#23 Какво да съблюдавате, когато наблюдавате – GDPR изисквания към видеонаблюдението

Ако се притеснявате от кражби, грабежи или вандализъм на територията на Ваш имот или търговски обект, вероятно вече сте прибегнали до използването на видеонаблюдение или сте го обмисляли. Технически поставянето на камери става все по-лесно и достъпно с напредването на технологиите, но правните предизвикателства, които възникват, не намаляват. Какви изисквания трябва да имате предвид при поставянето на видеокамери? Какви ограничения се поставят от Регламент 2016/679 (GDPR) по отношение на обработването на лични данни? Какви задължения ще възникнат за Вас като администратори на лични данни с инсталирането на устройствата?

Практически насоки ни дава Европейският комитет по защита на данните (EDPB/ Комитета), най-ключовите от които са обобщени по-долу:

Правно основание на обработването

За да е законно обработването на лични данни (каквото е и видеонаблюдението), трябва да е налице поне едно от правните  основания по чл. 6 GDPR. Най-често като основание за обработване на данни чрез видеонаблюдение се използва легитимният интерес на администратора  (защита срещу кражби, вандализъм и др.). Небходимо е:

  • Да е налице реален риск или опасна ситуация, които могат да се докажат – чрез статистика на престъпността в района, например;
  • Да няма други подходящи средства, чрез които интересът може да се защити, без да се инсталира видеонаблюдение;
  • Да се вземат предвид основателните очаквания на субектите – например, неприемливо е наблюдение в санитарни помещения, в стаи за отдих и др. под.;
  • Наблюдението да е ограничено на територията на защитавания обект (само ако това не е достатъчно ефективно, може обсегът да се разшири).

Допустимо ли е видеозаписите да се предават на трета страна?

Предаването на трета страна представлява отделен вид обработване по смисъла на Регламента и като такова трябва да има собствено правно основание – например, ако националното законодателство поставя такова задължение при определени обстоятелства (за подпомагане на разследване, по искане па полицейски орган или прокуратура).

Обработване на специални категории лични данни

Ако се налага обработването на специални категории данни, чието обработване е по правило забранено, то следва да е налице поне едно от условията, изключващи забраната за обработване на такива данни (чл. 9 § 2 от GDPR). Ако чрез обработването се цели запазването на жизненоважните интереси на субекта, а той е физически или юридически неспособен да даде съгласието си, това би дало основание за обработването на такива данни (чл. 9 § 2, б. „в“). Такъв пример е видеонаблюдение на здравословното състояние на пациент, който е докаран в лечебното заведение в безсъзнание. Ако наблюдението е започнало, когато той не е бил способен да даде съгласието си, това не би било в противоречие с изискванията на GDPR. Комитетът коментира още изключението по отношение на данни, които явно са направени обществено достояние от субекта. Според Комитета, навлизането в район под видеонаблюдение не позволява на администратора да обработва специални категории данни на основание, че субектът ги е направил явно обществено достояние.

Права на субекта на данни

Важно е да се отбележи, че субектите на данни се ползват от всички права, които GDPR им дава – право на информация и достъп до обработваните данни, правото да бъдат коригирани данните, правото „да бъдеш забравен“ и т.н.:

  • Право на субекта на достъп до данните, събирани за него. Ако се използва наблюдение в реално време, без да има съхранение на данни,то при поискване на информация от страна на субекта на данни, достатъчно е да се потвърди, че обработването е преустановено и няма съхранени данни за субекта.

Комитетът обръща внимание и на случаите, при които на субекта на данни не би могло да бъде осигурен достъп до данните, събирани за него:

  • Разкриването им би довело до неблагоприятно засягане на правата на трети лица (например предоставянето на видеозаписи на един субект на данни би могло неблагоприятно да засегне правата и свободите на други лица, разпознаваеми на записа;  в такива случаи Бордът съветва да не бъде ограничавано правото на достъп на субекта на данни, а вместо това да се използват средства за обработка на снимки, които скриват идентичността на трети лица).
  • Невъзможно е субектът да бъде идентифициран – например, ако през района, който се наблюдава, преминават множество хора на ден.
  • Отправеното искане е явно неоснователно или прекомерно (поради повтаряемост, например);
  • „Правото да бъдеш забравен“данните за лице, събрани при обработването, трябва да бъдат заличени ако вече не са необходими за целите, за които са били обработвани. Освен това:
  • Ако има отправено искане от страна на субекта на данни. Ако данните са били предоставени на трети страни, те също следва да бъдат осведомени за отправеното искане;
  • Ако основанието за обработване отпадне:
    • Когато субектът на данни оттегли съгласието си за обработване;
    • Когато интересите на субекта надделяват над легитимния интерес на администратора;
    • когато субектът на данни се противопостави на обработването на данни за маркетинг цели.

Освен задължението на администратора да изтрие данните при поискване, не трябва да се забравя и принципът на свеждане на данните до минимум, т.е. обработваните данни да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

  • Право на възражениесубектът на данни има право да възрази срещу обработването на данни (преди навлизане в наблюдаваната зона, по време на пребиваването си в нея или след напускането ѝ). Администраторът трябва да докаже, че неговият законен интерес или защитаваният обществен интерес надделяват над правата и интересите на субекта (например, обработването е необходимо за осъществяването на вътрешно разследване).

Прозрачност на обработването и информиране при видеонаблюдение.

Едни от най-полезните насоки, които дава Комитетът, са свързани с информирането на субектите на данни.  Добра практика, която отговаря на стандартите на Регламента, е използването на т.нар. многопластов подход за представяне на информацията:

  1. Първи пласт: информационна табела, която информира по ясен и недвусмислен начин за извършваното видеонаблюдение (не е необходимо да се посочва точното местоположение на камерите). Необходимо съдържание:
    • Самоличност на администратора или обработващия данни (както и на представители и контакти на Длъжностно лице по защита на данните, ако има такова);
    • Цели и основания на обработването;
    • Права на субектите на данни;
    • Най-сериозни въздействия на обработването;
    • Всякаква информация, която може да е неочаквана за субекта на данни.

Вторият слой информация може да бъде представен под формата на информационни брошури, поставени на лесно достъпно и видимо място.

Период на съхранение и технически изисквания  

Колкото по-дълъг е периодът на съхранение (особено над 72 часа), толкова по-сериозни доказателства трябва да има, за да се обоснове съхранението. Съхранението обикновено се аргументира с евентуалната нужда да бъдат използвани като доказателство. За тази цел обаче обикновено е достатъчен период от 24 часа.

При избор на технически средства за наблюдение администраторът задължително трябва да съобрази всички принципи на обработване на данни, заложени в Регламента. Трябва да бъде осигурена както подходяща техническа, така и физическа защита на компонентите на системата за видеонаблюдение. Самият достъп до системата и обработваните данни следва да бъде максимално ограничен до само оторизирани от администратора лица. 

Оценка на въздействието

В последната част на Насоките Комитетът припомня, че ако обработването се осъществява при систематично мащабно наблюдение на публично достъпна зона или когато се обработват специални категории данни, Регламентът поставя изискване да се извърши оценка на въздействието на защитата на данните (ОВЗД). Насоките относно ОВЗД и относно това кога съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 са достъпни тук. Обобщена информация по този въпрос можете да откриете в други публикации в нашия блог (тук и тук).

#22 Конституционният съд обяви разпоредбата на ЗЗЛД за обработване на данни за журналистически цели за противоконституционна

С решение от 15 ноември 2019г. Конституционният съд (КС) обяви за противоконституционна разпоредбата,  уреждаща обработването на лични данни за журналистически цели и за целите на академичното, художественото или литературното изразяване (чл. 25з от Закона за защита на личните данни – ЗЗЛД). Текстът беше приет в рамките на възможността, предоставена от Регламент 2016/679 (GDPR), държавите членки да съгласуват правото на защита на личните данни с правото на свобода на изразяване и информация.

С решението на КС се сложи край на турбулентната история на разпоредбата. Първоначално тя беше обект на широка критика от страна на медии и журналистически организации, след това Президентът наложи вето на измененията в закона заради нея, а през март 2019 КС беше сезиран от 55 народни представители с искане за обявяването й за противоконституционна.

Основна причина за полемиките бяха въведените критерии за преценка на баланса между свободата на изразяване и правото на информация и правото на защита на личните данни, в които искащите обявяването на разпоредбата за противоконституционна виждаха потенциална заплаха от законова цензура на свободата на словото.

В решението си КС се позовава на европейското законодателство, международните актове в областта на правата на човека и практиката на Съда на Европейския съюз (СЕС) и Европейския съд по правата на човека (ЕСПЧ). КС подчертава многократно, че се води от уредените и възприети на европейско ниво принципи за постигане на „баланс на интересите“ и за пропорционалност.

КС намира разпоредбата на ЗЗЛД за противоконституционна по следните основни съображения:

  •  КС подчертава, че балансирането на различните права, в случая защитата на личните данни и правото на свобода на изразяване и информация, трябва да бъде осъществено чрез рационален и прагматичен подход, при който да бъдат отчетени конкретните обстоятелства за всеки отделен случай; следователно въвеждането на критерии в общо правило на законово ниво създава риск за правилното балансиране на интересите и противоречи на практиката на СЕС и ЕСПЧ да се прави конкретна преценка;
  • Според КС разпоредбата не отговаря на изискванията за разбираемост, прецизност, недвусмисленост и яснота, тъй като не указва ясно на адресатите си какво е недопустимо. КС критикува в частност няколко от критериите, които според него правят невъзможно медиите/журналистите да съобразят поведението си със закона и да прилагат т.нар. „журналистическо изключение“, позволяващо им да обработват лични данни при специални условия. В решението на КС се съдържа още, че неяснотата на критериите дава на органите, прилагащи закона, непредвидима власт.
  • Според КС разпоредбата противоречи на духа и разума на GDPR, тъй като  Регламентът цели да позволи на държавите членки да въведат изключения и дерогации от общите правила, които да балансират защитата на личните данни и правото на свобода на изразяване и информация, а не да им позволи да приемат правила, които са „в тежест на медиите/журналистите“. КС изрично подчертава, че подобно тълкуване на GDPR от българския законодател „прави изключително трудно по-нататък да се постави граница на държавната намеса по отношение свободата на изразяване на медиите/ журналистите“, както и че разпоредбата би нарушила баланса между основните права в ущърб на правото на изразяване и информация;
  • Не на последно място, КС счита разпоредбата за непропорционална на целта, която преследва, тъй като ограничава прекомерно правото на свобода на изразяване и информация; КС приема, че разпоредбата препятства постигането на целите на журналистическата дейност и функцията на средствата за масова информация, тъй като може да доведе до автоцензура, продиктувана от опит за съобразяване с неясните критерии. В допълнение КС изтъква, че мярката не е необходима, защото има значително по-малко рестриктивна и утвърдена алтернатива – да се засили самоконтрола в медийната индустрия, включително и с приемане на кодекси за поведение, изработвани съвместно от медийните организации и КЗЛД, каквато е практиката в демократичните държави и каквато възможност изрично се предвижда в GDPR.

В заключение, КС обяви разпоредбата на 25з, ал. 2 ЗЗЛД за противоконституционна поради непредвидимост, правна несигурност и ограничаване на правото на свобода на изразяване и информация непропорционално на преследваната цел в контекста на журналистическото изразяване.

Предстои да видим дали законодателят ще се опита да формулира ново законово правило, с което да потърси баланса между правото на защита на личните данни и правото на свобода на изразяване и информация, или подобно на препоръките в решението на КС – подобен баланс ще се търси по пътя на саморегулацията на медийната индустрия – напр. чрез кодекси за поведение. Пълния текст на решението можете да прочете тук.   

# 21 Сайтове с Фейсбук бутон „харесва ми“ – последното решение на Съда на Европейския съюз хвърля светлина върху основни въпроси за прилагането на ОРЗД

Когато оператор на уебсайт интегрира приставка на трето лице като Фейсбук бутона „харесва ми“, той предизвиква автоматичното събиране и предаване на лични данни на потребители на сайта към лицето, предоставящо приставката. Лична информация като IP адрес и потребителско поведение в даден сайт се изпраща от браузъра, независимо дали потребителят е натиснал бутона или дали има профил в сайта на третото лице. Тази практика предизвика съдебен спор в Германия след като Verbraucherzentrale NRW, обществено сдружение за защита на потребителските интереси, заведе съдебно производство срещу онлайн търговеца Fashion ID, който използва такава приставка и изпраща лични данни на своите потребители към Фейсбук Ирландия без да ги информира или да поиска съгласието им. След съдебно решение на първа инстанция в Дюселдорф, осъждащо Fashion ID,  по-висшестоящият регионален съд Дюселдорф отнася делото до Съда на Европейския съюз с въпроси върху тълкуването на няколко разпоредби на предишната Директива за защита на данните от 1995 година.

Въпреки че Директивата беше заменена от Общия регламент за защита на данните (ОРЗД) миналата година, новото съдебно решение на Съда на ЕС може да доведе до по-добро разбиране на действащото европейско право за защита на данните.

Допустимост на иска

Съдът реши, че сдружения с нестопанска цел за защита на интересите на потребителите имат правомощие да предприемат правни действия срещу евентуален нарушител на сигурността на лични данни, както по смисъла на предишната Директива, така и според ОРЗД.

Обработване на данни

Съдът отреди, че Fashion ID се счита за съвместен администратор на данни по смисъла на ОРЗД, съвместно с Фейсбук Ирландия по отношение на събирането и предаването на лични данни, протичащо на неговия сайт. Онлайн търговецът не е отговорен обаче за обработването на данни от Фейсбук на по-късен етап, след като информацията вече е предадена.

Следователно операторите на уебсайтове са задължени да информират изчерпателно своите потребители за процесите, свързани с личните им данни. Освен това е необходимо законно основание за обработването на данни. Съдът предоставя интерпретация на две от условията на Чл.6 ОРЗД.

Операторът на уебсайт трябва да получи съгласието на потребителя по отношение на процесите, в които той действа като съвместен администратор, а именно събирането и предаването на лични данни чрез приставките на страницата му.

Що се отнася до наличието на легитимен интерес, то може да е основание само ако обработването на данни е необходимо за легитимните интереси и на двамата съвместни администратори.

Приставките на социалните мрежи носят множество ползи за операторите на уебсайтове, като повече публичност, присъствие в социалните мрежи, наблюдения върху популярността на съдържанието. За да ги използва и да избегне евентуална отговорност, операторът на уебсайта трябва да информира потребителите по всички точки в списъка на чл. 13 ОРЗД, като начините, целите и основанието на обработването на данни, както и крайните получатели на информацията. В повечето случаи това са Фейсбук и Гугъл като най-популярните доставчици на подобни приставки.

Възможно решение за противоречия със законодателството за защита на личните данни е интегрирането на приставките по начин, който предотвратява автоматичното предаване на данни. В случая с Фейсбук технологичният гигант предоставя бутона „харесва ми” под формата на програмен код. Вместо да се копира без промени, бутонът може да бъде поставен като линк към изскачащ прозорец – така наречения „Two-click method“ („метод на двата клика“). По този начин приставката и обработването на данни се активират не при отваряне на уебсайта, а едва след като потребителят натисне бутона и даде съгласието си за обработване на данните му. Този процес трябва да бъде описан в политиката за поверителност на уебсайта.

Източници:

Дело C-40/17, СЕС, Втори състав, 29 Юли 2019, достъпно тук: http://curia.europa.eu/juris/document/document.jsf;jsessionid=C928F3FB3CCCF093027557F27F1CCD39?text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8508664

# 20 Производства пред Комисията за защита на личните данни

На 30.07.2019 беше публикуван Правилникът за дейността на Комисията за защита на личните данни, в който подробно са уредени устройството на Комисията, организацията на работата ѝ, производствата, които се извършват пред нея, както и дейностите по консултиране и обучение, с които тя съдейства на администраторите на лични данни.
Правилникът изрежда всички производства, които се развиват пред Комисията: разглеждане на жалби за нарушения на правaта на физически лица; прилагане на предвидените от Регламент 679/2016 (Регламент/GDPR) правомощия на надзорните органи; изразяване на становища по въпроси от областта на защитата на личните данни; приемане на стандартни договорни клаузи по Регламента; разглеждане на производства по предоставяне на данни на трети лица или международни организации; провеждане на предварителни консултации; разглеждане на уведомления за нарушения на сигурността на личните данни; одобряване на кодекси за поведение; акредитация и отнемане на акредитация на органи за наблюдение на одобрени кодекси за поведение; акредитация и отнемане на акредитация на сертифициращи органи. Тя може да провежда и други производства, когато това е предвидено в закон. В статията ще разгледаме основните производства и тези, които са релевантни за най-широк кръг от субекти.

Жалби и сигнали за нарушени права
Чрез жалба или сигнал до Комисията се съобщава за нарушение на права по Регламента и по ЗЗЛД. Разликата между двете е в лицето, чиито права са нарушени – жалба се подава, когато са нарушени права на искателя, а сигнал, когато са нарушени права на лице, различно от искателя. Исканията не могат да бъдат анонимни или неподписани и трябва да посочват точно лицето, срещу което са подадени, датата и естеството на нарушението. Комисията дава 3-дневен срок за отстраняване на нередовности. Редовността, допустимостта и основателността се преценяват от дирекция „Правни производства и надзор“. Заседанията, в които жалбата или сигналът се разглеждат по същество, са открити, и за тях се уведомяват страните и заинтересованите лица. Производството може да приключи с мерки по GDPR или ЗЗЛД, както и с административно-наказателни мерки.

Уведомление за нарушения на сигурността на личните данни
Това уведомление се подава от администратор, като необходимото съдържание е изложено в чл. 67, ал.3 ЗЗЛД и чл. 33, пар. 3 от GDPR. При постъпването му Комисията извършва проверка в двуседмичен срок, при която изяснява въпросите за това, в какво качество е КЗЛД (дали е водещ орган или подпомага работата на органи по защита на личните данни от други държави членки), естеството на нарушението, броя засегнати субекти на данни, броя засегнати записи, евентуалните последици и предприетите мерки, както и за нивото на риск от нарушението. Въз основа на анализа, информацията и нивото на риск, Комисията може да приеме уведомлението за сведение, да направи проверка по документи или проверка на място. Комисията има право да направи проверка на място при всяко ниво на риск.

Предварителна консултация
Регламентът задължава администраторите да се обърнат към това производство, когато оценката на въздействието върху защитата на данните покаже, че даденото обработване ще породи висок риск за правата и свободите на физическите лица. На Комисията се предоставя цялата информация, относима към обработването, и тя дава писмено становище. Регламентът предвижда и възможност за държавите членки да направят това производство задължително за някои операции по обработване, свързани с обществен интерес, социална закрила и обществено здраве. В Правилника на КЗЛД е уредено, че в някои случаи Комисията може да изисква от администраторите да се консултират и да търсят предварителни разрешения от нея във връзка с обработването на данни по повод на дейности в обществен интерес и социална закрила. Тази предварителна консултация има за цел да осигури предварителен контрол, но също така и да помогне на администраторите да предприемат необходимите мерки за сигурността на правата на субектите на лични данни. В зависимост от резултатите от консултацията, Комисията може да упражни всяко от правомощията си по Регламента (например да наложи ограничения и забрани на обработването на лични данни, да наложи глоби и имуществени санкции или да отправи предупреждения до администратора или обработващия) или да се произнесе с разрешение за планираното обработване.

Одобряване на Кодекси за поведение
За всички предприятия, сдружения, представителни структури и категории администратори на лични данни е предвидена възможност за приемане на кодекси за поведение. Тяхната цел е да улесняват прилагането на правилата на Регламента и да съдържат гаранции за правата и свободите на физическите лица, чиито данни ще бъдат обработвани. Процедурата започва отново с искане, което трябва да съдържа индивидуализация на предлагащия кодекса за поведение, уникално наименование и категориите администратори, за които ще се прилага. Проверката, на която подлежи проекта за кодекс, е дали той съответства на Регламента, дали улеснява прилагането му от администраторите и дали гарантира спазването на правата на субектите на данни. Неодобреният проект се връща на подателя за допълване или внасяне на поправки, а одобреният се изпраща на Европейския комитет по защита на данните. Тази процедура се прилага също и за изменения и допълвания на вече съществуващи Кодекси за поведение.

Обучения
Дейността, в която могат да се включат най-широк кръг субекти, е тази по обученията в областта на защита на личните данни. Те могат да бъдат по подадено искане или по инициатива на Комисията. Искането трябва да съдържа имена, адрес и телефон на подателя, приложимите документи и информация и да бъде подписано и датирано. За дейности от висок обществен интерес или значимост, както и такива, които поради естеството си изискват специално внимание, Комисията организира обучения за администратори и обработващи лични данни по своя инициатива. Според Правилника, в обученията могат да се включват субекти на данни, сертифициращи органи, администратори, обработващи лични данни и длъжностни лица по защита на данните. Процедурата включва изпит преди обучението за установяване на първоначалните знания, както и изпит в неговия край. Участвалите получават сертификат, който удостоверява успешното завършване на обучението.

# 17 Териториалният обхват на GDPR

В продължение на серията публикации относно промените, въведени с GDPR, с настоящата публикация ще ви запознаем с териториалния обхват на GDPR.

Териториалният обхват на GDPR е ключов фактор при привеждането на дейността на бизнеса в съответствие с правилата по защита на личните данни, тъй като в днешно време много услуги се предоставят в световен мащаб и онлайн. Компаниите извън ЕС са поставени пред проблема да определят дали те са пряко подчинени на строгите изисквания на GDPR или не. В помощ на компаниите, през края на 2018 г., правоприемникът на WP29, Европейският комитет по защита на данните (EDPB) публикува „Насоки за териториалният обхват на GDPR“.

Тази статия има за цел да обобщи и изясни критериите, както и да предостави някои насоки и полезна информация за териториалния обхват на GDPR.

Териториалният обхват на GDPR е определен в член 3, като разпоредбата съдържа три основни критерия.

Установяване на територията на ЕС
Първият критерии за определяне на териториалния обхват на GDPR е установяването на администратор или обработващ лични данни в ЕС (Чл. 3 (1)).

Съгласно GDPR, „установяването“ предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Формата на тези договорености, например дали дейността се извършва чрез клон или дъщерно дружество, не е от значение.

Съдът на ЕС също постановява в неговата практика, че понятието за установяване обхваща всяка реална и ефективна дейност, осъществявана чрез стабилни договорености. Всъщност дори наличието на един служител или представител на дружество извън ЕС, би могло да бъде достатъчно за да представлява стабилно споразумение, ако този служител или представител действа с достатъчна степен на стабилност.

Това, че дадено дружество извън ЕС няма клон или дъщерно дружество в държава-членка, не изключва възможността то да бъде счетено за установено на територията а ЕС по смисъла на GDPR. Трябва да се има предвид, че когато компания със седалище в САЩ има клон, офис за продажби или просто когато извършва дейности за повишаване на нейните приходи в ЕС, може да се счете, че има стабилни договорености в ЕС и следователно GDPR да се прилага спряно нейната дейност.

Следва да се обърне внимание, че съгласно Член 3 критерият за установяване на територията на ЕС се преценя поотделно както за администратора, така и за обработващия лични данни. EDPB е на мнение, че когато става въпрос за идентифициране на различните задължения, породени от приложимостта на GDPR, дейностите по обработване на лични данни от всеки правен субект, бил той администратор или обработващ, следва да се разглеждат самостоятелно.

Например, в случаите, когато администратор на лични данни е установен на територията на ЕС и включи на обработващ лични данни, който се намира извън ЕС, такъв обработващ няма да се счита като установен в рамките на ЕС, само защото администраторът е дружество в ЕС. В този случай GDPR няма да бъде директно приложим за обработващия, установен извън ЕС. Единствено администраторът в ЕС ще бъде задължен да прилага изисквания на GDPR, приложими към администратори на лични данни („задълженията на администраторите на лични данни на GDPR“). Едно от тези изисквания е именно администраторът на лични данни да подсигури чрез договор или друг правен акт, че обработващият, установен извън ЕС, обработва данните в съответствие с GDPR.

Точно обратното се отнася за администратор на лични данни, установен извън рамките на Европейския съюз. Той не може да се счита за установен в ЕС, само защото използва обработващ лични данни от ЕС. В този случай, GDPR ще бъде приложим само за обработващия лични данни и само той ще трябва да се съобразява с изискванията на GDPR, приложими към обработващите лични данни („задълженията на обработващите лични данни на GDPR“). Например, това са задълженията на обработващия лични данни в ЕС да приложи подходящи технически и организационни мерки в съответствие с Регламента относно обмена на данни с администратора, да уведомява администратора без неоправдано забавяне, след като разбере за нарушение на сигурността на личните данни, или да определи длъжностно лице по защита на данните (ДЛЗД), когато това се изисква от Регламента.

Таргетиране на лица в ЕС
Вторият критерии за териториална приложимост на GDPR е така нареченото „таргетиране“ на лица в ЕС (Член 3 (2)).

GDPR определя критерия за таргетиране като „предлагането на стоки или услуги, независимо от това дали се изисква плащане от субекта на данни в ЕС“, както и като „наблюдение на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза“. Налице ли е таргетиране зависи главно от въпроса дали дейностите на дадено предприятие са насочени към потребители, намиращи се в ЕС, което трябва да се определи във всеки отделен случай.

Местоположението на субекта данни на територията на ЕС е определящ фактор за прилагането на критерия за таргетиране. Европейският комитет за защита на данните смята, че националността или правният статут на лицето не може да ограничава териториалния обхват на GDPR. Следователно и дейностите, насочени към жителите на трети държави, които се намират в ЕС, също могат да предизвикат прилагането на критерия за таргетиране и да доведат до прилагане на GDPR спрямо тези дейности.

За да могат дружествата да определят дали техните дейности трябва да се считат за предлагане на стоки и услуги на субекти на данни в ЕС, последните следва да преценяват всички особености на техния бизнес модел, като например намерението им да предлагат стоки или услуги в ЕС чрез уебсайт, дали ги предлагат на местен език и приемат местна валута, дали са посочили местно лице за контакт за целите на продажби и съпорт т.н.

За да се задейства прилагането на втория критерий за таргетиране, а именно „наблюдение на поведение“, дейността по наблюдението трябва на първо място да се отнася за лице в ЕС и наблюдаваното поведение трябва да се извършва на територията на ЕС.
GDPR и Европейският комитет за защита на данните отбелязват като няколко примера за наблюдение дейностите на поведенческата реклама, гео-локализиращите дейности, онлайн проследяването чрез използване на бисквитки или други техники за проследяване, персонализираните диети и онлайн услугите за анализ на здравето, видеонаблюдението, пазарните проучвания и други поведенчески проучвания, базирани на индивидуални профили, мониторинг или редовно следене на здравословното състояние на индивида и други.
Важно е да се отбележи, че обработването на лични данни на лица, които се намират извън територията на ЕС, били те и граждани на ЕС, не предизвиква прилагане на GDPR, доколкото обработването на лични данни не е свързано с предлагане на конкретна услуга, насочена към лица в ЕС, или към наблюдение на тяхното поведение в ЕС.

Прилагане на правото на държавите-членки по силата на международното право
Разпоредбата на чл. 3(3) е по-обстойно обяснена в Съображение 25, което гласи, че когато правото на държавите-членки се прилага по силата на международното публично право, то GDPR следва да се прилага и за администратор, който не е установен на територията на ЕС.

Това означава, че GDPR може да се прилага и за обработването на лични данни, извършвано от посолствата и консулствата на държавите-членки на ЕС, или в кораби на ЕС, когато те се намират в международни води. Фактът, че дадена дейност се извършва на кораб, регистриран в ЕС, означава, че по силата на международното публично право се прилага GDPR.

Администраторите или обработващите лични данни, които не са установени в Съюза, трябва да назначат местен представител.
И накрая, е важно да се има предвид, че администратор или обработващ лични данни, който не е установен в ЕС, но спрямо него се прилага GDPR, е длъжен да определи представител в ЕС в съответствие с член 27, а ако не бъде определен такъв представител, следователно съответният администратор или обработващ ще бъде в нарушение на Регламента.

GDPR и Европейският комитет за защита на данните, дават някои допълнителни насоки относно процеса на определяне, задълженията и отговорностите на представителя в ЕС. Например, важно е да се знае, че представителят:
• може да бъде физическо или юридическо лице, установено в Съюза;
• следва да бъде изрично посочен с писмен мандат, например договор с администратора или обработващия лични данни да действа от негово име и във връзка с неговите задължения съгласно GDPR;
• не може да бъде едновременно Длъжностно лице за защита на данните (DPO) на дружеството;

Член 27(2) предвижда някои изключения от задължението за определяне на представител в Съюза, като например:
• когато обработването е спорадично, не включва мащабно обработване на специални категории лични данни или обработване на лични данни, свързани с присъди и нарушения; или
• когато обработването се извършва от публичен орган или структура.

Член 27(3) предвижда, че представителят трябва да бъде установен в една от държавите-членки, където субектите на данни, чиито лични данни се обработват във връзка с предлагането на стоки или услуги на тях или чието поведение се наблюдава.

Освен това, Европейският комитет за защита на данните препоръчва представителят да бъде лесно достъпен за всички субекти на данни във всяка от държавите-членки, в която се предлагат услугите или стоките или се наблюдава поведението.

Моля, имайте предвид, че представителят в Съюза действа от името на администратора или обработващия лични данни, който ги представлява по отношение на задълженията им съгласно GDPR. Това е особено важно за изпълнението на задълженията, свързани с упражняването на правата на субектите на данни, и в това отношение данните за контакт на представителя трябва да бъдат включени във всички информационни документи на администаторите на лични данни съгласно изискванията на чл. 13 и 14, като например уведомленията им за защита на личните данни.

Представителят следва също така да изпълнява задачите си в съответствие с мандата, получен от администратора или обработващия лични данни, включително да си сътрудничи с компетентните надзорни органи по отношение на всяко действие, предприето за осигуряване на съответствието с GDPR.

Насоките 3/2018 относно териториалния обхват на GDPR (член 3) на Европейския комитет по защита на данните могат да бъдат намерени тук.

# 16 Платформата за дистанционно обучение по проект INFORM – удобен начин за увод в тематиката за защита на лични данни

Наскоро колегите от Фондация „Право и Интернет“ представиха платформа за онлайн обучение, която по достъпен начин въвежда в тематиката за защита на личните данни. Платформата е резултат от изпълнението на проекта INFORM (Представяне на реформата в сферата на защита на лични данни пред съдебната система) и е достъпна на следния линк.

Регистрацията е лесна, само в една стъпка, като позволява на потребителите да изберат и своята професия (магистрат, съдебна администрация или практикуващ юрист), тъй като платформата е структурирана в три различни модула. Всеки от тях предоставя адаптирано съдържание в зависимост от различните професионални отговорности на потребителите.

Платформата предлага обстойно въведение в правилата на Европейския съюз за защита на данните, като съдържанието не се ограничава само до разпоредбите на Общия регламент за защита на данните, но се разпростира и върху тези на Директива 2016/680. Регистрираните потребители на платформата могат лесно да проверят знанията си по разглежданите теми, тъй като е налице и функционалност за самостоятелна оценка.

Настоящата статия е създадена като част от проектa INFORM, финансиран с подкрепата на програма Правосъдие (2014-2020) на Европейската комисия. Съдържанието на настоящата публикация отразява единствено възгледите на авторите, които носят отговорност за съдържанието ѝ. Европейската комисия не поема никаква отговорност за информацията в публикацията.

# 15 ЗЗЛД – Кратки стъпки по спазването му

Дългоочакваните промени в Закона за защита на личните данни (“Законa/ЗЗЛД”), с които се цели хармонизиране на българското законодателство с Общия регламент за защита на личните данни (GDPR), от днес, 26.02.2019 г., вече са факт. Заедно с тях Законът въвежда и някои специфични национални правила.

По-долу предлагаме кратък списък на някои от най-важните изисквания по новия Закон:

Как да изпълним изискванията на ЗЗЛД

  • Приемете изрични вътрешни правила, ако извършвате някоя от следните дейности или ако сте внедрили някой от следните процеси в организацията си:
    – Извършвате видеонаблюдение;
    – Ограничили сте използването на фирмените устройства, системи или ресурси (например, ограничили сте достъпа на служителите си до някои сайтове);
    – Въвели сте система за докладване на нарушения (т.нар. “whistleblowing” системи);
    – Внедрили сте системи за контрол на достъпа, работното време или трудовата дисциплина (системи за чекиране с карти, GPS системи за следене на служебни автомобили и други служебни технически устройства);
  • Информирайте работниците и служителите си за приетите вътрешни правила и им осигурете достъп до тези документи;
  • Пазете данните, събирани в рамките на подбор на персонал, за не повече от 6 месеца. Искайте съгласието на кандидата за съхранение на данните му/ѝ за по-дълъг срок;
  • Назначете Длъжностно лице по защита на личните данни (“ДЛЗД”), ако попадате в дефиницията на „публичен орган“ по смисъла на Закона – държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства;
  • Съобщете имената, ЕГН/ЛНЧ и данните за контакт на вашето ДЛЗД (ако сте назначили такова) на КЗЛД;
  • Винаги когато обработвате данни на малолетни лица (лица под 14-годишна възраст) на основание съгласие, изисквайте съгласие от родителя, упражняващ родителски права/ настойника. Това изискване важи не само при предоставяне на услуги на информационното общество, а за всяко обработване въз основа на съгласие;
  • Ако обработвате данни за починали лица, това трябва да става само при наличие на правно основание за това и при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес;
  • При обработване на данни за журналистически цели, академичното, художественото или литературно изразяване винаги съобразявайте баланса между свободата на изразяване и правото на информация, и неприкосновеността на личния живот, съобразно критериите, заложени в ЗЗЛД.

Забранено по ЗЗЛД

  • Не копирайте документи за самоличност (лична карта, паспорт, шофьорска книжка) или разрешение за пребиваване (освен ако не разполагате с правно основание предвидено в закона за това);
  • Не допускайте свободен публичен достъп до информация, съдържаща ЕГН/ЛНЧ, освен ако закон предвижда друго;
  • Не ползвайте ЕГН като парола, тъй като Законът изисква предприемането на подходящи технически и организационни мерки, които да не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до услуги, предоставяни по електронен път (напр. като парола за достъп до медицински изследвания).

Сверете практиките си с новите правила, но не забравяйте, че списъкът ни не е изчерпателен и цели единствено да Ви въведе в общата рамка на приетите промени.

Очаквайте следващите ни публикации, в които ще анализираме в повече детайли най-важните промени и ще продължим да Ви информираме за най-актуалното от областта на защитата на личните данни!

# 14 Българската Комисия за защита на личните данни прие списък с операциите по обработване, когато задължително се изисква оценка на въздействието съгласно GDPR

В продължение на публикация #12 Оценка на въздействието за защита на данните от нашия Блог Ви информираме, че Комисията за защита на личните данни публикува списък на видовете операции по обработване на данни, за които задължително се изисква Оценка на въздействието за защита на данните (ОВЗД). Списъкът бе публикува на 13.02.2019 г. на сайта на Комисията.

Съгласно този списък администраторите, чието основно или единствено място на установяване е на територията на Република България, следва задължително да извършват ОВЗД във всеки от следните случаи:
• Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично;
• Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
• При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от GDPR или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни;
• Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България;
• Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от GDPR от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия;
• Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество;
• Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.

Настоящият списък е приет на основание чл. 35 пар. 4 от GDPR, като същият е неизчерпателен и може да бъде актуализиран при необходимост. Ще Ви информираме своевременно при такива актуализации.

# 13 Първи закон в областта на киберсигурността е приет в България

Първият български закон, изцяло посветен на киберсигурността, вече е факт.

На 13 ноември 2018 г. беше обнародван новият Закон за киберсигурност (ЗК/Законът). Законът бе приет в изпълнение на задължението за транспониране на Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.

Приемането на Закона е ключова стъпка към осигуряването на адекватно ниво на сигурност при използване на цифровите технологии и към успешното противодействие на злонамерени атаки, защото до този момент липсваше цялостно уреждане на проблематиката на киберсигурността, а отделни правила се съдържаха в множество специални закони (напр. Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, Наказателния кодекс, Наредбата за общите изисквания за мрежова и информационна сигурност и др.).

Кои органи ще отговарят за киберсигурността?

  • Съвет по киберсигурността;
  • Национално единно звено за контакт по въпросите на киберсигурността;
  • Национален координатор по киберсигурността;
  • Национални компетентни органи по мрежова и информационна сигурност към административни органи, определени с решение на Министерски съвет;
  • Национален екип за реагиране при инциденти с компютърната сигурност;
  • Секторни екипи за реагиране при инциденти с компютърната сигурност;
  • Център по киберпрестъпност в рамките на Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи, който ще осъществява дейности по разкриване, разследване и документиране на компютърни престъпления на национално ниво;
  • Други.

С новият Закон се регламентират правомощията в тази материя на вече съществуващи органи като:

  • Председателя на Държавна агенция „Електронно управление“;
  • Министъра на отбраната;
  • Министъра на вътрешните работи;
  • Председателя на Държавна агенция национална сигурност;
  • Други.

Кого засягат новите изисквания?

ЗК съдържа правила, адресирани към няколко различни категории задължени субекти (публични и частни):

  • административни органи;
  • оператори на съществени услуги, действащи в секторите:
    – енергетика;
    – транспорт;
    – банково дело;
    – инфраструктури на финансовия пазар;
    – здравеопазване;
    – доставка и снабдяване с питейна вода;
    – цифрова инфраструктура;
  • операторите на съществени услуги могат да бъдат както публични, така и частни субекти от посочените категории, които отговарят на всеки от следните критерии: 1) да предоставя съществена услуга; 2) предоставянето на тази съществена услуга да зависи от мрежи и информационни системи; и 3) инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга. Операторите на съществени услуги ще бъдат определени от компетентните административни органи съгласно тези критерии и в съответствие с методика, приета от Министерския съвет. В тази връзка, председателят на Държавна агенция „Електронно управление“ следва да състави списък със съществените услуги, който обаче няма да бъде публичен;
  • доставчици на цифрови услуги, предоставящи някоя от следните услуги:
    – онлайн място за търговия;
    – онлайн търсачка;
    – компютърни услуги „в облак“;
  • организации, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или доставчици на цифрови услуги, когато тези организации предоставят административни услуги по електронен път. Обществени услуги са услуги, по повод на чието предоставяне могат да се извършват административни услуги, а именно:
    – образователни;
    – здравни;
    – водоснабдителни;
    – канализационни;
    – топлоснабдителни;
    – електроснабдителни;
    – газоснабдителни;
    – телекомуникационни;
    – пощенски;
    – банкови;
    – финансови;
    – удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014; и
    – други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност;
  • лица, осъществяващи публични функции, които не са определени като оператори на съществени услуги, когато предоставят административни услуги по електронен път.

Очевидно новият Закон е насочен към потенциално доста широк кръг от адресати, което оправдава нуждата от познаването му, за да могат задължените лица да спазят изискванията му.

С цел да се избегне налагането на несъразмерна финансова и административна тежест, доставчиците на цифрови услуги, които са микро- и малки предприятия по смисъла на Закона за малките и средните предприятия, са сред субектите, изключени от обхвата на новия Закон.

Как засяга това частния сектор?

Както бе подчертано, адресати на задълженията, предвидени в ЗК, са както публични субекти, така и редица компании от частния сектор. Можем да очертаем част от по-ключовите изисквания съобразно неговия адресат:

  • Административни органи:
    – предприемат подходящи и пропорционални мерки за осигуряване на мрежова и информационна сигурност;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на тяхната дейност;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
  • Лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги;
    – осигуряват и отговарят за мрежовата и информационната си сигурност при предоставянето на административни услуги по електронен път;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път;
  • Операторите на съществени услуги:
    – предприемат подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на предоставяните от тях съществени услуги;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях съществени услуги;
    – уведомяват доставчика на цифрови услуги при инцидент, който може да има значително увреждащо въздействие върху непрекъснатостта на предоставяната съществена услуга и засяга доставчика на цифрови услуги, когато операторът на съществени услуги разчита на доставчик на цифрови услуги, за да предоставя съществена услуга;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК. Изискванията за мрежова и информационна сигурност, предвидени в закона, следва да се прилагат от операторите на съществени услуги само по отношение на предоставяните съществени услуги.
  • Доставчиците на цифрови услуги:
    – предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните им системи, използвани за предоставянето на цифрови услуги на територията на България;
    – предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност;
    – уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях цифрови услуги.
    За определяне на въздействието на даден инцидент като съществено се вземат предвид редица критерии;
    – предприемат минимални мерки за осигуряване на мрежова и информационна сигурност, които следва да бъдат определени с наредба, която трябва да бъде приета в срок до 6 месеца от влизането в сила на ЗК;
    – доставчик на цифрови услуги, който не е установен в държава-членка на Европейския съюз, но предлага в Европейския съюз горепосочените услуги, трябва да определи свой представител в Европейския съюз, който трябва да е установен в държава-членка, в която се предлагат услугите;
    – в определени ситуации може да се наложи уведомяване на обществеността за настъпили инциденти.

Следва да се отбележи още, че законът изрично предвижда, че когато в правен акт на Европейския съюз или в закон, който е специален за конкретен сектор или услуга, се предвижда операторите на съществени услуги или доставчиците на цифрови услуги да гарантират мрежовата и информационната си сигурност или да уведомяват за инциденти, се прилагат тези актове, при условие че техните изисквания са най-малкото равностойни като резултат на задълженията, предвидени в ЗК.

  • Субекти, които не са изрично посочени като задължени лица по закона:
    – Извън изрично упоменатите в Закона лица, други субекти имат право/възможност за уведомяване на секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, които имат въздействие върху непрекъснатостта на предоставяните от тях услуги. Уведомленията на задължените лица се разглеждат с предимство.

Относно задълженията за уведомяване

Уведомяването по този закон при възникването на посочените инциденти следва да бъде направено до два часа след констатирането на инцидента, а пълната информация следва да бъде изпратена до 5 дни.

Уведомленията се подават по образци, утвърдени съобразно наредба за определяне на минималния обхват на мерките за мрежова и информационна сигурност, както и други препоръчителни мерки, която ще се приеме от Министерски съвет съгласно чл. 3, ал. 2 ЗК.

Предстои да бъдат приети и други подзаконови нормативни актове.

Санкции

ЗК предвижда санкции при нарушение на изискванията му, като глобите могат да достигнат до 20 000 лв., а имуществените санкции до 25 000 лв.

Важно е да се отбележи, че ЗК предвижда и санкции за длъжностни лица, които извършат или допуснат извършването на нарушение по глава втора, като глобите могат да достигнат до 15 000 лв.

Законът влиза в сила на 16 ноември 2018 г. в по-голямата си част. Разпоредбите относно създаването и функциите на Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност, както и някои задължения на Секторните екипи за реагиране при инциденти с компютърната сигурност за уведомяване влизат в сила от 1 януари 2022 г.

Осигуряването на сигурното и нормалното функциониране на мрежите и информационните системи е от основно значение за улесняването на трансграничното движение на стоки, услуги, капитали и хора. От тази гледна точка в Европейския съюз все повече се обръща внимание на създаването на общи правила по отношение на киберсигурността, защото тя се явява важна крачка към утвърждаването на единна дигитална цифрова икономика в рамките на вътрешния пазар. Предстои да видим как новата уредба ще засегне публичния и частния сектор, но при всички положения похвален е стремежът на ЕС и българския законодател да създаде законова рамка по проблемите на киберсигурността.

# 12 Оценка на въздействието за защита на данните – ключова част от спазването на GDPR

В продължение на серията публикации относно промените, въведени от GDPR, в настоящата публикация ще ви запознаем с едно от новите понятия в GDPR, а именно Оценка на въздействието за защита на данните (ОВЗД).

Какво представлява ОВЗД?

Администраторите на лични данни са отговорни за въвеждането на подходящи мерки за гаранция за спазването на GDPR, вземайки предвид „рисковете с различна вероятност и тежест за правата и свободите на физическите лица“. В този смисъл ролята им не се ограничава единствено с контрола и определянето на целите и средствата по обработването на лични данни, но съдържа и задължението им по управлението на рисковете, които биха могли да настъпят в резултат на тази дейност.

Oсновната цел на ОВЗД e да придаде яснота, да опише всички процеси по обработване, да оцени тяхната необходимост и пропорционалност и да спомогне за адекватното и целесъобразното управление на рисковете за правата и свободите на физическите лица, произтичащи от обработването на личните им данни.

В какво се изразява и какво съдържа ОРЗД?

В чл. 35, пар. 7 GDPR са определени задължителните характеристики на ОВЗД, а именно:

  • системен опис на предвидените операции по обработване и целите на обработването;
  • оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
  • оценка на рисковете за правата и свободите на субектите на данни;
  • мерки, предвидени за справяне с рисковете и демонстриране на съответствието с Регламента.

Оценката на рисковете за правата и свободите на субектите на данни е един от основните компонентни при ОВЗД, a част от предложените в GDPR принципи и насоки за оценка на риска се припокриват със съществуващите в тази връзка международни стандарти за управление на риска, в това число ISO 31000:2009. Примери в това отношение са:
• установяване на контекста: „като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска“;
• оценка на рисковете: „за да се оценят конкретната вероятност и тежестта на високия риск“;
• третиране на рисковете: „ограничаване на този риск“ и „с които се осигурява защитата на личните данни“ и „се доказва съответствието с настоящия регламент“.

Кога следва да се извърши ОВЗД?

Важно е да се отбележи, че не е необходимо за всяка операция по обработване да се извършва ОВЗД, а само тази, която „има вероятност да доведе до висок риск за правата и свободите на физическите лица“. В този смисъл за най-високорисково се счита обработването на данните, които са от изключително лично естество чрез технически средства без човешка намеса (напр. алгоритми/софтуер), в това число:

  • Систематична и подробна оценка на личните аспекти, отнасящи се до здравето, представянето на работното място, личните предпочитания, местонахождението, икономическото положение по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, с цел създаване или използване на лични профили;
  • Мащабно обработване на специални категории данни (напр. данни за расов или етнически произход, политически възгледи, сексуален живот и др.) или на лични данни за присъди и нарушения (чл. 9, пар.1 и чл. 10 GDPR);
  • Систематично мащабно наблюдение на публично достъпна зона; и др. под.

При всички случаи ОВЗД следва да бъде извършена преди да бъде извършено обработването. (чл. 35, пар. 1 и 10; съображения 90 и 93). Работната група по чл. 29 препоръчва извършването на оценката, дори и когато съществуват съмнения по отношение на необходимостта от такава, тъй като „тя сама по себе си е полезен инструмент, който помага на администраторите да спазват поставените законодателството в областта на защитата на данните“ [1], както и принципа отчетност (за повече информация вижте публикация #8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR).

Кои дейности по обработване на лични данни са високорискови?

В Насоките на работната група по чл. 29, са посочени девет критерия, по които администраторът може да определи операциите, които могат да доведат до висок риск за правата и свободите на физическите лица:
1) Наличие на оценка или точкуване, включително профилиране и предсказване – пример в това отношение са финансовите институции, които извършват справки за своите клиенти във връзка с отпускане на кредити в бази данни за борба срещу изпирането на пари или финансирането на тероризма; генетични тестове, за прогнозиране на рисковете от заболявания; компании, които създават поведенчески или маркетингови профили въз основа на уебсайт; др. под. ;
2) Наличие на автоматизирано вземане на решение с правно или подобен значителен ефект – Автоматизираното вземане на решения представлява способността за вземане на решения с технологични средства без човешка намеса. Пример затова е когато решението относно одобрението на кредит се взема от човек въз основа на профил, изготвен изцяло чрез автоматизирани средства или когато решението относно одобрението на заема се взема чрез алгоритъм и лицето се известява по автоматизиран начин за решението, без преди това да е извършена съдържателна оценка от човек.
3) Наличие на обработване, използвана за различни видове на наблюдение или контрол на субектите на данни – в това число попада наблюдението, чрез което се обработват данни за субекти, които не осъзнават кой събира данните им и как ще бъдат използвани, например видеонаблюдение в публична зона;
4) Наличие на обработване на специални категории данни – обществени болници, които съхраняват медицинските досиета на пациентите задължително следва да извършат ОВЗД, тъй като оперират с чувствителни данни, а именно здравословното състояние на физическите лица;
5) Наличие на обработване на лични данни в голям мащаб – определянето на мащаба е отделен процес, който обхваща внимателното изследване на фактори като: броят на засегнатите субекти на данни, обемът на данните или обхватът на различните видове данни, продължителността или непрекъснатостта, както и географският обхват на дейността по обработване;
6) Съчетаване на набори от данни, които произтичат от две или повече операции по обработване, извършени за различни цели и/или от различни администратори, по начин, който надхвърля разумните очаквания на субекта – В тези случаи трябва да се изследва естеството на договорните отношения и по-конкретно равновесието между субекта и администратора на данни, например до каква степен субектът на данните е свободен да прекрати договора и да потърси алтернативен доставчик на услуги;
7) Наличие на обработване на данни относно уязвимите субекти на данни, включващо и всякакъв тип взаимоотношения, в които има неравнопоставеност между субектите – примери в това отношение са деца – субекти на обработване, психично болни лица, търсещи убежище лица пациенти, възрастни и др. под.;
8) Наличие на иновативно използване на технологични и организационни решения – отличен пример в това отношение е използването на пръстови отпечатъци и разпознаване на лица с цел подобряване контрола на достъп;
9) Възпрепятстване субектите на данни да упражняват право, да използват услуга или договор – тук отново примерът с банка, която извършва справка за клиент в референтна база данни за кредити, т.е. в случая процеса на обработване на личните данни на субекта могат да доведат до лишаването му от възможността да му се предостави кредит.

Общото правило е, че операция по обработване на лични данни, която отговаря на по-малко от два от критериите, описани по-горе, може да не изисква извършването на ОВЗД поради по-ниското ниво на риск. Съответно на колкото повече критерии отговаря обработването, толкова по-вероятно е да бъде високорискова по отношение на правата и свободите на физическите лица.

В допълнение GDPR вменява и задължение на надзорния орган да състави и оповести списък на видовете операции по обработване, за които задължително се изисква ОВЗД. Също така надзорният орган може да състави и оповести списък на видовете операции по обработване, за които не се изисква ОВЗД. Към настоящия момент Комисията за защита на личните данни (КЗЛД) все още не е оповестила тези списъци.

Какво следва след извършване на ОВЗД?

ОВЗД не е еднократно действие, а е цялостен процес на изграждане и демонстриране на съответствие.

Веднъж изготвена Оценката на въздействието за защита на данните обаче, би могла да се използва за оценка на множество операции по обработване, които са сходни по отношение на рисковете, вземайки предвид специфичната природа, обхвата, целите и контекста на конкретния казус. Когато операцията по обработване включва съвместни администратори, то те трябва да определят точно и ясно съответните си задължения. Тяхната ОВЗД трябва задължително да посочва коя страна е отговорна за различните мерки, предназначени да третират рисковете и да защитят правата на субектите на данни.

Ако администраторът смята, че не е нужно да направи Оценка на въздействието за защита на данните, то той трябва да документира подробно причините, поради които не я е извършил.

Извършването на оценката може да бъде възложено и на външно лице.

Ако обработването се извършва изцяло или частично от обработващ личните данни, то той трябва да съдейства на администратора при извършването на ОВЗД и да предостави необходимата информация, като ролите и отговорностите трябва да бъдат внимателно определени в отделен договор/споразумение. Обикновено такива задължения се вменяват на обработващия със споразумението за обработване на лични данни между администратора и обработващя.

Освен това администраторът ще трябва да се консултира и с надзорния орган, когато законодателството на държавата-членка изисква това.

Във връзка с горното остава остава въпросът какво ще предвиди новият Закон за изменение и допълнение на Закона за защита на личните данни в тази насока.

В заключение следва да наблегнем на факта, че изготвянето на ОВЗД е ключова част от спазването на GDPR, когато се планира или се осъществява обработване на данни с висок риск. Това означава, че администраторите на лични данни трябва да са в състояние да определят дали трябва да се извърши такава оценка. Разбира се, вътрешната политика на администратора на данни може да разшири обсега на дейностите по обработване на лични данни, за които ще бъде извършена ОВЗД и отвъд изискванията на GDPR. Такъв подход безусловно би довел до изграждане на по-силно доверие на субектите у администратора и до създаване на допълнителни гаранции за законосъобразно и адекватно обработване на лични данни в компанията.

[1] Работна група за защита на личните данни по член 29: Насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 (WP 248 rev. 01), достъпни на английски език тук.