- IVLawFirm - https://ivlawfirm.com -

Започва общественото обсъждане на Проекта за Закон за изменение и допълнение на Закона за защита на личните данни

На 30.04.2018 г. стартира общественото обсъждане на Проекта на Закон за изменение и допълнение на Закона за защита на личните данни (Проекта). Този закон ще въвежда мерките за изпълнение и прилагане на Общия регламент относно защитата на данните и определя и особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Общественото обсъждане ще приключи на 14.05.2018 г.

За момента Проектът е достъпен на страница на Комисия за защита на личните данни (КЗЛД).

По-долу са маркирани основни момента в Проекта. В следващите дни Адвокатското дружество ще разгледа част от тях по-подробно. Може да следите www.ivlawfirm.com за повече информация.

Основни моменти в Проекта са:

1. Дава се дефиниция какво е микропредприятие, малки и средни предприятия, а именно това са предприятията по чл. 3 от Закона за малките и средни предприятия. Това се прави с оглед на изрична разпоредба в Проекта: „При прилагането на този закон следва да се отчитат специалните потребности на микропредприятията, малките и средни предприятия при условията на Регламент (ЕС) 2016/679.“

Категорията малки и средни предприятия включва предприятията, които имат:

1. средносписъчен брой на персонала, по-малък от 250 души, и

2. годишен оборот, който не превишава 97 500 000 лв., и/ или стойност на активите, която не превишава 84 000 000 лв.

От тях малки предприятия са тези, които имат:

1. средносписъчен брой на персонала, по-малък от 50 души, и

2. годишен оборот, който не превишава 19 500 000 лв., и/или стойност на активите, която не превишава 19 500 000 лв.

Микропредприятия са тези, които имат:

1. средносписъчен брой на персонала, по-малък от 10 души, и

2. годишен оборот, който не превишава 3 900 000 лв., и/или стойност на активите, която не превишава 3 900 000 лв.

Не става ясно обаче как това ще се отрази на практика. Не се срещат изрични споменавания на по-специална уредба в самия Проект за въпросните три вида предприятия.

2. Правят се изменения в редица закони, които дават допълнителна яснота какво следва да се случва при обработване на лични данни в специални производства, като например митническо производство, обществени поръчки, електронните съобщения:

„„(2) Предприятията, предоставящи обществени електронни съобщителни услуги, не могат да поставят като условие за предоставяне на услугите си получаването на съгласието на потребител – физическо лице за обработване на личните му данни за цели, за които съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО е нужно изрично съгласие.““ и др.

3. Законът не се прилага, когато обработването е необходимо за целите на отбраната на страната и националната сигурност;

4. КЗЛД ще има право да сезира съда за нарушения на Закона за защита на личните данни;

5. Разглеждат се подробно правомощията на КЗЛД. Мерките, които КЗЛД ще налага са 3 – сезира съд, издава предписания, указания и препоръки и принудителни административни мерки;

6. Определя кога се правя предварителни консултации – основно когато „оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска“ За момента в Проекта не се дава ясна дефиниция какво е висок риск;

7. КЗЛД извършва акредитацията на сертифициращи органи в съответствие с Регламент (ЕС) 2016/679 въз основа на критерии, определени от нея или от Европейския комитет по защита на данните, или от водещия надзорен орган на друга държава членка – при трансгранично обработване на лични данни;

Акредитацията се издава за срок от пет години и може да бъде подновена от КЗЛД при същите условия. КЗЛД анулира акредитацията на сертифициращ орган, ако не са били спазени или вече не се спазват условията за акредитация, или ако предприетите от сертифициращия орган действия нарушават настоящия закон или Регламент (ЕС) 2016/679. Критериите, механизмите и процедурите за сертифициране, печати и маркировки се уреждат в наредба, издадена от комисията. Наредбата се обнародва в „Държавен вестник““;

8. КЗЛД може да организира и провежда обучение на лицата, определени за заемане на длъжността „длъжностно лице по защита на данните“ или на лица, желаещи да бъдат обучени за заемане на тази длъжност. Обучението, когато е по искане на администраторите, обработващите или обучаващите се, е за тяхна сметка и се заплаща по тарифа, определена от министъра на финансите;

9. КЗЛД води следните публични регистри: Регистър на длъжностните лица по защита на данните; Регистър на акредитираните по чл. 14 сертифициращи органи; Регистър на кодекси за поведение;

10. Проектът дава правна рамка какво става ако получим лични данни без правно основание – „Когато лични данни са предоставени от субекта на данни на администратор или обработващ, без правно основание по чл. 6, пар. 1 или в противоречие с принципите по чл. 5 от Регламент (ЕС) 2016/679, администраторът/обработващият ги връща незабавно или ги изтрива, или унищожава в срок от един месец от узнаването.“

11. В допълнение на изискванията, които Регламента въвежда за длъжностно лице по защита на личните данни Проекта създава ново специално за България изискване. „администраторът или обработващият лични данни задължително определя длъжностно лице по защита на данните, когато обработва лични данни на над 10 000 физически лица.“ Това следва да се вземе предвид както при общественото обсъждане така и при евентуалните мерки, които всеки един администратор или обработващ предприема за да е в съответствие с регламента и българския Закон за защита на личните данни;

12. Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват ЕГН-то да е единственият идентификатор за предоставяне на съответната услуга;

13. Работодател може да копира документ за самоличност, свидетелство за управление на МПС, документ за пребиваване, само ако закон предвижда това. Този промяна до голяма степен дава отговор на редица въпроси, поставени от отдели човешки ресурси, но в същото време за всяко дружество ще е необходимо да направи съответното законодателно проучване, за да установи дали правомерно събира копие от съответните документи;

14. Работодателят определя срок за съхранение на лични данни на участници в процедури по подбор на персонала, който не може да бъде по-дълъг от 3 години и още по-кратки срокове при поискани нотариално заверени копия на документи;

15. Работодател/орган по назначаване може да обработва лични данни на работник/служител, които не е поискал или които не се изискват от нормативен акт, ако субектът на данни е дал своето изрично съгласие и няма забрана за това в нормативен акт. Изключително тесен кръг на възможността работодателят да обработва данни на служител чрез съгласие на същия;

16. Видеонаблюдение – Администраторът/обработващият приема специални правила при обработване на лични данни чрез систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение. В правилата се уреждат правните основания и целите за изграждане на система за наблюдение, местоположение, обхват на наблюдение и средства за наблюдение, срок на съхранение на записите с информация и изтриването им, правото на преглед от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.

КЗЛД определя минималните изисквания към администраторите при изпълнение на задължението, които публикува на интернет страницата си;

17. Правила за упражняване на правата на субектите на данни;

18. Специална глава за особени правила при обработване на лични данни при разследване;

19. Дава се яснота как се води регистър на дейностите по обработване от администратор и обработващ. Регистрите се поддържат в писмена форма, включително в електронен формат;

20. В системите за автоматизирано обработване се водят записи (логове) най-малко за следните операции по обработване: събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване;

21. Дава се подробна рамка на пренос на данни в други държави;

22. Ще има наредба, с която се определя списък на операциите по обработването, за които е задължителна предварителна консултация;

23. Минимални прагове на санкциите – 5 000 лв. – 10 000 000 лв.; 10 000 лв. – 20 000 000 лв.; 1000 – 5 000 лв.;

24. Наказателните постановления се обжалва по реда на ЗАНН;

25. Някой важни дефиниции:

a. „Общодостъпност“ е разкриване на лични данни или по друг начин осигуряване на достъп до тях от неограничен кръг от лица, без да са предприети мерки за осигуряване на отчетност;

b. „Маркировка“ е механизъм за самооценка, чрез който се демонстрира съответствие с Регламент (ЕС) 2016/679, по критерии, определени от комисията

c. „Мащабно“ е системното наблюдение и/или обработване на лични данни на неограничен кръг субекти на лични данни

d. „Риск“ е функция от вероятността дадена заплаха да се превърне в потенциална уязвимост и резултатното въздействие от неблагоприятното събитие върху организацията

e. „Уязвимост“ са слабости в процедурите за сигурност на системата, в процесите на разработване и изпълнение, във вътрешните контроли и т.н., които могат да бъдат инцидентно или умишлено експлоатирани и това да доведе до нарушение на политиката на сигурност на системата

26. Системите за автоматизирано обработване, използвани от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, създадени преди 6 май 2016 г., се привеждат в съответствие с член 63, ал. 1 и ал. 2 до 6 май 2023 г.“

В следващите дни ще разгледаме отделно няколко от основните теми. Ако проявявате специален интерес към конкретна тема може да се свържете с нас за предложение за допълнителното и разглеждане или допълнителна информация. Ако имате интерес от участие в общественото обсъжда не Проекта на Закон за изменение и допълнение на Закона за защита на личните данни може да се свържете с нас на контактите, посочени на сайта.