Общият регламент за защита на данните (GDPR) вече е в сила. Проектът за изменения в българския Закон за защита на личните данни, свързан с приложението му, още е до никъде – до 30 май тече общественото му обсъждане, а предстои същинската работа по осмисляне на многото критични становища, както и самото му приемане – първо от Министерския съвет, а после от Народното събрание.

Регламентът обаче не чака българския законодател и от днес се прилага директно. Какво ще се случи? Прогнозите варират от апокалипсис до нищо. Проучвания сред бизнеса в ЕС показват, че към днешна дата никой не може да твърди, че е напълно готов за GDPR, а това важи и за регулаторите на европейско и национално ниво, които трябва да следят за спазването и приложението на регламента. Именно от местните органи, натоварени с тази задача – в България това е Комисията за защита на личните данни (КЗЛД), зависи как ще оживеят в практиката новите правила. Това обаче ще отнеме време.

Неяснотите са много. Не само в България. И нуждата от информация доведе до там, че GDPR измести в търсачката Google певицата Бионсе. Юристите и IT специалистите, които са натоварени с приложението на новата регулация, създадоха собствен фолклор:

„- Познаваш ли добър специалист по защита на личните данни?

-Да.

– Можеш ли да ми дадеш имейла му?

– Не.“

Това е само един от вицовете, родени от истерията преди влизането в сила на регламента, който предвижда огромни санкции, достигащи в някои случаи 20 млн. евро.

Не на шега обаче от днес GDPR вече действа и е важно да припомним най-общо и без претенция за изчерпателност основните права, които той дава на всеки гражданин или субект на данните, както го нарича регламентът. Много от тях не са нови, но са доразвити.

Субект на данни е физическо лице, което е идентифицирано или може да бъде идентифицирано въз основа на определена информация, обяснява Комисията за защита на личните данни.

Според GDPR физическото лице, за което се отнасят данните, има право нa информираност. То има право да получи информация за самия администратор, както и за обработването на собствените му данни. Т.е. всеки има право да получи данни, идентифициращи администратора, както и негови координати за връзка, включително и тези на назначеното от него длъжностно лице по защита на данните (data protection officer – DPO). Гражданинът има право да знае какви са целите и правното основание за обработването, както и кои са получателите на данните му и дали администраторът има намерение да ги предаде на трета страна. Друга важна информация, която всеки може да получи, е за какъв срок се съхраняват личните му данни, както и извършва ли се профилиране въз основа на тях.

Към това се добавя и информация и за всички права, които има субектът на данни, както и правото му на жалба до надзорния орган – КЗЛД.

Всеки има право на достъп до собствените си лични данни и да поиска те да бъдат изтрити. Това е т. нар. право да бъдеш забравен. То може да се осъществи, ако е налице едно от следните условия:

  • Личните данни повече не са необходими за целите, за които са били събрани или обработвани
  • Субектът на данните е оттеглил съгласието си, въз основа на което се основава обработването на данните и няма друго правно основание то да продължи
  • Субектът на данните възразява срещу обработването и няма законни основания, които да имат преимущество;
  • Личните данни са били обработвани незаконосъобразно;
  • Личните данни трябва да бъдат изтрити, за да се спази правно задължение, уредено в правото на ЕС или в български нормативен акт

Правото да бъдеш забравен обаче не е абсолютно. Има ситуации, при които администраторът може да откаже да изтрие данните. Това може да се случи, когато обработването на конкретните данни е необходимо за упражняване на правото на свобода на изразяване и на информация. Основание за отказ е, ако данните са необходими за изпълнение на правно задължение, или на задача от обществен интерес, или за упражняване на публична власт, както и за целите на общественото здраве. Администраторът може да откаже да изтрие личните данни и ако те са необходими за установяване, упражняване или защитата на правни претенции. Те може да се пазят и за научноизследователски и исторически изследвания или за статистически цели.

За правото да бъдеш забравен в дигиталната среда от КЗЛД обясняват: „То изисква от администратора, който е направил личните данни обществено достъпни (например чрез публикуване в интернет) да уведоми другите администратори, които обработват тези лични данни, да изтрият всякакви връзки към тях или техните копия или реплики. Това се отнася преди всичко за интернет търсачките“.

Всеки може да поиска данните му да бъдат коригирани, ако са неточни, както и да ограничи обработването им от дадения администратор. Последното може да се случи, ако са налице конкретни условия. Комисията за защита на личните данни изброява някои от тях. Например ограничаването на обработването на данните може да се наложи, когато човекът оспорва точността им. Тогава в срока, от който администраторът се нуждае, за да провери дали това е така, обработването им ще е ограничено.

То ще е такова и ако обработването изначално е било неправомерно, но човекът не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им. Има хипотеза, при която администраторът не се нуждае повече от личните данни, но физическото лице ги изисква за установяването, упражняването или защитата на негови правни претенции.

Временно ограничено обработване ще има и в друга хипотеза – при възражение от субекта на данните срещу обработването им, докато тече проверка дали законните основания на администратора имат преимущество пред интересите на гражданина.

Възражението срещу обработването на лични данни, както и преди влизането в сила на GDPR, беше основно право, което се гарантира и от регламента. „Ако физическите лица възразят пред администратора срещу обработването на личните им данни, той е длъжен да прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг обработването следва да се прекрати незабавно“, обясняват от КЗЛД.

Съгласието за обработването на лични данни е един от най-важните моменти в регламента. То е едно от алтернативните основания за законосъобразното им обработване, т.е. не е недопустимо някой да ги използва и съхранява без съгласие, ако това е регламентирано в нормативен акт.

Какво значи да е дадено съгласие? Първо то трябва да е свободно изразено. Това означава, че не е дадено под натиск или заплаха от неблагоприятни последици, например по-висока цена на услуга. Освен това съгласието трябва да е конкретно. Това ще рече, че трябва отделно съгласие за всяка конкретно определена цел или категория лични данни. То трябва и да е информирано, т.е. дадено на основата на пълна, точна и лесно разбираема информация. Съгласието трябва да е недвусмислено, а не да се извлича или предполага въз основа на други изявления или действия на човека. Освен това то трябва да е дадено с активно действие – чрез изрично изявление или ясно потвърждаващо действие. „Мълчанието на лицето или предварително отметнати квадратчета за съгласие не могат да се приемат за валидно съгласие“, обяснява КЗЛД.

Абсолютно недопустимо е съгласието да бъде обвързано с предварителни условия от страна на администратора или да води до неблагоприятни последици при отказ да бъде предоставено или в последствие бъде оттеглено. От комисията предупреждават, че то може да не бъде прието за валидно, ако съществува зависимост или неравнопоставеност между субекта на данни и администратора – например в отношенията между гражданин и публичен орган или между работник и работодател.

И най-важното – всеки има право да оттегли съгласието си по всяко време, като начинът за това следва да бъде толкова лесен и достъпен, колкото този, по който е дадено.

Не на последно място, ако гражданин счита, че правото му на защита на личните данни и неприкосновеност е било нарушено, може да подаде жалба до КЗЛД. Има право и да оспори решенията на комисията пред съда.

Освен това GDPR дава право на всеки, който е претърпял материални или неимуществени вреди в резултат на нарушение на регламента, да получи обезщетение от администратора. „Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди“, предвижда регламентът.

8
Коментирайте

avatar
Картинки
 
 
 
Аудио и видео
 
 
 
Документи и архиви
 
 
 
нови хронологично най-добре оценени
Виолетка Стоянова
Виолетка Стоянова
28 май 2018 15:31
Регистриран

Този Регламент сукаш аз съм го писал.ОСНОВНИТЕ ЧОВЕШКИ ПРАВА са изведени на преден план, както в цялото Е право-тези права се дават на Човека от БОГ с факта на неговото раждане.Те са наддържавни и над политически, защитават се както от съда, така и от администрациите на всяка държава и фирма, ПРЕДИ И НАД всичко друго- затова са неотменяеми – съобразете се с тях.Така е прокламирано и в Конституцията на РБ и в Харта на основните права в ЕС.НАРОДА БЪЛГАРСКИ НЕ СЕ СЪСТОИ ОТ ПРЕСТЪПНИЦИ, а от м ъ д р е ц и . Слушайте мъдреците и „изкарайте“ прокуратурата от… Покажи целия коментар »

Кво стана...
Кво стана...
26 май 2018 1:51
Гост

Комисията за защита на личните данни като е КЗЛД защо Общия регламент за защита на данните не е ОРЗД, а е GDPR???
Преди 2 дни празнувахме 24 май, мама му стара…

Колега
Колега
25 май 2018 12:03
Гост

Европейската комисия каза още преди няколко месеца, че се чака една година да се види как ще се прилага GDPR, къде работи и къде не и чак след това ще има изглаждане на практиката и изискванията. Значи – до догодина и самите проверяващи няма да знаят какво да правят, аще гледат ангро. Споко.

Анонимен
Анонимен
25 май 2018 13:37
Гост

да, тепърва ще стане ясно какво ще стане, което обаче не отменя нервите, чуденето и работата в движение

Анонимен
Анонимен
25 май 2018 11:58
Гост

истерията е пълна, сайтът на комисията е като режим на тока през 80-те, две минути има три няма.

Анонимен
Анонимен
25 май 2018 7:39
Гост

това са основните права. а иначе какви ли не интерпретации, какви ли не глупости се чуха. сега слушам, че фотографите на вестниците щели да ходят по протести с бланки за съгласие на хората да бъдат снимани. що за глупост. четете го този регламент! има обществен интерес, има право на информация, свобода на изразяване…

kkk
kkk
25 май 2018 7:43
Гост

Вицът е чуден!
Keep calm and comply with GDPR 😉

запознат
запознат
25 май 2018 7:31
Гост

Истината е, че нищо няма да се случи докато законът не бъде приет. Комисията няма да години малките предприятия. Първи проверки ще минат системно обработващите лични данни и то най-рано в края на годината.