Всички държим на защитата на личните данни, защото това е основно право, гарантирано с Хартата на основните права и Договора за функциониране на ЕС. Това е така дори само от гледна точка на това, че всички ние, в професионално или непрофесионални качество, се явяваме субекти на лични данни и ни е грижа, как и от кого те ще бъдат получавани и третирани.
Но да си говорим честно. Ако контролът върху предприемане на законоустановените мерки за защита на личните данни не е строг, само желанието за уважаване на основните права на гражданите няма да бъде достатъчно, за да бъде гарантирано опазване на неприкосновената информация на физическите лица от неправомерен достъп.
За да привлека вниманието Ви към тази чувствителна тема, ще направя едно сравнение:
Законът за защита на личните данни от 2002г., последно изменен през 2016г., предвижда глоби и имуществени санкции за незаконосъобразно обработване на лични данни и нарушения на други задължения, произтичащи от негови разпоредби, в размер на максимално 100 000 лв. Законът, в сегашния му вид, въвежда разпоредбите на Директива 95/46/ЕС на Европейския парламент и на Съвета за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.
Именно тази директива обаче се отменя с РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, наричан накратко Общ регламент относно защитата на данните. Основната цел на този регламент е по-съгласувана правозащитна рамка и по-силно правоприлагане в страните-членки. Като се има предвид, че технологичното развитие създава предизвикателства за защита на лични данни, включително защото физическите лица оставят своя лична информация, която е публично достъпна в световен мащаб, предвидените в регламента средства за постигане на така формулираната цел, са:
- права на гражданите за подаване на жалба до надзорен орган;
- права на ефективна съдебна защита срещу решенията на надзорните органи;
- права на ефективна съдебна защита срещу администратор или обработващ лични данни. Тази съдебна защита включва правото на субектите на лични данни да бъдат обезщетени от администратора или обработващия данни за всички материални или нематериални вреди в резултат на нарушение на регламента;
- и не на последно по важност място, пропорционални на нарушенията и възпиращи ги административни наказания. Тези наказания се изразяват във възможността за налагане ба глоби или имуществени санкции, според вида на нарушението, в размер на до 10 000 000 евро или 2% от общия годишен световен оборот за предходната финансова година на предприятие, която от двете суми е по-висока. И, внимание, тези санкции могат да бъдат дори в двоен размер за нарушаване на основните принципи за обработване на лични данни.
Привклякох ли вниманието ви?
И така, като се имат предвид възможните финансови поражения от неспазване на въведените с Общя регламент изисквания във връзка със защита на личните данни, нека видим какви са начините за избягване на гражданскоправна и административна отговорност, т.е. какви задължения трябва да се спазват, за да не се стига до такава.
ОСНОВНИ ПРИНЦИПИ
Както казах в началото, най-солени са глобите при нарушение на основните принципи, свързани с обработването на лични данни. Затова започвам от тяхното разясняване.
Всъщност основните принципи не са много по-различни от тези, залегнати и в отменената с регламента директива, съответно в сега действащия Закон за защита на личните данни. Ето как те са формулирани и дефинирани в Общия регламент:
„законосъобразност, добросъвестност и прозрачност“
Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
- субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели.
Искането за съгласие трябва да е ясно, сбито и да не нарушава използването на услугата, за която се предвижда. Администраторът носи доказателствена тежест за дадено съгласие за обработване на лични данни, той трябва да осигури образец на декларация за съгласие, която не трябва да съдържа неравноправни клаузи. При това субектът трябва да бъде информиран за самоличността на администратора и целите на обработването. Най-важен критерий за законосъобразността на съгласието е, субектът на лични данни да е имал истински и свободен избор или да може да откаже или оттегли съгласието си без вредоносни последици за него. Според регламента съгласието не е дадено свободно, ако не е дадена възможност да бъде дадено отделно за различните операции, ако е подходящо, или ако изпълнението на договор се поставя в зависимост от даване на съгласие, макар то да не е необходимо за изпълнението му;
- нормативн акт, обществен интерес;
- за защита на интерес от първостепенно значение за живота на субекта на лични данни или друго физическо лице;
- законни интереси на администратора, ако законните права и интереси на субекта на данните нямат преимущество;
- предаване в рамките на група предприятия за вътрешни административни цели.
- за гарантиране на мержовата и информационната сигурност.
Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на изрична правна норма, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, взема под внимание:
- всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;
- контекста, в който са били събрани личните данни;
- естеството на личните данни, по-специално дали се обработват специални категории лични данни (такива са данни за здравословното състояние, етнически и расов произход, генетични, биометрични данни и др.);
- възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;
- наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.
Принципът на добросъвестно и прозрачно обработване изисква субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. За правото на информация на физическите лица ще стане въпрос в следващата част на бюлетина.
„ограничение на целите“
Този принцип изисква личните данни да бъдат събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели. По-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели.
Обработване на лични данни за цели, различни от тези, за които са събранни данните, е разрешено само, ако това обработване е съвместимо с целите, за които са събранни данните (например за архивиране, статистически или изследователски цели) или ако е в обществен интерес и лицето бъде информирано за другите цели и му се даде възможност да възрази. В такъв случай трябва да се гарантира правно, професионално или друго обвързващо задължение за пазене на тайна.
„свеждане на данните до минимум“
Това означава, че личните данни трябва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
„точност“
Във всеки един етап на обработване личните данни трябва да бъдат точни и при необходимост да бъдат поддържани в актуален вид. Това означава, че трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват.
„ограничение на съхранението“
Администраторите и обработващите лични данни трябва да съхраняват данните във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в Общия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните.
В тази връзка е важно да се вземат предвид нормативно установените срокове за съхранение. Такива са предвидени например в Данъчно-осигурителния процесуален кодекс (ДОПК) за съхраняване на счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски:
- ведомости за заплати - 50 години;
- счетоводни регистри и финансови отчети - 10 години;
- документи за данъчно-осигурителен контрол - 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
- всички останали носители - 5 години.
Когато за даден вид документи не са приложими горните или други изрично нормативно уредени срокове за съхранение, сроковете са равни на давностните срокове по закон (между 3 и 5 години).
„цялостност и поверителност“
Този принцип изисква личните данни да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
„отчетност“
Администраторът носи отговорност и трябва да бъде в състояние да докаже спазването на всички гореизброени принципи. Това означава най-малкото предприемане на подходящи технически и организационни мерки и тяхното документиране.
Какво се крие под понятието "подходящи технически и организационни мерки" и какви са конкретните задължения на администраторите, включително във връзка с документиране спазването на принципите на Общия регламент, ще разкажа в продълженията на настоящата публикация.