Общ регламент относно защитата на данните

От Ралица Махони

Част 3: Задължения на администраторите и обработващите лични данни

Статията се прочита за
думи

В предходните две части на бюлятина, посветени на Общия регламент относно защитата на данните, разясних основните понятия, с които борави регламента, както и правата на субектите на лични данни, от които ще могат да се ползват те (в допълнение към вече действащата нормативна уредба по защита на личните данни) от 25ти май догодина. В днешната, последна, част относно новите правила и изисквания за защита на личните данни ще се спра на отговорностите и задълженията на администраторите на и обработващите лични данни.

Премахване на задължението за регистрация като администратор на лични данни

В действащата до влизане в сила на Общия регламент Директива 95/46/ЕО, която е транспонирана в българското законодателство чрез сега действащия Закон за защита на личните данни, се предвиждаше общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Затова и българската нормативна уредба задължаваше администраторите на лични данни да се регистрират като такива преди започване на обработването. Вероятно много от Вас ще се радват да научат, че от 25.05.2018г. тази административна тежест отпада, тъй като е установено, че уведомяване за започване на обработването невинаги е допринасяло за подобряването на защитата на личните данни. Както ще стане въпрос по-късно, в някои случаи ще е необходима комуникация с надзорните органи, включително преди започване на някои видове обработване на лични данни. Тя обаче има за цел намирането на адекватни решения съвместно с надзорните органи с цел подобряване сигурността на личните данни, а не просто изпълняване на формално задължение.

Обща отговорност на администраторите и обработващите лични данни

Общият регламент, наред с въвеждане на редица конкретни задължения на администраторите и обработващите лични данни, дефинира общата отговорност на администраторите, от една страна, да се гарантира спазването на основните принципи на регламента, и от друга, да са в състояние да докажат, че обработването на лични данни се извършва в съответствие с регламента. Най-общо тази отговорност може да бъде разделена в следните основни групи:

  • предприемане на подходящи технически и организационни мерки за защита на личните данни, включително на етапа на проектиране и подразбиране. Като подходящи мерки регламентът изброява конкретни средства за гарантиране сигурността на данните, за които ще стане въпрос след малко;
  • документиране спазването на регламента, наред с други средства, които ще спомена по-късно, с прилагане на политики за защита на данните или придържане към одобрени кодекси за поведения или механизми за сертифициране, които също ще дискутираме подробно.

Защита на личните данни на етапа на проектиране и по подразбиране

Защита на личните данни на етапа на проектирането и по подразбиране означава конкретно, че при разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните.

Подходящи технически и организационни мерки

Общият регламент очертава изискванията към администраторите с оглед защитата на лични данни от неправомерни достъп и обработване, като посочва примери за “подходящи” технически и организационни мерки, включително:

  • псевдонимизация,
  • криптиране,
  • свеждане на данните до минимум,
  • ограничаване на броя на лицата, които имат достъп на данните,
  • гарантиране на постоянна поверителност, цялост, наличност и устойчивост на системите и услугите за обработване,
  • способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на инцидент, както и
  • редовно изпитване и оценка на предприетите мерки.
За да се приеме една защитна мярка за подходяща, трябва да бъдат съобразени, от една страна, обемът на събраните лични данни, степента на обработването, периодът на съхраняването им и тяхната достъпност. От друга страна, от значение за избор на подходящи технически и организационни мерки са нивото на технически прогрес, разходите за въвеждане и прилагане на съответните мерки и конкретните рискове.

Отчетност

Както споменах по-горе, основно задължение на администраторите е, да са в състояние да докажат, че дейностите по обработването, включително ефективността на предприетите мерки, са в съответствие с принципите на регламента, като се вземат предвид естеството, обхвата, контекства и целите на обработването от една страна, както и риска за правата и свободите на субектите на данни, от друга. По-нататък ще се спрем подробно на някои възможни средства за доказване изпълнението на задълженията по регламента. Принципът на отчетност обаче изисква във всички случаи, администраторите и обработващите лични данни да поддържат документация за дейностите по обработване, за които са отговорни. Тази документация при поискване следва да бъде предоставяне на компетентния надзорен орган (в България това е само Комисията за защита на личните данни).

Общият регламент предлага и конкретни средства, които се признават като доказателство за спазване на задълженията на администраторите (и обработващите лични данни).

Етични кодекси за поведение

Първото такова доказателствено средство са т. нар. одобрени кодекси за поведение. Законът за защита на личните данни и сега предвижда, че администраторите по браншове и области, могат да изготвят етични кодекси за поведение в съответствието със спецификите на своята дейност. Няма задължение, но е предвидена възможност такива съвместни кодекси да бъдат съгласувани с КЗЛД, преди приемането им от администраторите.

Новият регламент отделя особено внимание на кодексите за поведение. На първо място той регламентира тяхното препоръчително съдържание. Запазва се принципът, те да бъдат изготвяни от браншови организация или други сдружения, в които членуват администратори по определен общ критерий. Новост е обаче задължението, тези кодекси да бъдат предварително одобрени от компретентните надзорни органи. Така одобрените кодекси следва да бъдат публикувани. Нещо повече, част от задължителното съдържание на кодексите вече е механизъм, който позволява на акредитиран от КЗЛД орган да контролира спазването на кодекса, като включително суспендира членство или изключва от него провинил се администратор/ обработващ данните. Друга новост е възможността Комисията да приеме за общовалидни кодекси, които обхващат дейност на администратори в повече от една държави-членки.

Механизъм за сертифициране

Както споменах, другото доказателствено средство за спазване принципите на регламента във връзка с осигуряване защитата на личните данни, е т. нар. сертифициране. Това е процедура, чрез която се проверява и след това удостоверява, например чрез подходящи печати и маркировки, че даден администратор или обработващ данни спазва разпоредбите на Общия регламент. Създаването на такъв механизъм и преминаването на процедура по сертифициране са доброволни. И макар да се изхожда от презумпцията, че веднъж сертифициран, администраторът/ обработващият лични данни спазва основните принципи за защита на личните данни, това в нито един момент не ги освобождава от съответните задължения и отговорности по регламента.

Сертифициращият орган ще бъде такъв, акредитиран от компетентния надзорен орган (КЗЛД) или от националния орган по акредитация (в България това е ИА Българска служба за акредитация). Възможно е в бъдеще да бъде въведено и единно сертифициране на ниво ЕС - “Европейски печат за защита на данните”.

Сертификатът, издаден в съответствие с регламента, ще важи за срок от 3 години и ще подлежи на подновяване след преминаване на съответна процедура, за да се установи поддръжката на съответното ниво на защита на личните данни.

И тук важи правилото, че според Общия регламент придържането към механизъм за сертифициране служи като доказателство за спазването на задълженията на администратора.

До тук изброените отговорности на администраторите и обработващите лични данни могат да се обобщят като общи и важащи за всеки, който борави с лични данни. Изброените по-долу конкретни задължения се прилагат според случая и конкретната функция на администратора/ обработващия лични данни.

Регистри на дейностите по обработване

Действащият ЗЗЛД борави с понятието "Регистър на лични данни”, който съдържа вида на личните данни, целите и средствата за обработването им. Общият регламент запазва задължението за водене на регистри с лични данни, но отделя дейностите по обработване в друг регистър. Не всеки администратор обаче е дължен да води регистри на дейностите по обработване. Задължението важи само за дружества с повече от 250 служители, както и в случаите на висок риск за правата на субектите на лични данни в следствие на обработването, или ако обработването не е спорадично или включва специални категории лични данни (например биометрични и генетични данни, данни за здравословното състояние и пр.) или данни, свързани с присъди и нарушения.

Регистрите на дейностите по обработване се поддържат в писмена форма, като е допустим и електронен формат. Надзорните органи имат право на достъп до регистрите на дейностите по обработване.

Оценка на въздействието

Според сега действащата нормативна уредба оценката на въздействието е необходима стъпка за определяне на адекватно нито на техническа и организационна защита на обработваните лични данни. Досега такава оценка трябваше да се извършва в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

Според Общия регламент оценка на въздействието ще се извърша според конкретните дейности по обработване, като е възможно една оценка да обхваща няколко сходни по вид операции. Т.е., ако някой вид обработване поражда висок риск за правата и свободите на физическите лица, този риск трябва да бъде оценен с цел предприемане на подходящите мерки за защита и то още преди започване на обработването.

Регламентът обаче не предвижда оценка на въздействието във всички случаи. Предстои надзорните органи (в България - КЗЛД) да изготвят списъци на видовете операции по обработване, за които се изисква извършване на такава оценка (възможно е да бъдат оповестени и негативни списъци - на операции, за които не се изисква оценка).

Най-общо оценка ще изискват операциите, при които се използват нови технологии и предвид естествеото и целите на обработването, съществува възможност да се породи по-висок риск за правата на физическите лица.

При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено. Ако това не би застрашило търговските му интереси, администраторът може да се обърне за становище и към субектите на лични данни относно планираното обработване.

Необходимо е да се прави периодичен преглед на оценката на въздействието на обработването върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Предварително консултиране

Израз на широко застъпеното в Общия регламент задължение на администраторите за сътрудничеството с надзорните органи е необходимостта от предварително консултиране с тях, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаването му. Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб

Когато надзорният орган е на мнение, че администраторът не е идентифицирал или ограничил риска в достатъчна степен, в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни. Този срок може да бъде удължен.

Длъжностно лице по защита на данните

И в сега действащия ЗЗЛД е предвидена възможност за администраторите за делегират някои от правомощията си на определени от тях длъжностни лица, без да се конкретизират техните функции.

В бъдеще за следните категории администратори възниква задължение за определяне на т. нар. длъжностно лице по защита на данните:

  • публичен орган, с изключение на съдилища или съдебни органи, които действат в изпълнение на съдебните си функции;
  • основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни (мащабно наблюдение на субекти на данни); или
  • основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни (данни, които разкриват расов, етнически произход, относно здравословното състояние, биометрични и генетични данни и пр.) и на лични данни, свързани с присъди и нарушения.
Група предприятия може да назначи едно длъжностно лице по защита на данните, при условие че от всяко предприятие има лесен достъп до длъжностно лице по защита на данните. Едно длъжностно лице по защита на данните може да обслужва и няколко публични органа, доколкото организацията и обхватът на дейностите позволяват това.

Длъжностното лице по защита на данните може да бъде член на персонала на администратора или на обработващия лични данни или да изпълнява задачите въз основа на договор за услуги. Това длъжностно лице има особени привилегии, включително да не приема външни указания за изпълнение на задачите си (независимост), като е подчинено само на най-висшето ръководство на администратора. Освен това то ползва и специална закрила при уволнение - не може да бъде освободено от длъжност или санкционирано по причини, свързани с изпълнение на неговите задачи (например за непредоставяне на достъп на лице, което не е съответно проверено и обучено).

Длъжностното лице по защита на данните трябва да притежава експертни познания в областта на правото и практиките за защита на данните и е длъжно да спазва секретността или поверителността на изпълняваните от него задачи. Запазват се и сега съществуващите функции на длъжностното лице като звено за контакт, както от страна на субектите на данните, така и на надзорните органи. То освен това е компетентно за контролиране спазването на разпоредбите и политиките за защита на личните данни, извършване на обучение, информиране и консултиране на администратора и неговия персонал във връзка с обработването. Възможно е длъжностното лице по защита на данните да изпълнява и други функции за своя работодател/ възложител, доколкото това не води до конфликт на интереси във връзка с извършваните дейности по защита на данните.

Задължения за уведомяване

С оглед съществените вреди, до които може да доведе нарушаването на сигурността на лични данни (загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна) Общият регламент предвижда задължения за уведомяване в случай на такова нарушаване.

На първо място, в срок до 72 часа от узнаване за нарушение на сигурността, администраторът следва да уведоми компетентния надзорен орган за това. Уведомление не се дължи само, ако не съществува вероятност нарушението на сигурността да породи риск за правата и свободите на физическите лица.

На второ място, администраторът трябва да уведоми и субекта на лични данни за нарушението на сигурността. Това важи обаче само, ако има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки.

В уведомлението до субекта следва на ясен и достъпен език да се опише естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици.

За уведомленията до субектите на лични данни не са предвидени конкретни срокове. Те трябва да бъдат извършени веднага, щом това е разумно осъществимо.

Независимо от задълженията за уведомяване, администраторите са длъжни да документират всяко нарушение на сигурността на личните данни, включително обстоятелствата във връзка с нарушението, последиците от него и предприетите мерки.

Обработващи лични данни

Обработващи лични данни могат да са само такива лица, които предоставят достатъчни гаранции, в т.ч. експертни знания, надеждност и ресурси и прилагат подходящи технически и организационни мерки, за защита на обработваните лични данни. И за обработващите лични данни е приложимо правилото, че придържането към одобрен кодекс за поведение или механизъм за сертифициране, служи като доказателство за гарантиране сигурността на данните. Т.е., ако един обработващ лични данни се придържа към такъв кодекс или механизъм, може да се приеме, че администраторът е спазил задълженията си за възлагане обработването на подходящ от гледна точка на Регламента обработващ.

Като се има предвид, че обработващите лични данни боравят с данни на база на възлагане от администратор, Общият регламент предвижда съдържанието на договора, на база на който се извършва обработването. Може да се очаква, че Европейската комисия или националните надзорни органи ще приемат стандартни договорни клаузи, които да могат да се използват в отношенията между администратори и обработващи лични данни. Това не е пречка обаче и да се изготвят индивидуални договори според конкретните нужди на администраторите, които отговарят на горните изисквания за минимално съдържание.

Регламентът предвижда писмена форма за договора, като е допустимо тя да бъде заместена от електронна форма (чрез размяна на имейли). При изготвяне на договорите трябва да се вземе предвид възможността за включване на обща или конкретна клауза за превъзлагане, която да дава право на изпълнителя да включва друг обработващ лични данни за изпълнение на договорните си задължения.

Без изрично съгласие от администратора, включването на друг обработващ лични данни не е разрешено.

Конкретно за приложението на Общия регламент в бъдеще

Логично за широкия му териториален обхват, Регламентът урежда още редица случаи на обработване и съответстващите им задължения на администраторите. На това място само ще спомена ключови думи, които са от значение за дейността администраторите и обработващите лични данни. По-конкретно администраторите, които не са установени в Съюза, но за които регламентът се прилага, са длъжни да определят свои представители в ЕС. Общият регламент освен това урежда възможностите и реда за предаване на лични данни на трети страни и международни организации.

Накрая ще се спра на (начина) на прилагане на Общия регламент. Той става задължителен за всички от 25.05.2018г. Това е последица от нормативния характер на регламентите, които имат пряко приложение в страните-членки, без да е нужно имплементирането им в националните законодателства чрез вътрешни нормативни актове. В тази връзка е интересно да се отбележи, че по своята същност регламентът съчетава в себе си и директива, тъй като съдържа множество разпоредби, които, въпреки директно приложение на Общия регламент, ще изискват законодателни промени. Така например, независимо от принципното отпадане на задължението за регистрация на администраторите на лични данни и от предвиденото задължение за предварително консултиране с надзорните органи при висок риск съгласно оценка на въздействието, националното законодателство, по осмотрение на компетентния законодател, може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от от него в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

И в заключение - какво конкретно означава директното приложение на Общия регламент от 25.05.2018г. за вече действащите администратори на лични данни? Означава, че обработването, което вече е в ход, следва да се приведе в съответствие с регламента в срок до 25.05.2018г.

Конкретно това ознчава, например, че, когато обработването на данни се основава на съгласие, дадено от субекта на данните по силата на старата, т.е. сега действащата нормативна уредба, не е необходимо субектът на данни да дава отново съгласие, ако начинът, по който е заявено съгласието, съответства на условията в Общия регламент, за да може администраторът да продължи обработването на данни след датата на прилагане на регламента.

Приетите решения и разрешенията на надзорните органи въз основа на отменената директива и съответно ЗЗЛД остават в сила, докато не бъдат изменени, заменени или отменени.