Авторите са адвокати в адвокатско дружество „Димитров, Петров и ко.“ Радослава Макшутова специализира в областта на правото на информационните и комуникационните технологии и защитата на личните данни. Правен експерт към Фондация „Право и Интернет“. Доц. д-р Мартин Захариев специализира в областта на правото на интелектуалната собственост, спорове с домейн имена, лични данни и арбитраж.

През пролетта на 2018 г. едно четирибуквено съкращение беше навсякъде – GDPR (от английското General Data Protection Regulation – Общ регламент за защита на данните). Темата за защитата на личните данни изведнъж се превърна във водеща, хората започнаха да обръщат повече внимание на това как и защо се обработват данните им, а бизнесите в Европейския съюз (ЕС) и извън него – да разучават новите изисквания и да се опитват да приведат дейностите си в съответствие. Причината бе, че от 25 май 2018 г. започна да се прилага новият европейски регламент за защита на данните. Той въведе по-строги изисквания за обработването на лични данни, придружени със сурови санкции за нарушения.

Какво се промени три години след като новите правила на GDPR започнаха да се прилагат и какво научихме?

1. GDPR не е равнозначен на забрана да се обработват лични данни

Три години по-късно вече знаем, че макар GDPR да въвежда множество изисквания, той не е равнозначен на забрана за обработване на лични данни. Всеки от нас присъства в обществото със своето име, професия и професионален опит, външен облик, знания, компетенции и мнение и обработването на тези данни е необходимо за нашето идентифициране, за да можем пълноценно да участваме в обществения живот и да бъдем различавани от другите. В допълнение, всеки от нас ежедневно има досег до лични данни и няма как това да се избегне, независимо дали попада в обхвата на GDPR или не. Нещо повече – няма бизнес или публичен орган, който в хода на нормалната си дейност да не обработва лични данни – за служители, за клиенти или техни представители/служители, за граждани и т.н.

2. „Пълното съответствие“ е продължителен процес

В последните три години често се говори за „пълно съответствие“ (full compliance) на един бизнес с GDPR и представата обикновено е за набор от документи, който трябва да бъде изготвен еднократно и с който може да се гарантира съответствието занапред. За съжаление изпълнението на изискванията на GDPR не е еднократно усилие по изготвяне на документи. Както всеки бизнес се развива, така и извършваните операции по обработване на лични данни се развиват и променят и прилаганите документи и процедури се нуждаят от редовен преглед и актуализация. Отделно от това, важно е не само администраторът (който определя защо и как се обработват лични данни) да разполага със съответните документи, но и да ги прилага ефективно в максимална степен. Дори една организация да има чудесни документи, ако на практика не ги спазва и това бъде установено от Комисията за защита на личните данни (КЗЛД) (като например нарушение на сигурността или събиране на данни без основание), тя ще бъде санкционирана въпреки приложимите по документи процедури. Както воденето на счетоводство е динамичен процес и предполага осчетоводяването на всяка стопанска операция, така и всяко обработване на лични данни следва да бъде документирано, в компанията да е ясно защо се извършва обработването и какви правила и гаранции трябва да се прилагат, за да се спазват изискванията на закона.

3. Научихме що е то „отчетност“ по GDPR

GDPR въведе нов принцип при обработването на лични данни – този на отчетността. Това означава, че администраторите на лични данни трябва да могат да докажат, че спазват всички принципи на GDPR (законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност). Какво означава това на практика? Най-често за целите на отчетността служат вътрешни документи на администратора, в които горните принципи намират място. Пример за такива са вътрешни правила, в които се определят задълженията на служителите по обработването на лични данни, политики за съхранение на лични данни, инструкции за спазване на технически и организационни мерки за обработване на лични данни, както и задължителните за почти всички администратори регистри на дейностите по обработване. В тези регистри се отразяват спецификите на основните процеси по обработване на данни – отношения с персонал, кандидати за работа, клиенти, доставчици, видеонаблюдение и др. Във връзка с принципа за прозрачност администраторът следва да информира лицата, чиито данни обработва, за извършваното от него обработване, като им предостави детайлна и лесно разбираема информация за това какви данни обработва, какви цели преследва с това и на какво основание. Субектите на данни трябва да са информирани и за какви срокове се пазят данните им, на кого могат да се разкриват, какви права имат хората и как могат да ги упражнят ефективно. В допълнение, администраторите трябва да прилагат процедури за разглеждане на искания за упражняване на права и за съобщаване в случай на нарушаване на сигурността (когато се изисква), съществени промени в обработването и всяка друга информация, която засяга значително хората.

4. Какво е длъжностно лице по защита на данните

GDPR въведе една нова фигура – на длъжностното лице по защита на данните (ДЛЗД). ДЛЗД не е задължително за всяка организация, обработваща данни, а само в някои случаи, очертани от GDPR. Такива са публичните органи (с изключение на съдилищата за съдебните им функции) и администраторите и обработващите, чиито основни дейности се състоят в редовно и систематично мащабно наблюдение на хора или в мащабно обработване на „чувствителни“ лични данни (като данни за здравето, биометрични данни, генетични данни и др. изчерпателно посочени в член 9 GDPR) и на лични данни, свързани с присъди и нарушения.

На първо място, всеки администратор в България е необходимо да уведоми КЗЛД за назначеното от него ДЛЗД. Това се случва чрез формуляр, публикуван на интернет страницата на КЗЛД, който може да бъде подаден и електронно с квалифициран електронен подпис.

Три години по-късно вече е значително по-ясно кой може да изпълнява функциите на ДЛЗД и кой – не. Като за начало няма пречка ДЛЗД да е служител на компанията, но също така е възможно да е външен за организацията човек или дори юридическо лице, което предоставя изпълнението на функцията „ДЛЗД“ като услуга. Когато ДЛЗД е служител, най-същественото е, че не трябва да има конфликт между функциите му на ДЛЗД и другите му трудови или служебни функции, ако съвместява такива. Най-честият пример за конфликт е, когато за ДЛЗД е назначен човек с управленчески функции в организацията, който на практика взема решения за това как да се обработват лични данни. Подобно назначение би било в противоречие със задължението ДЛЗД да е независим консултант и наблюдател за спазването на задълженията по GDPR и да посредничи и да си сътрудничи с надзорните органи. Иначе казано, в такава ситуация ДЛЗД би трябвало да контролира сам себе си, което е конфликт на интереси. Затова не може главният счетоводител, главният юрисконсулт, главният IT специалист, ръководителят на човешки ресурси, управителят и др. под. ръководни длъжности да бъдат определени и за ДЛЗД. При сключване на договор с юридическо лице за изпълнение на функциите на ДЛЗД най-същественото е, че макар да има сключен договор с дружество, за възложителя, ползващ услугите му, трябва да се посочи конкретно физическо лице, което ще бъде отговорно за неговото обслужване. Това се налага, тъй като формулярът за уведомяване за назначаване на ДЛЗД изисква попълване на данните на физическо лице, а и КЗЛД публикува изрични указания в този смисъл.

5. Администраторите вече не се регистрират

Преди GDPR да започне да се прилага, законът предвиждаше всеки администратор на лични данни да се регистрира пред КЗЛД, преди да започне обработването. С GDPR се въведе нов режим, при който всяка организация може да обработва лични данни, без да се регистрира. Това означава, че всички изисквания на GDPR се прилагат автоматично към всеки администратор и обработващ личните данни, стига обработването да попада в обхвата на Регламента. Не се искат формалности и допълнителни стъпки, за да се започне обработването. В същото време обаче организациите по всяко време носят тежестта да докажат, че спазват законовите изисквания за обработване на лични данни (виж т. 3 по-горе за отчетността).

6. Дори минималното обработване на лични данни поражда задължения по GDPR

Често срещан въпрос е в какъв мащаб обработването на лични данни поражда задължения по GDPR. Отговорът е, че макар GDPR да предвижда изключения от обхвата си, нито едно от тях не е свързано с обема или вида на обработваните данни. Например уебсайт, който събира единствено имейл адреси от потребителите, желаещи да получават бюлетин, се счита за администратор на данни и трябва да се съобрази с всички приложими правила на GPDR. Нещо повече – с решение от 2016 г. (C-582/14, по-известно като „Breyer“) Съдът на ЕС приема с известни условности, че динамичните IP адреси, обработвани от уебсайт, са лични данни, тоест всеки уебсайт, достъпен в интернет, би могъл да се приеме за администратор на лични данни, дори и да не събира каквито и да било други лични данни.

7. Съгласието не е всичко

През 2018 г. администраторите на лични данни започнаха масово да събират съгласия за обработване на данните на клиентите и служителите си. Тази практика не се ограничи до частни бизнеси и се стигна дотам дори държавни органи да изискват гражданите да попълнят форми за съгласие, за да изпълнят съответните си правомощия – например да предоставят дадена административна услуга по издаване на официални документи.

Три години по-късно вече знаем, че съгласието не е единственото основание за обработване на лични данни. Нещо повече – то трябва да се използва само когато никое от другите основания не би могло да се приложи. Причината е, че обработването на база съгласие дава специално право на лицата, чиито данни се обработват, да оттеглят съгласието си свободно и по всяко време и от този момент администраторът трябва да спре обработването и да изтрие данните. При съгласието отделният човек е „господар“ на обработването, защото има право да реши дали да даде съгласие, в какъв обем (т.е. за колко цели да даде съгласие) и докога да има обработване, т.е. кога да го оттегли. Тази свободна преценка дали да се даде съгласие не би могла да се направи в отношения, при които не е налице равнопоставеност между организацията и човека – например в отношения публичен орган – гражданин или работодател – работник или служител. Горните особености на съгласието биха могли да създадат сериозни проблеми на администратора, ако става дума например за данни в документи, които са му необходими за данъчни и счетоводни цели или пък данни в документи, чрез които би могъл да докаже изпълнението на задължения към клиент или търговски партньор или изпълнение на трудов договор. В горните примери администраторът би трябвало да използва други основания за обработване – като законово задължение, договор с физическото лице, легитимен интерес, а за публичните органи – изпълнение на официални правомощия.

8. Лични карти и шофьорски книжки не могат да се копират свободно

Според Закона за защита на личните данни (ЗЗЛД) лични карти, шофьорски книжки и документи за пребиваване могат да се копират само ако това е предвидено в закон. Един от честите примери за незаконосъобразна практика е, когато работодателите копират лични карти на служители при постъпването им на работа или дори на етап подбор. Трябва да се отбележи, че ограничението се отнася единствено за копиране на документа, не и за отделни данни от него, тоест данни като номер на лична карта, дата на издаване, дата на валидност и други подобни могат да се събират и съхраняват от администраторите и обработващите, без това да противоречи на ЗЗЛД. Разбира се, ако специален закон изисква копиране на такъв документ, това трябва да се направи – например като част от процедурите за идентифициране на физически лица по законодателството за мерките срещу изпиране на пари, в някои случаи при деклариране пред КАТ на действителния водач на МПС с оглед издаването на актове за нарушения на правилата за движение по пътищата и др. под.

9. Работодателите не могат винаги да изискват свидетелства за съдимост

В България, както и в много други държави, е обичайна практика работодателите да изискват свидетелство за съдимост от кандидатите за работа, както и понякога да извършват т.нар. background checks (проверки на миналото на кандидатите). Според GDPR данни, свързани с присъди и нарушения, могат да се обработват от лица, различни от официални органи, само когато обработването е разрешено от правото на ЕС или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на хората. Тоест необходимо е българското право изрично да определя, че за заемане на определената длъжност лицето не трябва да е осъждано, за да е законосъобразно изискването на свидетелство за съдимост от работодателя. Следва да се има предвид, че по българското право длъжностите, за които се изисква служителят или работникът да не е осъждан, са значително ограничени (например учител в училище). Това означава, че за голямата част от длъжностите работодателите биха били в нарушение на GDPR, ако изискат свидетелство за съдимост при подбора, без да могат да обосноват наличието на конкретна законова норма, изискваща събирането на такава информация за конкретната позиция.

10. Трябва да внимаваме с видеонаблюдението, ако то не обхваща само собствения ни имот

Чест казус в практиката е видеонаблюдението, поставено от физически лица в общи части на етажна собственост или пред сгради. Според практиката на КЗЛД камери в частни имоти, обхващащи и обществени места, са в нарушение на законодателството. Тоест видеонаблюдение, което обхваща например не само двора на сграда частна собственост, но и публични паркинги, тротоари и улици, би било в нарушение на GDPR. По отношение на общи части на сгради трябва да се вземе решение на общо събрание на етажната собственост по съответния ред, за да бъде видеонаблюдението законно и поставилият камерите да не носи отговорност, в случай че останалите собственици възразят.

Вместо заключение – какво има да учим?

Разбира се, през последните 3 години имаше някои сериозни казуси, свързани с нарушения на правилата за защита на личните данни, като масови изтичания на данни от публични и частни организации. Това показва, че всички ние има още много какво да учим на тема ефективно прилагане на правилата за защита на личните данни в ежедневната си дейност. Хубавата новина е, че днес, 3 години по-късно, в целия ЕС постепенно се натрупаха значителни знания и добри практики по темата. Горните примери са само част от това колко много нови неща научиха всички в България на тема лични данни – компетентни регулатори, публичните органи, частният бизнес. И това е правилният път към спазване на европейските правила за защита на данните – информиране за новите процеси и изисквания, трупане на нови знания за тях и постоянна грижа за внедряването им на практика в нашата дейност. Защото в центъра на този режим стои човекът с неговите права и свободи и гарантирането им е важен стълб на съвременното демократично общество, за функционирането на всеки публичен орган и за развитието на всеки успешен бизнес.

Представеният анализ няма характера на правен съвет или консултация и не следва да бъде възприеман като достатъчен за разрешаването на конкретни правни проблеми, казуси и др. Мненията, изразени тук, са единствено на авторите и не отразяват непременно тези Адвокатско дружество „Димитров. Петров и ко.“, неговите филиали или служители. Материалът е съобразен с действащото българско законодателство и законодателство на ЕС към 25.05.2021 г.

Тази публикация е част от ежедневния преглед на печата на правна тематика

Коментирайте

avatar