Обявиха промените в Закона за защита на личните данни заради GDPR
По-малко от месец преди влизането в сила на новия Общ регламент за защита на данните на 25 май, МВР обяви промените в Закона за защита личните данни (ЗЗЛД), свързани с приложението му.
Пълният текст на законопроекта
Те се чакат от месеци, като само преди седмица председателят на правната комисия в парламента Данаил Кирилов отправи критика, че промените не са внесени в парламента.
Регламентът има пряко действие, но по някои въпроси е оставена свобода на държавите членки, а има и такива, които изискват изрично въвеждане на законодателни мерки на национално ниво. Вносителите на промените в ЗЗЛД обясняват, че съществуват няколко групи разпоредби, които изискват или позволяват приемането на правила в местното законодателство.
Едни от тях са свързани с т.нар. регулаторни задължения – например всяка държава сама урежда процедурата по конституиране на националния надзорен орган. У нас очаквано се предлага това да е Комисията за защита на личните данни (КЗЛД). На нея е възложено да акредитира сертифициращите органи по регламента, като акредитацията ще е за пет години.
Тя може да организира и провежда обучение на длъжностните лица по защита на данните (data protection officer – DPO). Като е предвидено обучението да се плаща от работодателя или от бъдещия DPO по тарифа, която ще бъде определена от министъра на финансите. Всички DPO ще бъдат вписани в специален регистър, който ще се води от Комисията за защита на личните данни. Администраторът ще съобщава имената и данните за контакт на длъжностното лице по защита на данните на комисията и ще публикува координатите за връзка с него. Предстои формата и съдържанието на уведомлението и реда за подаването му да бъдат определени с правилника за дейността на КЗЛД.
В проектозакона е предвидено още, че DPO може да бъде назначено на трудов договор, включително и по вътрешно съвместителство, или въз основа на договор за услуги. Има изрична забрана администраторът и обработващият личните данни да съвместяват и функциите на DPO.
Със законопроекта се регламентира, че новите длъжностни лица по защита на данните ще са задължителни, извън случаите по чл. 37, пар. 1 от регламента (публични органи, такива на местното самоуправление или администратори, които извършват мащабно обработване на специални, чувствителни, лични данни), когато администраторът обработва лични данни на над 10 000 физически лица.
Предвижда се още, че при предлагане на услуги на информационното общество, всеки на възраст над 14 години може сам да дава съгласие за обработване на данните му. Но под тази възраст, обработването им е законосъобразно, само ако съгласието е дадено от упражняващия родителски права или от настойника.
Освен това за работодателите се създава задължение да определят срок за съхранение на лични данни на участници в процедури по подбор на персонала и той не може да бъде по-дълъг от три години.
Регламентира се, че работодателят може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване на работник, само ако закон предвижда това. Законопроектът предвижда, когато кандидатът не е получил работата, а в хода на процедурата са му поискани оригинали или нотариално заверени копия на документи, които удостоверяват физическата и психическата му годност, образованието и стажа, той да може в 30-дневен срок, да си ги поиска обратно.
За да упражни правата си, предвидени в регламента, всяко физическо лице, трябва да подаде заявление до администратора на личните му данни и например да поиска те да бъдат заличени. В проекта е предвидено, че при нарушаване на правата му, например обработване на лични данни, въпреки изричното му искането то да бъде прекратено, гражданинът може в едногодишен срок от узнаване на нарушението (но не по-късно от пет години от извършването му) да сезира КЗЛД. Комисията се произнася с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.
Предвиден е съдебен ред за защита. „При нарушаване на правата му по Регламент (ЕС) 2016/679 и този закон всеки субект на данни може да обжалва действия и актове на администратора и обработващия по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност“, гласи предложената нова редакция на чл. 39 от ЗЗЛД.
Гражданинът няма да може да сезира съда, ако вече има висящо производство пред комисията за същото нарушение или нейно решение за него е обжалвано и няма влязло в сила решение. Проектът регламентира, че комисията ще удостоверява липсата на висящо производство пред нея по същия спор.
В Българския закон са претворени и сериозните имуществени санкции, които предвижда Общият регламентът за защита на данните. С проекта се дава право на КЗЛД да налага и принудителни мерки за предотвратяване и преустановяване на нарушенията. Тя може да налага временно или окончателно ограничаване, както и забрана, на обработването на данни, както и да разпорежда на администратора да съобщава на субекта на данните за нарушения на сигурността им. Как ще се налагат тези мерки, ще стане ясно, когато бъдат обявени промените в правилника за дейността на КЗЛД.
Самите санкции варират според нарушенията на конкретните изисквания на регламента и достигат до левовата равностойност 20 млн. евро, както е предвидено и в него. Например за неизпълнение на задължително предписание на комисията се налага глоба или имуществена санкция от 2 000 лв. до 200 000 лв.
Българският закон не обвързва размера на санкцията с оборота на предприятието, както предвижда GDPR.
От 25 май 2018 г. отпада задължението за регистрация на администраторите на лични данни в КЗЛД.
В над 40 разпоредби от законопроекта е регламентирано как МВР и останалите правоохранителни органи съхраняват и обработват лични данни. С промени в Закона за съдебната власт се предвижда, че Инспекторатът към Висшия съдебен съвет (ИВСС) осъществява надзор за спазване на правилата за защита на личните данни от органите на съдебната власт, когато действат при изпълнение на правораздавателните си функции. Освен това на ИВСС е възложено да разглежда и жалбите на граждани във връзка с обработването на личните им данни.
Малко преди МВР да публикува проекта председателят на КЗЛД Венцислав Караджов изрази опасения, че страната ни не е подготвена за влизането в сила на GDPR. “От експертна гледна точка нещата са съгласувани. Ние се обърнахме към МВР с молба да придвижи законопроекта, тъй като не разполагаме със законодателна инициатива“, обясни той пред БНР.
Караджов посочи, че ЗЗЛД кодифицира не само регламента, но и директивата, която определя изключенията, при които органите на съдебната власт и правоохранителните органите, като МВР, могат да обработват лични данни за оперативни цели и затова вътрешното министерство е избрано като вносител на промените.
Той призна, че има притеснения, че на 25 май страната ни може да не е подготвена.
„Чисто технически се съмнявам, че времето би ни стигнало за публичното обсъждане на закона, приемането му от МС и обсъждането му на първо и второ четене в НС. На практика минималният срок за това би трябвало да е два месеца. Надявам се да се придвижи бързо тази процедура“, каза шефът на КЗЛД.
Той посочи, че в последно време частният бизнес работи по-активно по приложението на регламента. Но обясни, че едва около 20-30% от фирмите са готови за GDPR. “Това са големите администратори на лични данни. Малкият и средният бизнес все още не е толкова активен в изпълнение на новите ангажименти и изчаква, за да види какво ще се случи след 25 май. Аз разбирам, че това са финансови разходи, те нямат и необходимите човешки ресурси, но тези изисквания ще бъдат приложими за целия ЕС и неизпълнението им ще доведе до невъзможност за обработване на лични данни или до сериозни санкции“, каза Венцислав Караджов.
Общественото обсъждане на законопроекта е предвидено да приключи до 14 май.
Източник: https://news.lex.bg
featured, закон за защита на личните данни
