# 17 Териториалният обхват на GDPR

В продължение на серията публикации относно промените, въведени с GDPR, с настоящата публикация ще ви запознаем с териториалния обхват на GDPR.

Териториалният обхват на GDPR е ключов фактор при привеждането на дейността на бизнеса в съответствие с правилата по защита на личните данни, тъй като в днешно време много услуги се предоставят в световен мащаб и онлайн. Компаниите извън ЕС са поставени пред проблема да определят дали те са пряко подчинени на строгите изисквания на GDPR или не. В помощ на компаниите, през края на 2018 г., правоприемникът на WP29, Европейският комитет по защита на данните (EDPB) публикува „Насоки за териториалният обхват на GDPR“.

Тази статия има за цел да обобщи и изясни критериите, както и да предостави някои насоки и полезна информация за териториалния обхват на GDPR.

Териториалният обхват на GDPR е определен в член 3, като разпоредбата съдържа три основни критерия.

Установяване на територията на ЕС
Първият критерии за определяне на териториалния обхват на GDPR е установяването на администратор или обработващ лични данни в ЕС (Чл. 3 (1)).

Съгласно GDPR, „установяването“ предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Формата на тези договорености, например дали дейността се извършва чрез клон или дъщерно дружество, не е от значение.

Съдът на ЕС също постановява в неговата практика, че понятието за установяване обхваща всяка реална и ефективна дейност, осъществявана чрез стабилни договорености. Всъщност дори наличието на един служител или представител на дружество извън ЕС, би могло да бъде достатъчно за да представлява стабилно споразумение, ако този служител или представител действа с достатъчна степен на стабилност.

Това, че дадено дружество извън ЕС няма клон или дъщерно дружество в държава-членка, не изключва възможността то да бъде счетено за установено на територията а ЕС по смисъла на GDPR. Трябва да се има предвид, че когато компания със седалище в САЩ има клон, офис за продажби или просто когато извършва дейности за повишаване на нейните приходи в ЕС, може да се счете, че има стабилни договорености в ЕС и следователно GDPR да се прилага спряно нейната дейност.

Следва да се обърне внимание, че съгласно Член 3 критерият за установяване на територията на ЕС се преценя поотделно както за администратора, така и за обработващия лични данни. EDPB е на мнение, че когато става въпрос за идентифициране на различните задължения, породени от приложимостта на GDPR, дейностите по обработване на лични данни от всеки правен субект, бил той администратор или обработващ, следва да се разглеждат самостоятелно.

Например, в случаите, когато администратор на лични данни е установен на територията на ЕС и включи на обработващ лични данни, който се намира извън ЕС, такъв обработващ няма да се счита като установен в рамките на ЕС, само защото администраторът е дружество в ЕС. В този случай GDPR няма да бъде директно приложим за обработващия, установен извън ЕС. Единствено администраторът в ЕС ще бъде задължен да прилага изисквания на GDPR, приложими към администратори на лични данни („задълженията на администраторите на лични данни на GDPR“). Едно от тези изисквания е именно администраторът на лични данни да подсигури чрез договор или друг правен акт, че обработващият, установен извън ЕС, обработва данните в съответствие с GDPR.

Точно обратното се отнася за администратор на лични данни, установен извън рамките на Европейския съюз. Той не може да се счита за установен в ЕС, само защото използва обработващ лични данни от ЕС. В този случай, GDPR ще бъде приложим само за обработващия лични данни и само той ще трябва да се съобразява с изискванията на GDPR, приложими към обработващите лични данни („задълженията на обработващите лични данни на GDPR“). Например, това са задълженията на обработващия лични данни в ЕС да приложи подходящи технически и организационни мерки в съответствие с Регламента относно обмена на данни с администратора, да уведомява администратора без неоправдано забавяне, след като разбере за нарушение на сигурността на личните данни, или да определи длъжностно лице по защита на данните (ДЛЗД), когато това се изисква от Регламента.

Таргетиране на лица в ЕС
Вторият критерии за териториална приложимост на GDPR е така нареченото „таргетиране“ на лица в ЕС (Член 3 (2)).

GDPR определя критерия за таргетиране като „предлагането на стоки или услуги, независимо от това дали се изисква плащане от субекта на данни в ЕС“, както и като „наблюдение на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза“. Налице ли е таргетиране зависи главно от въпроса дали дейностите на дадено предприятие са насочени към потребители, намиращи се в ЕС, което трябва да се определи във всеки отделен случай.

Местоположението на субекта данни на територията на ЕС е определящ фактор за прилагането на критерия за таргетиране. Европейският комитет за защита на данните смята, че националността или правният статут на лицето не може да ограничава териториалния обхват на GDPR. Следователно и дейностите, насочени към жителите на трети държави, които се намират в ЕС, също могат да предизвикат прилагането на критерия за таргетиране и да доведат до прилагане на GDPR спрямо тези дейности.

За да могат дружествата да определят дали техните дейности трябва да се считат за предлагане на стоки и услуги на субекти на данни в ЕС, последните следва да преценяват всички особености на техния бизнес модел, като например намерението им да предлагат стоки или услуги в ЕС чрез уебсайт, дали ги предлагат на местен език и приемат местна валута, дали са посочили местно лице за контакт за целите на продажби и съпорт т.н.

За да се задейства прилагането на втория критерий за таргетиране, а именно „наблюдение на поведение“, дейността по наблюдението трябва на първо място да се отнася за лице в ЕС и наблюдаваното поведение трябва да се извършва на територията на ЕС.
GDPR и Европейският комитет за защита на данните отбелязват като няколко примера за наблюдение дейностите на поведенческата реклама, гео-локализиращите дейности, онлайн проследяването чрез използване на бисквитки или други техники за проследяване, персонализираните диети и онлайн услугите за анализ на здравето, видеонаблюдението, пазарните проучвания и други поведенчески проучвания, базирани на индивидуални профили, мониторинг или редовно следене на здравословното състояние на индивида и други.
Важно е да се отбележи, че обработването на лични данни на лица, които се намират извън територията на ЕС, били те и граждани на ЕС, не предизвиква прилагане на GDPR, доколкото обработването на лични данни не е свързано с предлагане на конкретна услуга, насочена към лица в ЕС, или към наблюдение на тяхното поведение в ЕС.

Прилагане на правото на държавите-членки по силата на международното право
Разпоредбата на чл. 3(3) е по-обстойно обяснена в Съображение 25, което гласи, че когато правото на държавите-членки се прилага по силата на международното публично право, то GDPR следва да се прилага и за администратор, който не е установен на територията на ЕС.

Това означава, че GDPR може да се прилага и за обработването на лични данни, извършвано от посолствата и консулствата на държавите-членки на ЕС, или в кораби на ЕС, когато те се намират в международни води. Фактът, че дадена дейност се извършва на кораб, регистриран в ЕС, означава, че по силата на международното публично право се прилага GDPR.

Администраторите или обработващите лични данни, които не са установени в Съюза, трябва да назначат местен представител.
И накрая, е важно да се има предвид, че администратор или обработващ лични данни, който не е установен в ЕС, но спрямо него се прилага GDPR, е длъжен да определи представител в ЕС в съответствие с член 27, а ако не бъде определен такъв представител, следователно съответният администратор или обработващ ще бъде в нарушение на Регламента.

GDPR и Европейският комитет за защита на данните, дават някои допълнителни насоки относно процеса на определяне, задълженията и отговорностите на представителя в ЕС. Например, важно е да се знае, че представителят:
• може да бъде физическо или юридическо лице, установено в Съюза;
• следва да бъде изрично посочен с писмен мандат, например договор с администратора или обработващия лични данни да действа от негово име и във връзка с неговите задължения съгласно GDPR;
• не може да бъде едновременно Длъжностно лице за защита на данните (DPO) на дружеството;

Член 27(2) предвижда някои изключения от задължението за определяне на представител в Съюза, като например:
• когато обработването е спорадично, не включва мащабно обработване на специални категории лични данни или обработване на лични данни, свързани с присъди и нарушения; или
• когато обработването се извършва от публичен орган или структура.

Член 27(3) предвижда, че представителят трябва да бъде установен в една от държавите-членки, където субектите на данни, чиито лични данни се обработват във връзка с предлагането на стоки или услуги на тях или чието поведение се наблюдава.

Освен това, Европейският комитет за защита на данните препоръчва представителят да бъде лесно достъпен за всички субекти на данни във всяка от държавите-членки, в която се предлагат услугите или стоките или се наблюдава поведението.

Моля, имайте предвид, че представителят в Съюза действа от името на администратора или обработващия лични данни, който ги представлява по отношение на задълженията им съгласно GDPR. Това е особено важно за изпълнението на задълженията, свързани с упражняването на правата на субектите на данни, и в това отношение данните за контакт на представителя трябва да бъдат включени във всички информационни документи на администаторите на лични данни съгласно изискванията на чл. 13 и 14, като например уведомленията им за защита на личните данни.

Представителят следва също така да изпълнява задачите си в съответствие с мандата, получен от администратора или обработващия лични данни, включително да си сътрудничи с компетентните надзорни органи по отношение на всяко действие, предприето за осигуряване на съответствието с GDPR.

Насоките 3/2018 относно териториалния обхват на GDPR (член 3) на Европейския комитет по защита на данните могат да бъдат намерени тук.

# 16 Платформата за дистанционно обучение по проект INFORM – удобен начин за увод в тематиката за защита на лични данни

Наскоро колегите от Фондация „Право и Интернет“ представиха платформа за онлайн обучение, която по достъпен начин въвежда в тематиката за защита на личните данни. Платформата е резултат от изпълнението на проекта INFORM (Представяне на реформата в сферата на защита на лични данни пред съдебната система) и е достъпна на следния линк.

Регистрацията е лесна, само в една стъпка, като позволява на потребителите да изберат и своята професия (магистрат, съдебна администрация или практикуващ юрист), тъй като платформата е структурирана в три различни модула. Всеки от тях предоставя адаптирано съдържание в зависимост от различните професионални отговорности на потребителите.

Платформата предлага обстойно въведение в правилата на Европейския съюз за защита на данните, като съдържанието не се ограничава само до разпоредбите на Общия регламент за защита на данните, но се разпростира и върху тези на Директива 2016/680. Регистрираните потребители на платформата могат лесно да проверят знанията си по разглежданите теми, тъй като е налице и функционалност за самостоятелна оценка.

Настоящата статия е създадена като част от проектa INFORM, финансиран с подкрепата на програма Правосъдие (2014-2020) на Европейската комисия. Съдържанието на настоящата публикация отразява единствено възгледите на авторите, които носят отговорност за съдържанието ѝ. Европейската комисия не поема никаква отговорност за информацията в публикацията.

# 15 ЗЗЛД – Кратки стъпки по спазването му

Дългоочакваните промени в Закона за защита на личните данни (“Законa/ЗЗЛД”), с които се цели хармонизиране на българското законодателство с Общия регламент за защита на личните данни (GDPR), от днес, 26.02.2019 г., вече са факт. Заедно с тях Законът въвежда и някои специфични национални правила.

По-долу предлагаме кратък списък на някои от най-важните изисквания по новия Закон:

Как да изпълним изискванията на ЗЗЛД

  • Приемете изрични вътрешни правила, ако извършвате някоя от следните дейности или ако сте внедрили някой от следните процеси в организацията си:
    – Извършвате видеонаблюдение;
    – Ограничили сте използването на фирмените устройства, системи или ресурси (например, ограничили сте достъпа на служителите си до някои сайтове);
    – Въвели сте система за докладване на нарушения (т.нар. “whistleblowing” системи);
    – Внедрили сте системи за контрол на достъпа, работното време или трудовата дисциплина (системи за чекиране с карти, GPS системи за следене на служебни автомобили и други служебни технически устройства);
  • Информирайте работниците и служителите си за приетите вътрешни правила и им осигурете достъп до тези документи;
  • Пазете данните, събирани в рамките на подбор на персонал, за не повече от 6 месеца. Искайте съгласието на кандидата за съхранение на данните му/ѝ за по-дълъг срок;
  • Назначете Длъжностно лице по защита на личните данни (“ДЛЗД”), ако попадате в дефиницията на „публичен орган“ по смисъла на Закона – държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства;
  • Съобщете имената, ЕГН/ЛНЧ и данните за контакт на вашето ДЛЗД (ако сте назначили такова) на КЗЛД;
  • Винаги когато обработвате данни на малолетни лица (лица под 14-годишна възраст) на основание съгласие, изисквайте съгласие от родителя, упражняващ родителски права/ настойника. Това изискване важи не само при предоставяне на услуги на информационното общество, а за всяко обработване въз основа на съгласие;
  • Ако обработвате данни за починали лица, това трябва да става само при наличие на правно основание за това и при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес;
  • При обработване на данни за журналистически цели, академичното, художественото или литературно изразяване винаги съобразявайте баланса между свободата на изразяване и правото на информация, и неприкосновеността на личния живот, съобразно критериите, заложени в ЗЗЛД.

Забранено по ЗЗЛД

  • Не копирайте документи за самоличност (лична карта, паспорт, шофьорска книжка) или разрешение за пребиваване (освен ако не разполагате с правно основание предвидено в закона за това);
  • Не допускайте свободен публичен достъп до информация, съдържаща ЕГН/ЛНЧ, освен ако закон предвижда друго;
  • Не ползвайте ЕГН като парола, тъй като Законът изисква предприемането на подходящи технически и организационни мерки, които да не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до услуги, предоставяни по електронен път (напр. като парола за достъп до медицински изследвания).

Сверете практиките си с новите правила, но не забравяйте, че списъкът ни не е изчерпателен и цели единствено да Ви въведе в общата рамка на приетите промени.

Очаквайте следващите ни публикации, в които ще анализираме в повече детайли най-важните промени и ще продължим да Ви информираме за най-актуалното от областта на защитата на личните данни!

# 14 Българската Комисия за защита на личните данни прие списък с операциите по обработване, когато задължително се изисква оценка на въздействието съгласно GDPR

В продължение на публикация #12 Оценка на въздействието за защита на данните от нашия Блог Ви информираме, че Комисията за защита на личните данни публикува списък на видовете операции по обработване на данни, за които задължително се изисква Оценка на въздействието за защита на данните (ОВЗД). Списъкът бе публикува на 13.02.2019 г. на сайта на Комисията.

Съгласно този списък администраторите, чието основно или единствено място на установяване е на територията на Република България, следва задължително да извършват ОВЗД във всеки от следните случаи:
• Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично;
• Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от GDPR или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни;
• Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България;
• Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от GDPR от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия;
• Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество;
• Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Настоящият списък е приет на основание чл. 35 пар. 4 от GDPR, като същият е неизчерпателен и може да бъде актуализиран при необходимост. Ще Ви информираме своевременно при такива актуализации.

# 13 Първи закон в областта на киберсигурността е приет в България

Първият български закон, изцяло посветен на киберсигурността, вече е факт.

На 13 ноември 2018 г. беше обнародван новият Закон за киберсигурност (ЗК/Законът). Законът бе приет в изпълнение на задължението за транспониране на Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.

Приемането на Закона е ключова стъпка към осигуряването на адекватно ниво на сигурност при използване на цифровите технологии и към успешното противодействие на злонамерени атаки, защото до този момент липсваше цялостно уреждане на проблематиката на киберсигурността, а отделни правила се съдържаха в множество специални закони (напр. Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, Наказателния кодекс, Наредбата за общите изисквания за мрежова и информационна сигурност и др.).

Кои органи ще отговарят за киберсигурността?

  • Съвет по киберсигурността;
  • Национално единно звено за контакт по въпросите на киберсигурността;
  • Национален координатор по киберсигурността;
  • Национални компетентни органи по мрежова и информационна сигурност към административни органи, определени с решение на Министерски съвет;
  • Национален екип за реагиране при инциденти с компютърната сигурност;
  • Секторни екипи за реагиране при инциденти с компютърната сигурност;
  • Център по киберпрестъпност в рамките на Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи, който ще осъществява дейности по разкриване, разследване и документиране на компютърни престъпления на национално ниво;
  • Други.

С новият Закон се регламентират правомощията в тази материя на вече съществуващи органи като:

  • Председателя на Държавна агенция „Електронно управление“;
  • Министъра на отбраната;
  • Министъра на вътрешните работи;
  • Председателя на Държавна агенция национална сигурност;
  • Други.

Кого засягат новите изисквания?

ЗК съдържа правила, адресирани към няколко различни категории задължени субекти (публични и частни):

  • административни органи;
  • оператори на съществени услуги, действащи в секторите:
    – енергетика;
    – транспорт;
    – банково дело;
    – инфраструктури на финансовия пазар;
    – здравеопазване;
    – доставка и снабдяване с питейна вода;
    – цифрова инфраструктура;
  • операторите на съществени услуги могат да бъдат както публични, така и частни субекти от посочените категории, които отговарят на всеки от следните критерии: 1) да предоставя съществена услуга; 2) предоставянето на тази съществена услуга да зависи от мрежи и информационни системи; и 3) инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга. Операторите на съществени услуги ще бъдат определени от компетентните административни органи съгласно тези критерии и в съответствие с методика, приета от Министерския съвет. В тази връзка, председателят на Държавна агенция „Електронно управление“ следва да състави списък със съществените услуги, който обаче няма да бъде публичен;
  • доставчици на цифрови услуги, предоставящи някоя от следните услуги:
    – онлайн място за търговия;
    – онлайн търсачка;
    – компютърни услуги „в облак“;
  • организации, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или доставчици на цифрови услуги, когато тези организации предоставят административни услуги по електронен път. Обществени услуги са услуги, по повод на чието предоставяне могат да се извършват административни услуги, а именно:
    – образователни;
    – здравни;
    – водоснабдителни;
    – канализационни;
    – топлоснабдителни;
    – електроснабдителни;
    – газоснабдителни;
    – телекомуникационни;
    – пощенски;
    – банкови;
    – финансови;
    – удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014; и
    – други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност;
  • лица, осъществяващи публични функции, които не са определени като оператори на съществени услуги, когато предоставят административни услуги по електронен път.

Очевидно новият Закон е насочен към потенциално доста широк кръг от адресати, което оправдава нуждата от познаването му, за да могат задължените лица да спазят изискванията му.

С цел да се избегне налагането на несъразмерна финансова и административна тежест, доставчиците на цифрови услуги, които са микро- и малки предприятия по смисъла на Закона за малките и средните предприятия, са сред субектите, изключени от обхвата на новия Закон.

Как засяга това частния сектор?

Както бе подчертано, адресати на задълженията, предвидени в ЗК, са както публични субекти, така и редица компании от частния сектор. Можем да очертаем част от по-ключовите изисквания съобразно неговия адресат:

  • Административни органи:
    – предприемат подходящи и пропорционални мерки за осигуряване на мрежова и информационна сигурност;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на тяхната дейност;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
  • Лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги;
    – осигуряват и отговарят за мрежовата и информационната си сигурност при предоставянето на административни услуги по електронен път;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път;
  • Операторите на съществени услуги:
    – предприемат подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на предоставяните от тях съществени услуги;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях съществени услуги;
    – уведомяват доставчика на цифрови услуги при инцидент, който може да има значително увреждащо въздействие върху непрекъснатостта на предоставяната съществена услуга и засяга доставчика на цифрови услуги, когато операторът на съществени услуги разчита на доставчик на цифрови услуги, за да предоставя съществена услуга;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК. Изискванията за мрежова и информационна сигурност, предвидени в закона, следва да се прилагат от операторите на съществени услуги само по отношение на предоставяните съществени услуги.
  • Доставчиците на цифрови услуги:
    – предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните им системи, използвани за предоставянето на цифрови услуги на територията на България;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях цифрови услуги.
    За определяне на въздействието на даден инцидент като съществено се вземат предвид редица критерии;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
    – доставчик на цифрови услуги, който не е установен в държава-членка на Европейския съюз, но предлага в Европейския съюз горепосочените услуги, трябва да определи свой представител в Европейския съюз, който трябва да е установен в държава-членка, в която се предлагат услугите;
    – в определени ситуации може да се наложи уведомяване на обществеността за настъпили инциденти.

Следва да се отбележи още, че законът изрично предвижда, че когато в правен акт на Европейския съюз или в закон, който е специален за конкретен сектор или услуга, се предвижда операторите на съществени услуги или доставчиците на цифрови услуги да гарантират мрежовата и информационната си сигурност или да уведомяват за инциденти, се прилагат тези актове, при условие че техните изисквания са най-малкото равностойни като резултат на задълженията, предвидени в ЗК.

  • Субекти, които не са изрично посочени като задължени лица по закона:
    – Извън изрично упоменатите в Закона лица, други субекти имат право/възможност за уведомяване на секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, които имат въздействие върху непрекъснатостта на предоставяните от тях услуги. Уведомленията на задължените лица се разглеждат с предимство.

Относно задълженията за уведомяване

Уведомяването по този закон при възникването на посочените инциденти следва да бъде направено до два часа след констатирането на инцидента, а пълната информация следва да бъде изпратена до 5 дни.

Уведомленията се подават по образци, утвърдени съобразно наредба за определяне на минималния обхват на мерките за мрежова и информационна сигурност, както и други препоръчителни мерки, която ще се приеме от Министерски съвет съгласно чл. 3, ал. 2 ЗК.

Предстои да бъдат приети и други подзаконови нормативни актове.

Санкции

ЗК предвижда санкции при нарушение на изискванията му, като глобите могат да достигнат до 20 000 лв., а имуществените санкции до 25 000 лв.

Важно е да се отбележи, че ЗК предвижда и санкции за длъжностни лица, които извършат или допуснат извършването на нарушение по глава втора, като глобите могат да достигнат до 15 000 лв.

Законът влиза в сила на 16 ноември 2018 г. в по-голямата си част. Разпоредбите относно създаването и функциите на Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност, както и някои задължения на Секторните екипи за реагиране при инциденти с компютърната сигурност за уведомяване влизат в сила от 1 януари 2022 г.

Осигуряването на сигурното и нормалното функциониране на мрежите и информационните системи е от основно значение за улесняването на трансграничното движение на стоки, услуги, капитали и хора. От тази гледна точка в Европейския съюз все повече се обръща внимание на създаването на общи правила по отношение на киберсигурността, защото тя се явява важна крачка към утвърждаването на единна дигитална цифрова икономика в рамките на вътрешния пазар. Предстои да видим как новата уредба ще засегне публичния и частния сектор, но при всички положения похвален е стремежът на ЕС и българския законодател да създаде законова рамка по проблемите на киберсигурността.

# 12 Оценка на въздействието за защита на данните – ключова част от спазването на GDPR

В продължение на серията публикации относно промените, въведени от GDPR, в настоящата публикация ще ви запознаем с едно от новите понятия в GDPR, а именно Оценка на въздействието за защита на данните (ОВЗД).

Какво представлява ОВЗД?

Администраторите на лични данни са отговорни за въвеждането на подходящи мерки за гаранция за спазването на GDPR, вземайки предвид „рисковете с различна вероятност и тежест за правата и свободите на физическите лица“. В този смисъл ролята им не се ограничава единствено с контрола и определянето на целите и средствата по обработването на лични данни, но съдържа и задължението им по управлението на рисковете, които биха могли да настъпят в резултат на тази дейност.

Oсновната цел на ОВЗД e да придаде яснота, да опише всички процеси по обработване, да оцени тяхната необходимост и пропорционалност и да спомогне за адекватното и целесъобразното управление на рисковете за правата и свободите на физическите лица, произтичащи от обработването на личните им данни.

В какво се изразява и какво съдържа ОВЗД?

В чл. 35, пар. 7 GDPR са определени задължителните характеристики на ОВЗД, а именно:

  • системен опис на предвидените операции по обработване и целите на обработването;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • оценка на рисковете за правата и свободите на субектите на данни;
  • мерки, предвидени за справяне с рисковете и демонстриране на съответствието с Регламента.

Оценката на рисковете за правата и свободите на субектите на данни е един от основните компонентни при ОВЗД, a част от предложените в GDPR принципи и насоки за оценка на риска се припокриват със съществуващите в тази връзка международни стандарти за управление на риска, в това число ISO 31000:2009. Примери в това отношение са:
• установяване на контекста: „като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска“;
• оценка на рисковете: „за да се оценят конкретната вероятност и тежестта на високия риск“;
• третиране на рисковете: „ограничаване на този риск“ и „с които се осигурява защитата на личните данни“ и „се доказва съответствието с настоящия регламент“.

Кога следва да се извърши ОВЗД?

Важно е да се отбележи, че не е необходимо за всяка операция по обработване да се извършва ОВЗД, а само тази, която „има вероятност да доведе до висок риск за правата и свободите на физическите лица“. В този смисъл за най-високорисково се счита обработването на данните, които са от изключително лично естество чрез технически средства без човешка намеса (напр. алгоритми/софтуер), в това число:

  • Систематична и подробна оценка на личните аспекти, отнасящи се до здравето, представянето на работното място, личните предпочитания, местонахождението, икономическото положение по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, с цел създаване или използване на лични профили;
  • Мащабно обработване на специални категории данни (напр. данни за расов или етнически произход, политически възгледи, сексуален живот и др.) или на лични данни за присъди и нарушения (чл. 9, пар.1 и чл. 10 GDPR);
  • Систематично мащабно наблюдение на публично достъпна зона; и др. под.

При всички случаи ОВЗД следва да бъде извършена преди да бъде извършено обработването. (чл. 35, пар. 1 и 10; съображения 90 и 93). Работната група по чл. 29 препоръчва извършването на оценката, дори и когато съществуват съмнения по отношение на необходимостта от такава, тъй като „тя сама по себе си е полезен инструмент, който помага на администраторите да спазват поставените законодателството в областта на защитата на данните“ [1], както и принципа отчетност (за повече информация вижте публикация #8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR).

Кои дейности по обработване на лични данни са високорискови?

В Насоките на работната група по чл. 29, са посочени девет критерия, по които администраторът може да определи операциите, които могат да доведат до висок риск за правата и свободите на физическите лица:
1) Наличие на оценка или точкуване, включително профилиране и предсказване – пример в това отношение са финансовите институции, които извършват справки за своите клиенти във връзка с отпускане на кредити в бази данни за борба срещу изпирането на пари или финансирането на тероризма; генетични тестове, за прогнозиране на рисковете от заболявания; компании, които създават поведенчески или маркетингови профили въз основа на уебсайт; др. под. ;
2) Наличие на автоматизирано вземане на решение с правно или подобен значителен ефект – Автоматизираното вземане на решения представлява способността за вземане на решения с технологични средства без човешка намеса. Пример затова е когато решението относно одобрението на кредит се взема от човек въз основа на профил, изготвен изцяло чрез автоматизирани средства или когато решението относно одобрението на заема се взема чрез алгоритъм и лицето се известява по автоматизиран начин за решението, без преди това да е извършена съдържателна оценка от човек.
3) Наличие на обработване, използвана за различни видове на наблюдение или контрол на субектите на данни – в това число попада наблюдението, чрез което се обработват данни за субекти, които не осъзнават кой събира данните им и как ще бъдат използвани, например видеонаблюдение в публична зона;
4) Наличие на обработване на специални категории данни – обществени болници, които съхраняват медицинските досиета на пациентите задължително следва да извършат ОВЗД, тъй като оперират с чувствителни данни, а именно здравословното състояние на физическите лица;
5) Наличие на обработване на лични данни в голям мащаб – определянето на мащаба е отделен процес, който обхваща внимателното изследване на фактори като: броят на засегнатите субекти на данни, обемът на данните или обхватът на различните видове данни, продължителността или непрекъснатостта, както и географският обхват на дейността по обработване;
6) Съчетаване на набори от данни, които произтичат от две или повече операции по обработване, извършени за различни цели и/или от различни администратори, по начин, който надхвърля разумните очаквания на субекта – В тези случаи трябва да се изследва естеството на договорните отношения и по-конкретно равновесието между субекта и администратора на данни, например до каква степен субектът на данните е свободен да прекрати договора и да потърси алтернативен доставчик на услуги;
7) Наличие на обработване на данни относно уязвимите субекти на данни, включващо и всякакъв тип взаимоотношения, в които има неравнопоставеност между субектите – примери в това отношение са деца – субекти на обработване, психично болни лица, търсещи убежище лица пациенти, възрастни и др. под.;
8) Наличие на иновативно използване на технологични и организационни решения – отличен пример в това отношение е използването на пръстови отпечатъци и разпознаване на лица с цел подобряване контрола на достъп;
9) Възпрепятстване субектите на данни да упражняват право, да използват услуга или договор – тук отново примерът с банка, която извършва справка за клиент в референтна база данни за кредити, т.е. в случая процеса на обработване на личните данни на субекта могат да доведат до лишаването му от възможността да му се предостави кредит.

Общото правило е, че операция по обработване на лични данни, която отговаря на по-малко от два от критериите, описани по-горе, може да не изисква извършването на ОВЗД поради по-ниското ниво на риск. Съответно на колкото повече критерии отговаря обработването, толкова по-вероятно е да бъде високорискова по отношение на правата и свободите на физическите лица.

В допълнение GDPR вменява и задължение на надзорния орган да състави и оповести списък на видовете операции по обработване, за които задължително се изисква ОВЗД. Също така надзорният орган може да състави и оповести списък на видовете операции по обработване, за които не се изисква ОВЗД. Към настоящия момент Комисията за защита на личните данни (КЗЛД) все още не е оповестила тези списъци.

Какво следва след извършване на ОВЗД?

ОВЗД не е еднократно действие, а е цялостен процес на изграждане и демонстриране на съответствие.

Веднъж изготвена Оценката на въздействието за защита на данните обаче, би могла да се използва за оценка на множество операции по обработване, които са сходни по отношение на рисковете, вземайки предвид специфичната природа, обхвата, целите и контекста на конкретния казус. Когато операцията по обработване включва съвместни администратори, то те трябва да определят точно и ясно съответните си задължения. Тяхната ОВЗД трябва задължително да посочва коя страна е отговорна за различните мерки, предназначени да третират рисковете и да защитят правата на субектите на данни.

Ако администраторът смята, че не е нужно да направи Оценка на въздействието за защита на данните, то той трябва да документира подробно причините, поради които не я е извършил.

Извършването на оценката може да бъде възложено и на външно лице.

Ако обработването се извършва изцяло или частично от обработващ личните данни, то той трябва да съдейства на администратора при извършването на ОВЗД и да предостави необходимата информация, като ролите и отговорностите трябва да бъдат внимателно определени в отделен договор/споразумение. Обикновено такива задължения се вменяват на обработващия със споразумението за обработване на лични данни между администратора и обработващя.

Освен това администраторът ще трябва да се консултира и с надзорния орган, когато законодателството на държавата-членка изисква това.

Във връзка с горното остава остава въпросът какво ще предвиди новият Закон за изменение и допълнение на Закона за защита на личните данни в тази насока.

В заключение следва да наблегнем на факта, че изготвянето на ОВЗД е ключова част от спазването на GDPR, когато се планира или се осъществява обработване на данни с висок риск. Това означава, че администраторите на лични данни трябва да са в състояние да определят дали трябва да се извърши такава оценка. Разбира се, вътрешната политика на администратора на данни може да разшири обсега на дейностите по обработване на лични данни, за които ще бъде извършена ОВЗД и отвъд изискванията на GDPR. Такъв подход безусловно би довел до изграждане на по-силно доверие на субектите у администратора и до създаване на допълнителни гаранции за законосъобразно и адекватно обработване на лични данни в компанията.

[1] Работна група за защита на личните данни по член 29: Насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 (WP 248 rev. 01), достъпни на английски език тук.

#11 Съветът на Европа актуализира единствения международен правнообвързващ инструмент за защита на личните данни – Конвенция № 108

На 18 май 2018 г. в Елсинор, Съветът на Европа прие Протокол за изменение на Конвенция № 108 от 28.01.1981 г. за защита на лицата при автоматизираната обработка на лични данни („Конвенцията“).

Какво представлява Конвенцията?

До този момент Конвенцията е единственият международен договор с глобално значение в областта на защитата на данните и е създадена в отговор на нестихващите предизвикателства пред опазването на неприкосновеността на личния живот, произтичащи от използването на нови информационни и комуникационни технологии. С предприетата цялостна ревизия на Конвенцията Съветът на Европа цели да я актуализира, да разшири обхвата ѝ и да укрепи механизмите, заложени в нея, за да гарантира нейното ефективно прилагане.

Какво е новото в Конвенцията?

Основна цел на промените в Конвенцията е улесняването на трансграничния обмен на данни, като същевременно се доразвиват и основните механизми за защита при обработването на лични данни, заложени в Конвенцията, в съответствие с последните законодателни промени на ниво ЕС. Конвенцията обхваща обработването на данни както в публичния, така и в частния сектор, като по този начин заложените изменения целят да подобрят нивото на защита на личните данни в максимална степен и обхват. Работата по приетите тази година нововъведения започна още през 2012 г. и протече паралелно с останалите промени в законодателството по отношение на защитата на личните данни в ЕС, включително с приемането и началото на прилагането на прословутия нов Общ регламент относно защитата на данните (GDPR).

Генералният секретар на Съвета на Европа Турбьорн Ягланд посочва, че необходимостта от модернизацията е продиктувана от честите нарушения на правото на защита на данните, като предотвратяването им следва да бъде основния фокус при прилагането на Конвенцията.

Редица от новостите в Конвенцията са съобразени със заложеното в GDPR. Някои от основните новости включват:

  • Разширени са категориите чувствителни данни, като към забраната за обработване на лични данни, разкриващи расов произход, политически възгледи или религиозни или други убеждения, здравословен живот или лични данни, свързани с престъпления, наказателни производства и присъди, са включени и генетичните и биометричните данни, както и данни относно членството в синдикални организации и данни за етническия произход;
  • Разширени са правата на субекта на данни, в това число:- Право на субекта на данни да не бъде обект на автоматизирано вземане на решения, което значително го засяга, без да се съобрази гледната му точка;
    – Право на информация на субекта на данни относно обработването;
    – Право на субекта на данни да получи информация за логиката на обработването на личните данни, по-специално за случаите, при които се използват алгоритми за автоматизирано вземане на решения и профилиране;
    – Право на възражение на субекта на данни, по-специално правото на субекта да се противопостави на обработването на лични данни, свързани с него, освен ако легитимния интерес на администратора, не е с по-висок приоритет;
  • Добавени са допълнителни задължения по отношение на администраторите и обработващите лични данни:- Принципите за защита на данните следва да се прилагат на всички етапи на обработването, включително фазата на проектиране (“privacy by design и “privacy by default”);
    – Подходящите мерки, които трябва да предприемат, включват: обучение на служителите; създаване на подходящи процедури за уведомяване (например, установяване на срокове, в рамките на които трябва да бъдат съхранявани данни и конкретни дати, на които да бъдат изтрити от системата); установяване на специфични договорни разпоредби, когато обработването е делегирано; създаване на вътрешни процедури, които да дават възможност за проверка и доказване на съответствието и др.
    – Подсилени са правомощията на надзорния орган, който страните по Конвенцията следва да изберат по тяхна преценка с цел да се гарантира изпълнението и съответствието на разпоредбите на акта. Според Обяснителния протокол към Конвенцията, този орган може да бъде едноличен (комисар) или колективен, като по-важното е да има ефективни правомощия и функции и да бъде независим при изпълнение на задълженията си;
    – Страните по Конвенцията могат да въведат специфични надзорни органи, чиято дейност е ограничена до конкретен сектор (според обяснителния протокол в това число попадат и: секторът на електронните комуникации, здравния сектор, публичния сектор и др.);
    – Страните следва да предоставят на надзорния орган правомощието да възбужда и/или участва в съдебни производства във връзка с всякакви нарушения на защитата на данните. Това правомощие е тясно свързано с правомощията за провеждане на разследвания и откриване на нарушения.
    – Въведено е задължително уведомяване за нарушения на сигурността на данните;
  • Засилени са мерките за пропорционално обработване на данните и прилагане на принципа за свеждане на данните до минимум;
  • Изменена е и използваната до момента терминология, като е премахнато понятието „автоматизиран регистър с данни“ и е въведен един нов участник в процеса по обработване на лични данни – „получател“ (1) и т.н.;
  • Предприетите от тях мерки за защита на данните следва да са свързани с отговорността им да бъдат в състояние да докажат, че обработването на данни е в съответствие с приложимото право (т.нар. принцип на „отчетност“);
  • Едно от най-важните нововъведения в Конвенцията е засилената роля на Консултативния комитет, който вече е освен с консултативни, и с оценителни и надзорни функции. Той ще преценява до каква степен страна-членка или международна организация е изпълнила изискванията на Конвенцията. Комитетът има право да оцени и съответствието на вътрешното право на страна по Конвенцията и да определи ефективността на предприетите мерки.

Важно е да се отбележи, че към Конвенцията могат да се присъединяват както държави от всяка точка на света, така и международни организации, в това число и Европейския съюз. Това превръща Конвенцията в ключов инструмент за хармонизиране на различните правни режими за защита на личните данни и за осигуряване на високо ниво на тази защита на международно равнище.

Модернизирането на Конвенцията е много важна стъпка към утвърждаването на глобални стандарти за защита на личните данни. Обновената Конвенция се стреми да стимулира присъединяването на колкото може повече държави по света с цел да стимулира международният бизнес и развитието му, вече на базата на по-сигурни и общоприложими правила в сферата на личните данни и тяхната ефикасна защита.

Повече информация можете да намерите в официалния уебсайт на Съвета на Европа тук.

 

(1) На английски разпоредбата гласи следното: Art. 3, “e” – “recipient” means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available; Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), URL.

# 10 Законът за изменение и допълнение на Закона за защита на личните данни, синхронизиран с GDPR, официално е внесен в Народното събрание

На 18 юли Законът за изменение и допълнение на Закона за защита на личните данни беше внесен пред Народното събрание (Новия проект). Новият проект има за цел да въведе мерките за изпълнение на Общия регламент на ЕС за защита на личните данни (Регламента/ GDPR) и да транспонира Директива 2016/680 относно защитата на личните данни в полицейския сектор (предложените в тази част промени – глава 8а от Новия проект – ще бъдат обект на последващ анализ в блога ни).

Първоначалният проект (Стария проект), станал публично достъпен на 30.04.2018 г., очаквано, претърпя някои редакции в резултат на проведените в страната обществени консултации (1).

На пръв поглед и без претенции за изчерпателност, в Новия проект правят впечатление следните изменения:

1. Премахнати са минималните прагове на глобите и имуществените санкции, доколкото такива не бяха предвидени и в Регламента. Глобите/ санкциите ще се налагат съобразно посочените в Регламента критерии;
2. Предвидената глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат;
3. Предвидени са гаранции за балансиране на защитената от закона тайна (напр. адвокатската тайна) с разследващите правомощия на Комисията за защита на личните данни (КЗЛД), доколкото е предвидена възможност такава тайна да послужи на администраторите/ обработващите като основание за отказ за предоставянето ѝ или на достъпа до нея на КЗЛД при проверки;
4. КЗЛД ще поддържа вътрешен регистър на нарушенията и на предприетите мерки в съответствие с упражняването на корективните си правомощия, който няма да бъде публичен. Въвеждат се и няколко нови публични такива:
– Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните (ДЛЗД). Премахва се предложението за водене регистър на ДЛЗД поради опасенията за въвеждането на прикрит регистрационен режим за тази длъжност, който Регламентът не предвижда;
– Регистър на акредитираните сертифициращи органи;
– Регистър на кодекси за поведение.
5. Премахнати са текстовете, които предвиждаха КЗЛД да провежда обучения на ДЛЗД;
6. Срокът за съхранение на личните данни на кандидатите за работа трябва да бъде не по-дълъг от 6 месеца (в Първоначалния проект срокът бе 3 години) след окончателното приключване на процеса по подбор на персонал. Това ограничение се отнася и до документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност. Прецизирани са и други текстове относно защитата на личните данни в контекста на трудовото правоотношение (напр. отпаднало е спорното разрешение да се иска изрично съгласие от служителите за обработване на техни лични данни, които не са поискани от работодателя или които не се изискват от нормативен акт);
7. Премахнато е изискването администратори/ обработващи да назначават ДЛЗД, ако обработват данните на над 10 000 физически лица, доколкото срещу това изискване, заложено в Стария проект, постъпиха сериозни възражения в процедурата по обществена консултация (преди всичко поради неяснотите как то да се прилага на практика);
8. За публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства. Това ще рефлектира върху задължението им за назначаване на ДЛЗД;
9. Новият проект предвижда и нови текстове относно обработването на лични данни за целите на архивирането в обществен интерес, научни и исторически изследвания, статистически цели и журналистически цели.

Целият проект е достъпен тук.

Като Ваш доверен партньор ще продължим Ви информираме своевременно за законодателния процес по Новия проект, както и за всякакви новости в законодателството за защита на личните данни на национално и европейско равнище.

(1) Вж. в този смисъл и последния информационен бюлетин на КЗЛД от юли 2018 г., URL 

# 9 Комисията за защита на личните данни отмени Наредба № 1 от 30 януари 2013 г. – какви технически и организационни мерки е необходимо организациите да предприемат оттук нататък?

В брой 43 на Държавен вестник от 25.05.2018 г. бе обнародвана отмяната на Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредбата). Комисията за защита на личните данни (КЗЛД) оповести, че предстои преработването й в методическо ръководство към администраторите, без да се ангажира с конкретен срок (https://www.cpdp.bg/index.php?p=element&aid=1151).

Така наред с останалите въпросителни относно прилагането на Регламента за защита на личните данни („GDPR“/ „Регламента“) се поставя и още един въпрос – какви технически и организационни мерки следва да предприемат организациите оттук нататък, за да гарантират подходящо ниво на сигурност на данните, които обработват.

Приложими мерки по отменената Наредба

Отменената Наредба предвиждаше 5 вида защита на личните данни (физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи и криптографска защита) и съдържаше подробна регламентация на техническите и организационни мерки по прилагането им.

Предишният подход, възприет от КЗЛД, бе да задължи администраторите да извършват оценка на въздействието спрямо всеки регистър с лични данни, които поддържат. На база на определеното ниво на въздействие за регистъра администраторите следваше да прилагат съответстващо на него ниво на защита на данните в него – задължителен минимален набор от мерки, уредени за всяко ниво в Наредбата. Сега след като това задължение отпадна, се отвори широко поле за спекулации относно приложимите типове мерки в тази насока, поради което анализът по-долу има за цел да внесе известна яснота по въпроса.

Чл. 32 от GDPR изброява някои примерни, но не и задължителни мерки, като псевдонимизация, криптиране и др., които могат да насочат организациите към това какви мерки биха се счели за подходящи. Разбира се, крайният избор зависи от контекста и целите на обработването. В този смисъл, въпреки, че администраторите и обработващите не са длъжни да прилагат някоя от конкретно изброените в GDPR мерки, задължението им да гарантират сигурността на обработваните данни остава.

Технически и организационни мерки оттук нататък

При преценката си всеки администратор/ обработващ лични данни е редно да има предвид следното:

На първо място, GDPR е насочен към защитата на личните данни като основно човешко право на гражданите на ЕС. В този смисъл, разбирането, че Регламентът съдържа „изцяло технологична уредба“, е неверен. Изискването за прилагане на технически и организационни мерки за гарантиране сигурността на данните безспорно има своето важно значение, но това е само един от седемте основни принципа на GDPR за защита на данните. С други думи, дори и да сме приложили изключително високи мерки за сигурност, дори и цялата информация, с която боравим да е криптирана – ако обработваме тези данни без правно основание или за незаконосъобразна цели, или не сме информирали надлежно физическите лица за това обработване и т.н., дейността ни няма да съответства на изискванията на GDPR.

На следващо място, Регламентът посочва редица критерии, от които да се води един администратор или обработващ при определянето и изборът на най-подходящата мярка. Чрез този подход европейският законодател постига сравнително добър баланс между свободата на действие и значителната отговорност за постигането на адекватно ниво на защита на данните.

Все пак основният набор от мерки, заложен в отменената Наредба би могъл да служи като добър ориентир или отправна точка за целите на защитата на личните данни. Разбира се, преценката следва да се извършва с оглед особеностите на обработваните лични данни наред с установените стандарти и добри практики за информационна сигурност.

Междувременно ние ще продължим да следим и да Ви информираме за развитието на казуса и последващата регулация по въпросите за подходящите мерки за защита на личните данни, както и конкретните мерки по прилагането на GDPR, предприети на местно ниво.

# 8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR

В продължение на публикациите относно GDPR с настоящия материал ще засегнем един от изцяло новите принципи на защитата на личните данни, въведен с Регламента – отчетността.

Отчетност на практика означава способността на администратора на лични данни във всеки един момент да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно и в минимален обем за постигане на ясно определени цели, като данните се съхраняват точни и само за времето, необходимо за постигане на тези цели, а посоченото обработване е обезпечено с подходящо ниво на сигурност и защита на данните.

Отчетността предполага надлежно документиране на всички процеси по обработване на лични данни в предприятието. Иначе казано, предприятията трябва да създадат „документална следа“ относно обработването – да разполагат с писмен документ, който позволява проследимост на процесите по обработване на данните и който може да се ползва като доказателство при проверка от КЗЛД относно спазването на изискванията на GDPR.

Сред някои от най-важните инструменти за постигане на отчетност можем да посочим средства :
• поддържането на регистри на дейностите по обработване по чл. 30 GDPR;
• надлежно уреждане на отношенията със субектите на данни по повод обработването на данни (чрез политики за защита на личните данни, декларации за информираност и др. под.);
• надлежно уреждане на отношенията с трети лица по повод предаване на данни (договори между администратори и между администратори и обработващи);
• определяне на длъжностно лице по защита на личните данни, когато такова се изисква;
• извършване на оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица;
• своевременно уведомяване на Комисията за защита на личните данни и субекта на данните при нарушения на сигурността;
• прилагане на доброволни механизми за сертифициране и/или спазване на кодекси на поведение;
• приемане на вътрешни правила за защита на личните данни (инструкции, политики, и др. под.).

Сред посочените по-горе средства особено внимание следва да се отдели на воденето на регистри на дейностите по обработване. Тези регистри се поддържат от администратора и обработващия лични данни и при поискване трябва да осигурят достъп до регистъра на надзорния орган. Съдържанието на регистрите е подробно уредено в GDPR (чл. 30, пар. 1 и пар. 2).

Задължението за водене на регистър не се прилага по отношение на организации с по-малко от 250 служители, освен ако (i) има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, (ii) ако обработването не е спорадично или (ii) включва специални категории данни или лични данни, свързани с присъди и нарушения. Кое да е от тези изключения да е налице, съответната организация трябва да води регистри за съответната дейност по обработване.

От значение за спазване на принципа на отчетност е и оценката на въздействието върху защитата на данните. Работната група по член 29 приема, че оценката на въздействието върху защитата на данните представлява важен инструмент за отчетност, тъй като подпомага не само спазването на установените изисквания, но и демонстрира, че са предприети подходящи мерки.

Работната група по член 29 – консултативен орган на ниво ЕС относно защитата на личните данни – посочва в едно от становищата си по стария режим за защита на личните данни още някои категории общи мерки за отчетност извън посочените по-горе, по-важните от които са[1] :
• идентифициране на всички процеси по обработване на данните в организацията;
• предоставяне на адекватна защита на данните, обучение на членовете на персонала, които обработват или отговарят за личните данни (като например директорите на човешките ресурси), но също и ИТ мениджъри, разработчици и директори на бизнес звена, както и заделяне на достатъчно ресурси за защита на личните данни в организацията;
• създаване на вътрешен механизъм за разглеждане на жалби;
• създаване на вътрешни процедури за ефективно управление и докладване на нарушения на сигурността;
• изпълнение и надзор на процедурите за проверка, за да се гарантира, че всички мерки не само съществуват на хартия, но и че те се изпълняват и работят на практика (вътрешни или външни одити и т.н.).

Каква е практическата нужда от принципа на отчетност и защо трябва една организация да положи усилия, за да го спазва?

Личните данни представляват особен „ресурс“ на всяка една организация. Те са мощен инструмент за правене на бизнес, доколкото носят информация за изборите, предпочитанията, нагласите и желанията на потребителите. Това разкрива големи възможности за по-добър маркетинг, PR и др. под. В същото време, освен ресурс, личните данни са особена категория информация, която може да засегне личната сфера на лицата, за които се отнасят, или да даде възможност за недобросъвестни практики (манипулации и др. под. – пример за това е скандалът с Cambridge Analytica и данните от социалната мрежа Фейсбук). Ето защо, организациите трябва да осигурят адекватна защита на този вид информация. Това става още по-наложително в контекста на новите правила и високите санкции на GDPR.

Смисълът на принципа на отчетност е постепенно в компаниите да се развие култура на надлежно документиране на цялото движение на всякакви лични данни в организацията. Така компаниите ще имат по-голям контрол и ще могат по-адекватно да управляват ресурсите си, а при проверка – да докажат спазването правилата на GDPR.

[1] Opinion 3/2010 on the principle of accountability, WP 173, Adopted on 13 July 2010, p. 11-12.