Дългоочакваните промени в Закона за защита на личните данни вече са факт.

След проведено широко обществено обсъждане осем месеца след започване на прякото прилагане на Общия регламент относно защитата на данните (GDPR) Народното събрание единодушно гласува на второ четене приетите изменения и допълнения в закона. Те имат за цел да въведат част от разпоредбите на Регламента, които нямат пряко действие или позволяват известна свобода при имплементиране от всяка държава членка.

Сред измененията, на които следва да се обърне внимание, са:

  • Наличието на търговска, производствена или друга защитена от закона тайна не може да е основание за отказ от цялостно съдействие на Комисия за защита на личните данни (КЗЛД), като администраторът или обработващият може да откаже предоставяне или достъп само до конкретната информация, защитена като тайна.
  • Администраторът или обработващият е задължен в срок от 1 месец от узнаване на обстоятелството да унищожи лични данни, които са му предоставени от субект на лични данни без правно основание или в противоречие с принципите на Регламента.
  • Обработването на лични данни на лица под 14-годишна възраст при пряко предлагане на услуги на информационното общество трябва да се осъществява след даване на съгласие от родител или настойник.
  • Свободен публичен достъп до информация, съдържаща ЕГН или ЛНЧ, не се допуска, освен при наличие на изрична законова разпоредба в този смисъл.
  • Въвежда се максимален срок от 6 месеца за съхранение на лични данни на кандидати за работа. По-дълъг срок се допуска единствено при получаване на изрично съгласие на субекта на данни.
  • В 6-месечен срок от приключване на процеса по подбор на персонал администраторът е длъжен да върне на субектите на данни оригинали или нотариално заверени копия от документи, които последните са представили в процеса на подбор (като дипломи, сертификати, документи, удостоверяващи физическа или психическа годност и други).
  • Въвеждат се редица причини, поради които администраторът или обработващият може да откаже упражняване на правата на субектите на данни (като достъп до данните, изтриване, преустановяване на обработване и други). Пълен или частичен отказ се допуска, когато упражняването на тези права би създало риск за националната сигурност, отбраната и обществения ред, предотвратяването и разкриването на престъпления, независимостта на съдебната власт, защита правата и свободите на трети лица и други.
  • При нарушение на сигурността на личните данни администраторът е длъжен да уведоми КЗЛД в срок от 72 часа за нарушението, освен ако няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато уведомлението е подадено по-късно, то се придружава от причините за забавянето. Обработващият лични данни също има задължение в срок от 72 часа да уведоми администратора за установеното нарушение.
  • Чувствителният за бизнеса въпрос за размерите на санкциите е уреден само с препращане към разпоредбите на чл. 83, пар. 4 и 5 от Регламента:

1) до 10 000 000 евро или до 2% от общия годишен световен оборот за предходната финансова година, която от двете суми е по-висока;

2) до 20 000 000 евро или до 4% от общия годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

  • Отделно от тези санкции е предвидено, че за други нарушения по Закона за защита на личните данни администраторите и обработващите се наказват с глоба или с имуществена санкция до 5000 лв.
  • Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършва по реда на Закона за административните нарушения и наказания. Образуваните преди 25 май 2018 г. производства за нарушения се приключват по досегашния ред.
  • Всеки субект на лични данни може да подаде до КЗЛД жалба при нарушаване на правата му съгласно Регламента и закона, но в срок до 6 месеца от узнаването за нарушението и не по-късно от 2 години от самото му извършване. За нарушения, извършени преди влизане в сила на закона се прилага досегашният срок – до 1 година от узнаване, но не по-късно от 5 години от извършването. Разглеждането на жалбата не е обвързано с административни такси.

 

Едно от най-спорните положения в гласувания законопроект е обработването на лични данни за журналистически цели, за академичното, художественото или литературното изразяване. Законът предвижда, че при обработване на лични данни с такава цел администраторът следва да съобрази 10 изрично посочени критерия (когато са относими към конкретния случай), за да установи дали е налице законосъобразност на обработването. Сред тези критерии са естеството на личните данни; влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име; обстоятелствата, при които личните данни са станали известни на администратора; отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот и други. Бяха изразени опасения, че подобна разпоредба ограничава свободата на изразяване, като дава правомощия на компетентните органи да извършват проверки в медиите под претекста на тази разпоредба.