Андрей АЛЕКСАНДРОВ – доц., д-р по трудово право
В последната година темата за защитата на личните данни отново придоби особена актуалност. Причината е в наближаването на 25.05.2018 г. – датата, от която ще започне да се прилага новият Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
Регламентът, известен и с абревиатурата си GDPR (от англ. General Data Protection Regulation), беше приет на 27.04.2016 г., но прилагането му беше отложено с двегодишен подготвителен период, краят на който застрашително наближава. От май 2018 г. той ще замени сега действащата Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни. Със своите 173 встъпителни съображения, 11 глави и 99 члена, Регламент (ЕС) 2016/679 е най-мащабният законодателен акт в областта на защитата на личните данни, приеман в история на Европейския съюз. Целта му е унифицирането на правилата за защита на личните данни във всички държави членки, които в момента показват съществени различия. Tой се явява своеобразен кодификационен акт в тази материя, в смисъл че систематизира, надгражда и осъвременява съществуващите правила, като добавя към тях и редица нови.
Едва ли е изненадващо, че може би най-често споменаваната тема относно новия регламент е значителното увеличаване на размерите на административните санкции за извършени нарушения. Наказанията глоба или имуществена санкция са диференцирани за различни видове нарушения в разпоредбата на чл. 83 от регламента, например – до 10 милиона евро или до 2% от общия годишен световен оборот на предприятието за предходната финансова година (която от двете суми е по-висока) е наказанието, предвидено за нарушения на задълженията на администратора и обработващия лични данни по чл. 8 (условия, приложими за съгласието на дете във връзка с услугите на информационното общество) и др.; до 20 милиона евро или до 4% от общия годишен световен оборот на предприятието за предходната финансова година се предвиждат за нарушаване на основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие и т.н.
Механизмът на определяне и размерите на тези санкции без съмнение напомнят на административнонаказател на отговорност по Закона за защита на конкуренцията, затова и бързо се наложи разбирането, че надзорният ни орган по защитата на личните данни (Комисията за защита на личните данни) ще придобие правомощия, сходни с тези на Комисията за защита на конкуренцията. Опасенията на бизнеса са напълно обясними, но и не бива да се допуска страхът от неизвестното да води до крайни заключения, които нямат нормативна опора.
Предстоящи изменения в националното ни законодателство по защита на личните данни
Регламентите се прилагат пряко във всички държавичленки и не само е ненужно, но по принцип е и недопустимо „пренасянето“ на текстовете им във вътрешното право. Според т. 8 от встъпителните съображения на Регламент (ЕС) 2016/679 обаче „… държавите членки могат, доколкото това е необходимо с оглед на последователността и разбираемостта на националните разпоредби за лицата, по отношение на които те се прилагат, да включат елементи на настоящия регламент в собственото си право“. Вероятно това ще даде основание част от правилата на регламента да допълнят или заменят разпоредби от Закона за защита на личните данни (ЗЗЛД). Доколкото регламентът делегира и създаването на уредба по определени въпроси на националния законодател, със сигурност може да се каже, че вътрешното ни право скоро ще претърпи съществени изменения. Трудно е да се прогнозира в какво точно ще се изразяват те, но КЗЛД вече анонсира част от предложенията си.
- Със сигурност ще се запази устройствената част от ЗЗЛД (състав, правомощия на КЗЛД и пр.), защото регламентът оставя тези въпроси на националния законодател;
- ЗЗЛД ще съдържа уредба по въпроси, които са засегнати по-общо в регламента, а конкретизирането им е в компетентността на държавите членки. Така например възрастта, на която дете може да даде валидно съгласие за ползване на услугите на информационното общество, ще варира в различните национални законодателства между 13 и 16 години. У нас вероятно ще се възприеме възрастовата граница от 14 години.
- Наред с предвидените в регламента случаи, при които администраторът е задължен да определи длъжностно лице по защита на данните, КЗЛД предлага и включването на още една хипотеза във вътрешноправния режим – при всички случаи, при които се обработват данните на над 10 хиляди физически лица.
- Възможно е въвеждането на определени изключения и дерогации на правила на регламента (напр. при обработване на лични данни за медийни цели).
- В закона следва да се имплементира и Директива (ЕС) 2016/680 относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни. Тя е обнародвана едновременно с Регламента, а срокът за въвеждането й в националните законодателства е 06.05.2018 г.
- Предвижда се запазването на подзаконовата нормативна уредба (Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни) със съответното й адаптиране съгласно изискванията на регламента.
Считано от 25.05.2018 г. отпада задължението за регистрация на администраторите на лични данни пред КЗЛД и свързания с него предварителен формален контрол, осъществяван от надзорния орган. Така обаче и рисковете пред администратора се увеличават: при проверка той ще е длъжен да представи доказателства относно това какви дейности по обработване на данните извършва, какви регистри поддържа, на какво основание извършва обработката и изобщо как е осигурил спазването на правилата на регламента по своя собствена инициатива.
Казано с други думи, регистрацията отпада, но се запазва отчетността, което е и може би най-голямото предизвикателство пред всички администратори: да покрият изискванията на регламента, да съобразят допълнителните правила, въведени във вътрешното законодателство, и във всеки един момент да са в състояние да докажат това при евентуални проверки.
Откъде да се започне?
Оставащата половин година от „гратисния“ период на регламента е сравнително малко време за предприемане на нужните действия, а сред администраторите на лични данни у нас все още се наблюдава тревожна липса на информираност по тази тема. Разбира се, първата и безусловно необходима стъпка е запознаването и разбирането на новите правила. Изключително полезна в това отношение е и информационната кампания на КЗЛД. На сайта на комисията може да се открие важна информация за администраторите и отговори на най-често поставяните от тях въпроси.
Наложителен е прегледът на събираните и обработвани в момента лични данни. Практиката показва, че не са редки случаите на обработване на ненужно големи обеми от данни, излизащи извън целите, за които тези данни са събрани (напр. данните на персонала за целите на управлението на трудовите отношения). Тук регламентът не въвежда нещо ново, а само утвърждава и досега прилагания принцип за минимизиране на обработването на лични данни. Ако все пак администраторът си е позволил да събира повече данни, отколкото е необходимо, препоръчително е да използва този момент на належащ преглед и актуализиране на вътрешните си процедури, за да не допуска подобни нарушения в бъдеще.
Удачно е прегледът на съществуващите регистри да се съчетае с обсъждане на подходящи мерки за повишаване на сигурността, напр. възможностите за криптиране на данните. Анализът следва да даде отговор и на въпроса дали ще е задължително извършването на предварителна оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. Регламентът предвижда такова задължение за администратора, когато съществува вероятност определен вид обработване, при което се използват нови технологии, да породи висок риск за правата и свободите на физическите лица.
Вътрешните правила и инструкции на администратора във връзка с обработването на лични данни трябва също да се ревизират. В съответствие с новите правила следва да се приведат и сключените споразумения с обработващи лични данни.
Добре е администраторът да привлече широк кръг от специалисти в тези процеси – юрисконсулта на предприятието, експерти от звено „Човешки ресурси“, ИТ поддръжката, финансовата дирекция, външни консултанти и др.
Без паника
Съвсем не е изненадващо, че предвидените нови размери на административните наказания будят тревоги, но всъщност и сега глобите и имуществените санкции по ЗЗЛД са доста високи. Евентуалното им налагане в максималния размер от 100 000 лв. практически може да доведе до прекратяване на дейността на наказваното лице. Разбира се, това не може да е целта и смисълът на административното наказване. Впрочем, и досега в практиката на КЗЛД санкциите, гравитиращи към законовия максимум, са по-скоро изключение.
Важно е да се отбележи, че регламентът не задължава националите надзорни органи механично да прилагат предвидените в него санкции при установени нарушения. Напротив, всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ за извършени нарушения, във всеки конкретен случай, са ефективни, пропорционални и възпиращи. Според чл. 83, ал. 2 от регламента при индивидуализирането на наказанието във всеки конкретен случай се вземат предвид:
- естеството, тежестта и продължителността на нарушението, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
- дали нарушението е извършено умишлено или по небрежност;
- действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;
- евентуални свързани предишни нарушения;
- степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;
- категориите лични данни, засегнати от нарушението;
- други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая.
След провеждането на този доста изчерпателен „тест“ националният орган може да наложи санкция в значително по-нисък размер от максимално допустимия. Наред с това, очакванията са поне в началния етап на прилагането на новите правила КЗЛД да заложи най-вече на превантивни дейности и методически указания към администраторите, с цел недопускане на нарушения.
Когато се говори за „защита на личните данни“, като че ли често се пропуска един важен аспект – защитата не е на данните, а на хората, на които принадлежат тези данни. Затова към установените правила трябва да се подхожда отговорно, а не те да бъдат схващани като самоцел и ненужен товар за бизнеса. Същественото е администраторите да осъзнаят отговорността си спрямо лицата, чиито данни обработват – тогава ще положат усилия за повишаване на защитата, мотивирани не само от угрозата на високите санкции.