НОВОЕ РЕГУЛИРОВАНИЕ № 679 / 27.04.2016 о защите персональных данных


О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных)

 
        С 25 мая 2018 года будет применяться Регламент (ЕС) 2016/679. Это касается защиты отдельных лиц в отношении обработки персональных данных. В Общем регламенте вводится ряд существенных изменений в действующей правовой базе и предъявляются более высокие требования к субъектам данных, что является причиной его отсрочки. Это будет обязательным для всех государств-членов ЕС. Однако они имеют право не применять Положение к вопросам, касающимся их национальной безопасности. Его цель - ввести более строгий контроль над персональными процессорами данных, что, соответственно, приведет к более высокому уровню защиты от данных. Процессор обязан соблюдать все установленные правила и нормы защиты персональных данных и несет солидарную ответственность за ущерб, причиненный администратором. В Положении вводится обязательство для обработчика данных запрашивать согласие контроллера всякий раз, когда он субподряды обрабатывает субподрядчика.
      К каким компаниям будут применяться Правила?
Дело в том, что правило применяется практически ко всем компаниям, потому что все компании имеют сотрудников и обрабатывают свои персональные данные. Конечно, в некоторых компаниях есть люди - клиенты, некоторые отрасли - финансовые учреждения, банки, больницы, компании электронной коммерции, отели - рядовые компании, тесно связанные с физическими лицами-клиентами. Таким образом, большое количество персональных данных, которые они обрабатывают, для своих клиентов. Но с точки зрения работодателя каждая компания будет администратором персональных данных, и по этой причине это справедливо для всех компаний.
     Как это изменит процедуру, с помощью которой компания может стать администратором данных?
Текущий режим таков, что каждый администратор, любая компания, являющаяся работодателем или обрабатывающая персональные данные своих клиентов, имеет статус администратора и должен зарегистрироваться в CPDP. Это обязательство будет отменено, оно не будет существовать в соответствии с новым постановлением. Но будет много других обязательств по отчетности, которые компании должны будут соблюдать. Им необходимо будет поддерживать специальные регистры для обработки персональных данных. Будут выдвинуты новые гипотезы, в которых им придется решать конкретные запросы и запросы на утверждение Комиссии, например, в контексте оценки рисков. Таким образом, с отменой требования о регистрации в качестве администратора персональных данных мы не можем сказать, что обязательства и обязанности сотрудников Банка в отношении отчетности и коммуникации будут смягчены.
     Обязанность подотчетности
Это является одним из основных новых правил в соответствии с Правилами. Это обязательство для всех работодателей и компаний, обрабатывающих персональные данные, документировать обработку персональных данных, должен быть документальный отчет о процессах и процедурах обработки персональных данных в компаниях: какие персональные данные обрабатываются, какова основа для обработки, как они хранятся, предоставляются третьим сторонам и каковы эти третьи стороны, каковы риски для отдельных лиц обрабатывать эти данные и каковы меры защиты, которые контроллер рассматривает, чтобы предотвратить нарушение безопасности данных. Таким образом, будет более широкая документация и обязательство отслеживать виды обработки, которые делают работодатели, а также юридические лица, которые предоставляют свои персональные данные в качестве процессоров. Работодатели должны убедиться, что у них есть согласие отдельных лиц предоставить свои конкретные данные конкретному юридическому лицу.
      Регистрация для обработки персональных данных
Для создания реестра обработки персональных данных создается требование. Согласно ст. 13 малых, средних и микропредприятий (до 250 сотрудников) освобождаются от этого обязательства. Это может быть в письменной форме или в электронном виде. Он будет записывать: тип обрабатываемых персональных данных; каковы цели обработки; Существуют ли какие-либо третьи стороны, которые имеют доступ к этим данным? каковы организационные и технические меры безопасности, предпринятые администратором для предотвращения нарушения безопасности и что он будет делать, если произойдет нарушение безопасности.
      Как будет осуществляться надзор за соблюдением новой правовой основы защиты персональных данных?
Единственным органом по надзору за защитой данных в Республике Болгария является Комиссия по защите личных данных. Таким образом, Комиссия будет следить за соблюдением Правил. В рамках своих полномочий Комиссия имеет право рассматривать жалобы от отдельных лиц, проводить проверки администраторов и переработчиков, выносить заключения, задължителни предписания и имуществени санкции. Новият Регламент значително увеличава максималния размер на налаганите глоби и имуществени санкции – до 10 млн. евро или до 2 % от годишния оборот на дружеството за предходната година (която от двете суми е по-висока).

      Права на субектите на лични данни, които администраторите трябва да съблюдават:

 

Според Регламента субектът на данни (физическото лице, за което се отнасят данните) има право на:

· Информираност;

· Достъп до собствените си лични данни;

· Коригиране (ако данните са неточни);

· Изтриване на личните данни (правото „да бъдеш забравен“);

· Ограничаване на обработването от страна на администратора или обработващия лични данни;

· Преносимост на личните данни между отделните администратори;

· Възражение спрямо обработването на негови лични данни;

· Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;

· Право на защита по съдебен или административен ред, в случай че правата на субекта на данни са били нарушени.

Специална категория лични данни

Към тази категория спадат генетични данни ( РНК и ДНК проби ), данни за здравословното състояние на субекта. Субектът на данните трябва да е изрично информиран от администраторите за обработването им и да е дал изрично съгласие за това. Към тази категория данни не спада снимковият материал.

Обработване на лични данни на деца

На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, заплахи и евентуални неблагоприятни последици от неправомерното обработване на данни, както и своите права. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е навършило 16 години. Ако то е под 16 години това обработване е законосъобразно само в случай, че родителите или настойникът са дали изрично съгласие за това.

         Предстои Комисията за защита на личните данни да внесе по-голяма яснота по отношение на прилагането на новия Регламент.

 

Автор: Янка Касапска, юрист



«Назад
 

НОВОЕ РЕГУЛИРОВАНИЕ № 679 / 27.04.2016 о защите персональных данных НОВОЕ РЕГУЛИРОВАНИЕ № 679 / 27.04.2016 о защите персональных данных