерпателен и може да бъде актуализиран при необходимост. Ще Ви информираме своевременно при такива актуализации.

# 13 Първи закон в областта на киберсигурността е приет в България

Първият български закон, изцяло посветен на киберсигурността, вече е факт.

На 13 ноември 2018 г. беше обнародван новият Закон за киберсигурност (ЗК/Законът). Законът бе приет в изпълнение на задължението за транспониране на Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.

Приемането на Закона е ключова стъпка към осигуряването на адекватно ниво на сигурност при използване на цифровите технологии и към успешното противодействие на злонамерени атаки, защото до този момент липсваше цялостно уреждане на проблематиката на киберсигурността, а отделни правила се съдържаха в множество специални закони (напр. Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, Наказателния кодекс, Наредбата за общите изисквания за мрежова и информационна сигурност и др.).

Кои органи ще отговарят за киберсигурността?

  • Съвет по киберсигурността;
  • Национално единно звено за контакт по въпросите на киберсигурността;
  • Национален координатор по киберсигурността;
  • Национални компетентни органи по мрежова и информационна сигурност към административни органи, определени с решение на Министерски съвет;
  • Национален екип за реагиране при инциденти с компютърната сигурност;
  • Секторни екипи за реагиране при инциденти с компютърната сигурност;
  • Център по киберпрестъпност в рамките на Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи, който ще осъществява дейности по разкриване, разследване и документиране на компютърни престъпления на национално ниво;
  • Други.

С новият Закон се регламентират правомощията в тази материя на вече съществуващи органи като:

  • Председателя на Държавна агенция „Електронно управление“;
  • Министъра на отбраната;
  • Министъра на вътрешните работи;
  • Председателя на Държавна агенция национална сигурност;
  • Други.

Кого засягат новите изисквания?

ЗК съдържа правила, адресирани към няколко различни категории задължени субекти (публични и частни):

  • административни органи;
  • оператори на съществени услуги, действащи в секторите:
    – енергетика;
    – транспорт;
    – банково дело;
    – инфраструктури на финансовия пазар;
    – здравеопазване;
    – доставка и снабдяване с питейна вода;
    – цифрова инфраструктура;
  • операторите на съществени услуги могат да бъдат както публични, така и частни субекти от посочените категории, които отговарят на всеки от следните критерии: 1) да предоставя съществена услуга; 2) предоставянето на тази съществена услуга да зависи от мрежи и информационни системи; и 3) инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга. Операторите на съществени услуги ще бъдат определени от компетентните административни органи съгласно тези критерии и в съответствие с методика, приета от Министерския съвет. В тази връзка, председателят на Държавна агенция „Електронно управление“ следва да състави списък със съществените услуги, който обаче няма да бъде публичен;
  • доставчици на цифрови услуги, предоставящи някоя от следните услуги:
    – онлайн място за търговия;
    – онлайн търсачка;
    – компютърни услуги „в облак“;
  • организации, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или доставчици на цифрови услуги, когато тези организации предоставят административни услуги по електронен път. Обществени услуги са услуги, по повод на чието предоставяне могат да се извършват административни услуги, а именно:
    – образователни;
    – здравни;
    – водоснабдителни;
    – канализационни;
    – топлоснабдителни;
    – електроснабдителни;
    – газоснабдителни;
    – телекомуникационни;
    – пощенски;
    – банкови;
    – финансови;
    – удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014; и
    – други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност;
  • лица, осъществяващи публични функции, които не са определени като оператори на съществени услуги, когато предоставят административни услуги по електронен път.

Очевидно новият Закон е насочен към потенциално доста широк кръг от адресати, което оправдава нуждата от познаването му, за да могат задължените лица да спазят изискванията му.

С цел да се избегне налагането на несъразмерна финансова и административна тежест, доставчиците на цифрови услуги, които са микро- и малки предприятия по смисъла на Закона за малките и средните предприятия, са сред субектите, изключени от обхвата на новия Закон.

Как засяга това частния сектор?

Както бе подчертано, адресати на задълженията, предвидени в ЗК, са както публични субекти, така и редица компании от частния сектор. Можем да очертаем част от по-ключовите изисквания съобразно неговия адресат:

  • Административни органи:
    – предприемат подходящи и пропорционални мерки за осигуряване на мрежова и информационна сигурност;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на тяхната дейност;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
  • Лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги;
    – осигуряват и отговарят за мрежовата и информационната си сигурност при предоставянето на административни услуги по електронен път;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път;
  • Операторите на съществени услуги:
    – предприемат подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на предоставяните от тях съществени услуги;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях съществени услуги;
    – уведомяват доставчика на цифрови услуги при инцидент, който може да има значително увреждащо въздействие върху непрекъснатостта на предоставяната съществена услуга и засяга доставчика на цифрови услуги, когато операторът на съществени услуги разчита на доставчик на цифрови услуги, за да предоставя съществена услуга;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК. Изискванията за мрежова и информационна сигурност, предвидени в закона, следва да се прилагат от операторите на съществени услуги само по отношение на предоставяните съществени услуги.
  • Доставчиците на цифрови услуги:
    – предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните им системи, използвани за предоставянето на цифрови услуги на територията на България;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях цифрови услуги.
    За определяне на въздействието на даден инцидент като съществено се вземат предвид редица критерии;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
    – доставчик на цифрови услуги, който не е установен в държава-членка на Европейския съюз, но предлага в Европейския съюз горепосочените услуги, трябва да определи свой представител в Европейския съюз, който трябва да е установен в държава-членка, в която се предлагат услугите;
    – в определени ситуации може да се наложи уведомяване на обществеността за настъпили инциденти.

Следва да се отбележи още, че законът изрично предвижда, че когато в правен акт на Европейския съюз или в закон, който е специален за конкретен сектор или услуга, се предвижда операторите на съществени услуги или доставчиците на цифрови услуги да гарантират мрежовата и информационната си сигурност или да уведомяват за инциденти, се прилагат тези актове, при условие че техните изисквания са най-малкото равностойни като резултат на задълженията, предвидени в ЗК.

  • Субекти, които не са изрично посочени като задължени лица по закона:
    – Извън изрично упоменатите в Закона лица, други субекти имат право/възможност за уведомяване на секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, които имат въздействие върху непрекъснатостта на предоставяните от тях услуги. Уведомленията на задължените лица се разглеждат с предимство.

Относно задълженията за уведомяване

Уведомяването по този закон при възникването на посочените инциденти следва да бъде направено до два часа след констатирането на инцидента, а пълната информация следва да бъде изпратена до 5 дни.

Уведомленията се подават по образци, утвърдени съобразно наредба за определяне на минималния обхват на мерките за мрежова и информационна сигурност, както и други препоръчителни мерки, която ще се приеме от Министерски съвет съгласно чл. 3, ал. 2 ЗК.

Предстои да бъдат приети и други подзаконови нормативни актове.

Санкции

ЗК предвижда санкции при нарушение на изискванията му, като глобите могат да достигнат до 20 000 лв., а имуществените санкции до 25 000 лв.

Важно е да се отбележи, че ЗК предвижда и санкции за длъжностни лица, които извършат или допуснат извършването на нарушение по глава втора, като глобите могат да достигнат до 15 000 лв.

Законът влиза в сила на 16 ноември 2018 г. в по-голямата си част. Разпоредбите относно създаването и функциите на Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност, както и някои задължения на Секторните екипи за реагиране при инциденти с компютърната сигурност за уведомяване влизат в сила от 1 януари 2022 г.

Осигуряването на сигурното и нормалното функциониране на мрежите и информационните системи е от основно значение за улесняването на трансграничното движение на стоки, услуги, капитали и хора. От тази гледна точка в Европейския съюз все повече се обръща внимание на създаването на общи правила по отношение на киберсигурността, защото тя се явява важна крачка към утвърждаването на единна дигитална цифрова икономика в рамките на вътрешния пазар. Предстои да видим как новата уредба ще засегне публичния и частния сектор, но при всички положения похвален е стремежът на ЕС и българския законодател да създаде законова рамка по проблемите на киберсигурността.

# 12 Оценка на въздействието за защита на данните – ключова част от спазването на GDPR

В продължение на серията публикации относно промените, въведени от GDPR, в настоящата публикация ще ви запознаем с едно от новите понятия в GDPR, а именно Оценка на въздействието за защита на данните (ОВЗД).

Какво представлява ОВЗД?

Администраторите на лични данни са отговорни за въвеждането на подходящи мерки за гаранция за спазването на GDPR, вземайки предвид „рисковете с различна вероятност и тежест за правата и свободите на физическите лица“. В този смисъл ролята им не се ограничава единствено с контрола и определянето на целите и средствата по обработването на лични данни, но съдържа и задължението им по управлението на рисковете, които биха могли да настъпят в резултат на тази дейност.

Oсновната цел на ОВЗД e да придаде яснота, да опише всички процеси по обработване, да оцени тяхната необходимост и пропорционалност и да спомогне за адекватното и целесъобразното управление на рисковете за правата и свободите на физическите лица, произтичащи от обработването на личните им данни.

В какво се изразява и какво съдържа ОВЗД?

В чл. 35, пар. 7 GDPR са определени задължителните характеристики на ОВЗД, а именно:

  • системен опис на предвидените операции по обработване и целите на обработването;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • оценка на рисковете за правата и свободите на субектите на данни;
  • мерки, предвидени за справяне с рисковете и демонстриране на съответствието с Регламента.

Оценката на рисковете за правата и свободите на субектите на данни е един от основните компонентни при ОВЗД, a част от предложените в GDPR принципи и насоки за оценка на риска се припокриват със съществуващите в тази връзка международни стандарти за управление на риска, в това число ISO 31000:2009. Примери в това отношение са:
• установяване на контекста: „като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска“;
• оценка на рисковете: „за да се оценят конкретната вероятност и тежестта на високия риск“;
• третиране на рисковете: „ограничаване на този риск“ и „с които се осигурява защитата на личните данни“ и „се доказва съответствието с настоящия регламент“.

Кога следва да се извърши ОВЗД?

Важно е да се отбележи, че не е необходимо за всяка операция по обработване да се извършва ОВЗД, а само тази, която „има вероятност да доведе до висок риск за правата и свободите на физическите лица“. В този смисъл за най-високорисково се счита обработването на данните, които са от изключително лично естество чрез технически средства без човешка намеса (напр. алгоритми/софтуер), в това число:

  • Систематична и подробна оценка на личните аспекти, отнасящи се до здравето, представянето на работното място, личните предпочитания, местонахождението, икономическото положение по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, с цел създаване или използване на лични профили;
  • Мащабно обработване на специални категории данни (напр. данни за расов или етнически произход, политически възгледи, сексуален живот и др.) или на лични данни за присъди и нарушения (чл. 9, пар.1 и чл. 10 GDPR);
  • Систематично мащабно наблюдение на публично достъпна зона; и др. под.

При всички случаи ОВЗД следва да бъде извършена преди да бъде извършено обработването. (чл. 35, пар. 1 и 10; съображения 90 и 93). Работната група по чл. 29 препоръчва извършването на оценката, дори и когато съществуват съмнения по отношение на необходимостта от такава, тъй като „тя сама по себе си е полезен инструмент, който помага на администраторите да спазват поставените законодателството в областта на защитата на данните“ [1], както и принципа отчетност (за повече информация вижте публикация #8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR).

Кои дейности по обработване на лични данни са високорискови?

В Насоките на работната група по чл. 29, са посочени девет критерия, по които администраторът може да определи операциите, които могат да доведат до висок риск за правата и свободите на физическите лица:
1) Наличие на оценка или точкуване, включително профилиране и предсказване – пример в това отношение са финансовите институции, които извършват справки за своите клиенти във връзка с отпускане на кредити в бази данни за борба срещу изпирането на пари или финансирането на тероризма; генетични тестове, за прогнозиране на рисковете от заболявания; компании, които създават поведенчески или маркетингови профили въз основа на уебсайт; др. под. ;
2) Наличие на автоматизирано вземане на решение с правно или подобен значителен ефект – Автоматизираното вземане на решения представлява способността за вземане на решения с технологични средства без човешка намеса. Пример затова е когато решението относно одобрението на кредит се взема от човек въз основа на профил, изготвен изцяло чрез автоматизирани средства или когато решението относно одобрението на заема се взема чрез алгоритъм и лицето се известява по автоматизиран начин за решението, без преди това да е извършена съдържателна оценка от човек.
3) Наличие на обработване, използвана за различни видове на наблюдение или контрол на субектите на данни – в това число попада наблюдението, чрез което се обработват данни за субекти, които не осъзнават кой събира данните им и как ще бъдат използвани, например видеонаблюдение в публична зона;
4) Наличие на обработване на специални категории данни – обществени болници, които съхраняват медицинските досиета на пациентите задължително следва да извършат ОВЗД, тъй като оперират с чувствителни данни, а именно здравословното състояние на физическите лица;
5) Наличие на обработване на лични данни в голям мащаб – определянето на мащаба е отделен процес, който обхваща внимателното изследване на фактори като: броят на засегнатите субекти на данни, обемът на данните или обхватът на различните видове данни, продължителността или непрекъснатостта, както и географският обхват на дейността по обработване;
6) Съчетаване на набори от данни, които произтичат от две или повече операции по обработване, извършени за различни цели и/или от различни администратори, по начин, който надхвърля разумните очаквания на субекта – В тези случаи трябва да се изследва естеството на договорните отношения и по-конкретно равновесието между субекта и администратора на данни, например до каква степен субектът на данните е свободен да прекрати договора и да потърси алтернативен доставчик на услуги;
7) Наличие на обработване на данни относно уязвимите субекти на данни, включващо и всякакъв тип взаимоотношения, в които има неравнопоставеност между субектите – примери в това отношение са деца – субекти на обработване, психично болни лица, търсещи убежище лица пациенти, възрастни и др. под.;
8) Наличие на иновативно използване на технологични и организационни решения – отличен пример в това отношение е използването на пръстови отпечатъци и разпознаване на лица с цел подобряване контрола на достъп;
9) Възпрепятстване субектите на данни да упражняват право, да използват услуга или договор – тук отново примерът с банка, която извършва справка за клиент в референтна база данни за кредити, т.е. в случая процеса на обработване на личните данни на субекта могат да доведат до лишаването му от възможността да му се предостави кредит.

Общото правило е, че операция по обработване на лични данни, която отговаря на по-малко от два от критериите, описани по-горе, може да не изисква извършването на ОВЗД поради по-ниското ниво на риск. Съответно на колкото повече критерии отговаря обработването, толкова по-вероятно е да бъде високорискова по отношение на правата и свободите на физическите лица.

В допълнение GDPR вменява и задължение на надзорния орган да състави и оповести списък на видовете операции по обработване, за които задължително се изисква ОВЗД. Също така надзорният орган може да състави и оповести списък на видовете операции по обработване, за които не се изисква ОВЗД. Към настоящия момент Комисията за защита на личните данни (КЗЛД) все още не е оповестила тези списъци.

Какво следва след извършване на ОВЗД?

ОВЗД не е еднократно действие, а е цялостен процес на изграждане и демонстриране на съответствие.

Веднъж изготвена Оценката на въздействието за защита на данните обаче, би могла да се използва за оценка на множество операции по обработване, които са сходни по отношение на рисковете, вземайки предвид специфичната природа, обхвата, целите и контекста на конкретния казус. Когато операцията по обработване включва съвместни администратори, то те трябва да определят точно и ясно съответните си задължения. Тяхната ОВЗД трябва задължително да посочва коя страна е отговорна за различните мерки, предназначени да третират рисковете и да защитят правата на субектите на данни.

Ако администраторът смята, че не е нужно да направи Оценка на въздействието за защита на данните, то той трябва да документира подробно причините, поради които не я е извършил.

Извършването на оценката може да бъде възложено и на външно лице.

Ако обработването се извършва изцяло или частично от обработващ личните данни, то той трябва да съдейства на администратора при извършването на ОВЗД и да предостави необходимата информация, като ролите и отговорностите трябва да бъдат внимателно определени в отделен договор/споразумение. Обикновено такива задължения се вменяват на обработващия със споразумението за обработване на лични данни между администратора и обработващя.

Освен това администраторът ще трябва да се консултира и с надзорния орган, когато законодателството на държавата-членка изисква това.

Във връзка с горното остава остава въпросът какво ще предвиди новият Закон за изменение и допълнение на Закона за защита на личните данни в тази насока.

В заключение следва да наблегнем на факта, че изготвянето на ОВЗД е ключова част от спазването на GDPR, когато се планира или се осъществява обработване на данни с висок риск. Това означава, че администраторите на лични данни трябва да са в състояние да определят дали трябва да се извърши такава оценка. Разбира се, вътрешната политика на администратора на данни може да разшири обсега на дейностите по обработване на лични данни, за които ще бъде извършена ОВЗД и отвъд изискванията на GDPR. Такъв подход безусловно би довел до изграждане на по-силно доверие на субектите у администратора и до създаване на допълнителни гаранции за законосъобразно и адекватно обработване на лични данни в компанията.

[1] Работна група за защита на личните данни по член 29: Насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 (WP 248 rev. 01), достъпни на английски език тук.

#11 Съветът на Европа актуализира единствения международен правнообвързващ инструмент за защита на личните данни – Конвенция № 108

На 18 май 2018 г. в Елсинор, Съветът на Европа прие Протокол за изменение на Конвенция № 108 от 28.01.1981 г. за защита на лицата при автоматизираната обработка на лични данни („Конвенцията“).

Какво представлява Конвенцията?

До този момент Конвенцията е единственият международен договор с глобално значение в областта на защитата на данните и е създадена в отговор на нестихващите предизвикателства пред опазването на неприкосновеността на личния живот, произтичащи от използването на нови информационни и комуникационни технологии. С предприетата цялостна ревизия на Конвенцията Съветът на Европа цели да я актуализира, да разшири обхвата ѝ и да укрепи механизмите, заложени в нея, за да гарантира нейното ефективно прилагане.

Какво е новото в Конвенцията?

Основна цел на промените в Конвенцията е улесняването на трансграничния обмен на данни, като същевременно се доразвиват и основните механизми за защита при обработването на лични данни, заложени в Конвенцията, в съответствие с последните законодателни промени на ниво ЕС. Конвенцията обхваща обработването на данни както в публичния, така и в частния сектор, като по този начин заложените изменения целят да подобрят нивото на защита на личните данни в максимална степен и обхват. Работата по приетите тази година нововъведения започна още през 2012 г. и протече паралелно с останалите промени в законодателството по отношение на защитата на личните данни в ЕС, включително с приемането и началото на прилагането на прословутия нов Общ регламент относно защитата на данните (GDPR).

Генералният секретар на Съвета на Европа Турбьорн Ягланд посочва, че необходимостта от модернизацията е продиктувана от честите нарушения на правото на защита на данните, като предотвратяването им следва да бъде основния фокус при прилагането на Конвенцията.

Редица от новостите в Конвенцията са съобразени със заложеното в GDPR. Някои от основните новости включват:

  • Разширени са категориите чувствителни данни, като към забраната за обработване на лични данни, разкриващи расов произход, политически възгледи или религиозни или други убеждения, здравословен живот или лични данни, свързани с престъпления, наказателни производства и присъди, са включени и генетичните и биометричните данни, както и данни относно членството в синдикални организации и данни за етническия произход;
  • Разширени са правата на субекта на данни, в това число:- Право на субекта на данни да не бъде обект на автоматизирано вземане на решения, което значително го засяга, без да се съобрази гледната му точка;
    – Право на информация на субекта на данни относно обработването;
    – Право на субекта на данни да получи информация за логиката на обработването на личните данни, по-специално за случаите, при които се използват алгоритми за автоматизирано вземане на решения и профилиране;
    – Право на възражение на субекта на данни, по-специално правото на субекта да се противопостави на обработването на лични данни, свързани с него, освен ако легитимния интерес на администратора, не е с по-висок приоритет;
  • Добавени са допълнителни задължения по отношение на администраторите и обработващите лични данни:- Принципите за защита на данните следва да се прилагат на всички етапи на обработването, включително фазата на проектиране (“privacy by design и “privacy by default”);
    – Подходящите мерки, които трябва да предприемат, включват: обучение на служителите; създаване на подходящи процедури за уведомяване (например, установяване на срокове, в рамките на които трябва да бъдат съхранявани данни и конкретни дати, на които да бъдат изтрити от системата); установяване на специфични договорни разпоредби, когато обработването е делегирано; създаване на вътрешни процедури, които да дават възможност за проверка и доказване на съответствието и др.
    – Подсилени са правомощията на надзорния орган, който страните по Конвенцията следва да изберат по тяхна преценка с цел да се гарантира изпълнението и съответствието на разпоредбите на акта. Според Обяснителния протокол към Конвенцията, този орган може да бъде едноличен (комисар) или колективен, като по-важното е да има ефективни правомощия и функции и да бъде независим при изпълнение на задълженията си;
    – Страните по Конвенцията могат да въведат специфични надзорни органи, чиято дейност е ограничена до конкретен сектор (според обяснителния протокол в това число попадат и: секторът на електронните комуникации, здравния сектор, публичния сектор и др.);
    – Страните следва да предоставят на надзорния орган правомощието да възбужда и/или участва в съдебни производства във връзка с всякакви нарушения на защитата на данните. Това правомощие е тясно свързано с правомощията за провеждане на разследвания и откриване на нарушения.
    – Въведено е задължително уведомяване за нарушения на сигурността на данните;
  • Засилени са мерките за пропорционално обработване на данните и прилагане на принципа за свеждане на данните до минимум;
  • Изменена е и използваната до момента терминология, като е премахнато понятието „автоматизиран регистър с данни“ и е въведен един нов участник в процеса по обработване на лични данни – „получател“ (1) и т.н.;
  • Предприетите от тях мерки за защита на данните следва да са свързани с отговорността им да бъдат в състояние да докажат, че обработването на данни е в съответствие с приложимото право (т.нар. принцип на „отчетност“);
  • Едно от най-важните нововъведения в Конвенцията е засилената роля на Консултативния комитет, който вече е освен с консултативни, и с оценителни и надзорни функции. Той ще преценява до каква степен страна-членка или международна организация е изпълнила изискванията на Конвенцията. Комитетът има право да оцени и съответствието на вътрешното право на страна по Конвенцията и да определи ефективността на предприетите мерки.

Важно е да се отбележи, че към Конвенцията могат да се присъединяват както държави от всяка точка на света, така и международни организации, в това число и Европейския съюз. Това превръща Конвенцията в ключов инструмент за хармонизиране на различните правни режими за защита на личните данни и за осигуряване на високо ниво на тази защита на международно равнище.

Модернизирането на Конвенцията е много важна стъпка към утвърждаването на глобални стандарти за защита на личните данни. Обновената Конвенция се стреми да стимулира присъединяването на колкото може повече държави по света с цел да стимулира международният бизнес и развитието му, вече на базата на по-сигурни и общоприложими правила в сферата на личните данни и тяхната ефикасна защита.

Повече информация можете да намерите в официалния уебсайт на Съвета на Европа тук.

 

(1) На английски разпоредбата гласи следното: Art. 3, “e” – “recipient” means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available; Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), URL.

# 10 Законът за изменение и допълнение на Закона за защита на личните данни, синхронизиран с GDPR, официално е внесен в Народното събрание

На 18 юли Законът за изменение и допълнение на Закона за защита на личните данни беше внесен пред Народното събрание (Новия проект). Новият проект има за цел да въведе мерките за изпълнение на Общия регламент на ЕС за защита на личните данни (Регламента/ GDPR) и да транспонира Директива 2016/680 относно защитата на личните данни в полицейския сектор (предложените в тази част промени – глава 8а от Новия проект – ще бъдат обект на последващ анализ в блога ни).

Първоначалният проект (Стария проект), станал публично достъпен на 30.04.2018 г., очаквано, претърпя някои редакции в резултат на проведените в страната обществени консултации (1).

На пръв поглед и без претенции за изчерпателност, в Новия проект правят впечатление следните изменения:

1. Премахнати са минималните прагове на глобите и имуществените санкции, доколкото такива не бяха предвидени и в Регламента. Глобите/ санкциите ще се налагат съобразно посочените в Регламента критерии;
2. Предвидената глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат;
3. Предвидени са гаранции за балансиране на защитената от закона тайна (напр. адвокатската тайна) с разследващите правомощия на Комисията за защита на личните данни (КЗЛД), доколкото е предвидена възможност такава тайна да послужи на администраторите/ обработващите като основание за отказ за предоставянето ѝ или на достъпа до нея на КЗЛД при проверки;
4. КЗЛД ще поддържа вътрешен регистър на нарушенията и на предприетите мерки в съответствие с упражняването на корективните си правомощия, който няма да бъде публичен. Въвеждат се и няколко нови публични такива:
– Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните (ДЛЗД). Премахва се предложението за водене регистър на ДЛЗД поради опасенията за въвеждането на прикрит регистрационен режим за тази длъжност, който Регламентът не предвижда;
– Регистър на акредитираните сертифициращи органи;
– Регистър на кодекси за поведение.
5. Премахнати са текстовете, които предвиждаха КЗЛД да провежда обучения на ДЛЗД;
6. Срокът за съхранение на личните данни на кандидатите за работа трябва да бъде не по-дълъг от 6 месеца (в Първоначалния проект срокът бе 3 години) след окончателното приключване на процеса по подбор на персонал. Това ограничение се отнася и до документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност. Прецизирани са и други текстове относно защитата на личните данни в контекста на трудовото правоотношение (напр. отпаднало е спорното разрешение да се иска изрично съгласие от служителите за обработване на техни лични данни, които не са поискани от работодателя или които не се изискват от нормативен акт);
7. Премахнато е изискването администратори/ обработващи да назначават ДЛЗД, ако обработват данните на над 10 000 физически лица, доколкото срещу това изискване, заложено в Стария проект, постъпиха сериозни възражения в процедурата по обществена консултация (преди всичко поради неяснотите как то да се прилага на практика);
8. За публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства. Това ще рефлектира върху задължението им за назначаване на ДЛЗД;
9. Новият проект предвижда и нови текстове относно обработването на лични данни за целите на архивирането в обществен интерес, научни и исторически изследвания, статистически цели и журналистически цели.

Целият проект е достъпен тук.

Като Ваш доверен партньор ще продължим Ви информираме своевременно за законодателния процес по Новия проект, както и за всякакви новости в законодателството за защита на личните данни на национално и европейско равнище.

(1) Вж. в този смисъл и последния информационен бюлетин на КЗЛД от юли 2018 г., URL 

# 6 Административни санкции по GDPR

В продължение на серията публикации относно GDPR днес ще се запознаем с най-чувствителната тема, свързана с Регламента, а именно глобите и санкциите.

Ще обърнем внимание на праговете на тези административни наказания[1], на критериите, съгласно които се определя размерът им, както и на това какви са особеностите при определяне на този размер в случай на предприятия и как тези особености засягат груповите корпоративни структури.

Регламентът определя два прага на административните наказания в зависимост от вида на установеното нарушение:

  • За нарушения на някое от задълженията на администратора/обработващия (а именно на вмененото с чл. 8, 11, 25-39 и 42 и 43 GDPR), глобата или имуществената санкция би могла да бъде в размер на до 10,000,000 евро или до 2% от общия годишен световен оборот на предприятието за предходната година;
  • За нарушения, свързани със заложените в Регламента принципи за обработване на лични данни, правата на субектите на данните, предаването на лични данни на получател в трета държава, задълженията, произтичащи от правото на държавите членки, касаещи особени ситуации на обработване, както и с неспазване на разпореждания или ограничения, наложени от надзорния орган, глобата или имуществената санкция би могла да бъде в размер на до 20,000,000 евро или до 4% от общия годишен световен оборот на предприятието.

Описаните по-горе размери представляват максималните стойности, които глобите или имуществените санкции могат да достигнат. В зависимост от конкретното нарушение и съотношението между дължима и положена грижа, размерът би могъл да варира съществено. Различни обстоятелства ще оказват влияние при преценката на този размер. Така например, в случай на нарушение на няколко разпоредби на Регламента при една и съща операция по обработване или при свързани операции, общият размер на административното наказание не би могъл да надвишава сумата, определена за най-тежкото такова. При леки нарушения пък или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание.

Възниква въпросът какви са критериите за определяне на размера на наказанието. Регламентът оставя място за редица интерпретации, но мнението на Работната група по чл. 29 е, че преценката зависи от степента на необходимост от намеса и корекция на виновното поведение и от това дали в конкретния случай тази намеса или корекция е от възпитателен или наказателен характер.

Що се отнася до общите правила и условията за налагане на глоба или имуществена санкция, тези правила са посочени в чл. 83 от Регламента. Важен елемент е нуждата от налагане на ефективна и пропорционална глоба или санкция. Такава би могла да бъде определена въз основа на множество обстоятелства, а именно:

  • Оценка на естеството на нарушението и на неговата продължителност;
  • Оценка на основанието за съответното обработване, както и категориите лични данни, засегнати от нарушението. Някои особени лични данни като напр. такива, засягащи расов или етнически произход, политически и религиозни възгледи, се ползват с по-висока защита.[2]
  • Оценка на обстоятелствата около нарушението, по-конкретно оценка на вината, т.е. умишлено или по небрежност е извършено то;
  • Оценка на дължимата и положената грижа от страна на администратора/обработващия лични данни при установяване на нарушението и след прекратяването му. Уведомяването на надзорния орган и оказването на сътрудничество при поправяне на нарушението са смекчаващи обстоятелства.
  • Значение имат и всякакви други смекчаващи или утежняващи фактори, като напр. предишни нарушения, финансови облаги от нарушението и други.

Размерът на санкциите, наложени на предприятия, може да бъде значително голям. Във връзка с това възниква въпросът какво визира Регламентът под „предприятие“. Тук законодателят е спестил ресурс, като е направил препратка към чл. 101 и 102 от Договора за функционирането на Европейския Съюз (ДФЕС).

Макар да не е изрично дефинирано в тези разпоредби, понятието е тълкувано разширително в установената практика на Съда на ЕС, според която за целите на чл. 101 и 102 от ДФЕС, понятието „предприятие“ следва да се разбира като икономическа единица, която може да бъде образувана от дружество-майка и всички негови дъщерни дружества. За едно предприятие се считат и структури, в които едно дружество упражнява контрол върху друго дружество, като двете са тясно свързани икономически и организационно. Това разбиране за понятието „предприятие“ би могло да доведе до значително увеличаване на санкциите, чиито размер би могъл да бъде определен въз основа на годишния световен оборот на цялата корпоративна група, а не на оборота на конкретното юридическо лице, извършило нарушението.

В заключение, уточняваме, че обсъжданите размери на административните наказания, заложени в Регламента, представляват максималния размер на глобите или санкциите, които могат да бъдат наложени в случай на най-груби нарушения. В Регламента се посочва, че е необходимо да се прави подробна преценка на всеки конкретен случай и възможните смекчаващи или утежняващи обстоятелства.[3] Припомняме, че поради разширителното тълкуване на термина „предприятие“, при определяне на размера на санкцията може да бъде взет предвид годишният оборот на цяла група от дружества, което значително да увеличи размера на санкцията. Затова и съобразяването на дейността с изискванията на Регламента е от изключителна важност.

Екипът на „Димитров Петров и Ко.“

[1] Административните санкции са два вида – „глоба“, която се налага на администратор-физическо лице, и „имуществена санкция“, която се налага на администратор-юридическо лице

[2] Член 9 и 10 от Регламента описват тези специални категории.

[3] Становище на Работна група 29 относно административните глоби за целите на Регламент 2016/679.

# 5 Принципът на прозрачност по GDPR

В продължение на темата за ключовите моменти, които GDPR въвежда, в настоящата публикация ще засегнем един от новите принципи на защитата на личните данни, а именно прозрачността.

Прозрачността е отдавна установена характеристика на правото на Европейския съюз, която се свързва с пораждането на доверие в процесите, които засягат гражданите, като им дава възможност да разберат и ако се налага – да оспорват тези процеси[i]. Прозрачността е неразривно свързана с добросъвестността и с новия принцип, който GDPR въвежда – отчетността. Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели.

Прозрачността позволява на субектите на лични данни да държат администраторите и обработващите лични данни отговорни за обработването и да упражняват контрол върху своите лични данни. Изискванията за прозрачност според GDPR се прилагат без значение от правното основание за обработване на данни и през цялото време на обработването. Прозрачността като принцип е приложима в следните 3 основни етапа от цикъла по обработване:

1) Преди обработването – при предоставянето на информация на субектите на данни във връзка със събирането на техни лични данни и предстоящото им обработване;

2) През целия период на обработването – при начините, по които администраторите на лични данни комуникират със субектите във връзка с техните права по GDPR;

3) В специфични случаи по време на обработването – например при нарушаване на сигурността на личните данни или в случаите на съществени промени при обработването,

Какво всъщност означава прозрачността? Принципът на прозрачност най-общо изисква всяка информация и комуникация във връзка с обработването на лични данни да бъде лесно достъпна и разбираема за субектите на данни и да им се предостави чрез използването на ясни и недвусмислени формулировки. Това изискване се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, както и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение за обработването на техни лични данни.

Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването

Чл. 12 от GDPR регламентира изискванията, на които информацията, предоставяна на субектите във връзка с обработването, трябва да отговаря:

  • кратка, прозрачна, разбираема и лесно достъпна форма;
  • на ясен и прост език;
  • изискването за използване на ясен и прост език е от особена важност при предоставяне на информация на деца – те се ползват със специална защита, тъй като не разбират съответните рискове при обработването, както и правата си във връзка с обработването, поради което информацията, насочена към деца следва да е още по-ясна, проста и лесноразбираема за детето;
  • Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства;
  • Ако субектът на данните е поискал, информацията може да се предостави и устно (включително и с автоматизирани средства – напр. чрез аудиозапис) – GDPR изисква преди такова предоставяне на информация самоличността на субекта да е била потвърдена от администратора с други средства. Това изискване за потвърждаване на самоличността се прилага само във връзка с предоставянето на информация за правата по чл. 15-22 и чл. 34 от GDPR, но не и за предоставянето на общата информация относно обработването по чл. 13 и чл. 14 от GDPR[ii];
  • Информацията се предоставя безплатно – администраторите не могат да начисляват такси и др. под. на субектите за предоставянето на информация относно обработването. Изключение от това правило може да има единствено когато исканията на субекта са явно неоснователни или прекомерни (напр. поради своята повтoряемост) – в тези случаи администраторът може да наложи разумна такса или да откаже да предприеме действие по искането. Тежестта да докаже тези обстоятелства обаче се носи от администратора.

Категориите информация, която следва да се предоставят на субектите, са изброени в чл. 13 и чл. 14 от GDPR – най-общо това са: данни за администратора, цели, правно основание, срок на обработването, информация за правата на субекта, информация дали предоставянето на лични данни е законово или договорно изискване и последиците от непредоставянето на данните. Ново изискване на GDPR е предоставянето на информация относно правното основание за целите на обработването – администраторите следва да са в състояние да привържат всяка конкретна цел на обработване с конкретното основание. Това на практика означава, че администраторите трябва да са наясно с основанията за обработване на лични данни и да могат правилно да идентифицират кое основание към коя цел е приложимо.

Освен съдържанието, формата и начинът на предоставяне на информацията по чл. 13 и 14 от GDPR също са важни. Информацията за обработването на лични данни следва да се предостави на субекта на данни в момента на събирането ѝ от него или ако личните данни са получени от друг източник — в рамките на разумен срок след получаването на личните данни, но най-късно в срок до един месец. В резултат на тези изисквания администраторите следва да разработят механизми, с които да информират субектите в посочения срок винаги когато събират и съхраняват информация, която не е получена от самите субекти, а например от интернет, публичен регистър и т.н.

Предоставянето на информацията относно обработването следва да бъде отделно от всяка друга информация – на практика трябва да се съставят отделни документи (декларации за информираност, съобщения, политики за защита на личните данни и т.н.). Работната група по чл. 29, консултативен орган в сферата на защитата на личните данни на ниво ЕС, препоръчва използването на нотификации относно информацията, които се предоставят поетапно (т.нар. layered privacy statements), както и на push / pull нотификации (изскачащи прозорци, предоставящи информация)[iii]. Информацията, която трябва да се предостави на субектите на данни, може да бъде предоставена в комбинация със стандартизирани икони, чрез което администраторът да представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

В заключение следва да обобщим, че принципът на прозрачност изисква за всяко обработване на субектите на лични данни да се дава определена информация, която да гарантира тяхното право да се запознаят с процеса и да го оспорят при нужда. Изключенията от това изискване са много ограничени – напр. когато субектът на данните вече разполага с тази информация или когато предоставянето на информацията е невъзможно или изисква несъразмерно големи усилия.

Надлежното документиране на това как е спазен принципът на прозрачност става още по-важно в контекста на новия принцип на отчетност, според който администраторите носят тежестта и по всяко време трябва да са в състояние да докажат спазването на изискванията на GDPR. Ето защо, препоръчително е всички компании да изградят механизми за гарантиране на изискването за прозрачност – изработване на подходящи инструменти (политики за защита на личните данни, съобщения, декларации), както и на процедури за информиране на субектите (напр. при нарушения на сигурността на данните).

Екипът на „Димитров, Петров и Ко.“

[i] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 5.

[ii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 11.

[iii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 17-18.