Нови Задължения За Защита На Лични Данни

Нови Задължения За Защита На Лични Данни

– От кога ще започне да се прилага новия Общ регламент за защита на личните данни?

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27април 2016година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/EО (Общ регламент относно защитата на данните) е обнародван в Официален вестник на Европейския съюз на 4май 2016г.

Общият регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни, което е причина за неговото отложено прилагане, считано от 25май 2018г.

– Ще се прилага ли новият Регламент за администратори на лични данни, които обработват данни извън територията на Европейския съюз?

Да, с новия Регламент се разширява териториалният обхват на европейските правила за защита на личните данни и те ще важат и за администратори, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС. Това ще важи в случаите, когато дейностите по обработване на данни от страна на такива администратори, са свързани с:

  • Предлагането на стоки и услуги на физически лица, намиращи се в съюза, независимо дали от субекта на данни се изисква плащане;

или

  • Наблюдението на тяхното поведение, доколкото това поведение са проявява в рамките на съюза.

       – Кои са задълженията за администраторите и обработващите лични данни спрямо новия Общ регламент за защита на данните?

Общият регламент за защита на личните данни въвежда редица задължения за администраторите и обработващи лични данни, някои от които са изцяло нови и непознати в досега действащата правна уредба. Те са :

  • Обработване на данните в съответствие с принципите за защита на личните данни, заложени в регламента, като е в състояние да докаже това (отчетност);
  • Осигуряване на защита на данните на етапа на проектирането и по подразбиране;
  • Определяне на длъжностно лице по защита на личните данни в изрично посочените от регламента случаи, поддържане на регистър на дейностите по обработване, за които отговаря;
  • Уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, както и да документиране на всяко нарушение на сигурността на личните данни, в т. ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;
  • Извършване на оценка на въздействието върху защитата на данните;
  • Провеждане на предварителна консултация с надзорния орган преди обработването, когато оценката на въздействието покаже, че обработването ще породи висок риск, ако АЛД не предприеме мерки за ограничаване на риска
  • Прилагане на подходящи технически и организационни мерки за осигуряване на сигурност на данните.В регламента са посочени и конкретни технически и организационни мерки за сигурност, като:

– Псевдонимизация;

– Криптиране;

– Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

– Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

– Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки.

– Сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи то регламента.

       – Изисквания за изготвяне на документация във връзка с обработването на лични данни:

  • Следва да се създаде отговарящ на законовите изисквания вътрешен регистър на дейностите по обработване на лични данни (евентуално може да се не се създава при малки и средни предприятия).
  • Администраторът е отговорен и за приемането на различни вътрешни правила, политики и инструкции във връзка със защитата на личните данни, напр. политика за правата на субектите, чиито лични данни се обработват, план за действие при пробив в сигурността на личните данни (напр. при хакерска атака или кражба на лични данни) и т.н.
  • Следва да бъдат изготвени и юридически издържани декларации или другите форми за документиране на даването на съгласие от страна на субекта на личните данни, от които да няма съмнение, че съгласието е информирано и свободно дадено.
  • Освен това администраторът следва да изготви и оценка на въздействието върху защитата на личните данни.

 Кога администраторът и обработващият са длъжни да определят длъжностно лице по защита на данните?

 

Определянето на длъжностно лице по защита на данните е задължително в следните случаи:

  • Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  • Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
  • Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

 

– Кои права на субекта на данни трябва да спазва администраторът съгласно Общия регламент за защита на личните данни?

 

Според Регламента субектът на данни (физическото лице, за което се отнасят данните) има право на:

  • Информираност;
  • Достъп до собствените си лични данни;
  • Коригиране (ако данните са неточни);
  • Изтриване на личните данни (правото „да бъдеш забравен“);
  • Ограничаване на обработването от страна на администратора или обработващия лични данни;
  • Преносимост на личните данни между отделните администратори;
  • Възражение спрямо обработването на негови лични данни;
  • Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
  • Право на защита по съдебен или административен ред, в случай че правата на субекта на данни са били нарушени.

 

       – Трябва ли администраторите на лични данни в България да се регистрират пред Комисията за защита на личните данни както до сега?

Не, задължението за регистрация отпада, считано от 25 май 2018 г.

– По какъв начин ще бъде осъществяван надзора за спазване на новата правна рамка по защита на личните данни?

Единственият надзорен орган по защита на личните данни в Република България е Комисията за защита на личните данни.

 

*Информацията е на Комисията за защита на личните данни