След по-малко от една година, на 25 май 2018 г., официално започва да действа влезлият в сила Регламент 2016/679/ЕС ("GDPR"/"Регламентът"), касаещ защитата на физически лица във връзка с обработването на техни лични данни и в контекста на свободното движение на такива данни. Преди тази дата обаче се очаква да бъде приет нов Закон за защита на личните данни.

Целта на новия Регламент е да хармонизира регулациите, касаещи обработката, съхранението и трансфера на лични данни в страните от Европейския съюз и да осъвремени настоящата законова рамка, която е приета през далечната 1995 г. с Директива 95/46/EC (Директивата"). Сега действащия в България Закон за защита на личните данни е създаден именно съобразно разпоредбите на Директивата и несъмнено се налага да бъде актуализиран.

В същото време, Регламентът е по-скоро рамков нормативен акт, който в по-голямата си част поставя граници, в които държавите-членки следва да вместят своите национални законодателства, регулиращи защитата на личните данни на физическите лица.

Защо е нужна нова регулация?

За последните 22 години същността на услугите, предлагани чрез интернет, както и аудиторията, към която са насочени, са се променили кардинално. Електронната търговия се развива ежедневно. Докато пазаруваме в супермаркета системи, работещи на базата на изкуствен интелект следят покупките ни и автоматично теглят парични суми от банковата ни сметка, анализират предпочитанията ни с цел последващ маркетинг и др.

Електронната комуникация се случва чрез множество приложения, компютърни програми и др. Хора от всички социални среди и с различни технологични познания и потребности имат достъп до мрежата, а количеството лични данни, което всеки от тях, споделя, е огромно.

Отделно, мобилните оператори и интернет доставчиците имат достъп до местоположението на всеки един от нас, който ползва тяхната мобилна или интернет услуга. Информация за съдържанието на съобщенията ни, продължителността на разговорите ни, поведението ни в интернет пространството се съхранява ежедневно, като в някои случаи тези данни се продават на трети лица, предоставящи всякакви видове услуги. Всичко това е информация, с която в по-голяма част от случаите би могло да се злоупотреби лесно и безпрепятствено. Всичко това, освен информация в преобладаващия брой случаи представлява и лични данни.

Една от най-уязвимите групи - децата имат свободен достъп до социалните мрежи и интернет сайтове, където са изложени на постоянен риск от злоупотреба с лична информация, било то чрез лаптопи и таблети, на които участват в различни електронни игри и форуми, или докато гледат анимационни филми на смарт" телевизори с вградени камери и микрофони.

Това бяха и основните съображения на Европейската комисия, когато предложи текста на вече приетия Регламент.

Какво ново всъщност?

Голяма част от новостите в Регламента всъщност са добре познатите или забравени разпоредби от Директивата от 1995 г., регулираща защитата на личните данни на физическите лица.

На първо място, като плюс следва да се отбележи разширения обхват на Регламента, който ще се прилага и по отношение на дружества и лица, които не са позиционирани на територията на Европейския съюз (ЕС") и Европейското икономическо пространство (ЕИП"), но в търговската си дейност обработват лични данни на европейски граждани. При сегашното положение доставчиците на услуги попадат в обсега на Директивата от 1995 г. само ако са географски разположени на територията на съответната страна членка. Една от основните цели на това разширяване обхвата на Регламента е да бъде регулирана дейността по обработване на лични данни на големите компании като Facebook, Google, Apple и др., които действително не са разположени на територията на ЕС, но разполагат с огромен набор от лични данни именно на европейски граждани.

Регламентът носи и драстично увеличение на правата на потребителите, във връзка с техните лични данни. Всеки доставчик на услуги ще бъде задължен да предоставя на клиентите си достъп до предоставените от тях лични данни, както и право на промяна на тези лични данни или пълното им заличаване (познато като Правото да бъдеш забравен"). Това би било от особено значение при обработка на лични данни под формата на номера на кредитни карти или споделена лична информация или мнения в социалните мрежи.

Докато през 1995 г., както и годините след това терминът облачни услуги" не беше известен на почти никого и услугите, стоящи в основата му дори звучаха абстрактно и невъзможно, в днешно време по-голяма част от компаниите, както и отделните физически лица съхраняват всякакви видове данни и информация в своите персонални виртуални бази данни. Именно поради бързото развитие в предлагането на облачни услуги Регламентът предвижда специални технически и организационни мерки, които доставчиците на тези услуги следва да осигурят, за да ги предлагат на Европейските граждани и съответно да обработват личните им данни в съответствие с изискванията на новата регулация.

Важно е да се отбележи, че при някои компании ще бъде задължително и назначаването на нова фигура в тяхната корпоративна структура – длъжностно лице по защита на данните". То несъмнено е една от най-важната новости" в GDPR. Всъщност, фигурата на това лице е заложена и в Директивата от 1995 г., но предвид незадължителния характер на този нормативен акт, задължение за назначаването на длъжностно лице по защита на данните не беше въведено и в националните законодателства на много от държавите-членки на ЕС.

Все пак, имайки предвид разпоредбите на GDPR, назначаването на длъжностно лице ще бъде задължение за: а) публичните органи и техните структури, с изключение на съдилищата; б) компаниите, които систематично и редовно обработват лични данни на големи групи от лица и в) компаниите, които систематично и редовно обработват така наречените специални категории лични данни" (това са данни, свързани със здравословното състояние на лицата, сексуална ориентация, принадлежност към политически партии и др.). И тук личи рамковият характер на Регламента, тъй като определението големи групи от лица" не е определено с цифрово или друго изражение, нито от Европейската комисия, нито от Работната група по чл. 29 (Working party 29"), която е основното звено, работещо по темата, свързана със защита на личните данни в ЕК и често издава насоки, свързани с прилагането на различни разпоредби от GDPR.

По отношение на задълженията, длъжностното лице ще бъде основното лице за контакт, в случай на извършвани проверки от страна на КЗЛД. В този смисъл, при избора на длъжностно лице, компаниите следва да имат предвид, че то трябва да бъде добре запознато с нормативната уредба в сферата на защита на личните данни и разбира се, с вътрешните процедури и работни процеси, свързани с обработка на лични данни в съответната компания. От друга страна, напълно възможно е длъжностното лице да бъде външно" за компанията, като в западните страни от Европейския съюз вече се налага тази практика. Услугата длъжностно лице по защита на данните" вече се предлага от адвокатски кантори (включително и на територията на България), одиторски фирми, както и от дружества, занимаващи се основно с услуги по защита на информацията.

Отделно от горното, много компании използват услугите на длъжностно лице по защита на данните на доброволен принцип, като този подход несъмнено се оценява положително от надзорните органи, включително и от Работната група по чл. 29.

Регламентът въвежда оценката на въздействие върху защита на данните като основен механизъм при внедряване на технически и организационни мерки за защита на данните в компаниите и органите на държавна власт и местно самоуправление.

В Българското законодателство и към днешна дата е налице задължение за изготвяне оценка на въздействието на всеки две години. В този смисъл тази дейност никак не е нова за компаниите, въпреки че голяма част от тях не я извършват периодично, както е заложено в Закона за защита на личните данни.

От друга страна, Работната група по чл. 29 вече публикува насоки по отношение на реда за извършване на оценки на въздействието и това подсказва, че на Европейско ниво ще се държи на тяхната периодичност. Още повече, при компаниите, обработващи голям обем от лични данни, оценката на въздействието би била сериозен помощен механизъм за периодичен одит на техническите, организационни мерки за защита, както и на видовете обработвани лични данни.

Разбира се, когато говорим за новости в законодателството, няма как да пропуснем и санкциите в GDPR, и техните размери, които са в пъти по-високи от заложените към днешна дата в Закона за защита на личните данни.

Докато сега действащия закон в България предвижда санкции в размер от 1000 лева до 100 000 лева, Регламентът въвежда единствено горна граница на глобите, която е 20 млн. евро или 4% от общия годишен световен оборот на съответната компания – санкцията се определя на базата на по-високата от двете суми. И тук, ЕК се стреми да постави под страх от санкция и най-големите корпорации в света, като Apple, Facebook и Google. Когато говорим за санкциите и техния размер в новия Закон за защита на личните данни, по-скоро би могло да се очаква, че те все пак ще са съобразени с платежоспособността най-вече на Българските компании и икономическата ситуация в страната, а не с бюджетите на компютърни гиганти от естеството на горепосочените.

Какви мерки да предприемем?

Регламентът изисква компаниите и организациите от всякакъв мащаб да приемат нови процедури и политики, целящи да предоставят на крайния потребител по-високо ниво на контрол върху личните му данни. Разбира се, някои имат задължението да назначат и длъжностно лице по защита на данните, а за други е препоръчително. Голяма част от новите мерки, които следва да бъдат предприети са свързани със списването на нови процедури, инструкции и указания, периодично провеждане на допълнителни обучения на служителите и ъпдейт на системите за обработка на информацията с цел налагането на новите мерки, в това число криптиране на данните и др.

Горното изцяло отговаря на заложения в Регламента принцип Privacy by design", който прокламира въвеждане на технически и организационни мерки на защита на личните данни преди имплементирането на даден продукт, услуга или реализирането на едно бизнес начинание.

Съществено допълнение към GDPR – E-Privacy Регламент

В допълнение, важно е да се отбележи, че към днешна дата протичат преговорите и обсъжданията на предложения през месец януари 2017 г. проект на регламент, който отменя изцяло Директива 2002/58/EC, регулираща защита на данните в сектора на електронните комуникации. ЕК предвижда до края на 2017 г. да бъде приет окончателния текст на нов регламент, който да бъде неразделно приложение от GDPR. Съответно, този нов регламент ще се прилага заедно с GDPR най-късно от 25 май 2018 г.

В текстовете му се предвижда регулация на дейността на телекомуникационните компании, интернет доставчиците, както и доставчиците на така наречените "over the top" услуги (Whats app; Snap Chat; Skype и др.). Разпоредбите на Електронния регламент предвиждат и допълнителна защита на трафичните данни (съдържание на съобщенията, продължителност на разговорите, GPS координати и др.).

Последното заседание на Европейския парламент, на което беше обсъждан проектът на регламент, се проведе на 09.06.2017 г., като в текста бяха въведени множество промени. До края на 2017 г. предстои да разберем какви ще бъдат и окончателно приетите нови права и задължения на физическите лица по отношение на тяхната електронна комуникация.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.