Основни моменти в изменения Закон за защита на личните данниСубекти на задължения и субекти на права

На 26 февруари 2019 г. промените в Закона за защита на личните данни (ЗЗЛД) станаха факт.
Измененията и допълненията в закона са продиктувани от правилата на вече действащия Регламент 2016/679 (Общ регламент относно защитата на данните). Разгръщайки и разширявайки европейската уредба, промените в закона целят да осигурят защита на физическите лица във връзка с обработването на личните им данни чрез въвеждане на конкретни правила, критерии и механизми.
Кои дейности подлежат на регулация от закона? Какво представляват личните данни? Кои лица попадат в приложното поле на закона? Какви права и задължения имат администраторите, обработващите и субектите на данни?

1. Кои дейности подлежат на регулация от закона?

Обект на регулация от ЗЗЛД са всички обществени отношения и дейности, свързани с обработване на лични данни. Такива дейности могат да бъдат: събиране, пренос, съхранение, коригиране, архивиране и др. Въвеждането на строги правила във връзка с обработването на лични данни цели да се защити поверителността, неприкосновеността и сигурността на личния живот на гражданите във всеки един аспект от ежедневието, в който се налага да предоставяме някаква информация за себе си.
Всеки ден, всеки един от нас се налага да разкрива информация за себе си – когато пазарува онлайн, когато се регистрира в сайт за запознанства, когато тегли потребителски кредит, когато прави резервация в ресторант и т.н. Голяма част от услугите, които всеки от нас използва, изискват предоставяне на лични данни под една или друга форма. Важното е какво се случва с тези данни веднъж след като са излезли от нас и са отишли при някой друг. Законът предвижда изрични правила, които гарантира данните да се използват само за целите, за които са събрани, да се предотврати нерегламентирания достъп до тях, както и да се избегне тяхното неволно увреждане или унищожаване.

2. Какво всъщност представляват личните данни?

Лични данни може да бъде всякаква информация, която позволява идентификацията на едно физическо лице. Най-типичните примери за това са: имена, години, ЕГН, адрес, телефон, имейл адрес. С оглед спецификите на някои услуги в частния и обществен сектор (напр. здравеопазване, банкова дейност, застрахователни услуги) се налага и събиране и на някои по-чувствителни категории лични данни – генетични данни, данни за здравословно състояние, банкови данни, информация относно финансовото състояние, семейно положение и др. Естеството на този вид информация предполага по-завишена оценка на риска, по-висока степен на защита при съхранението й, получаването на изрично съгласие за обработването й от лицето, за което се отнася, както и подходящи технически и организационни мерки.

3. Кои лица попадат в приложното поле на закона?

Основните роли, определени от ЗЗЛД, са: субект на данни, администратор на лични данни, обработващ лични данни и надзорен орган.

А) Субект на данни
На първо място, субект на данни може да бъде всяко физическо лице. Всеки от нас придобива качеството „субект на данни“, когато разкрива информация за себе си на трето лице. Когато пазаруваме, използваме услуга или сключваме договор, се превръщаме в потенциален субект на данни. А от там ставаме носители и на конкретни права. Защитата на физическите лица във връзка с обработването на лични данни е основно право. Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни, предвидени в закона, са съобразени с техните основни права и свободи, и по-конкретно — с правото на защита на личните им данни.

Б) Администратор на лични данни
Администратор на лични данни може да бъде: физическо или юридическо лице, държавен орган, структура или друг вид организация, който самостоятелно, или заедно с други администратори, определя за какви цели и с какви средства се извършва обработване на лични данни. В най-общия случай администраторът е доставчик на някакъв вид услуга – например поддържа онлайн магазин. Администраторът определя, че за пазаруване в онлайн магазина, е необходимо купувачът да предостави своите имена, адрес, телефон и имейл. Администраторът също така решава, че тези данни ще се събират по електронен път – чрез попълване на онлайн форма, както и че ще се съхраняват на сигурни сървъри.

В) Обработващ лични данни
След като администраторът е определил целите и средствата за обработване на данните, идва ред и на обработващия. Кой е той? Това най-често е лице, което се намира в някакви отношения с администратора. Тези отношения могат да са възникнали от договор, по силата на който обработващият предоставя някакъв вид услуги или съдействия на администратора. Обработващият може да бъде физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. Следователно, тук са налице отношения на подчинение. Обработващ е например счетоводната къща, подизпълнителят, правният консултант. Обработващият може да се намира дори в трудово правоотношения с администратора – например служител, който има достъп до личните данни на клиенти на работодателя.

Г) Надзорен орган
Законът регламентира и надзорните органи, които са два - Комисията за защита на личните данни и Инспекторатът към Висшият съдебен съвет, когато се касае обработване на лични данни от органите на съдебната власт при предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания. Комисията за защита на личните данни е независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на ЗЗЛД и Регламента.

4. Права и задължения

Администраторът е длъжен да предприеме подходящи мерки, чрез които да гарантира адекватно ниво на защита на данните. Във своята дейност всеки администратор трябва да:
• приложи адекватни политики за защита на данните;
• осигури защитата чрез надеждни технически и организационни мерки – криптиране, пароли за достъп, видеонаблюдение и др.;
• поддържа изискваните регистри на обработване;
• съдейства на субектите на данните, когато те упражняват своите права съгласно ЗЗЛД и ОРЗЛД.

Във всички случаи администраторът е длъжен да предостави информация за себе си на надзорните органи, както и на субектите на данни. Също така, той е длъжен да разясни на субектите на данни техните права, както и да обезпечи тяхното упражняване.
Вторият основен субект, носител на задължения, е обработващият. Той обработва лични данни само когато това му е възложено от администратора чрез договор или с друг, предвиден за това правен акт. За да извършва такава дейност, обработващият трябва да гарантира, че:
1. действа единствено по указания на администратора;
2. е поел задължение за поверителност;
3. използва мерки, които осигуряват защита на обработваната информация;
4. ще съдейства на администратора при извършване на проверки от надзорните органи, при упражняване правата на субектите на данни и др.

Субектът на данни има следните права:
• да получи информация за обработването;
• да се изиска от администратора достъп до, коригиране, допълване или изтриване на лични данни и ограничаване на обработването на лични данни;
• да получи от администратора потвърждение дали се обработват лични данни, които го засягат, и да получи достъп до тях, ако отговорът е положителен
• да поиска от администратора следната информация:
- данните, които идентифицират администратора, както и координатите за връзка с него;
- координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
- целите, за които се обработват личните данни;
- информация относно правото на жалба до комисията, съответно до инспектората, както и координатите им за връзка;
- правното основание за обработването;
- срока, за който ще се съхраняват личните данни;
- получателите или категориите получатели на личните данни.

Очаквайте скоро Втора част от нашия анализ на новата уредба за лични данни в България.

Ако имате въпроси по приложението на новия ЗЗЛД и привеждане на Вашата дейност в съответствие със закона и GDPR, свържете се с нас, тук.

Васил Костов

© 2019 | 1Legal.Net Blog Copyright

Всички публикувани материали в блога са защитени с авторски права и никаква част от тях не може да се използва без изричното съгласие на авторите.
Тагове: Поверителност