Обявиха промените в Закона за защита на личните данни заради GDPR
Длъжностно лице по защита на данните задължително ще се назначава, когато се обработва информация за над 10 000 души
По-малко от месец преди влизането в сила на новия Общ регламент за защита на данните на 25 май, МВР обяви промените в Закона за защита личните данни (ЗЗЛД), свързани с приложението му.
Пълният текст на законопроекта
Те се чакат от месеци, като само преди седмица председателят на правната комисия в парламента Данаил Кирилов отправи критика, че промените не са внесени в парламента.
Регламентът има пряко действие, но по някои въпроси е оставена свобода на държавите членки, а има и такива, които изискват изрично въвеждане на законодателни мерки на национално ниво. Вносителите на промените в ЗЗЛД обясняват, че съществуват няколко групи разпоредби, които изискват или позволяват приемането на правила в местното законодателство.
Едни от тях са свързани с т.нар. регулаторни задължения – например всяка държава сама урежда процедурата по конституиране на националния надзорен орган. У нас очаквано се предлага това да е Комисията за защита на личните данни (КЗЛД). На нея е възложено да акредитира сертифициращите органи по регламента, като акредитацията ще е за пет години.
Тя може да организира и провежда обучение на длъжностните лица по защита на данните (data protection officer – DPO). Като е предвидено обучението да се плаща от работодателя или от бъдещия DPO по тарифа, която ще бъде определена от министъра на финансите. Всички DPO ще бъдат вписани в специален регистър, който ще се води от Комисията за защита на личните данни. Администраторът ще съобщава имената и данните за контакт на длъжностното лице по защита на данните на комисията и ще публикува координатите за връзка с него. Предстои формата и съдържанието на уведомлението и реда за подаването му да бъдат определени с правилника за дейността на КЗЛД.
В проектозакона е предвидено още, че DPO може да бъде назначено на трудов договор, включително и по вътрешно съвместителство, или въз основа на договор за услуги. Има изрична забрана администраторът и обработващият личните данни да съвместяват и функциите на DPO.
Със законопроекта се регламентира, че новите длъжностни лица по защита на данните ще са задължителни, извън случаите по чл. 37, пар. 1 от регламента (публични органи, такива на местното самоуправление или администратори, които извършват мащабно обработване на специални, чувствителни, лични данни), когато администраторът обработва лични данни на над 10 000 физически лица.
Предвижда се още, че при предлагане на услуги на информационното общество, всеки на възраст над 14 години може сам да дава съгласие за обработване на данните му. Но под тази възраст, обработването им е законосъобразно, само ако съгласието е дадено от упражняващия родителски права или от настойника.
Освен това за работодателите се създава задължение да определят срок за съхранение на лични данни на участници в процедури по подбор на персонала и той не може да бъде по-дълъг от три години.
Регламентира се, че работодателят може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване на работник, само ако закон предвижда това. Законопроектът предвижда, когато кандидатът не е получил работата, а в хода на процедурата са му поискани оригинали или нотариално заверени копия на документи, които удостоверяват физическата и психическата му годност, образованието и стажа, той да може в 30-дневен срок, да си ги поиска обратно.
За да упражни правата си, предвидени в регламента, всяко физическо лице, трябва да подаде заявление до администратора на личните му данни и например да поиска те да бъдат заличени. В проекта е предвидено, че при нарушаване на правата му, например обработване на лични данни, въпреки изричното му искането то да бъде прекратено, гражданинът може в едногодишен срок от узнаване на нарушението (но не по-късно от пет години от извършването му) да сезира КЗЛД. Комисията се произнася с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.
Предвиден е съдебен ред за защита. „При нарушаване на правата му по Регламент (ЕС) 2016/679 и този закон всеки субект на данни може да обжалва действия и актове на администратора и обработващия по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност“, гласи предложената нова редакция на чл. 39 от ЗЗЛД.
Гражданинът няма да може да сезира съда, ако вече има висящо производство пред комисията за същото нарушение или нейно решение за него е обжалвано и няма влязло в сила решение. Проектът регламентира, че комисията ще удостоверява липсата на висящо производство пред нея по същия спор.
В Българския закон са претворени и сериозните имуществени санкции, които предвижда Общият регламентът за защита на данните. С проекта се дава право на КЗЛД да налага и принудителни мерки за предотвратяване и преустановяване на нарушенията. Тя може да налага временно или окончателно ограничаване, както и забрана, на обработването на данни, както и да разпорежда на администратора да съобщава на субекта на данните за нарушения на сигурността им. Как ще се налагат тези мерки, ще стане ясно, когато бъдат обявени промените в правилника за дейността на КЗЛД.
Самите санкции варират според нарушенията на конкретните изисквания на регламента и достигат до левовата равностойност 20 млн. евро, както е предвидено и в него. Например за неизпълнение на задължително предписание на комисията се налага глоба или имуществена санкция от 2 000 лв. до 200 000 лв.
Българският закон не обвързва размера на санкцията с оборота на предприятието, както предвижда GDPR.
От 25 май 2018 г. отпада задължението за регистрация на администраторите на лични данни в КЗЛД.
В над 40 разпоредби от законопроекта е регламентирано как МВР и останалите правоохранителни органи съхраняват и обработват лични данни. С промени в Закона за съдебната власт се предвижда, че Инспекторатът към Висшия съдебен съвет (ИВСС) осъществява надзор за спазване на правилата за защита на личните данни от органите на съдебната власт, когато действат при изпълнение на правораздавателните си функции. Освен това на ИВСС е възложено да разглежда и жалбите на граждани във връзка с обработването на личните им данни.
Малко преди МВР да публикува проекта председателят на КЗЛД Венцислав Караджов изрази опасения, че страната ни не е подготвена за влизането в сила на GDPR. “От експертна гледна точка нещата са съгласувани. Ние се обърнахме към МВР с молба да придвижи законопроекта, тъй като не разполагаме със законодателна инициатива“, обясни той пред БНР.
Караджов посочи, че ЗЗЛД кодифицира не само регламента, но и директивата, която определя изключенията, при които органите на съдебната власт и правоохранителните органите, като МВР, могат да обработват лични данни за оперативни цели и затова вътрешното министерство е избрано като вносител на промените.
Той призна, че има притеснения, че на 25 май страната ни може да не е подготвена.
„Чисто технически се съмнявам, че времето би ни стигнало за публичното обсъждане на закона, приемането му от МС и обсъждането му на първо и второ четене в НС. На практика минималният срок за това би трябвало да е два месеца. Надявам се да се придвижи бързо тази процедура“, каза шефът на КЗЛД.
Той посочи, че в последно време частният бизнес работи по-активно по приложението на регламента. Но обясни, че едва около 20-30% от фирмите са готови за GDPR. “Това са големите администратори на лични данни. Малкият и средният бизнес все още не е толкова активен в изпълнение на новите ангажименти и изчаква, за да види какво ще се случи след 25 май. Аз разбирам, че това са финансови разходи, те нямат и необходимите човешки ресурси, но тези изисквания ще бъдат приложими за целия ЕС и неизпълнението им ще доведе до невъзможност за обработване на лични данни или до сериозни санкции“, каза Венцислав Караджов.
Общественото обсъждане на законопроекта е предвидено да приключи до 14 май.
10
Коментирайте
Дали работодаля има право да изисква декларация от работника или служителя от какви заболявания страда и какви медикаменти приема? Все пак е много лична информация.
Смешна работа, всеки който има сайт, трябва да пише фермани. И каква ползва от написаното – пак ще продават емейли, ще ни пълнят пощите с глупости..
Аз се дразня от това, какво ги интересува статистическите софтуери като гъгул аналитик – от него не може да се разберат реални имена, профили на хора в социални мрежи, снимки на хора… то е статистика: от кой град идват най-много хора, какво са гледали, с какъв телефон са, с каква резолюция… да не живее преди 100 години? Ако няма такива статистики, програмистите от къде ще знаят дали сайта им работи или не работи коректно?
А господин Караджов дали вижда, че малкият и средният бизнез вече изчезват поради невъзможност да си плащат разходите.
Sit na gladen ne viarva.
Това с отвързването на глобите от оборота е хитро, особено за фирми, които ще декларират 100 лева оборот. Тогава, ако ги глобиш с 4% от оборота, ще им накривиш шапката. Ама когато глобата е твърда сума, да му мислят нарушителите. И още нещо – подкупите за инспекторите ще са гарантирано големи.
Ето ни сега в Еврото. Само разходи и бюрокрация
И санкциите ще са чудовищни.
За малка туристическа агенция с един служител – аз, ми искат 1200 лeва. Адвокатска кантора е и предлагат регистрация и съгласуване с всички наредби.Но не ги давам на държавата за пътища и пенсии а на лапчачи които и без това имат повече отколкото им се полага. И какво става давам 1200 лева начастника, на мен ми дава фактура и държавата ми приспада данъка. тоест ощетява се държавата.
КЗЛД да каже от кога ще проверява, макар и да изглежда, че и те не знаят…
Пълни европейски простотии. Вместо да направят така, че и да имаш данните, да не можеш да ги използваш в престъпни цели, те се опитват да спрат изтичане на огромна по обем информация. Хората от ЦРУ вадят секретни данни, че ще ги спрат някакви администратори. Че само да хакнат една община ще извадят с хиляди данни. Целите са отново да натиснат малкия бизнес, обикновения човек, които ще трябва да плащат. Например една такса в общината сега е 7 лева, а ще стане 8, защото 1 левче ще се отделя за това, че данните ти са запазени. Както досега, но вече платено.… Покажи целия коментар »