# 14 Българската Комисия за защита на личните данни прие списък с операциите по обработване, когато задължително се изисква оценка на въздействието съгласно GDPR

В продължение на публикация #12 Оценка на въздействието за защита на данните от нашия Блог Ви информираме, че Комисията за защита на личните данни публикува списък на видовете операции по обработване на данни, за които задължително се изисква Оценка на въздействието за защита на данните (ОВЗД). Списъкът бе публикува на 13.02.2019 г. на сайта на Комисията.

Съгласно този списък администраторите, чието основно или единствено място на установяване е на територията на Република България, следва задължително да извършват ОВЗД във всеки от следните случаи:
• Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично;
• Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от GDPR или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни;
• Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България;
• Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от GDPR от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия;
• Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество;
• Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Настоящият списък е приет на основание чл. 35 пар. 4 от GDPR, като същият е неизчерпателен и може да бъде актуализиран при необходимост. Ще Ви информираме своевременно при такива актуализации.

# 13 Първи закон в областта на киберсигурността е приет в България

Първият български закон, изцяло посветен на киберсигурността, вече е факт.

На 13 ноември 2018 г. беше обнародван новият Закон за киберсигурност (ЗК/Законът). Законът бе приет в изпълнение на задължението за транспониране на Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.

Приемането на Закона е ключова стъпка към осигуряването на адекватно ниво на сигурност при използване на цифровите технологии и към успешното противодействие на злонамерени атаки, защото до този момент липсваше цялостно уреждане на проблематиката на киберсигурността, а отделни правила се съдържаха в множество специални закони (напр. Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, Наказателния кодекс, Наредбата за общите изисквания за мрежова и информационна сигурност и др.).

Кои органи ще отговарят за киберсигурността?

  • Съвет по киберсигурността;
  • Национално единно звено за контакт по въпросите на киберсигурността;
  • Национален координатор по киберсигурността;
  • Национални компетентни органи по мрежова и информационна сигурност към административни органи, определени с решение на Министерски съвет;
  • Национален екип за реагиране при инциденти с компютърната сигурност;
  • Секторни екипи за реагиране при инциденти с компютърната сигурност;
  • Център по киберпрестъпност в рамките на Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи, който ще осъществява дейности по разкриване, разследване и документиране на компютърни престъпления на национално ниво;
  • Други.

С новият Закон се регламентират правомощията в тази материя на вече съществуващи органи като:

  • Председателя на Държавна агенция „Електронно управление“;
  • Министъра на отбраната;
  • Министъра на вътрешните работи;
  • Председателя на Държавна агенция национална сигурност;
  • Други.

Кого засягат новите изисквания?

ЗК съдържа правила, адресирани към няколко различни категории задължени субекти (публични и частни):

  • административни органи;
  • оператори на съществени услуги, действащи в секторите:
    – енергетика;
    – транспорт;
    – банково дело;
    – инфраструктури на финансовия пазар;
    – здравеопазване;
    – доставка и снабдяване с питейна вода;
    – цифрова инфраструктура;
  • операторите на съществени услуги могат да бъдат както публични, така и частни субекти от посочените категории, които отговарят на всеки от следните критерии: 1) да предоставя съществена услуга; 2) предоставянето на тази съществена услуга да зависи от мрежи и информационни системи; и 3) инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга. Операторите на съществени услуги ще бъдат определени от компетентните административни органи съгласно тези критерии и в съответствие с методика, приета от Министерския съвет. В тази връзка, председателят на Държавна агенция „Електронно управление“ следва да състави списък със съществените услуги, който обаче няма да бъде публичен;
  • доставчици на цифрови услуги, предоставящи някоя от следните услуги:
    – онлайн място за търговия;
    – онлайн търсачка;
    – компютърни услуги „в облак“;
  • организации, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или доставчици на цифрови услуги, когато тези организации предоставят административни услуги по електронен път. Обществени услуги са услуги, по повод на чието предоставяне могат да се извършват административни услуги, а именно:
    – образователни;
    – здравни;
    – водоснабдителни;
    – канализационни;
    – топлоснабдителни;
    – електроснабдителни;
    – газоснабдителни;
    – телекомуникационни;
    – пощенски;
    – банкови;
    – финансови;
    – удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014; и
    – други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност;
  • лица, осъществяващи публични функции, които не са определени като оператори на съществени услуги, когато предоставят административни услуги по електронен път.

Очевидно новият Закон е насочен към потенциално доста широк кръг от адресати, което оправдава нуждата от познаването му, за да могат задължените лица да спазят изискванията му.

С цел да се избегне налагането на несъразмерна финансова и административна тежест, доставчиците на цифрови услуги, които са микро- и малки предприятия по смисъла на Закона за малките и средните предприятия, са сред субектите, изключени от обхвата на новия Закон.

Как засяга това частния сектор?

Както бе подчертано, адресати на задълженията, предвидени в ЗК, са както публични субекти, така и редица компании от частния сектор. Можем да очертаем част от по-ключовите изисквания съобразно неговия адресат:

  • Административни органи:
    – предприемат подходящи и пропорционални мерки за осигуряване на мрежова и информационна сигурност;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на тяхната дейност;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
  • Лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги;
    – осигуряват и отговарят за мрежовата и информационната си сигурност при предоставянето на административни услуги по електронен път;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път;
  • Операторите на съществени услуги:
    – предприемат подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на предоставяните от тях съществени услуги;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях съществени услуги;
    – уведомяват доставчика на цифрови услуги при инцидент, който може да има значително увреждащо въздействие върху непрекъснатостта на предоставяната съществена услуга и засяга доставчика на цифрови услуги, когато операторът на съществени услуги разчита на доставчик на цифрови услуги, за да предоставя съществена услуга;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК. Изискванията за мрежова и информационна сигурност, предвидени в закона, следва да се прилагат от операторите на съществени услуги само по отношение на предоставяните съществени услуги.
  • Доставчиците на цифрови услуги:
    – предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните им системи, използвани за предоставянето на цифрови услуги на територията на България;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях цифрови услуги.
    За определяне на въздействието на даден инцидент като съществено се вземат предвид редица критерии;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
    – доставчик на цифрови услуги, който не е установен в държава-членка на Европейския съюз, но предлага в Европейския съюз горепосочените услуги, трябва да определи свой представител в Европейския съюз, който трябва да е установен в държава-членка, в която се предлагат услугите;
    – в определени ситуации може да се наложи уведомяване на обществеността за настъпили инциденти.

Следва да се отбележи още, че законът изрично предвижда, че когато в правен акт на Европейския съюз или в закон, който е специален за конкретен сектор или услуга, се предвижда операторите на съществени услуги или доставчиците на цифрови услуги да гарантират мрежовата и информационната си сигурност или да уведомяват за инциденти, се прилагат тези актове, при условие че техните изисквания са най-малкото равностойни като резултат на задълженията, предвидени в ЗК.

  • Субекти, които не са изрично посочени като задължени лица по закона:
    – Извън изрично упоменатите в Закона лица, други субекти имат право/възможност за уведомяване на секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, които имат въздействие върху непрекъснатостта на предоставяните от тях услуги. Уведомленията на задължените лица се разглеждат с предимство.

Относно задълженията за уведомяване

Уведомяването по този закон при възникването на посочените инциденти следва да бъде направено до два часа след констатирането на инцидента, а пълната информация следва да бъде изпратена до 5 дни.

Уведомленията се подават по образци, утвърдени съобразно наредба за определяне на минималния обхват на мерките за мрежова и информационна сигурност, както и други препоръчителни мерки, която ще се приеме от Министерски съвет съгласно чл. 3, ал. 2 ЗК.

Предстои да бъдат приети и други подзаконови нормативни актове.

Санкции

ЗК предвижда санкции при нарушение на изискванията му, като глобите могат да достигнат до 20 000 лв., а имуществените санкции до 25 000 лв.

Важно е да се отбележи, че ЗК предвижда и санкции за длъжностни лица, които извършат или допуснат извършването на нарушение по глава втора, като глобите могат да достигнат до 15 000 лв.

Законът влиза в сила на 16 ноември 2018 г. в по-голямата си част. Разпоредбите относно създаването и функциите на Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност, както и някои задължения на Секторните екипи за реагиране при инциденти с компютърната сигурност за уведомяване влизат в сила от 1 януари 2022 г.

Осигуряването на сигурното и нормалното функциониране на мрежите и информационните системи е от основно значение за улесняването на трансграничното движение на стоки, услуги, капитали и хора. От тази гледна точка в Европейския съюз все повече се обръща внимание на създаването на общи правила по отношение на киберсигурността, защото тя се явява важна крачка към утвърждаването на единна дигитална цифрова икономика в рамките на вътрешния пазар. Предстои да видим как новата уредба ще засегне публичния и частния сектор, но при всички положения похвален е стремежът на ЕС и българския законодател да създаде законова рамка по проблемите на киберсигурността.

# 12 Оценка на въздействието за защита на данните – ключова част от спазването на GDPR

В продължение на серията публикации относно промените, въведени от GDPR, в настоящата публикация ще ви запознаем с едно от новите понятия в GDPR, а именно Оценка на въздействието за защита на данните (ОВЗД).

Какво представлява ОВЗД?

Администраторите на лични данни са отговорни за въвеждането на подходящи мерки за гаранция за спазването на GDPR, вземайки предвид „рисковете с различна вероятност и тежест за правата и свободите на физическите лица“. В този смисъл ролята им не се ограничава единствено с контрола и определянето на целите и средствата по обработването на лични данни, но съдържа и задължението им по управлението на рисковете, които биха могли да настъпят в резултат на тази дейност.

Oсновната цел на ОВЗД e да придаде яснота, да опише всички процеси по обработване, да оцени тяхната необходимост и пропорционалност и да спомогне за адекватното и целесъобразното управление на рисковете за правата и свободите на физическите лица, произтичащи от обработването на личните им данни.

В какво се изразява и какво съдържа ОВЗД?

В чл. 35, пар. 7 GDPR са определени задължителните характеристики на ОВЗД, а именно:

  • системен опис на предвидените операции по обработване и целите на обработването;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • оценка на рисковете за правата и свободите на субектите на данни;
  • мерки, предвидени за справяне с рисковете и демонстриране на съответствието с Регламента.

Оценката на рисковете за правата и свободите на субектите на данни е един от основните компонентни при ОВЗД, a част от предложените в GDPR принципи и насоки за оценка на риска се припокриват със съществуващите в тази връзка международни стандарти за управление на риска, в това число ISO 31000:2009. Примери в това отношение са:
• установяване на контекста: „като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска“;
• оценка на рисковете: „за да се оценят конкретната вероятност и тежестта на високия риск“;
• третиране на рисковете: „ограничаване на този риск“ и „с които се осигурява защитата на личните данни“ и „се доказва съответствието с настоящия регламент“.

Кога следва да се извърши ОВЗД?

Важно е да се отбележи, че не е необходимо за всяка операция по обработване да се извършва ОВЗД, а само тази, която „има вероятност да доведе до висок риск за правата и свободите на физическите лица“. В този смисъл за най-високорисково се счита обработването на данните, които са от изключително лично естество чрез технически средства без човешка намеса (напр. алгоритми/софтуер), в това число:

  • Систематична и подробна оценка на личните аспекти, отнасящи се до здравето, представянето на работното място, личните предпочитания, местонахождението, икономическото положение по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, с цел създаване или използване на лични профили;
  • Мащабно обработване на специални категории данни (напр. данни за расов или етнически произход, политически възгледи, сексуален живот и др.) или на лични данни за присъди и нарушения (чл. 9, пар.1 и чл. 10 GDPR);
  • Систематично мащабно наблюдение на публично достъпна зона; и др. под.

При всички случаи ОВЗД следва да бъде извършена преди да бъде извършено обработването. (чл. 35, пар. 1 и 10; съображения 90 и 93). Работната група по чл. 29 препоръчва извършването на оценката, дори и когато съществуват съмнения по отношение на необходимостта от такава, тъй като „тя сама по себе си е полезен инструмент, който помага на администраторите да спазват поставените законодателството в областта на защитата на данните“ [1], както и принципа отчетност (за повече информация вижте публикация #8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR).

Кои дейности по обработване на лични данни са високорискови?

В Насоките на работната група по чл. 29, са посочени девет критерия, по които администраторът може да определи операциите, които могат да доведат до висок риск за правата и свободите на физическите лица:
1) Наличие на оценка или точкуване, включително профилиране и предсказване – пример в това отношение са финансовите институции, които извършват справки за своите клиенти във връзка с отпускане на кредити в бази данни за борба срещу изпирането на пари или финансирането на тероризма; генетични тестове, за прогнозиране на рисковете от заболявания; компании, които създават поведенчески или маркетингови профили въз основа на уебсайт; др. под. ;
2) Наличие на автоматизирано вземане на решение с правно или подобен значителен ефект – Автоматизираното вземане на решения представлява способността за вземане на решения с технологични средства без човешка намеса. Пример затова е когато решението относно одобрението на кредит се взема от човек въз основа на профил, изготвен изцяло чрез автоматизирани средства или когато решението относно одобрението на заема се взема чрез алгоритъм и лицето се известява по автоматизиран начин за решението, без преди това да е извършена съдържателна оценка от човек.
3) Наличие на обработване, използвана за различни видове на наблюдение или контрол на субектите на данни – в това число попада наблюдението, чрез което се обработват данни за субекти, които не осъзнават кой събира данните им и как ще бъдат използвани, например видеонаблюдение в публична зона;
4) Наличие на обработване на специални категории данни – обществени болници, които съхраняват медицинските досиета на пациентите задължително следва да извършат ОВЗД, тъй като оперират с чувствителни данни, а именно здравословното състояние на физическите лица;
5) Наличие на обработване на лични данни в голям мащаб – определянето на мащаба е отделен процес, който обхваща внимателното изследване на фактори като: броят на засегнатите субекти на данни, обемът на данните или обхватът на различните видове данни, продължителността или непрекъснатостта, както и географският обхват на дейността по обработване;
6) Съчетаване на набори от данни, които произтичат от две или повече операции по обработване, извършени за различни цели и/или от различни администратори, по начин, който надхвърля разумните очаквания на субекта – В тези случаи трябва да се изследва естеството на договорните отношения и по-конкретно равновесието между субекта и администратора на данни, например до каква степен субектът на данните е свободен да прекрати договора и да потърси алтернативен доставчик на услуги;
7) Наличие на обработване на данни относно уязвимите субекти на данни, включващо и всякакъв тип взаимоотношения, в които има неравнопоставеност между субектите – примери в това отношение са деца – субекти на обработване, психично болни лица, търсещи убежище лица пациенти, възрастни и др. под.;
8) Наличие на иновативно използване на технологични и организационни решения – отличен пример в това отношение е използването на пръстови отпечатъци и разпознаване на лица с цел подобряване контрола на достъп;
9) Възпрепятстване субектите на данни да упражняват право, да използват услуга или договор – тук отново примерът с банка, която извършва справка за клиент в референтна база данни за кредити, т.е. в случая процеса на обработване на личните данни на субекта могат да доведат до лишаването му от възможността да му се предостави кредит.

Общото правило е, че операция по обработване на лични данни, която отговаря на по-малко от два от критериите, описани по-горе, може да не изисква извършването на ОВЗД поради по-ниското ниво на риск. Съответно на колкото повече критерии отговаря обработването, толкова по-вероятно е да бъде високорискова по отношение на правата и свободите на физическите лица.

В допълнение GDPR вменява и задължение на надзорния орган да състави и оповести списък на видовете операции по обработване, за които задължително се изисква ОВЗД. Също така надзорният орган може да състави и оповести списък на видовете операции по обработване, за които не се изисква ОВЗД. Към настоящия момент Комисията за защита на личните данни (КЗЛД) все още не е оповестила тези списъци.

Какво следва след извършване на ОВЗД?

ОВЗД не е еднократно действие, а е цялостен процес на изграждане и демонстриране на съответствие.

Веднъж изготвена Оценката на въздействието за защита на данните обаче, би могла да се използва за оценка на множество операции по обработване, които са сходни по отношение на рисковете, вземайки предвид специфичната природа, обхвата, целите и контекста на конкретния казус. Когато операцията по обработване включва съвместни администратори, то те трябва да определят точно и ясно съответните си задължения. Тяхната ОВЗД трябва задължително да посочва коя страна е отговорна за различните мерки, предназначени да третират рисковете и да защитят правата на субектите на данни.

Ако администраторът смята, че не е нужно да направи Оценка на въздействието за защита на данните, то той трябва да документира подробно причините, поради които не я е извършил.

Извършването на оценката може да бъде възложено и на външно лице.

Ако обработването се извършва изцяло или частично от обработващ личните данни, то той трябва да съдейства на администратора при извършването на ОВЗД и да предостави необходимата информация, като ролите и отговорностите трябва да бъдат внимателно определени в отделен договор/споразумение. Обикновено такива задължения се вменяват на обработващия със споразумението за обработване на лични данни между администратора и обработващя.

Освен това администраторът ще трябва да се консултира и с надзорния орган, когато законодателството на държавата-членка изисква това.

Във връзка с горното остава остава въпросът какво ще предвиди новият Закон за изменение и допълнение на Закона за защита на личните данни в тази насока.

В заключение следва да наблегнем на факта, че изготвянето на ОВЗД е ключова част от спазването на GDPR, когато се планира или се осъществява обработване на данни с висок риск. Това означава, че администраторите на лични данни трябва да са в състояние да определят дали трябва да се извърши такава оценка. Разбира се, вътрешната политика на администратора на данни може да разшири обсега на дейностите по обработване на лични данни, за които ще бъде извършена ОВЗД и отвъд изискванията на GDPR. Такъв подход безусловно би довел до изграждане на по-силно доверие на субектите у администратора и до създаване на допълнителни гаранции за законосъобразно и адекватно обработване на лични данни в компанията.

[1] Работна група за защита на личните данни по член 29: Насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 (WP 248 rev. 01), достъпни на английски език тук.

#11 Съветът на Европа актуализира единствения международен правнообвързващ инструмент за защита на личните данни – Конвенция № 108

На 18 май 2018 г. в Елсинор, Съветът на Европа прие Протокол за изменение на Конвенция № 108 от 28.01.1981 г. за защита на лицата при автоматизираната обработка на лични данни („Конвенцията“).

Какво представлява Конвенцията?

До този момент Конвенцията е единственият международен договор с глобално значение в областта на защитата на данните и е създадена в отговор на нестихващите предизвикателства пред опазването на неприкосновеността на личния живот, произтичащи от използването на нови информационни и комуникационни технологии. С предприетата цялостна ревизия на Конвенцията Съветът на Европа цели да я актуализира, да разшири обхвата ѝ и да укрепи механизмите, заложени в нея, за да гарантира нейното ефективно прилагане.

Какво е новото в Конвенцията?

Основна цел на промените в Конвенцията е улесняването на трансграничния обмен на данни, като същевременно се доразвиват и основните механизми за защита при обработването на лични данни, заложени в Конвенцията, в съответствие с последните законодателни промени на ниво ЕС. Конвенцията обхваща обработването на данни както в публичния, така и в частния сектор, като по този начин заложените изменения целят да подобрят нивото на защита на личните данни в максимална степен и обхват. Работата по приетите тази година нововъведения започна още през 2012 г. и протече паралелно с останалите промени в законодателството по отношение на защитата на личните данни в ЕС, включително с приемането и началото на прилагането на прословутия нов Общ регламент относно защитата на данните (GDPR).

Генералният секретар на Съвета на Европа Турбьорн Ягланд посочва, че необходимостта от модернизацията е продиктувана от честите нарушения на правото на защита на данните, като предотвратяването им следва да бъде основния фокус при прилагането на Конвенцията.

Редица от новостите в Конвенцията са съобразени със заложеното в GDPR. Някои от основните новости включват:

  • Разширени са категориите чувствителни данни, като към забраната за обработване на лични данни, разкриващи расов произход, политически възгледи или религиозни или други убеждения, здравословен живот или лични данни, свързани с престъпления, наказателни производства и присъди, са включени и генетичните и биометричните данни, както и данни относно членството в синдикални организации и данни за етническия произход;
  • Разширени са правата на субекта на данни, в това число:- Право на субекта на данни да не бъде обект на автоматизирано вземане на решения, което значително го засяга, без да се съобрази гледната му точка;
    – Право на информация на субекта на данни относно обработването;
    – Право на субекта на данни да получи информация за логиката на обработването на личните данни, по-специално за случаите, при които се използват алгоритми за автоматизирано вземане на решения и профилиране;
    – Право на възражение на субекта на данни, по-специално правото на субекта да се противопостави на обработването на лични данни, свързани с него, освен ако легитимния интерес на администратора, не е с по-висок приоритет;
  • Добавени са допълнителни задължения по отношение на администраторите и обработващите лични данни:- Принципите за защита на данните следва да се прилагат на всички етапи на обработването, включително фазата на проектиране (“privacy by design и “privacy by default”);
    – Подходящите мерки, които трябва да предприемат, включват: обучение на служителите; създаване на подходящи процедури за уведомяване (например, установяване на срокове, в рамките на които трябва да бъдат съхранявани данни и конкретни дати, на които да бъдат изтрити от системата); установяване на специфични договорни разпоредби, когато обработването е делегирано; създаване на вътрешни процедури, които да дават възможност за проверка и доказване на съответствието и др.
    – Подсилени са правомощията на надзорния орган, който страните по Конвенцията следва да изберат по тяхна преценка с цел да се гарантира изпълнението и съответствието на разпоредбите на акта. Според Обяснителния протокол към Конвенцията, този орган може да бъде едноличен (комисар) или колективен, като по-важното е да има ефективни правомощия и функции и да бъде независим при изпълнение на задълженията си;
    – Страните по Конвенцията могат да въведат специфични надзорни органи, чиято дейност е ограничена до конкретен сектор (според обяснителния протокол в това число попадат и: секторът на електронните комуникации, здравния сектор, публичния сектор и др.);
    – Страните следва да предоставят на надзорния орган правомощието да възбужда и/или участва в съдебни производства във връзка с всякакви нарушения на защитата на данните. Това правомощие е тясно свързано с правомощията за провеждане на разследвания и откриване на нарушения.
    – Въведено е задължително уведомяване за нарушения на сигурността на данните;
  • Засилени са мерките за пропорционално обработване на данните и прилагане на принципа за свеждане на данните до минимум;
  • Изменена е и използваната до момента терминология, като е премахнато понятието „автоматизиран регистър с данни“ и е въведен един нов участник в процеса по обработване на лични данни – „получател“ (1) и т.н.;
  • Предприетите от тях мерки за защита на данните следва да са свързани с отговорността им да бъдат в състояние да докажат, че обработването на данни е в съответствие с приложимото право (т.нар. принцип на „отчетност“);
  • Едно от най-важните нововъведения в Конвенцията е засилената роля на Консултативния комитет, който вече е освен с консултативни, и с оценителни и надзорни функции. Той ще преценява до каква степен страна-членка или международна организация е изпълнила изискванията на Конвенцията. Комитетът има право да оцени и съответствието на вътрешното право на страна по Конвенцията и да определи ефективността на предприетите мерки.

Важно е да се отбележи, че към Конвенцията могат да се присъединяват както държави от всяка точка на света, така и международни организации, в това число и Европейския съюз. Това превръща Конвенцията в ключов инструмент за хармонизиране на различните правни режими за защита на личните данни и за осигуряване на високо ниво на тази защита на международно равнище.

Модернизирането на Конвенцията е много важна стъпка към утвърждаването на глобални стандарти за защита на личните данни. Обновената Конвенция се стреми да стимулира присъединяването на колкото може повече държави по света с цел да стимулира международният бизнес и развитието му, вече на базата на по-сигурни и общоприложими правила в сферата на личните данни и тяхната ефикасна защита.

Повече информация можете да намерите в официалния уебсайт на Съвета на Европа тук.

 

(1) На английски разпоредбата гласи следното: Art. 3, “e” – “recipient” means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available; Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), URL.

# 10 Законът за изменение и допълнение на Закона за защита на личните данни, синхронизиран с GDPR, официално е внесен в Народното събрание

На 18 юли Законът за изменение и допълнение на Закона за защита на личните данни беше внесен пред Народното събрание (Новия проект). Новият проект има за цел да въведе мерките за изпълнение на Общия регламент на ЕС за защита на личните данни (Регламента/ GDPR) и да транспонира Директива 2016/680 относно защитата на личните данни в полицейския сектор (предложените в тази част промени – глава 8а от Новия проект – ще бъдат обект на последващ анализ в блога ни).

Първоначалният проект (Стария проект), станал публично достъпен на 30.04.2018 г., очаквано, претърпя някои редакции в резултат на проведените в страната обществени консултации (1).

На пръв поглед и без претенции за изчерпателност, в Новия проект правят впечатление следните изменения:

1. Премахнати са минималните прагове на глобите и имуществените санкции, доколкото такива не бяха предвидени и в Регламента. Глобите/ санкциите ще се налагат съобразно посочените в Регламента критерии;
2. Предвидената глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат;
3. Предвидени са гаранции за балансиране на защитената от закона тайна (напр. адвокатската тайна) с разследващите правомощия на Комисията за защита на личните данни (КЗЛД), доколкото е предвидена възможност такава тайна да послужи на администраторите/ обработващите като основание за отказ за предоставянето ѝ или на достъпа до нея на КЗЛД при проверки;
4. КЗЛД ще поддържа вътрешен регистър на нарушенията и на предприетите мерки в съответствие с упражняването на корективните си правомощия, който няма да бъде публичен. Въвеждат се и няколко нови публични такива:
– Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните (ДЛЗД). Премахва се предложението за водене регистър на ДЛЗД поради опасенията за въвеждането на прикрит регистрационен режим за тази длъжност, който Регламентът не предвижда;
– Регистър на акредитираните сертифициращи органи;
– Регистър на кодекси за поведение.
5. Премахнати са текстовете, които предвиждаха КЗЛД да провежда обучения на ДЛЗД;
6. Срокът за съхранение на личните данни на кандидатите за работа трябва да бъде не по-дълъг от 6 месеца (в Първоначалния проект срокът бе 3 години) след окончателното приключване на процеса по подбор на персонал. Това ограничение се отнася и до документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност. Прецизирани са и други текстове относно защитата на личните данни в контекста на трудовото правоотношение (напр. отпаднало е спорното разрешение да се иска изрично съгласие от служителите за обработване на техни лични данни, които не са поискани от работодателя или които не се изискват от нормативен акт);
7. Премахнато е изискването администратори/ обработващи да назначават ДЛЗД, ако обработват данните на над 10 000 физически лица, доколкото срещу това изискване, заложено в Стария проект, постъпиха сериозни възражения в процедурата по обществена консултация (преди всичко поради неяснотите как то да се прилага на практика);
8. За публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства. Това ще рефлектира върху задължението им за назначаване на ДЛЗД;
9. Новият проект предвижда и нови текстове относно обработването на лични данни за целите на архивирането в обществен интерес, научни и исторически изследвания, статистически цели и журналистически цели.

Целият проект е достъпен тук.

Като Ваш доверен партньор ще продължим Ви информираме своевременно за законодателния процес по Новия проект, както и за всякакви новости в законодателството за защита на личните данни на национално и европейско равнище.

(1) Вж. в този смисъл и последния информационен бюлетин на КЗЛД от юли 2018 г., URL 

# 9 Комисията за защита на личните данни отмени Наредба № 1 от 30 януари 2013 г. – какви технически и организационни мерки е необходимо организациите да предприемат оттук нататък?

В брой 43 на Държавен вестник от 25.05.2018 г. бе обнародвана отмяната на Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредбата). Комисията за защита на личните данни (КЗЛД) оповести, че предстои преработването й в методическо ръководство към администраторите, без да се ангажира с конкретен срок (https://www.cpdp.bg/index.php?p=element&aid=1151).

Така наред с останалите въпросителни относно прилагането на Регламента за защита на личните данни („GDPR“/ „Регламента“) се поставя и още един въпрос – какви технически и организационни мерки следва да предприемат организациите оттук нататък, за да гарантират подходящо ниво на сигурност на данните, които обработват.

Приложими мерки по отменената Наредба

Отменената Наредба предвиждаше 5 вида защита на личните данни (физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи и криптографска защита) и съдържаше подробна регламентация на техническите и организационни мерки по прилагането им.

Предишният подход, възприет от КЗЛД, бе да задължи администраторите да извършват оценка на въздействието спрямо всеки регистър с лични данни, които поддържат. На база на определеното ниво на въздействие за регистъра администраторите следваше да прилагат съответстващо на него ниво на защита на данните в него – задължителен минимален набор от мерки, уредени за всяко ниво в Наредбата. Сега след като това задължение отпадна, се отвори широко поле за спекулации относно приложимите типове мерки в тази насока, поради което анализът по-долу има за цел да внесе известна яснота по въпроса.

Чл. 32 от GDPR изброява някои примерни, но не и задължителни мерки, като псевдонимизация, криптиране и др., които могат да насочат организациите към това какви мерки биха се счели за подходящи. Разбира се, крайният избор зависи от контекста и целите на обработването. В този смисъл, въпреки, че администраторите и обработващите не са длъжни да прилагат някоя от конкретно изброените в GDPR мерки, задължението им да гарантират сигурността на обработваните данни остава.

Технически и организационни мерки оттук нататък

При преценката си всеки администратор/ обработващ лични данни е редно да има предвид следното:

На първо място, GDPR е насочен към защитата на личните данни като основно човешко право на гражданите на ЕС. В този смисъл, разбирането, че Регламентът съдържа „изцяло технологична уредба“, е неверен. Изискването за прилагане на технически и организационни мерки за гарантиране сигурността на данните безспорно има своето важно значение, но това е само един от седемте основни принципа на GDPR за защита на данните. С други думи, дори и да сме приложили изключително високи мерки за сигурност, дори и цялата информация, с която боравим да е криптирана – ако обработваме тези данни без правно основание или за незаконосъобразна цели, или не сме информирали надлежно физическите лица за това обработване и т.н., дейността ни няма да съответства на изискванията на GDPR.

На следващо място, Регламентът посочва редица критерии, от които да се води един администратор или обработващ при определянето и изборът на най-подходящата мярка. Чрез този подход европейският законодател постига сравнително добър баланс между свободата на действие и значителната отговорност за постигането на адекватно ниво на защита на данните.

Все пак основният набор от мерки, заложен в отменената Наредба би могъл да служи като добър ориентир или отправна точка за целите на защитата на личните данни. Разбира се, преценката следва да се извършва с оглед особеностите на обработваните лични данни наред с установените стандарти и добри практики за информационна сигурност.

Междувременно ние ще продължим да следим и да Ви информираме за развитието на казуса и последващата регулация по въпросите за подходящите мерки за защита на личните данни, както и конкретните мерки по прилагането на GDPR, предприети на местно ниво.

# 8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR

В продължение на публикациите относно GDPR с настоящия материал ще засегнем един от изцяло новите принципи на защитата на личните данни, въведен с Регламента – отчетността.

Отчетност на практика означава способността на администратора на лични данни във всеки един момент да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно и в минимален обем за постигане на ясно определени цели, като данните се съхраняват точни и само за времето, необходимо за постигане на тези цели, а посоченото обработване е обезпечено с подходящо ниво на сигурност и защита на данните.

Отчетността предполага надлежно документиране на всички процеси по обработване на лични данни в предприятието. Иначе казано, предприятията трябва да създадат „документална следа“ относно обработването – да разполагат с писмен документ, който позволява проследимост на процесите по обработване на данните и който може да се ползва като доказателство при проверка от КЗЛД относно спазването на изискванията на GDPR.

Сред някои от най-важните инструменти за постигане на отчетност можем да посочим средства :
• поддържането на регистри на дейностите по обработване по чл. 30 GDPR;
• надлежно уреждане на отношенията със субектите на данни по повод обработването на данни (чрез политики за защита на личните данни, декларации за информираност и др. под.);
• надлежно уреждане на отношенията с трети лица по повод предаване на данни (договори между администратори и между администратори и обработващи);
• определяне на длъжностно лице по защита на личните данни, когато такова се изисква;
• извършване на оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица;
• своевременно уведомяване на Комисията за защита на личните данни и субекта на данните при нарушения на сигурността;
• прилагане на доброволни механизми за сертифициране и/или спазване на кодекси на поведение;
• приемане на вътрешни правила за защита на личните данни (инструкции, политики, и др. под.).

Сред посочените по-горе средства особено внимание следва да се отдели на воденето на регистри на дейностите по обработване. Тези регистри се поддържат от администратора и обработващия лични данни и при поискване трябва да осигурят достъп до регистъра на надзорния орган. Съдържанието на регистрите е подробно уредено в GDPR (чл. 30, пар. 1 и пар. 2).

Задължението за водене на регистър не се прилага по отношение на организации с по-малко от 250 служители, освен ако (i) има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, (ii) ако обработването не е спорадично или (ii) включва специални категории данни или лични данни, свързани с присъди и нарушения. Кое да е от тези изключения да е налице, съответната организация трябва да води регистри за съответната дейност по обработване.

От значение за спазване на принципа на отчетност е и оценката на въздействието върху защитата на данните. Работната група по член 29 приема, че оценката на въздействието върху защитата на данните представлява важен инструмент за отчетност, тъй като подпомага не само спазването на установените изисквания, но и демонстрира, че са предприети подходящи мерки.

Работната група по член 29 – консултативен орган на ниво ЕС относно защитата на личните данни – посочва в едно от становищата си по стария режим за защита на личните данни още някои категории общи мерки за отчетност извън посочените по-горе, по-важните от които са[1] :
• идентифициране на всички процеси по обработване на данните в организацията;
• предоставяне на адекватна защита на данните, обучение на членовете на персонала, които обработват или отговарят за личните данни (като например директорите на човешките ресурси), но също и ИТ мениджъри, разработчици и директори на бизнес звена, както и заделяне на достатъчно ресурси за защита на личните данни в организацията;
• създаване на вътрешен механизъм за разглеждане на жалби;
• създаване на вътрешни процедури за ефективно управление и докладване на нарушения на сигурността;
• изпълнение и надзор на процедурите за проверка, за да се гарантира, че всички мерки не само съществуват на хартия, но и че те се изпълняват и работят на практика (вътрешни или външни одити и т.н.).

Каква е практическата нужда от принципа на отчетност и защо трябва една организация да положи усилия, за да го спазва?

Личните данни представляват особен „ресурс“ на всяка една организация. Те са мощен инструмент за правене на бизнес, доколкото носят информация за изборите, предпочитанията, нагласите и желанията на потребителите. Това разкрива големи възможности за по-добър маркетинг, PR и др. под. В същото време, освен ресурс, личните данни са особена категория информация, която може да засегне личната сфера на лицата, за които се отнасят, или да даде възможност за недобросъвестни практики (манипулации и др. под. – пример за това е скандалът с Cambridge Analytica и данните от социалната мрежа Фейсбук). Ето защо, организациите трябва да осигурят адекватна защита на този вид информация. Това става още по-наложително в контекста на новите правила и високите санкции на GDPR.

Смисълът на принципа на отчетност е постепенно в компаниите да се развие култура на надлежно документиране на цялото движение на всякакви лични данни в организацията. Така компаниите ще имат по-голям контрол и ще могат по-адекватно да управляват ресурсите си, а при проверка – да докажат спазването правилата на GDPR.

[1] Opinion 3/2010 on the principle of accountability, WP 173, Adopted on 13 July 2010, p. 11-12.

 

#7 Проект на Закон за изменение и допълнение на Закона за защита на личните данни е публикуван за обществено обсъждане

На 30.04.2018 г., по-малко от месец преди датата, от която започва да се прилага новият европейски регламент за защита на личните данни – Регламент 2016/679 (GDPR), в публичното пространство бе публикуван Проект на Закон за изменение и допълнение на действащия в момента в България Закон за защита на личните данни (Проекта). С Проекта се цели хармонизирането на българското законодателство за защита на личните данни с европейското такова.

В настоящата публикация ще обърнем внимание само на някои от най-съществените и интересни елементи в Проекта, като целият Проект следва да бъде обект на детайлен анализ и оценка от всички заинтересовани лица в идните дни:

  • Съвсем очаквано за надзорен орган по смисъла на GDPR официално бе определена Комисията за защита на личните данни (КЗЛД), която и до този момент изпълняваше тази функция. Тя ще е независимият орган, който ще следи за защитата на лицата при обработването на техните лични данни, както и контрола по спазването на Регламента.
  • GDPR представи пред обществото една нова фигура, а именно на длъжностното лице по защита на личните данни. С Проекта българският законодател добавя ново основание за назначаването такова лице, поставяйки точни граници за назначаването му, а именно обработка на лични данни на „10 000 физически лица“.
  • Проектът предвижда КЗЛД да организира и провежда обучения на лицата, определени за заемане на длъжността „длъжностно лице по защита на личните данни“ или на лица, желаещи да бъдат обучени за заемане на тази длъжност. Обученията ще се заплащат по тарифа, определена от Министъра на финансите. Това е специфични национално разрешение, което няма аналог в GDPR и което е в известна степен спорно, защото европейското законодателство не предвижда специфично сертифициране/задължителна регистрация за тази длъжност.
  • Едно от интересните нововъведения е свързано със задължението при получаване на данни без правно основание, независимо дали от администратор или от обработващ, същите да бъдат върнати незабавно или изтрити в срок от един месец от узнаването.
  • Снижен е възрастовият праг за получаване на съгласие от деца при предлагане на услуги на информационното общество (от 16 г. по GDPR до 14 г. по Проекта). Тук промяната е съвсем резонна предвид института на „пълната недееспособност“, установен за лицата под 14 годишна възраст по българското законодателство.
  • Съгласно Проекта, публичният достъп до ЕГН/ЛНЧ ще се предоставя само ако закон изисква това. Затова и администраторите, предоставящи услуги по електронен път , ще трябва да предприемат технически и организационни мерки, чрез които да се избягва ЕГН-то да е единственият идентификатор за предоставяне на съответната услуга.
  • Проектът съдържа специфични правила за балансиране на свободата на академичното, художественото и литературното изразяване със защитата на личните данни.

Важни промени стоят и пред работодателите. Законодателят се е възползвал от възможността, дадена му в чл. 88 от Регламента, като е предвидил особени правила в това отношение.

  • Проектът предвижда забрана за копиране на документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник/държавен служител, като поставя само една допустима хипотеза, а именно наличието на изрично законово задължение у администратора или обработващия.
  • Работодателите ще трябва да предвидят и редица правила и процедури, с оглед показването на съответствие с новия закон, както и да подсигури за довеждането им до знанието на работниците и служителите. Такива ще са необходими например при: (i) система за доказване на нарушения, (ii) ограничения при използване на вътрешнофирмени ресурси и (iii) системите за контрол на достъпа, работното време и трудовата дисциплина.
  • Работодателят ще може да съхранява за срок до 3 години личните данни на участниците в процедури по подбор на персонала.

С Проекта, освен синхронизиране на националните разпоредби с изискванията на GDPR законодателят ще транспонира и Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета, като за тази цел и е отделил цяла глава в Проекта.

Интересно разрешение е възприел законодателят относно санкциите, с които GDPR толкова нашумя, като е поставил тяхна минимална граница (каквато няма по GDPR) от 10 000 лева, за нарушения за които се предвижда санкция до 20 000 000 евро, и 5 000 лева за нарушения, за които Регламента предвижда санкция в размер на  10 000 000 евро.

За други нарушения, извън посочените по GDPR, e предвидена глоба или с имуществена санкция от 1 000 до 5 000 лева. За неизпълнение на предписание на КЗЛД, санкциите ще варират в също доста високи размери между 2 000 лева и 200 000 лева.

Предстои да видим дали този Проект ще бъде приет окончателно в предложената редакция. При всички случаи следва да оценим положително стремежът на българския законодател да уреди въпроса с привеждане на националното законодателство в съответствие с новите правила за защита на личните данни преди 25 май 2018 г. За съжаление обаче кратките срокове за обществено обсъждане (становища по Проекта могат да се подават до 14 май 2018 г.) могат да се окажат пречка пред възможността за детайлно и всеобхватно обсъждане на национално равнище на предложените мерки.

Линк към Проекта

# 6 Административни санкции по GDPR

В продължение на серията публикации относно GDPR днес ще се запознаем с най-чувствителната тема, свързана с Регламента, а именно глобите и санкциите.

Ще обърнем внимание на праговете на тези административни наказания[1], на критериите, съгласно които се определя размерът им, както и на това какви са особеностите при определяне на този размер в случай на предприятия и как тези особености засягат груповите корпоративни структури.

Регламентът определя два прага на административните наказания в зависимост от вида на установеното нарушение:

  • За нарушения на някое от задълженията на администратора/обработващия (а именно на вмененото с чл. 8, 11, 25-39 и 42 и 43 GDPR), глобата или имуществената санкция би могла да бъде в размер на до 10,000,000 евро или до 2% от общия годишен световен оборот на предприятието за предходната година;
  • За нарушения, свързани със заложените в Регламента принципи за обработване на лични данни, правата на субектите на данните, предаването на лични данни на получател в трета държава, задълженията, произтичащи от правото на държавите членки, касаещи особени ситуации на обработване, както и с неспазване на разпореждания или ограничения, наложени от надзорния орган, глобата или имуществената санкция би могла да бъде в размер на до 20,000,000 евро или до 4% от общия годишен световен оборот на предприятието.

Описаните по-горе размери представляват максималните стойности, които глобите или имуществените санкции могат да достигнат. В зависимост от конкретното нарушение и съотношението между дължима и положена грижа, размерът би могъл да варира съществено. Различни обстоятелства ще оказват влияние при преценката на този размер. Така например, в случай на нарушение на няколко разпоредби на Регламента при една и съща операция по обработване или при свързани операции, общият размер на административното наказание не би могъл да надвишава сумата, определена за най-тежкото такова. При леки нарушения пък или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание.

Възниква въпросът какви са критериите за определяне на размера на наказанието. Регламентът оставя място за редица интерпретации, но мнението на Работната група по чл. 29 е, че преценката зависи от степента на необходимост от намеса и корекция на виновното поведение и от това дали в конкретния случай тази намеса или корекция е от възпитателен или наказателен характер.

Що се отнася до общите правила и условията за налагане на глоба или имуществена санкция, тези правила са посочени в чл. 83 от Регламента. Важен елемент е нуждата от налагане на ефективна и пропорционална глоба или санкция. Такава би могла да бъде определена въз основа на множество обстоятелства, а именно:

  • Оценка на естеството на нарушението и на неговата продължителност;
  • Оценка на основанието за съответното обработване, както и категориите лични данни, засегнати от нарушението. Някои особени лични данни като напр. такива, засягащи расов или етнически произход, политически и религиозни възгледи, се ползват с по-висока защита.[2]
  • Оценка на обстоятелствата около нарушението, по-конкретно оценка на вината, т.е. умишлено или по небрежност е извършено то;
  • Оценка на дължимата и положената грижа от страна на администратора/обработващия лични данни при установяване на нарушението и след прекратяването му. Уведомяването на надзорния орган и оказването на сътрудничество при поправяне на нарушението са смекчаващи обстоятелства.
  • Значение имат и всякакви други смекчаващи или утежняващи фактори, като напр. предишни нарушения, финансови облаги от нарушението и други.

Размерът на санкциите, наложени на предприятия, може да бъде значително голям. Във връзка с това възниква въпросът какво визира Регламентът под „предприятие“. Тук законодателят е спестил ресурс, като е направил препратка към чл. 101 и 102 от Договора за функционирането на Европейския Съюз (ДФЕС).

Макар да не е изрично дефинирано в тези разпоредби, понятието е тълкувано разширително в установената практика на Съда на ЕС, според която за целите на чл. 101 и 102 от ДФЕС, понятието „предприятие“ следва да се разбира като икономическа единица, която може да бъде образувана от дружество-майка и всички негови дъщерни дружества. За едно предприятие се считат и структури, в които едно дружество упражнява контрол върху друго дружество, като двете са тясно свързани икономически и организационно. Това разбиране за понятието „предприятие“ би могло да доведе до значително увеличаване на санкциите, чиито размер би могъл да бъде определен въз основа на годишния световен оборот на цялата корпоративна група, а не на оборота на конкретното юридическо лице, извършило нарушението.

В заключение, уточняваме, че обсъжданите размери на административните наказания, заложени в Регламента, представляват максималния размер на глобите или санкциите, които могат да бъдат наложени в случай на най-груби нарушения. В Регламента се посочва, че е необходимо да се прави подробна преценка на всеки конкретен случай и възможните смекчаващи или утежняващи обстоятелства.[3] Припомняме, че поради разширителното тълкуване на термина „предприятие“, при определяне на размера на санкцията може да бъде взет предвид годишният оборот на цяла група от дружества, което значително да увеличи размера на санкцията. Затова и съобразяването на дейността с изискванията на Регламента е от изключителна важност.

Екипът на „Димитров Петров и Ко.“

[1] Административните санкции са два вида – „глоба“, която се налага на администратор-физическо лице, и „имуществена санкция“, която се налага на администратор-юридическо лице

[2] Член 9 и 10 от Регламента описват тези специални категории.

[3] Становище на Работна група 29 относно административните глоби за целите на Регламент 2016/679.

# 5 Принципът на прозрачност по GDPR

В продължение на темата за ключовите моменти, които GDPR въвежда, в настоящата публикация ще засегнем един от новите принципи на защитата на личните данни, а именно прозрачността.

Прозрачността е отдавна установена характеристика на правото на Европейския съюз, която се свързва с пораждането на доверие в процесите, които засягат гражданите, като им дава възможност да разберат и ако се налага – да оспорват тези процеси[i]. Прозрачността е неразривно свързана с добросъвестността и с новия принцип, който GDPR въвежда – отчетността. Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели.

Прозрачността позволява на субектите на лични данни да държат администраторите и обработващите лични данни отговорни за обработването и да упражняват контрол върху своите лични данни. Изискванията за прозрачност според GDPR се прилагат без значение от правното основание за обработване на данни и през цялото време на обработването. Прозрачността като принцип е приложима в следните 3 основни етапа от цикъла по обработване:

1) Преди обработването – при предоставянето на информация на субектите на данни във връзка със събирането на техни лични данни и предстоящото им обработване;

2) През целия период на обработването – при начините, по които администраторите на лични данни комуникират със субектите във връзка с техните права по GDPR;

3) В специфични случаи по време на обработването – например при нарушаване на сигурността на личните данни или в случаите на съществени промени при обработването,

Какво всъщност означава прозрачността? Принципът на прозрачност най-общо изисква всяка информация и комуникация във връзка с обработването на лични данни да бъде лесно достъпна и разбираема за субектите на данни и да им се предостави чрез използването на ясни и недвусмислени формулировки. Това изискване се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, както и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение за обработването на техни лични данни.

Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването

Чл. 12 от GDPR регламентира изискванията, на които информацията, предоставяна на субектите във връзка с обработването, трябва да отговаря:

  • кратка, прозрачна, разбираема и лесно достъпна форма;
  • на ясен и прост език;
  • изискването за използване на ясен и прост език е от особена важност при предоставяне на информация на деца – те се ползват със специална защита, тъй като не разбират съответните рискове при обработването, както и правата си във връзка с обработването, поради което информацията, насочена към деца следва да е още по-ясна, проста и лесноразбираема за детето;
  • Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства;
  • Ако субектът на данните е поискал, информацията може да се предостави и устно (включително и с автоматизирани средства – напр. чрез аудиозапис) – GDPR изисква преди такова предоставяне на информация самоличността на субекта да е била потвърдена от администратора с други средства. Това изискване за потвърждаване на самоличността се прилага само във връзка с предоставянето на информация за правата по чл. 15-22 и чл. 34 от GDPR, но не и за предоставянето на общата информация относно обработването по чл. 13 и чл. 14 от GDPR[ii];
  • Информацията се предоставя безплатно – администраторите не могат да начисляват такси и др. под. на субектите за предоставянето на информация относно обработването. Изключение от това правило може да има единствено когато исканията на субекта са явно неоснователни или прекомерни (напр. поради своята повтoряемост) – в тези случаи администраторът може да наложи разумна такса или да откаже да предприеме действие по искането. Тежестта да докаже тези обстоятелства обаче се носи от администратора.

Категориите информация, която следва да се предоставят на субектите, са изброени в чл. 13 и чл. 14 от GDPR – най-общо това са: данни за администратора, цели, правно основание, срок на обработването, информация за правата на субекта, информация дали предоставянето на лични данни е законово или договорно изискване и последиците от непредоставянето на данните. Ново изискване на GDPR е предоставянето на информация относно правното основание за целите на обработването – администраторите следва да са в състояние да привържат всяка конкретна цел на обработване с конкретното основание. Това на практика означава, че администраторите трябва да са наясно с основанията за обработване на лични данни и да могат правилно да идентифицират кое основание към коя цел е приложимо.

Освен съдържанието, формата и начинът на предоставяне на информацията по чл. 13 и 14 от GDPR също са важни. Информацията за обработването на лични данни следва да се предостави на субекта на данни в момента на събирането ѝ от него или ако личните данни са получени от друг източник — в рамките на разумен срок след получаването на личните данни, но най-късно в срок до един месец. В резултат на тези изисквания администраторите следва да разработят механизми, с които да информират субектите в посочения срок винаги когато събират и съхраняват информация, която не е получена от самите субекти, а например от интернет, публичен регистър и т.н.

Предоставянето на информацията относно обработването следва да бъде отделно от всяка друга информация – на практика трябва да се съставят отделни документи (декларации за информираност, съобщения, политики за защита на личните данни и т.н.). Работната група по чл. 29, консултативен орган в сферата на защитата на личните данни на ниво ЕС, препоръчва използването на нотификации относно информацията, които се предоставят поетапно (т.нар. layered privacy statements), както и на push / pull нотификации (изскачащи прозорци, предоставящи информация)[iii]. Информацията, която трябва да се предостави на субектите на данни, може да бъде предоставена в комбинация със стандартизирани икони, чрез което администраторът да представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

В заключение следва да обобщим, че принципът на прозрачност изисква за всяко обработване на субектите на лични данни да се дава определена информация, която да гарантира тяхното право да се запознаят с процеса и да го оспорят при нужда. Изключенията от това изискване са много ограничени – напр. когато субектът на данните вече разполага с тази информация или когато предоставянето на информацията е невъзможно или изисква несъразмерно големи усилия.

Надлежното документиране на това как е спазен принципът на прозрачност става още по-важно в контекста на новия принцип на отчетност, според който администраторите носят тежестта и по всяко време трябва да са в състояние да докажат спазването на изискванията на GDPR. Ето защо, препоръчително е всички компании да изградят механизми за гарантиране на изискването за прозрачност – изработване на подходящи инструменти (политики за защита на личните данни, съобщения, декларации), както и на процедури за информиране на субектите (напр. при нарушения на сигурността на данните).

Екипът на „Димитров, Петров и Ко.“

[i] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 5.

[ii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 11.

[iii] Насоки относно прозрачността по Регламент 679/2016 на Работна група по чл. 29 (проект), с. 17-18.