Жалбата за нарушение на GDPR – безплатна и до 2 години от извършването му
Приеха промените в Закона за защита на личните данни осем месеца след влизането в сила на регламента
Жалба за нарушение на Общия регламент за защита на данните (GDPR) ще може да се подава до 6 месеца от узнаването за него, но не по-късно от 2 години от извършването му. За разглеждането ѝ от Комисията за защита на личните данни (КЗЛД) няма да се дължи такса. Това записаха депутатите в Закона за защита на личните данни (ЗЗЛД), като приеха окончателно мащабните изменения в него, свързани с приложението на GDPR у нас.
Регламентът влезе в сила още на 25 май 2018 г., но едва днес депутатите приключиха работата по измененията в българския закон, като не успяха да приемат докрай само промените в десетки други нормативни актове, свързани с тези в самия ЗЗЛД. Гласуването в пленарната зала мина без нито едно изказване.
Беше записан специален по-дълг срок за сезиране на Комисията за защита на личните данни за нарушения на GDPR, извършени преди влизането в сила на измененията в българския закон. За тези погазвания на правилата за опазване на данните жалба до комисията ще може да се подава до 1 година от узнаване за нарушението, но не по-късно от 5 години от извършването му.
Депутатите регламентираха в закона (чл. 79, ал. 3), че при изпълнението на надзорните функции на комисията„не се събира такса от субекта на данни и от длъжностното лице по защита на данните“.
КЗЛД ще има 3 месеца, за да информира гражданина за напредъка в разглеждането на жалбата или за резултата от нея. А когато тя е „очевидно неоснователна или прекомерна“, да я остави без разглеждане.
Жалбата до комисията може да се подаде с писмо, по факса или по електронен път (по реда на Закона за електронния документ и електронните удостоверителни услуги). Няма да се разглеждат анонимни и неподписани оплаквания.
При нарушения на регламента от страна на съдебната власт жалбите ще се подават не до КЗЛД, а до Инспектората към Висшия съдебен съвет.
В закона специално се записва, че „гражданинът не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда“. За целта КЗЛД ще издава специални удостоверения за липсата на висящ пред нея спор.
Без задължителен сертификат от КЗЛД за длъжностните лица по защита на данните
Депутатите приеха и правилата за длъжностните лица по защита на данните (data protection officer – DPO). КЗЛД ще води регистър на администраторите и обработващите лични данни, които са определили DPO.
Макар на комисията да се дава възможност да провежда обучения в областта на защита на данните и да издава сертификати, изрично беше прието (чл. 16, ал. 3): „Наличието на сертификат не може да бъде задължително условие за назначаване или изпълнение на функциите на длъжностни лице по защита на данните“.
Самите обучения ще са платени, а сертификатът за тях ще се получава след изпит и ще важи 3 години. След изтичането му отново ще се държи изпит.
Законовите критерии за назначаване на DPO са „неговите професионални качества“ и по-специално „експертните му познания по законодателството и практиките в областта на защитата на личните данни и способността му да изпълнява задачите си“.
Едно длъжностно лице по защита на данните може да е определено съвместно за няколко администратори. А администраторът на данните гарантира, че то „участва по подходящ начин и своевременно при разглеждането на всички въпроси, свързани със защитата на личните данни“.
Ето какви задачи по закон всяка фирма или организация задължително трябва да възложи на длъжностното си лице по защита на данните:
- да информира и да съветва администратора и служителите, които извършват обработването, за задълженията им ЗЗЛД и съгласно други нормативни изисквания за защита на личните данни;
- да наблюдава спазването на ЗЗЛД и на други нормативни изисквания за защита на личните данни и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните проверки;
- при поискване да предоставя съвети и да наблюдава извършването на специалната предварителна оценката на въздействието (предвидена в чл. 64 от закона), която се прави, когато има вероятност определен вид обработване на данни да доведе до висок риск за правата и свободите на физическите лица
- да си сътрудничи с КЗЛД, съответно с ИВСС;
- да действа като звено за контакт с комисията и при необходимост да се консултира с КЗЛД, съответно с ИВСС по въпросите, свързани с обработването на лични данни.
72 часа за уведомяване на комисията при риск за сигурността на данните
„В случай на нарушение на сигурността на личните данни, което има вероятност да доведе до риск за правата и свободите на субектите на данни, администраторът, без излишно забавяне, но не по-късно от 72 часа след като е разбрал за нарушението, уведомява комисията, съответно инспектората за него“, предвижда новият чл. 67 от ЗЗЛД. А когато уведомлението е подадено след срока, в него се посочват причините за забавянето.
Като администраторът на данните ще трябва да опише не само какво е нарушението, но и евентуалните последици от него и какви мерки е предприел, за да се справи с проблема и да ограничи щетите.
Ако обаче има вероятност нарушението на сигурността да доведе до висок риск за правата и свободите на субектите на данни, администраторът ще е длъжен да уведоми и тях. Като срокът да го направи е 7 дни от установяването на проблема. Освен това се поставя изискване гражданинът да бъде информиран на ясен и разбираем език.
Има и хипотези, при които администраторът може и да не уведоми човека, чиито лични данни са засегнати – когато е предприел мерки за защитата на данните, например криптирал ги е. Когато са засегнати много хора, т.е. уведомяването на всеки един „би довело до непропорционални усилия, се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани“.
Санкциите в закона – само с препратка към регламента
Един от най-дискутираните въпроси в самия Общ регламент за защита на данните – високият размер на санкциите, които могат да се налагат за нарушаването му, е решен по специфичен начин в българския закон.
Вместо да се уреждат изрично в него, те са регламентирани с препратка към конкретните разпоредби на GDPR, в които са записани максималните им размери. Така чл. 83, §4 от регламента предвижда за част от нарушенията глоба в размер до 10 000 000 евро или до 2 % от общия годишния световен оборот на предприятието за предходната финансова година, която от двете суми е по-висока. Параграф 5 от същия текст на регламента пък урежда при други нарушения имуществена санкция в размер до 20 000 000 евро или до 4% от общия годишен световен оборот на фирмата за предходната финансова година, която от двете суми е по-висока.
В българския ЗЗЛД се записва само, че размерите на административните наказания се определят съгласно критериите, посочени в чл. 83, §2 от регламента и се налагат в тяхната левова равностойност.
Издаването, обжалването и изпълнението на наказателните постановления се извършва по реда на Закона за административните нарушения и наказания. Актовете се съставят от член на комисията (или от оправомощени длъжностни лица), съответно, когато се отнасят до съдебната власт, от оправомощени със заповед на главния инспектор. Наказателните постановления се издават от председателя на КЗЛД или от главния съдебен инспектор.
7
Коментирайте
Най-после новите правила за личните данни ще заработят и в България. Честито на всички.
Кучето е заровено в подзаконовите нормативни актове, нека ги видим и тях и тогава да се радваме.
Искрено ме учудва, че този път не се събира такса от субекта на данни.
GDPR е абсолютно излишен!
Добре го измислиха с поредните сертификати, за които ще се плаща. А на всичкото отгоре и ще са вслидни само 3 години.
Е не може веднъж DPO, завинаги DPO, това е жива, променяща се материя и проверката на знанията на определен период е задължителна.
Санкциите са непоносимо високи.