Огласиха окончателния проект за промени в закона заради GDPR
Отпада изискването за назначаване на длъжностно лице по защита на данните при обработване на информация за над 10 000 души
Без изискване за назначаване на длъжностно лице по защита на данните (DPO) при обработване на личните данни на над 10 000 души, без изрично разписване на размери на санкциите за нарушения на Общия регламент за защита на данните (GDPR), въвеждане на възможност за отказ за достъп до информация, ако с нея се погазва професионална тайна. Това са част от промените в проекта за изменения в Закона за защита на личните данни (ЗЗЛД), които са настъпили преди Министерският съвет да го внесе в парламента.
Окончателният вариант на законопроекта днес беше публикуван на сайта на Народното събрание и всички заинтересовани могат да се запознаят с него (Проектът за промени в ЗЗЛД). Това стана близо два месеца след влизането в сила на Общия регламент за защита на данните и на самия финал на парламентарната сесия, което означава, че депутатите ще го обсъдят най-рано през септември. Така през лятото ще може да се изпращат становища.
Във внесения в Народното събрание проект са съобразени множеството възражения, които бяха направени по първоначалните текстове.
Санкциите – само с препратка към регламента
Заради множеството критики, че в първоначалния вариант на проекта недопустимо е въведен долен праг на санкциите за нарушения на GDPR, сега е предприет друг подход. Българският закон няма да ги преписва, а само ще препраща към тях. Така той вече предвижда единствено, че размерите на предвидените в регламента глоби и имуществени санкции се определят съобразно посочените в него критерии и се налагат в тяхната левова равностойност.
Извън тази обща разпоредба има препратки към отделните видове нарушения на изискванията на регламента:
Чл. 86. (1) За нарушения на чл. 45, ал. 1, чл. 49, ал. 1, чл. 51, чл. 53-56, чл. 80, ал. 1, т. 1, буква „а“, т. 2, букви „б“ и „в“ администраторът и/или обработващият лични данни се наказва с глоба или с имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(2) За нарушения по чл. 59, 62 и 64-70 административното наказание глоба или имуществена санкция е в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(3) Размерите на предвидените в ал. 1 и 2 административни наказания се определят съобразно посочените в чл. 83, параграф 2 от Регламент (ЕС) 2016/679 критерии и се налагат в тяхната левова равностойност.
Предвидено е, че за други нарушения на ЗЗЛД санкцията е до 5000 лв.
Регистър на администраторите, назначили DPO, a не длъжностните лица
След критиките, че в разрез с регламента у нас се въвежда регистрационен режим за длъжностните лица по защита на данните, е направена друга промяна в окончателния проектозакон. Той предвижда, че Комисията за защита на личните данни води регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните, т.е. не и на самите DPO.
В проекта е уредено задължение за администраторите да съобщят на КЗЛД кого са назначили за длъжностното лице по защита на данните, както и данните му за контакт. Формата и съдържанието на уведомлението и редът за подаването му до комисията се определят с правилника за дейността ѝ и на нейната администрация, предвижда законопроектът.
Очаквано от проекта е отпаднало изискването да се назначава DPO при обработване на данни на над 10 000 души, което не съществува в регламента.
Във внесения в Народното събрание законопроект отсъстват и други разпоредби, свързани с DPO, залегнали в първоначалния му вариант. Липсват текстовете, които уреждаха, че длъжностното лице може да изпълнява задачите си по трудово или служебно правоотношение или въз основа на договор за услуги. Те не са заменени от друга разпоредба, т.е. проектът засега не ограничава бизнеса дали ще наеме физическо лице или фирма за тази дейност, нито под каква форма.
Защита на професионалната тайна и някои важни изключения
Първоначалният проект на практика дерогираше адвокатската, търговската или друга професионална тайна и разпореждаше, че те не са основание администраторът да откаже съдействие на Комисията за защита на личните данни. Сега в чл. 12а е записано следното: „Наличието на търговска, производствена или друга защитена от закона тайна не може да е основание за отказ от съдействие от страна на администратора и/или обработващия при осъществяване на задачите и правомощията на комисията. Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви „д“ и „е“ от Регламент (ЕС) 2016/679 може да се наруши задължение на администратора или обработващия за опазване на професионална тайна или друго равностойно задължение за опазване на тайна, произтичащо от закон, или до нейното разкриване в нарушение на разпоредба на закон, администраторът или обработващият отказва предоставяне и/или достъп само до информацията, защитена като тайна“.
Освен това проектът вече предвижда възможност за администраторите на лични данни да откажат на субектите на данни да упражнят част от правата си по GDPR (тези, регламентирани в чл. 12-22 от GDPR, например – данните им да бъдат заличени), ако с това би се създал риск за националната сигурност, независимостта на съдебната власт и съдебните производства, както и за „други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност“ и др. (за пълния списък виж чл. 37а в законопроекта).
Журналистите не искат съгласие при обработване на данни
След опасенията на медиите, че приемането на проекта за изменения в ЗЗЛД в първоначалния му вид може да възпрепятства работата им да информират обществото и да засегне свободата на словото, в текстовете са направени важни допълнения.
Сега изрично е записано, че при обработване на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване не се прилагат чл. 6, чл. 8-10, чл. 30, чл. 34 и глава пета от Регламент (ЕС) 2016/679. Това означава, че например няма да е необходимо журналистът да иска съгласие, когато събира лични данни. Регламентирано е и че фоторепортерите и операторите няма да искат съгласие, когато снимат някого.
Освен това медиите могат да откажат на човек, чиито данни са събрали, да ги изтрият, както и да упражни други свои права по GDPR (по чл. 12-21 от регламента).
Има и разпоредба, която предвижда, че проверките на КЗЛД в медиите и правомощията, които комисията има в тази връзка, не може да станат причина за разкриване на тайната на източника на информация.
Всички тези правила важат, когато обработването на лични данни за журналистически цели е законосъобразно. Според проекта то е такова, „когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот“.
8
Коментирайте
И все пак Комисията за личните данни си е пробутала една глобичка от 5000 лева, ще я прибират днеска и нощеска, това ще им е оборотната глоба. За по-голяма сума всеки ще съди комисията и има шанс да спечели, но за максимум 5000 лева, повечето нарушители по-скоро ще си затраят.
Излишна истерия и суетня! Излишни разходи за малките фирми, които и без това едвам свързват двата края.
Това със санкциите никак не е добре, защото в регламента те са между 2 и 4% от годишния оборот, което при нас, макар и в левове, е огромна сума. Да, няма мърдане от тези проценти, но има възможност за диференциране според конкретната национална икономическа конюктюра. Така в България може да бъде наложена глоба от 40 милиона лева.
Този проект е доста недовършена работа и ако бъде приет така, ще е по-скоро вреден. Причината е, че по всички важни или конфликтни въпроси, препраща към Регламента, а той пък не е закон и дава само общата рамка. В другите държави промените в местните закони дават яснота и насоки на всички заинтересовани страни. При нас от страх да не объркаме нещо, се създава един закон, който от сега е ясно, че няма да работи добре.
Естествено, че журналистите и фоторепортерите не трябва да искат съгласие. Нашата работа е в интерес на осведомеността на хората и свободата на словото.
Не е правилно администраторите на лични данни да отказват на хората заличаването на данните им.
Доволен съм, че няма да има изрично разписване на размери на санкциите за нарушения на Общия регламент за защита на данните.
Най-накрая в проекта пише, че Комисията за личните данни си дава 6 месеца, за да приеме необходимите подзаконови нормативни актове и то след обнародването на промените в този закон. От тези наредби и правилници се очаква да уредят в детайли прилагането на Регламента и на нашия закон. Излиза, че чак през април догодина ще имаме някаква яснота какво да правим с GDPR. А до тогава комисията ще си върти коня, както й харесва и ще се позовава на Регламента, който е доста разтеглив и може да се тълкува по-скоро във вреда на бизнеса.