GDPR – какво предстои?

Ограничаване на административния слугинаж
20.11.2017
За и против членство в еврозоната
08.12.2017

GDPR – какво предстои?

Остават по-малко от шест месеца до влизането в сила на новата регулация за защита на личните данни в ЕС.

От 25 май 2018 г. следва да се прилага Общ регламент относно защитата на данните (GDPR) на Европейския парламент и на Съвета от 27 април 2016 г. Той е задължителен и ще се прилага пряко във всички страни на Европейския съюз.

Защитата на личните данни е основно право на европейските граждани според Хартата на основните права на Съюза.

То е залегнало и в Договора за функционирането на Европейския съюз (ДФЕС).

Ето защо защитата на личните данни се съдържа в редица директиви и регламенти на Европейския съюз, а от 25 май 2018 г. е предвидена и нова обща регулация.

С нея политиката за защита на личните данни в Европейския съюз допълнително се институционализира, като се създава Европейски комитет по защита на данните. Комитетът ще осигурява съгласуваното прилагане на новия регламент, ще съветва Европейската комисия, ще подготвя становища, насоки и препоръки за европейските институции и за надзорните органи по защита на личните данни в държавите-членки.

 

Какво е новото и как то ще се отрази у нас?

Длъжностни лица по защита на данните

Новият регламент изисква администраторите и обработващите лични данни да определят длъжностно лице по защита на данните. Изискването се отнася за цялата администрация (с изключение на съда при изпълнение на съдебните му функции), както и за другите субекти, които обработват редовно, мащабно и систематично лични данни. Група предприятия (например няколко фирми) могат да назначат едно длъжностно лице по защита на данните при условие, че имат лесен достъп до него.

Едно длъжностно лице може да отговаря за защитата на личните данни в няколко администрации, ако структурите им позволяват това.

Длъжностното лице по защитата на данните се определя върху основата на неговите професионални качества и по-специално на основата на експертните му познания в областта на законодателството и практиките в сферата на защита на данните. То може да е лице от персонала на администратора или на обработващия лични данни или да изпълнява задачите си въз основа на договор за услуги.

Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. То се отчита пряко пред най-висшето ръководно ниво. Неговият статут вероятно ще бъде подобен на статута на редица длъжностни лица, които вече функционират в българската администрация – служител по сигурността на информацията, финансов контрольор, вътрешен одитор, инспектор.

Очевидно е, че политиката за защита на личните данни се издига редом с други важни политики, осъществявани от администрацията: опазване на сигурността на информацията, финансовото управление и контрол и борбата с корупцията.

Длъжностното лице по защита на личните данни информира и съветва администратора или обработващия лични данни за техните задължения по опазване на личните данни, наблюдава спазването на правните норми, предоставя съвети по спазване на законодателството. То е лицето, чрез което се осъществява връзката с националния надзорен орган – Комисията за защита на личните данни (КЗЛД).

Администраторите и обработващите лични данни трябва още отсега да помислят за определянето (назначаването) на лица по защита на личните данни, както и да се погрижат за тяхната подготовка. Вече се появиха фирми и адвокатски кантори, които предлагат обучение във връзка с прилагането на GDPR.

Кодекси за защита на личните данни

Според новия регламент, сдруженията и другите обединения на администратори и обработващи лични данни могат да приемат свои кодекси за защита на личните данни.

В тези кодекси може допълнително да се уточнят редица проблеми по отношение на добросъвестното и прозрачно обработване на личните данни, конкретните аспекти на защита, информирането на обществеността и на субектите на данни, информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето, процедурите за сезиране на КЗЛД и други.

Проектите на тези кодекси се предоставят за съгласуване от КЗЛД, която ги одобрява.

Веднъж одобрени, кодексите за поведение ще подлежат на постоянен мониторинг от акредитирани за тази цел субекти (акредитацията ще се дава от КЗЛД). КЗЛД ще може да отнема при нарушения акредитациите за наблюдение на кодексите за поведение.

КЗЛД трябва още отсега да помисли за организацията на тази дейност.

Сертификация

Новият регламент предвижда и създаването на механизми за сертифициране за защита на данните и за въвеждане на печати и маркировки за защита на данните. По този начин ще се отчетат конкретните нужди на микро предприятията, на малките и средните предприятия и ще се рекламира и популяризира тяхната дейност за защитата на личните данни.

Сертифицирането ще бъде доброволно и ще е достъпно чрез прозрачна процедура. Критериите за сертифициране ще се одобряват от КЗЛД, а в рамките на ЕС може да се въведе единно сертифициране – „Европейски печат за защита на данните”.

На ниво ЕС ще се поддържа публичен регистър за сертификатите и всички печати и маркировки за защита на данните.

Очевидно е, че към съществуващите системи за сертифициране, например – за управление на качеството, за управление на човешките ресурси, за екологията, ще се прибавят и сертификати за защита на личните данни.

Акредитация

КЗЛД ще акредитира сертифициращите органи за България, което означава, че още отсега тя трябва да се заеме с подготовка на критериите за акредитиране.

Задължителни фирмени правила

Регламентът предвижда въвеждането на задължителни фирмени правила за защита на личните данни за групи от предприятия, които са разположени в съответната страна или в няколко страни от Европейския съюз. Фирмените правила се одобряват от съответния надзорен орган по защита на личните данни за съответната страна или от Европейския комитет за защита на данните за ЕС и гарантират прилагането на общи принципи, общи правила и еднакви практики за защита на личните данни.

„Отворен парламент” ще проследи за вас процеса по въвеждане на GDPR в България.