#22 Конституционният съд обяви разпоредбата на ЗЗЛД за обработване на данни за журналистически цели за противоконституционна

С решение от 15 ноември 2019г. Конституционният съд (КС) обяви за противоконституционна разпоредбата,  уреждаща обработването на лични данни за журналистически цели и за целите на академичното, художественото или литературното изразяване (чл. 25з от Закона за защита на личните данни – ЗЗЛД). Текстът беше приет в рамките на възможността, предоставена от Регламент 2016/679 (GDPR), държавите членки да съгласуват правото на защита на личните данни с правото на свобода на изразяване и информация.

С решението на КС се сложи край на турбулентната история на разпоредбата. Първоначално тя беше обект на широка критика от страна на медии и журналистически организации, след това Президентът наложи вето на измененията в закона заради нея, а през март 2019 КС беше сезиран от 55 народни представители с искане за обявяването й за противоконституционна.

Основна причина за полемиките бяха въведените критерии за преценка на баланса между свободата на изразяване и правото на информация и правото на защита на личните данни, в които искащите обявяването на разпоредбата за противоконституционна виждаха потенциална заплаха от законова цензура на свободата на словото.

В решението си КС се позовава на европейското законодателство, международните актове в областта на правата на човека и практиката на Съда на Европейския съюз (СЕС) и Европейския съд по правата на човека (ЕСПЧ). КС подчертава многократно, че се води от уредените и възприети на европейско ниво принципи за постигане на „баланс на интересите“ и за пропорционалност.

КС намира разпоредбата на ЗЗЛД за противоконституционна по следните основни съображения:

  •  КС подчертава, че балансирането на различните права, в случая защитата на личните данни и правото на свобода на изразяване и информация, трябва да бъде осъществено чрез рационален и прагматичен подход, при който да бъдат отчетени конкретните обстоятелства за всеки отделен случай; следователно въвеждането на критерии в общо правило на законово ниво създава риск за правилното балансиране на интересите и противоречи на практиката на СЕС и ЕСПЧ да се прави конкретна преценка;
  • Според КС разпоредбата не отговаря на изискванията за разбираемост, прецизност, недвусмисленост и яснота, тъй като не указва ясно на адресатите си какво е недопустимо. КС критикува в частност няколко от критериите, които според него правят невъзможно медиите/журналистите да съобразят поведението си със закона и да прилагат т.нар. „журналистическо изключение“, позволяващо им да обработват лични данни при специални условия. В решението на КС се съдържа още, че неяснотата на критериите дава на органите, прилагащи закона, непредвидима власт.
  • Според КС разпоредбата противоречи на духа и разума на GDPR, тъй като  Регламентът цели да позволи на държавите членки да въведат изключения и дерогации от общите правила, които да балансират защитата на личните данни и правото на свобода на изразяване и информация, а не да им позволи да приемат правила, които са „в тежест на медиите/журналистите“. КС изрично подчертава, че подобно тълкуване на GDPR от българския законодател „прави изключително трудно по-нататък да се постави граница на държавната намеса по отношение свободата на изразяване на медиите/ журналистите“, както и че разпоредбата би нарушила баланса между основните права в ущърб на правото на изразяване и информация;
  • Не на последно място, КС счита разпоредбата за непропорционална на целта, която преследва, тъй като ограничава прекомерно правото на свобода на изразяване и информация; КС приема, че разпоредбата препятства постигането на целите на журналистическата дейност и функцията на средствата за масова информация, тъй като може да доведе до автоцензура, продиктувана от опит за съобразяване с неясните критерии. В допълнение КС изтъква, че мярката не е необходима, защото има значително по-малко рестриктивна и утвърдена алтернатива – да се засили самоконтрола в медийната индустрия, включително и с приемане на кодекси за поведение, изработвани съвместно от медийните организации и КЗЛД, каквато е практиката в демократичните държави и каквато възможност изрично се предвижда в GDPR.

В заключение, КС обяви разпоредбата на 25з, ал. 2 ЗЗЛД за противоконституционна поради непредвидимост, правна несигурност и ограничаване на правото на свобода на изразяване и информация непропорционално на преследваната цел в контекста на журналистическото изразяване.

Предстои да видим дали законодателят ще се опита да формулира ново законово правило, с което да потърси баланса между правото на защита на личните данни и правото на свобода на изразяване и информация, или подобно на препоръките в решението на КС – подобен баланс ще се търси по пътя на саморегулацията на медийната индустрия – напр. чрез кодекси за поведение. Пълния текст на решението можете да прочете тук.   

# 18 Българската КЗЛД със становище относно фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания

Ключово за фармацевтичния сектор становище на българската Комисията за защита на личните данни (КЗЛД/Комисията) бе публикувано на 10.06.2019 г. на сайта на Комисията относно определяне на фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания.

Съгласно становището при провеждането на клинични изпитвания лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл. 26 от Регламент (ЕС) 2016/679.

Становището бе публикувано след разгледано от КЗЛД запитване от дружество, което има качеството на „възложител” по смисъла на § 1, т. 8 от Допълнителните разпоредби на Закона за лекарствените продукти в хуманната медицина (ЗЛПХМ) т.е. дружество, което отговаря за започването, управлението и/или финансирането на клиничното изпитване и участва в инициираните от него клинични изпитвания. Запитващото дружество посочва, че при провеждането на клинични изпитвания то осъществява също така взаимоотношения и с другите лица-участници в клиничните изпитвания, а именно с главния изследовател и изследователите, както и членовете на екипа на изследователя – колаборатори, наблюдатели и одитори на изпитването.

За да определи ролите на страните, КЗЛД изследва фигурите на „администратор” и „обработващ” през призмата на приложимото към клиничните изпитвания национално и европейско законодателство. КЗЛД разяснява още, че Регламент (ЕС) 536/2014 на Европейския парламент и на Съвета относно клиничните изпитвания на лекарствени продукти за хуманна употреба и ЗЛПХМ изчерпателно определят функциите и задачите на всички субекти, участващи в клинично изпитване. Според Комисията дейностите по обработване на лични данни във връзка с извършване на клинични изпитвания от страна на лечебното заведение не би могла да се извърши „от името” на възложителя на изпитването, поради факта, че същите не могат да бъдат извършени от него, а само от оправомощена по съответния ред организация, имаща качеството „лечебно заведение”. Това е поредно потвърждение на отдавна възприета в теорията и практиката (вкл. тази на КЗЛД) теза, че не всеки договор за възлагане автоматично води до възникване на отношения от типа администратор-обработващ и че за адекватното определяне на ролите и отговорностите на страните при обработването на лични данни трябва да се вземе предвид естеството на правата и задълженията на страните по договорната връзка.

Допълнителен довод според КЗЛД за такова квалифициране на ролите на страните е Становище 1/2010 на Работната група по чл. 29 (сега Европейски комитет по защита на данните) относно понятията „администратор“ и „обработващ”, където е посочено изрично, че при провеждане на клинични изпитвания, участниците обработват лични данни в качеството на съвместни администратори (стр. 30 на Становището).

Основната последица от това становище за фармацевтичните компании и лечебните заведения, провеждащи клинични изпитвания, е че същите трябва да сключат помежду си договор, с който да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си в областта на защитата на личните данни. По-специално те следва да уредят въпроса за упражняването на правата на субектите на данни и съответните си задължения за предоставяне на информацията по чл. 13 и 14 от GDPR на субектите. Наред с това, всеки субект на данни-участник в клиничното изпитване има възможност да упражнява на своите права по отношение на всеки и срещу всеки от администраторите (чл. 26, пар. 3 от GDPR).

# 16 Платформата за дистанционно обучение по проект INFORM – удобен начин за увод в тематиката за защита на лични данни

Наскоро колегите от Фондация „Право и Интернет“ представиха платформа за онлайн обучение, която по достъпен начин въвежда в тематиката за защита на личните данни. Платформата е резултат от изпълнението на проекта INFORM (Представяне на реформата в сферата на защита на лични данни пред съдебната система) и е достъпна на следния линк.

Регистрацията е лесна, само в една стъпка, като позволява на потребителите да изберат и своята професия (магистрат, съдебна администрация или практикуващ юрист), тъй като платформата е структурирана в три различни модула. Всеки от тях предоставя адаптирано съдържание в зависимост от различните професионални отговорности на потребителите.

Платформата предлага обстойно въведение в правилата на Европейския съюз за защита на данните, като съдържанието не се ограничава само до разпоредбите на Общия регламент за защита на данните, но се разпростира и върху тези на Директива 2016/680. Регистрираните потребители на платформата могат лесно да проверят знанията си по разглежданите теми, тъй като е налице и функционалност за самостоятелна оценка.

Настоящата статия е създадена като част от проектa INFORM, финансиран с подкрепата на програма Правосъдие (2014-2020) на Европейската комисия. Съдържанието на настоящата публикация отразява единствено възгледите на авторите, които носят отговорност за съдържанието ѝ. Европейската комисия не поема никаква отговорност за информацията в публикацията.

# 15 ЗЗЛД – Кратки стъпки по спазването му

Дългоочакваните промени в Закона за защита на личните данни (“Законa/ЗЗЛД”), с които се цели хармонизиране на българското законодателство с Общия регламент за защита на личните данни (GDPR), от днес, 26.02.2019 г., вече са факт. Заедно с тях Законът въвежда и някои специфични национални правила.

По-долу предлагаме кратък списък на някои от най-важните изисквания по новия Закон:

Как да изпълним изискванията на ЗЗЛД

  • Приемете изрични вътрешни правила, ако извършвате някоя от следните дейности или ако сте внедрили някой от следните процеси в организацията си:
    – Извършвате видеонаблюдение;
    – Ограничили сте използването на фирмените устройства, системи или ресурси (например, ограничили сте достъпа на служителите си до някои сайтове);
    – Въвели сте система за докладване на нарушения (т.нар. “whistleblowing” системи);
    – Внедрили сте системи за контрол на достъпа, работното време или трудовата дисциплина (системи за чекиране с карти, GPS системи за следене на служебни автомобили и други служебни технически устройства);
  • Информирайте работниците и служителите си за приетите вътрешни правила и им осигурете достъп до тези документи;
  • Пазете данните, събирани в рамките на подбор на персонал, за не повече от 6 месеца. Искайте съгласието на кандидата за съхранение на данните му/ѝ за по-дълъг срок;
  • Назначете Длъжностно лице по защита на личните данни (“ДЛЗД”), ако попадате в дефиницията на „публичен орган“ по смисъла на Закона – държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства;
  • Съобщете имената, ЕГН/ЛНЧ и данните за контакт на вашето ДЛЗД (ако сте назначили такова) на КЗЛД;
  • Винаги когато обработвате данни на малолетни лица (лица под 14-годишна възраст) на основание съгласие, изисквайте съгласие от родителя, упражняващ родителски права/ настойника. Това изискване важи не само при предоставяне на услуги на информационното общество, а за всяко обработване въз основа на съгласие;
  • Ако обработвате данни за починали лица, това трябва да става само при наличие на правно основание за това и при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес;
  • При обработване на данни за журналистически цели, академичното, художественото или литературно изразяване винаги съобразявайте баланса между свободата на изразяване и правото на информация, и неприкосновеността на личния живот, съобразно критериите, заложени в ЗЗЛД.

Забранено по ЗЗЛД

  • Не копирайте документи за самоличност (лична карта, паспорт, шофьорска книжка) или разрешение за пребиваване (освен ако не разполагате с правно основание предвидено в закона за това);
  • Не допускайте свободен публичен достъп до информация, съдържаща ЕГН/ЛНЧ, освен ако закон предвижда друго;
  • Не ползвайте ЕГН като парола, тъй като Законът изисква предприемането на подходящи технически и организационни мерки, които да не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до услуги, предоставяни по електронен път (напр. като парола за достъп до медицински изследвания).

Сверете практиките си с новите правила, но не забравяйте, че списъкът ни не е изчерпателен и цели единствено да Ви въведе в общата рамка на приетите промени.

Очаквайте следващите ни публикации, в които ще анализираме в повече детайли най-важните промени и ще продължим да Ви информираме за най-актуалното от областта на защитата на личните данни!

# 13 Първи закон в областта на киберсигурността е приет в България

Първият български закон, изцяло посветен на киберсигурността, вече е факт.

На 13 ноември 2018 г. беше обнародван новият Закон за киберсигурност (ЗК/Законът). Законът бе приет в изпълнение на задължението за транспониране на Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.

Приемането на Закона е ключова стъпка към осигуряването на адекватно ниво на сигурност при използване на цифровите технологии и към успешното противодействие на злонамерени атаки, защото до този момент липсваше цялостно уреждане на проблематиката на киберсигурността, а отделни правила се съдържаха в множество специални закони (напр. Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, Наказателния кодекс, Наредбата за общите изисквания за мрежова и информационна сигурност и др.).

Кои органи ще отговарят за киберсигурността?

  • Съвет по киберсигурността;
  • Национално единно звено за контакт по въпросите на киберсигурността;
  • Национален координатор по киберсигурността;
  • Национални компетентни органи по мрежова и информационна сигурност към административни органи, определени с решение на Министерски съвет;
  • Национален екип за реагиране при инциденти с компютърната сигурност;
  • Секторни екипи за реагиране при инциденти с компютърната сигурност;
  • Център по киберпрестъпност в рамките на Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи, който ще осъществява дейности по разкриване, разследване и документиране на компютърни престъпления на национално ниво;
  • Други.

С новият Закон се регламентират правомощията в тази материя на вече съществуващи органи като:

  • Председателя на Държавна агенция „Електронно управление“;
  • Министъра на отбраната;
  • Министъра на вътрешните работи;
  • Председателя на Държавна агенция национална сигурност;
  • Други.

Кого засягат новите изисквания?

ЗК съдържа правила, адресирани към няколко различни категории задължени субекти (публични и частни):

  • административни органи;
  • оператори на съществени услуги, действащи в секторите:
    – енергетика;
    – транспорт;
    – банково дело;
    – инфраструктури на финансовия пазар;
    – здравеопазване;
    – доставка и снабдяване с питейна вода;
    – цифрова инфраструктура;
  • операторите на съществени услуги могат да бъдат както публични, така и частни субекти от посочените категории, които отговарят на всеки от следните критерии: 1) да предоставя съществена услуга; 2) предоставянето на тази съществена услуга да зависи от мрежи и информационни системи; и 3) инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга. Операторите на съществени услуги ще бъдат определени от компетентните административни органи съгласно тези критерии и в съответствие с методика, приета от Министерския съвет. В тази връзка, председателят на Държавна агенция „Електронно управление“ следва да състави списък със съществените услуги, който обаче няма да бъде публичен;
  • доставчици на цифрови услуги, предоставящи някоя от следните услуги:
    – онлайн място за търговия;
    – онлайн търсачка;
    – компютърни услуги „в облак“;
  • организации, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или доставчици на цифрови услуги, когато тези организации предоставят административни услуги по електронен път. Обществени услуги са услуги, по повод на чието предоставяне могат да се извършват административни услуги, а именно:
    – образователни;
    – здравни;
    – водоснабдителни;
    – канализационни;
    – топлоснабдителни;
    – електроснабдителни;
    – газоснабдителни;
    – телекомуникационни;
    – пощенски;
    – банкови;
    – финансови;
    – удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014; и
    – други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност;
  • лица, осъществяващи публични функции, които не са определени като оператори на съществени услуги, когато предоставят административни услуги по електронен път.

Очевидно новият Закон е насочен към потенциално доста широк кръг от адресати, което оправдава нуждата от познаването му, за да могат задължените лица да спазят изискванията му.

С цел да се избегне налагането на несъразмерна финансова и административна тежест, доставчиците на цифрови услуги, които са микро- и малки предприятия по смисъла на Закона за малките и средните предприятия, са сред субектите, изключени от обхвата на новия Закон.

Как засяга това частния сектор?

Както бе подчертано, адресати на задълженията, предвидени в ЗК, са както публични субекти, така и редица компании от частния сектор. Можем да очертаем част от по-ключовите изисквания съобразно неговия адресат:

  • Административни органи:
    – предприемат подходящи и пропорционални мерки за осигуряване на мрежова и информационна сигурност;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на тяхната дейност;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
  • Лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги;
    – осигуряват и отговарят за мрежовата и информационната си сигурност при предоставянето на административни услуги по електронен път;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път;
  • Операторите на съществени услуги:
    – предприемат подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на предоставяните от тях съществени услуги;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях съществени услуги;
    – уведомяват доставчика на цифрови услуги при инцидент, който може да има значително увреждащо въздействие върху непрекъснатостта на предоставяната съществена услуга и засяга доставчика на цифрови услуги, когато операторът на съществени услуги разчита на доставчик на цифрови услуги, за да предоставя съществена услуга;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК. Изискванията за мрежова и информационна сигурност, предвидени в закона, следва да се прилагат от операторите на съществени услуги само по отношение на предоставяните съществени услуги.
  • Доставчиците на цифрови услуги:
    – предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните им системи, използвани за предоставянето на цифрови услуги на територията на България;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях цифрови услуги.
    За определяне на въздействието на даден инцидент като съществено се вземат предвид редица критерии;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
    – доставчик на цифрови услуги, който не е установен в държава-членка на Европейския съюз, но предлага в Европейския съюз горепосочените услуги, трябва да определи свой представител в Европейския съюз, който трябва да е установен в държава-членка, в която се предлагат услугите;
    – в определени ситуации може да се наложи уведомяване на обществеността за настъпили инциденти.

Следва да се отбележи още, че законът изрично предвижда, че когато в правен акт на Европейския съюз или в закон, който е специален за конкретен сектор или услуга, се предвижда операторите на съществени услуги или доставчиците на цифрови услуги да гарантират мрежовата и информационната си сигурност или да уведомяват за инциденти, се прилагат тези актове, при условие че техните изисквания са най-малкото равностойни като резултат на задълженията, предвидени в ЗК.

  • Субекти, които не са изрично посочени като задължени лица по закона:
    – Извън изрично упоменатите в Закона лица, други субекти имат право/възможност за уведомяване на секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, които имат въздействие върху непрекъснатостта на предоставяните от тях услуги. Уведомленията на задължените лица се разглеждат с предимство.

Относно задълженията за уведомяване

Уведомяването по този закон при възникването на посочените инциденти следва да бъде направено до два часа след констатирането на инцидента, а пълната информация следва да бъде изпратена до 5 дни.

Уведомленията се подават по образци, утвърдени съобразно наредба за определяне на минималния обхват на мерките за мрежова и информационна сигурност, както и други препоръчителни мерки, която ще се приеме от Министерски съвет съгласно чл. 3, ал. 2 ЗК.

Предстои да бъдат приети и други подзаконови нормативни актове.

Санкции

ЗК предвижда санкции при нарушение на изискванията му, като глобите могат да достигнат до 20 000 лв., а имуществените санкции до 25 000 лв.

Важно е да се отбележи, че ЗК предвижда и санкции за длъжностни лица, които извършат или допуснат извършването на нарушение по глава втора, като глобите могат да достигнат до 15 000 лв.

Законът влиза в сила на 16 ноември 2018 г. в по-голямата си част. Разпоредбите относно създаването и функциите на Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност, както и някои задължения на Секторните екипи за реагиране при инциденти с компютърната сигурност за уведомяване влизат в сила от 1 януари 2022 г.

Осигуряването на сигурното и нормалното функциониране на мрежите и информационните системи е от основно значение за улесняването на трансграничното движение на стоки, услуги, капитали и хора. От тази гледна точка в Европейския съюз все повече се обръща внимание на създаването на общи правила по отношение на киберсигурността, защото тя се явява важна крачка към утвърждаването на единна дигитална цифрова икономика в рамките на вътрешния пазар. Предстои да видим как новата уредба ще засегне публичния и частния сектор, но при всички положения похвален е стремежът на ЕС и българския законодател да създаде законова рамка по проблемите на киберсигурността.

#11 Съветът на Европа актуализира единствения международен правнообвързващ инструмент за защита на личните данни – Конвенция № 108

На 18 май 2018 г. в Елсинор, Съветът на Европа прие Протокол за изменение на Конвенция № 108 от 28.01.1981 г. за защита на лицата при автоматизираната обработка на лични данни („Конвенцията“).

Какво представлява Конвенцията?

До този момент Конвенцията е единственият международен договор с глобално значение в областта на защитата на данните и е създадена в отговор на нестихващите предизвикателства пред опазването на неприкосновеността на личния живот, произтичащи от използването на нови информационни и комуникационни технологии. С предприетата цялостна ревизия на Конвенцията Съветът на Европа цели да я актуализира, да разшири обхвата ѝ и да укрепи механизмите, заложени в нея, за да гарантира нейното ефективно прилагане.

Какво е новото в Конвенцията?

Основна цел на промените в Конвенцията е улесняването на трансграничния обмен на данни, като същевременно се доразвиват и основните механизми за защита при обработването на лични данни, заложени в Конвенцията, в съответствие с последните законодателни промени на ниво ЕС. Конвенцията обхваща обработването на данни както в публичния, така и в частния сектор, като по този начин заложените изменения целят да подобрят нивото на защита на личните данни в максимална степен и обхват. Работата по приетите тази година нововъведения започна още през 2012 г. и протече паралелно с останалите промени в законодателството по отношение на защитата на личните данни в ЕС, включително с приемането и началото на прилагането на прословутия нов Общ регламент относно защитата на данните (GDPR).

Генералният секретар на Съвета на Европа Турбьорн Ягланд посочва, че необходимостта от модернизацията е продиктувана от честите нарушения на правото на защита на данните, като предотвратяването им следва да бъде основния фокус при прилагането на Конвенцията.

Редица от новостите в Конвенцията са съобразени със заложеното в GDPR. Някои от основните новости включват:

  • Разширени са категориите чувствителни данни, като към забраната за обработване на лични данни, разкриващи расов произход, политически възгледи или религиозни или други убеждения, здравословен живот или лични данни, свързани с престъпления, наказателни производства и присъди, са включени и генетичните и биометричните данни, както и данни относно членството в синдикални организации и данни за етническия произход;
  • Разширени са правата на субекта на данни, в това число:- Право на субекта на данни да не бъде обект на автоматизирано вземане на решения, което значително го засяга, без да се съобрази гледната му точка;
    – Право на информация на субекта на данни относно обработването;
    – Право на субекта на данни да получи информация за логиката на обработването на личните данни, по-специално за случаите, при които се използват алгоритми за автоматизирано вземане на решения и профилиране;
    – Право на възражение на субекта на данни, по-специално правото на субекта да се противопостави на обработването на лични данни, свързани с него, освен ако легитимния интерес на администратора, не е с по-висок приоритет;
  • Добавени са допълнителни задължения по отношение на администраторите и обработващите лични данни:- Принципите за защита на данните следва да се прилагат на всички етапи на обработването, включително фазата на проектиране (“privacy by design и “privacy by default”);
    – Подходящите мерки, които трябва да предприемат, включват: обучение на служителите; създаване на подходящи процедури за уведомяване (например, установяване на срокове, в рамките на които трябва да бъдат съхранявани данни и конкретни дати, на които да бъдат изтрити от системата); установяване на специфични договорни разпоредби, когато обработването е делегирано; създаване на вътрешни процедури, които да дават възможност за проверка и доказване на съответствието и др.
    – Подсилени са правомощията на надзорния орган, който страните по Конвенцията следва да изберат по тяхна преценка с цел да се гарантира изпълнението и съответствието на разпоредбите на акта. Според Обяснителния протокол към Конвенцията, този орган може да бъде едноличен (комисар) или колективен, като по-важното е да има ефективни правомощия и функции и да бъде независим при изпълнение на задълженията си;
    – Страните по Конвенцията могат да въведат специфични надзорни органи, чиято дейност е ограничена до конкретен сектор (според обяснителния протокол в това число попадат и: секторът на електронните комуникации, здравния сектор, публичния сектор и др.);
    – Страните следва да предоставят на надзорния орган правомощието да възбужда и/или участва в съдебни производства във връзка с всякакви нарушения на защитата на данните. Това правомощие е тясно свързано с правомощията за провеждане на разследвания и откриване на нарушения.
    – Въведено е задължително уведомяване за нарушения на сигурността на данните;
  • Засилени са мерките за пропорционално обработване на данните и прилагане на принципа за свеждане на данните до минимум;
  • Изменена е и използваната до момента терминология, като е премахнато понятието „автоматизиран регистър с данни“ и е въведен един нов участник в процеса по обработване на лични данни – „получател“ (1) и т.н.;
  • Предприетите от тях мерки за защита на данните следва да са свързани с отговорността им да бъдат в състояние да докажат, че обработването на данни е в съответствие с приложимото право (т.нар. принцип на „отчетност“);
  • Едно от най-важните нововъведения в Конвенцията е засилената роля на Консултативния комитет, който вече е освен с консултативни, и с оценителни и надзорни функции. Той ще преценява до каква степен страна-членка или международна организация е изпълнила изискванията на Конвенцията. Комитетът има право да оцени и съответствието на вътрешното право на страна по Конвенцията и да определи ефективността на предприетите мерки.

Важно е да се отбележи, че към Конвенцията могат да се присъединяват както държави от всяка точка на света, така и международни организации, в това число и Европейския съюз. Това превръща Конвенцията в ключов инструмент за хармонизиране на различните правни режими за защита на личните данни и за осигуряване на високо ниво на тази защита на международно равнище.

Модернизирането на Конвенцията е много важна стъпка към утвърждаването на глобални стандарти за защита на личните данни. Обновената Конвенция се стреми да стимулира присъединяването на колкото може повече държави по света с цел да стимулира международният бизнес и развитието му, вече на базата на по-сигурни и общоприложими правила в сферата на личните данни и тяхната ефикасна защита.

Повече информация можете да намерите в официалния уебсайт на Съвета на Европа тук.

 

(1) На английски разпоредбата гласи следното: Art. 3, “e” – “recipient” means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available; Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), URL.

# 10 Законът за изменение и допълнение на Закона за защита на личните данни, синхронизиран с GDPR, официално е внесен в Народното събрание

На 18 юли Законът за изменение и допълнение на Закона за защита на личните данни беше внесен пред Народното събрание (Новия проект). Новият проект има за цел да въведе мерките за изпълнение на Общия регламент на ЕС за защита на личните данни (Регламента/ GDPR) и да транспонира Директива 2016/680 относно защитата на личните данни в полицейския сектор (предложените в тази част промени – глава 8а от Новия проект – ще бъдат обект на последващ анализ в блога ни).

Първоначалният проект (Стария проект), станал публично достъпен на 30.04.2018 г., очаквано, претърпя някои редакции в резултат на проведените в страната обществени консултации (1).

На пръв поглед и без претенции за изчерпателност, в Новия проект правят впечатление следните изменения:

1. Премахнати са минималните прагове на глобите и имуществените санкции, доколкото такива не бяха предвидени и в Регламента. Глобите/ санкциите ще се налагат съобразно посочените в Регламента критерии;
2. Предвидената глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат;
3. Предвидени са гаранции за балансиране на защитената от закона тайна (напр. адвокатската тайна) с разследващите правомощия на Комисията за защита на личните данни (КЗЛД), доколкото е предвидена възможност такава тайна да послужи на администраторите/ обработващите като основание за отказ за предоставянето ѝ или на достъпа до нея на КЗЛД при проверки;
4. КЗЛД ще поддържа вътрешен регистър на нарушенията и на предприетите мерки в съответствие с упражняването на корективните си правомощия, който няма да бъде публичен. Въвеждат се и няколко нови публични такива:
– Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните (ДЛЗД). Премахва се предложението за водене регистър на ДЛЗД поради опасенията за въвеждането на прикрит регистрационен режим за тази длъжност, който Регламентът не предвижда;
– Регистър на акредитираните сертифициращи органи;
– Регистър на кодекси за поведение.
5. Премахнати са текстовете, които предвиждаха КЗЛД да провежда обучения на ДЛЗД;
6. Срокът за съхранение на личните данни на кандидатите за работа трябва да бъде не по-дълъг от 6 месеца (в Първоначалния проект срокът бе 3 години) след окончателното приключване на процеса по подбор на персонал. Това ограничение се отнася и до документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност. Прецизирани са и други текстове относно защитата на личните данни в контекста на трудовото правоотношение (напр. отпаднало е спорното разрешение да се иска изрично съгласие от служителите за обработване на техни лични данни, които не са поискани от работодателя или които не се изискват от нормативен акт);
7. Премахнато е изискването администратори/ обработващи да назначават ДЛЗД, ако обработват данните на над 10 000 физически лица, доколкото срещу това изискване, заложено в Стария проект, постъпиха сериозни възражения в процедурата по обществена консултация (преди всичко поради неяснотите как то да се прилага на практика);
8. За публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства. Това ще рефлектира върху задължението им за назначаване на ДЛЗД;
9. Новият проект предвижда и нови текстове относно обработването на лични данни за целите на архивирането в обществен интерес, научни и исторически изследвания, статистически цели и журналистически цели.

Целият проект е достъпен тук.

Като Ваш доверен партньор ще продължим Ви информираме своевременно за законодателния процес по Новия проект, както и за всякакви новости в законодателството за защита на личните данни на национално и европейско равнище.

(1) Вж. в този смисъл и последния информационен бюлетин на КЗЛД от юли 2018 г., URL 

# 2 Как да избегнете санкции от 20 млн. евро или 4% от годишния Ви оборот – МЕРИТАС представя ръководство с препоръки към компаниите с оглед спазването на GDPR

Във връзка с регламентa за защита на личните данни – Регламент (ЕС) 2016/679 („GDPR“), който ще започне да се прилага от 25.05.2018 г., реномираната мрежа за международно правно сътрудничество МЕРИТАС предлага кратко информационно видео, в което схематично представя препоръчителни за компаниите стъпки с оглед спазването на изискванията на GDPR.

 

В процеса по подготовка се разграничават три основни етапа:

  • Одит на процесите по обработване на лични данни в организацията;
  • Анализ на установените пропуски (т.нар. Gap analysis)
  • Разработване и прилагане на вътрешни правила и процедури, съобразени с изискванията на GDPR.

Като мрежа за международно правно сътрудничество МЕРИТАС има формиранa Група по „Защита на личните данни“, която е съставена от водещи експерти в областта, излъчени от членуващите в мрежата адвокатски кантори от ЕС. Съвместната им работа позволява разрешаване на проблемите на клиентите, свързани със защитата на личните данни, както в национален, така и в международен план.

Адвокатско дружество „Димитров, Петров и Ко.“ е ексклузивен член на МЕРИТАС за България от 2005 г. и понастоящем също развива активна дейност по подготовка на клиентите си за постигане на съответствие с изискванията на GDPR.

# 1 Длъжностно лице по защита на данните

Длъжностното лице по защита на данните (ДЛЗД) е нова фигура, която GDPR въвежда на помощ на организациите в процеса по управление на защитата на личните данни. ДЛЗД е призвано да бъде своеобразен „отговорник“ по всички въпроси, свързани със защитата на личните данни в предприятието – от даването на разяснения и съвети на служителите и ръководството, през осъществяването на контрол върху процесите по обработване на данните, до функционирането като единна точка за контакт за надзорните органи и лицата, чиито данни се обработват.

Ако по сега действащия режим предприятията имаха възможност по своя преценка да назначат т.нар. „лице по защита на личните данни“, то с GDPR за първи път назначаването на подобен отговорник по защитата на личните данни става задължение за организациите (администратори и обработващи лични данни). Според GDPR задължение за назначаване на ДЛЗД възниква, ако:

  • обработването се извършва от публичен орган или структура (с някои малки изключения за съдебните функции на съдилищата);
  • основните дейности на организацията се състоят в:
    • операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни. За „мащабно“ се приема напр. обработването на пациентски данни в болниците; на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град; на клиентски данни от застрахователни дружества и банки; на лични данни от търсачка с цел поведенческа реклама; на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги и др. „Редовно и систематично“ пък е наблюдението, когато се осъществяват дейности като експлоатация на далекосъобщителна мрежа; предоставяне на далекосъобщителни услуги; пренасочване на електронни съобщения, основани на данни маркетингови дейности; профилиране и оценяване за целите на оценка риска (кредитоспособност, изчисляване на застрахователни премии, предотвратяване на измами и пране на пари); проследяване на местоположението чрез мобилни приложения; програми за лоялност; поведенческа реклама; вътрешна система за видеонаблюдение и др. под.[1];
    • мащабно обработване на специални по смисъла на GDPR категории данни (напр. данни за расов или етнически произход; данни за здравословното състояние, сексуалния живот и сексуалната ориентация; генетични данни; биометрични данни като пръстови отпечатъци, лицеви характеристики, очен ирис, ретина и др.) или лични данни, свързани с присъди/ нарушения.

Освен в посочените случаи, държавите членки могат да предвидят и други изисквания за назначаване на ДЛЗД. Според информация, достъпна на сайта на българската Комисия за защита на личните данни, ДЛЗД трябва да се назначи и ако организацията обработва лични данни на над 10 000 физически лица[2]. Дори когато назначаването на ДЛЗД не е задължително, GDPR допуска организациите доброволно да определят такова – назначаването на ДЛЗД може да бъде успешен маркетингов и репутационен ход, а също и ефикасен начин за изпълнение на някои обременяващи задължения. Ако предприятието, дори да няма такова задължение, назначи ДЛЗД, то следва да спазва всички правила на GDPR относно тази позиция, включително осигуряването на независимост.

ДЛЗД трябва да притежава задълбочени експертни познания относно законодателството и практиката на защитата на личните данни. Едно ДЛЗД може да бъде назначено за група предприятия (ако всяко от тях има лесен достъп до ДЛЗД) или за няколко публични органа/ структури, като се отчита организационната им структура и размер. GDPR допуска ДЛЗД да бъде член на персонала на организацията или да бъде външен изпълнител по договор за услуги. Въпрос на преценка за всяка организация с оглед специфичния ѝ начин на функциониране е как най-целесъобразно да се ангажира ДЛЗД. Ако ДЛЗД ще бъде член на персонала, то не може да съвместява други функции, които са в конфликт на интереси с функциите му на ДЛЗД. Така напр. главният изпълнителен директор, мениджърът „Човешки ресурси“, главният финансов директор или ръководителят на ИТ отдела не може да действат като ДЛЗД, защото ще трябва сами да контролират себе си. ДЛЗД трябва да бъде „независимо“ – то е подчинено само на най-висшето ръководство на организацията и не може да бъде освободено от длъжност или санкционирано по причини, свързани с изпълнение на своите задачи (напр. за даване на съвет на администратора да извърши оценка на въздействието, защото ДЛЗД счита дадена операция по обработвана на данни за особено рискова).

Правилата за ДЛЗД трябва да бъдат взети сериозно, защото нарушаването им може да доведе до глоба от 10 милиона евро или 2% от общия световен годишен оборот за предходната финансова година на предприятието, което от двете е по-високо. Ако се използва правилно, фигурата на ДЛЗД може да бъде мощен инструмент за постигане и поддържане на съответствие с новите правила.

[1] Вж. в този смисъл Насоки за длъжностните лица по защита на данните („ДЛЗД“) на Работната група по чл. 29, достъпни на следния интернет адрес: http://ec.europa.eu/newsroom/document.cfm?doc_id=44100

[2] Вж. Десет практически стъпки за прилагане на Общия регламент за защита на данните на КЗЛД, достъпни на следния интернет адрес: https://www.cpdp.bg/?p=element&aid=1109/

Екипът на „Димитров, Петров и Ко.

Настоящият материал е изготвен от екипа на Адвокатско дружество Димитров, Петров & Ко. и е предназначен за клиенти и партньори на дружеството, както и за други читатели с интереси в областта на правото и защитата на личните данни.

Информацията и становищата, съдържащи се в материала, не съставляват изчерпателен и детайлен анализ на разгледаните правни въпроси.

Представените анализи и други информационни материали нямат характера на правен съвет или консултация, и не следва да бъдат възприемани като достатъчни за разрешаването на конкретни правни проблеми, казуси и др. Всички материали, съдържащи се в електронния блог на Димитров, Петров & Ко. са обект на закрила по ЗАПСП. Всяко изменение, публикуване, разпространяване и др. подобни без изричното предварително съгласие на Димитров, Петров & Ко. е забранено.