Изменения и допълнения в Закона за защита на личните данни, обнародвани в Държавен вестник, брой 17 от 26.02.2019г.

PDF

Във връзка с обнародвания в Дъравен вестник на 26.02.2019г., Закона за защита на личните данни и с оглед на приетите изменния и допълнения в него относно влезлия в сила на 25.05.2018г. Регламент ЕС 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), настоящият материал има за цел да отрази по-важните моменти в закона, които касят администраторите на лични данни по отношение на следните въпроси:

I. Относно предоставянето и обработването на лични данни:

В случаите, когато лични данни се предоставят на администратор на лични данни от субект на данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването личните данни трябва да бъдат върнати на лицата, а ако това е невъзможно или изисква несъразмерно големи усилия, трябва да бъдат изтрити или унищожени. Изтриването и унищожаването се документират.

Обработването на лични данни, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравословното състояние или сексуалния живот и сексуалната ориентация на лицето, е разрешено, когато това е абсолютно необходимо, съществуват подходящи гаранции за правата и свободите на субекта на данни и е предвидено в правото на Европейския съюз или в законодателството на Република България.

Важен момент от закона е изричното посочване, че документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване, може да се копира, само ако това е предвидено със закон.

Свободен публичен достъп до информация, съдържаща единен граждански номер или личен номер на чужденец, не се допуска, освен ако закон предвижда друго.

II. Относно обработване на лични данни на деца:

Обработването на данни на субект на данни – лице, ненавършило 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679 е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.

III. Относно правата на субектите на лични данни:

Администраторът задължително трябва да предоставя на субектите на лични данни най-малко следната информация:

  1. данните, които идентифицират администратора, и координатите за връзка с него;
  2. координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
  3. целите, за които се обработват личните данни;
  4. правото на жалба до комисията, съответно до инспектората, и координатите им за връзка;
  5. правото да се изиска от администратора достъп до, коригиране, допълване или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните;
  6. възможността при отказ по ал. 3, по чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 да упражни правата си чрез комисията, съответно чрез инспектората.

Пoсочената по-горе информация, която администраторите на лични данни са задължени да предоставят, може да се опише в Политика за поверителност, която да се оповести по подходящ начин – например на интернет страницата на администратора, в случай, че разполага с такава. Администраторите, които са задължени да определят длъжностно лице за защита на личните данни, следва да оповестят информация за определеното лице, както и контактите с него.

Субeктите на данните имат право да получат от администратора потвърждение дали се обработват лични данни, които ги засягат, и ако това е така, да получат достъп до тях, както и информация за:

  1. обстоятелствата по чл. 54, ал. 1, т. 3 – 5 и ал. 2, т. 1 – 3;
  2. обработваните категории лични данни;
  3. личните данни, които са в процес на обработване, и всякаква налична информация за техния произход, освен ако тя е защитена от закон тайна.

Освен информацията посочена по-горе, по искане на субекта на данни или по своя инициатива, администраторът на лични данни може да предостави на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:

  1. правното основание за обработването;
  2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно – критериите, използвани за определяне на този срок;
  3. когато е приложимо, получателите или категориите получатели на личните данни, включително в трети държави или международни организации;
  4. когато е необходимо, и друга допълнителна информация, по-специално в случаите, когато личните данни са събрани без знанието на субекта на данните.

Администраторът на лични данни може да забави или да откаже изцяло или частично предоставянето на информацията по-горе, когато това е необходимо, за да: 

  1. не се допусне възпрепятстването на служебни или законово регламентирани проверки, разследвания или процедури;
  2. не се допусне неблагоприятно засягане на предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;
  3. се защити общественият ред и сигурност;
  4. се защити националната сигурност;
  5. се защитят правата и свободите на други лица.

След отпадане на изброените обстоятелства, трябва да се предостави без забавяне исканата информация в срок до два месеца.

Администраторът на лични данни може да откаже пълно или частично упражняване на правата на субектите на данни по чл. 12 – 22 от Регламент (ЕС) 2016/679,както и да не изпълните задължението си по чл. 34 от Регламент (ЕС) 2016/679, когато упражняването на правата или изпълнението на задължението би създало риск за:

  1. националната сигурност;
  2. отбраната;
  3. обществения ред и сигурност;
  4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
  5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
  6. защитата на независимостта на съдебната власт и съдебните производства;
  7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;
  8. защитата на субекта на данните или на правата и свободите на други лица;
  9. изпълнението по гражданскоправни искове.

Като посочените по-горе условията и редът за прилагането им се определят със закон и в съответствие с чл. 23, параграф 2 от Регламент (ЕС) 2016/679.

IV. Относно задълженията на администратора като „работодател“ или „орган по назначаването“:

Администраторите, в качеството си на „работодател“ или „орган по назначаването“, трябва да приемат правила и процедури в следните случаи:

  1. използване на система за докладване на нарушения;
  2. ограничения при използване на вътрешнофирмени ресурси;
  3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.

Едно от най-важните неща, свързани с подбора на персонал е Администраторите, в качеството си на „работодател“ или „орган по назначаването“,  да определят срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала, който не може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. След изтичането на този срок работодателят или органът по назначаването изтрива или унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго.

Когато в процедурата по подбор на персонал са изискани да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, следва тези документи да се върнат на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго.

V. Относно осъществяваното видеонаблюдение в сгради на Администратора:

Относно извършваното видеонаблюдение на публично достъпните зони, Администраторите следва да приемат и прилагат правила при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които въвеждат подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни.

Правилата за систематично мащабно наблюдение на публично достъпни зони съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.

VI.Технически и организационни мерки за защита на личните данни:

Администраторите, като отчитат естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилагат подходящи технически и организационни мерки, за да гарантират и да са в състояние да докажат, че обработването се извършва в съответствие с закона. При необходимост тези мерки се преразглеждат и актуализират.

Всеки администратор на лични данни следва да приеме Инструкцията за техническите и организационни мерки за воденето, поддържането и защитата на регистрите, съхраняващи лични данни, в която да са посочени конкретните мерки за защита на личните данни, които следва да бъдат спазвани от всички служители на администратора, които имат достъп до регистрите и обработват лични данни.

VII.Регистри на личните данни:

Администраторите са длъжни да поддържат регистър с категориите дейности по обработване на лични данни, който съдържа:

  1. наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защита на данните;
  2. целите на обработването на лични данни;
  3. категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
  4. описание на категориите субекти на данни и на категориите лични данни;
  5. когато е приложимо, информация дали се извършва профилиране;
  6. когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;
  7. правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;
  8. когато е възможно, предвидените срокове за изтриване на различните категории лични данни;
  9. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.

Нарушение на сигурността на личните данни

В случай на нарушение на сигурността на личните данни, което има вероятност да доведе до риск за правата и свободите на субектите на данни, Администраторите без излишно забавяне, но не по-късно от 72 часа след като са разбрали за нарушението, уведомяват комисията, съответно инспектората, за него. Когато уведомлението е подадено след срока по изречение първо, в него се посочват причините за забавянето.

Уведомлението до комисията съдържа най-малко:

  1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
  2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;
  3. описание на евентуалните последици от нарушението на сигурността на личните данни;
  4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

Всяко нарушение на сигурността на личните данни трябва да бъде документирано, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.

Когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на субектите на данни, трябва да бъдат уведомени и субекта на данните за нарушението не по-късно от 7 дни от установяването му.

Субектът на данните не се уведомява за нарушението, ако е изпълнено някое от следните условия:

  1. администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;
  2. администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;
  3. уведомяването би довело до непропорционални усилия; в този случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани.

VIII. Бъдещи действия:

В Закона за защита на личните данни е предвидено, че след като бъде избран нов състав на Комисията за защита на личните данни, в срок от 3 месеца от избирането й, ще се приеме Правилник за дейността на Комисията, дейността на администрацията й и реда за разглеждане на производствата пред нея, който ще се обнародва в „Държавен вестник“.

В 6-месечен срок от влизането в сила на този правилник, лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, трябва да ги приведат в съответствие с изискванията на закона и да уведомяват за това комисията.

Комисията от своя страна извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението от администратора.

 

 

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *