Станимира Чюбатарова-Николова, адвокат от САК: Целта на Общия регламент относно защитата на данните (GDPR) е да изгради доверие
Ще се прилага от 25 май 2018 г.Свилена Гражданска Ренета Николова По време на обучителния семинар на в. „Строител“ Станимира Чюбатарова, адвокат от Софийската адвокатска колегия, представи основните положения в Регламента (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните - GDPR), както и предложените промени за обществено обсъждане в Закона за защита на личните данни (ЗЗЛД). „Сред причините да се изготви новият Регламент са бързоразвиващите се дигитални технологии. Неговата подготовка стартира още през 2012 г. Регламентът защитава физическите лица при обработка на техните лични данни“, подчерта Чюбатарова и обясни, че той е в сила от 2016 г., но е с отложено прилагане от 25 май 2018 г. Този „гратисен“ период бе предоставен от европейския законодател на всички публични и частноправни организации, за да приведат дейността си в съответствие с изискванията на GDPR. Лекторът поясни, че Регламентът има директно действие и се прилага пряко във всички държави членки на ЕС. Неговият обхват няма да е само на територията на ЕС, а в целия свят. „Когато се обработват лични данни на граждани на ЕС на територията на Съюза от администратор, който е извън ЕС, той трябва да е организирал така дейността си, че да има свой представител в ЕС, за да отговори на изискванията на Регламента“, обясни тя и даде пример с посолства на трети страни у нас, които ще са длъжни да следват нормите на GDPR, аналогично е и с туристическите компании с партньор в държави, които не са членки на Съюза. По думите й смисълът на GDPR е доверието в компаниите и публичните органи. Адвокат Чюбатарова подчерта, че новият Регламент разширява определението за лични данни. Тук се включват вече и местоположението, IP адресът, пръстовият отпечатък и др. За такива се смята и информацията за походката на човека, която може да идентифицира един субект. Основните „играчи“ в полето на Регламента са администраторът на лични данни и обработващият лични данни. Администраторът носи отговорността за определяне на целите и средствата за защита на личните данни. Обработващият е този, който обработва личните данни от името и за сметка на администратора и който действа по негови инструкции. Чюбатарова даде пример с търговско дружество, което си е аутсорснало счетоводната дейност. Счетоводната къща е обработващият лични данни, а администраторът на лични данни е дружеството. В този случай администраторът трябва да се увери, че обработващият спазва Регламента, че е предприел технически и организационни мерки за изпълнение на задълженията си и че неговите служители са поели съответните ангажименти. 6 са основанията за законо-съобразното обработване на личните данни - съгласие, изпълнение на договор, законово задължение, жизненоважните интереси, задача от обществен интерес и легитимните интереси на администратора на личните данни. „След 25 май лични карти могат да се снимат само ако закон предвижда това. Единственият нормативен акт, който урежда това право и задължение към момента, е Законът за мерките срещу изпиране на пари. Следователно това могат да правят само банките, нотариусите, частните съдебни изпълнители, застрахователите и останалите субекти, посочени в Закона за мерките срещу изпирането на пари“, поясни Чюбатарова и добави, че в трудовите досиета вече не трябва да има копия на лични карти и работодателите следва с протокол да ги унищожат, като протоколът не трябва да възпроизвежда лични данни. Регламентът забранява обработката на чувствителни данни, каквито са данните за здравословното състояние например, освен по изричните изключения и условия, посочени в Регламента. Работодателят например обработва такива данни, когато получава болничен лист от свой работник или служител, за да го представи в Националния осигурителен институт за изплащане на обезщетение за временна неработоспособност. За тази обработка не се изисква съгласие от работника или служителя, защото това е законово задължение на работодателя. На законово основание работодател обработва лични данни на свой служител, съдържащи се и в акт за граждански брак, необходими за изменение на трудовия договор, поради промяна на фамилия например. Работната група по чл. 29 по директивата от 1995 г., която е независим европейски консултативен орган за защита на личните данни и неприкосновеността на личния живот, дава насоки за прилагането на Регламента и те са добър ориентир за прилагането му. Според една от тях работодателят следва да се въздържа да обработва данни на основанието на съгласие, защото има йерархична подчиненост между него и служителя му и не може да се гарантира, че съгласието е дадено свободно, защото е възможно да съществува страх от последствия. Винаги когато работодателят иска съгласие, трябва да се докаже доброволността. „Не изисквайте и не събирайте съгласие, ако разполагате с друго правно основание“, съветва адвокатът. Другото основание е легитимният интерес. „Вече няма безсрочно обработване на лични данни. Недопустимо е обработването на данни за неопределен и неопределяем срок. Пазенето на данни „завинаги“ също противоречи на изискванията на Регламента. С прекратяването на трудовия договор например личните данни на работника и служителя трябва да бъдат унищожени. В резултат от прекратяването на трудовото правоотношение обаче могат да се образуват съдебни производства, може да бъде обжалвана заповедта за уволнение и т.н., като този срок е два месеца от уволнението, но е тригодишен срокът за изплащане на обезщетения – в тези случаи работодателят ще се позове на легитимен интерес и ще може да пази личните данни три години след прекратяване на трудовото правоотношение“, обясни Чюбатарова и допълни, че ведомостите за заплати ще се съхраняват 50 години според Закона за счетоводството. Работникът трябва да е информиран писмено какви лични данни и за какъв срок ще ги обработва работодателят. По отношение на видео наблюдението според Регламента може да има такова в публично достъпни зони и в пространства, за да защити интереса си работодателят, например от повреждане на имущество. Камерите обаче не може да са насочени към компютрите и работното място, защото това се смята за намеса в личната сфера. При подбора на служители снимка може да се иска за автобиография само ако се кандидатства за длъжност, където е важен външният вид. „След приключване на подбора всички лични данни на кандидатите се унищожават. Ако обаче считаме, че някой е подходящ за друга позиция, единственият начин да запазим информацията е, ако получим съгласието му“, акцентира Чюбатарова. Тя отбеляза, че свидетелството за съдимост може да се предоставя на работодателя при постъпване на работа само ако закон изисква това. Медицинското свидетелство се изисква при първоначално постъпване на работа или след прекъсване на трудовата дейност по трудово правоотношение за срок над 3 месеца. Има няколко групи администратори на лични данни, които трябва задължително да определят длъжностно лице по защита на данните. „Това са публичните органи, организациите, които обработват чувствителни данни, или такива, които обработват данни на над 10 хил. физически лица“, каза адвокатът. След 25 май 2018 година отпада регистрационният режим на администраторите на личните данни в Комисията за защита на личните данни (КЗЛД). Ако някой обработва лични данни, неговите задължения по GDPR възникват в момента, в който започне това, заедно със съпътстващата отговорност. Адвокат Чюбатарова посочи и няколко митове и легенди за GDPR. „Сред тях е например, че Регламентът няма да се прилага от 25 май, защото няма закон, който да приведе в действие нормите на GDPR. Не е така, регламентът има директно и непосредствено действие във вътрешното законодателство. След броени дни всички негови правила и изисквания ще започнат да се прилагат едновременно, пряко и по еднакъв начин във всички държави членки на ЕС. Комисията за защита на личните данни публикува дългоочакваното предложение за промени в Закона за защита на личните данни, което отговаря на част от въпросите, свързани с въвеждането на GDPR. Независимо от това дали промените ще бъдат одобрени, Регламентът ще започне да действа пряко от 25 май 2018 г. – срока, който важи за целия ЕС“, обясни тя и добави, че GDPR не е спринт и че след 25 май всекидневно трябва да се работи за изпълнение на изискванията. Това е процес, а не еднократен акт. Дори и да е приведена изцяло дейността на един администратор в съответствие с изискванията на Регламента, оттук насетне ежедневно трябва да се следи за спазването на изискванията му. Длъжностното лице по защита на данните е връзката между администратора и КЗЛД, като комисията ще създаде публичен регистър на всички длъжностни лица по защита на данните. Когато има пробив в сигурността, длъжностното лице трябва в срок от 72 часа от узнаването да уведоми за това КЗЛД, но отговорността остава на администратора. Длъжностното лице не може да бъде управителят, юристът, счетоводителят и служителят по човешките ресурси заради конфликт на интереси. Чюбатарова обърна внимание, че не следва да се очаква, че след 25.05.2018 г. органите по защита на личните данни в ЕС ще предприемат масови и радикални проверки. Същевременно обаче българският орган по защита на данните – КЗЛД, е длъжна и задължително ще разглежда всяка отправена към нея допустима жалба. При постъпила такава жалба, която се отнася до нарушения, извършени след 25.05.2018 г., КЗЛД и българските съдилища ще са длъжни и съответно ще прилагат правилата на Регламента“, съобщи тя. „Законопроектът предлага по-детайлна регламентация по отношение упражняването на правото на свобода на изразяване и информация и за целите на академичното, художественото или литературното изразяване. По-конкретно, когато при упражняването на правото на свобода на изразяване и информация, включително за журналистически цели и за целите на академичното, художественото или литературното изразяване, се обработват лични данни на физически лица, администраторът на лични данни прави преценка за законосъобразността на обработването във всеки конкретен случай. При преценката се вземат предвид естеството на данните, общественият интерес, дали лицето заема висши държавни и други длъжности, както и дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот. Последното се отнася до случаите, когато лицата сами разкриват лична информация във форуми и социални мрежи. Решението на администратора, когато прави тази преценка, не може непропорционално да ограничава свободата на изразяване и информация“, обясни тя. „Минималните глоби от 10 хил. лв. до левовата равностойност на 20 млн. евро, съответно от 5 хил. лв. до левовата равностойност на 10 млн. евро, ще се налагат за нарушения на Регламента. За други нарушения в проектозакона е предвидена глоба от 1 000 до 5 000 лв. Глобите са еднакви за публичните органи и за фирмите. „При неизпълнение на задължително предписание на КЗЛД ще се налага глоба от 2 хил. до 200 хил. лв. Според проектоизмененията в закона КЗЛД може да налага ограничаване временно или постоянно на обработка на лични данни от страна на администратор“, каза Чюбатарова. При нарушаване на правата му по Регламента всеки субект на лични данни има право да сезира комисията в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му.