В Брой 17 на Държавен вестник от 26.02.2019 г. на Държавен вестник бяха обнародвани промените в Закона за защита на личните данни. Те влизат в сила 3 дни след обнародването им и 9 месеца след началния момент, от който започна пряко да се прилага новият Общ регламент относно защитата на данните (ОРЗД). В настоящата статия са разгледани някои нови, изменени или доразвити положения, свързани с дейностите по обработване на лични данни, които следва да се вземат предвид от администраторите и обработващите лични данни.

 

Сертификати за привеждане в съответствие с ОРЗД (GDPR)

 

Съгласно предвиденото в ОРЗД Комисията за защита на личните данни (КЗЛД) ще дава акредитация на сертифициращи органи, които след провеждане на определена процедура да издават сертификати за съответствие. Условията за акредитация ще се определят в отделна наредба, която предстои да бъде издадена от КЗЛД. С оглед на това трябва да се има предвид, че всички организации, които към момента предлагат издаване на такива сертификати, все още нямат акредитация от КЗЛД.

 

Кодекси за поведение

 

Регламентът и съответно ЗЗЛД предвиждат, че предприятията и организациите по сектори и области на дейност могат да приемат задължителни за спазване кодекси за поведение. Правомощие на КЗЛД е да одобрява тези кодекси. Условията, редът и критериите за одобряване на кодекси за поведение ще бъдат регламентирани в отделен правилник, приет от Комисията. През февруари КЗЛД прие становище относно принципния си подход по отношение на представените за одобрение проекти на кодекси за поведение.

 

Обучения в сферата на защита на личните данни

 

КЗЛД ще организира, координира и провежда обучения по защита на личните данни, като ще издава сертификати след успешно положен изпит. Сертификатът ще има валидност за 3 (три) години. Длъжностните лица по защита на данните не са задължени да притежават въпросните сертификати, за да заемат такава длъжност. Повече информация относно обученията предстои да бъде публикувана.

 

Обработване на лични данни от съд, прокуратура и следствие

 

Инспекторатът към Висшия съдебен съвет осъществява надзор и осигурява спазването на ОРЗД и ЗЗЛД от съда, прокуратурата и следствените органи при изпълнение на техните функции. След влизането в сила на промените в ЗЗЛД всички жалби, искания и сигнали, свързани с личните данни и съдебната власт, вече следва да се изпращат до Инспектората към Висшия съдебен съвет.

 

Обработване на лични данни без правно основание

 

Когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание съгласно ОРЗД или в противоречие с принципите му, в срок от 1 (един) месец от узнаването на това администраторът или обработващият лични данни ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.

 

Обработване на лични данни на деца

 

Обработването на лични данни на лица под 14 (четиринадесет) години въз основа на съгласие (включително при възмездно предлагане на услуги от разстояние чрез електронни средства) следва да се осъществява само след даване на съгласието от упражняващия родителски права родител или настойник.

 

Копиране на документ за самоличност, СУМПС или документ за пребиваване в Р България

 

Администраторите и обработващите лични данни имат право да копират тези документи само при законово основание за това. С оглед на това практиките на работодателите да копират документите за самоличност на своите работници и служители и да ги съхраняват в трудовите им досиета окончателно трябва да бъдат преустановени.

 

Лични данни на починали лица

 

Администраторите и обработващите лични данни имат право да обработват такива данни само ако имат съответното законово основание. Ако наследник или друго лице с правен интерес изисква достъп до такива данни, то такъв трябва да му бъде предоставен.

 

Лични данни на кандидати за работа

 

Определя се максимален срок от 6 (шест) месеца за съхранение на лични данни на участници в процедури по набиране и подбор на персонал. Срокът може да е по-дълъг, ако лицето е дало изричното си съгласие или специален закон предвижда това.

Оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, се връщат на лицето в 6-месечен срок от приключване на процедурата по подбор, освен ако специален закон не предвижда друг срок за това.

 

Мащабно обработване и мащабно систематично наблюдение

 

При наблюдение и/или обработване на значителен или неограничен брой субекти на данни или обем лични данни се приемат и прилагат правила, които съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица. Очаква се КЗЛД да публикува насоки за тези правила в своята интернет страница.

 

Системни дневници (логове)

 

В системите за автоматизирано обработване, поддържани от администратора и обработващия лични данни, се водят системни дневници (логове) най-малко за следните операции по обработване – събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване. Тези дневници трябва да дават възможност за установяване на основанието, датата и часа на тези операции и доколкото е възможно – идентификацията на лицето, което е направило справката или е разкрило личните данни, както и данни, идентифициращи получателите им. При поискване тези дневници трябва да се предоставят на КЗЛД.

Предназначението на дневниците е осигуряване на законосъобразност, самоконтрол и гарантиране сигурността на личните данни.

 

Мерки при автоматизирано обработване на лични данни

 

В чл. 66 от ЗЗЛД са изброени редица технически и организационни мерки, които трябва да се прилагат при отчитане достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Сред тези  мерки са контрол върху: достъпа до оборудване, носителите на данни, съхранението на данни, потребителите, комуникацията, пренасянето и възстановяването на данни и други.

 

Проверки от КЗЛД

 

Проверки ще се извършват по инициатива на КЗЛД, по жалби и по подадени сигнали. Проверяващите задължително ще се легитимират със служебна карта и заповед от председателя на КЗЛД за извършване на проверката. Поради риск от злоупотреби следва винаги да се изисква легитимация от такива лица и представените документи да се проверяват внимателно.

Администраторите и обработващите лични данни трябва да оказват съдействие на КЗЛД при изпълнение на нейните задачи и правомощия. Съгласно чл. 12а, ал. 2 от ЗЗЛД те могат да отказват достъп до тази част от тяхната информация, която е защитена от професионална тайна или друго подобно задължение, произтичащо от закон. Ако е налице класифицираната информация се прилагат разпоредбите на Закона за защита на класифицираната информация.

 

Жалба до КЗЛД

 

Променя се срокът за подаване на жалба за нарушени права – субектът на данни има право да сезира КЗЛД в срок от 6 (шест) месеца от узнаване на нарушението, но не по-късно от 2 (две) години от извършването му.

За нарушения, извършени до влизане в сила на ЗЗЛД (1.03.2019 г.), се прилагат старите срокове – 1 (една) година от узнаване на нарушението, но не по-късно от 5 (пет) години от извършването.

КЗЛД има задължение да информира жалбоподателя за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането ѝ.

 

Упражняване на права от субекти на лични данни

 

Срокът за разглеждане на заявления за упражняване на права от субекти на лични данни се променя от 1 (един) на 2 (месеца), като същият може да се удължава с още 1 (един) месец.

Когато администраторът има основателни съмнения относно самоличността на физическото лице, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните. В този случай гореспоменатият срок започва да тече от получаването на тази допълнителна информация.

 

Глоби и имуществени санкции

 

В това отношение ЗЗЛД препраща към Регламента. Посочено е само, че за други нарушения по този закон се налага глоба или имуществена санкция до 5000 (пет хиляди) лв. За повторно извършване на това нарушение се налага глоба или имуществена санкция в двоен размер на първоначално наложената.