Политики Съдебна власт Законът Пари Рокади Управление Без коментар
гореща точка - европа
01.02.2018
Брюксел одобри най-скъпия български европроект за над 1 млрд. лв.
29.06.2017
Петър Бакърджиев: България има за какво да се притеснява от заявленията за намаляване на разходите в ЕС виж всички
гореща точка - българия
22.03.2018
Поддръжката на оградата по границата ще се извършва без обществени поръчки
06.12.2017
Петър Бакърджиев: Само по себе си електронното управление няма да реши проблема на бизнеса виж всички
час пик
23.02.2018
Над 150 администрации могат да си "говорят" електронно
01.02.2018
Няма фирма, няма проблем виж всички
съобщения
16.05.2018
ЦОК организира семинар-обучение на тема „Защита и контрол при обработване и съхранение на личните данни в системата на образованието“ в гр. Варна
23.03.2018
Съобщение за свикване на редовно заседание на УС на ИПАИ виж всички
анализи
01.02.2018
Страсбург по наше дело: Намерете средство за защита срещу забавеното изпълнение на искове срещу държавата!
01.07.2017
ИПИ: Електронни търгове за справяне с корупцията в обществените поръчки виж всички
публикации
23.03.2018
Предварителна информация за промените във връзка с Общия регламент за защита на личните данни
31.01.2018
Горанов: Корупцията е вестникарско внушение виж всички
ПУБЛИКАЦИИ / ПУБЛИКАЦИИ
« назад към списъка 23.03.2018
Предварителна информация за промените във връзка с Общия регламент за защита на личните данни


Регламент (ЕС) 2016/679 въвежда съществени изменения в правната рамка и предвижда доста нови моменти, с които дейността на всички юридически и физически лица, работещи с лични данни ще следва да бъда съобразена.

Предварителна информация за промените във връзка с Общия регламент за защита на личните данни
Център за информационно и административно обслужване на ИПАИ, office@ipai-bg.eu
 

Регламент (ЕС) 2016/679 въвежда съществени изменения в правната рамка и предвижда доста нови моменти, с които дейността на всички юридически и физически лица, работещи с лични данни ще следва да бъда съобразена.

 

На първо място, има изменение в определението на понятието лични данни.

Според Регламентът „лични данни“ е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“).

Предвид измененията „физическо лице, което може да бъде идентифицирано“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

Освен това Регламентът въвежда нови легални дефиниции за генетични данни, биометрични данни, данни за здравословното състояние, а именно:

„Генетични данни“ са лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

„Биометрични данни“ са лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

„Данни за здравословното състояние“ са лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

 

Новото законодателство развива съществуващите понятия и въвежда някои нови действия, насочени към обработването на лични данни:

„Обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

„Профилиране“ е всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

„Псевдонимизация“ е обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.

Конкретизирано са и следните понятия:

„Регистър с лични данни“ - всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

„Администратор“ - физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

„Обработващ лични данни“ - физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

„Получател“ - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

„Трета страна“ - физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

„Съгласие на субекта на данните“ - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

 

Общият регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни, което е причина за неговото отложено прилагане, считано от 25 май 2018 г. Общият регламент за защита на личните данни въвежда редица задължения за администраторите и обработващи лични данни, някои от които са изцяло нови и непознати в досега действащата правна уредба. Тези задължения са :

- обработване на данните в съответствие с принципите за защита на личните данни, заложени в регламента, като е в състояние да докаже това (отчетност);

- осигуряване на защита на данните на етапа на проектирането и по подразбиране;

- определяне на длъжностно лице по защита на личните данни в изрично посочените от регламента случаи, поддържане на регистър на дейностите по обработване, за които отговаря;

- уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, както и документиране на всяко нарушение на сигурността на личните данни, в т.ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;

- извършване на оценка на въздействието върху защитата на данните;

- провеждане на предварителна консултация с надзорния орган преди обработването, когато оценката на въздействието покаже, че обработването ще породи висок риск, ако АЛД не предприеме мерки за ограничаване на риска;

- прилагане на подходящи технически и организационни мерки за осигуряване на сигурност на данните. В регламента са посочени и конкретни технически и организационни мерки за сигурност, като:

            - псевдонимизация;

            - криптиране;

- гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

- своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

- редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;

- сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи от регламента.

                                                   

Регламентът чувствително разширява правата на субектът на данни (физическото лице, за което се отнасят данните), като според измененията той има право на:

- информираност;

- достъп до собствените си лични данни;

- коригиране (ако данните са неточни);

- изтриване на личните данни (правото „да бъдеш забравен“);

- ограничаване на обработването от страна на администратора или обработващия лични данни;

- преносимост на личните данни между отделните администратори;

- възражение спрямо обработването на негови лични данни;

- субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;

- право на защита по съдебен или административен ред, в случай че правата на субекта на данни са били нарушени.

 

Регламентът вменява и едно ново и не особено леко задължение за администратора на личните данни, а именно спазването на процедури за управление на риска и оценка на въздействието. Предвидени са две отделни процедури, които достатъчно сложни и не особено леки. Посочените процедури предстои да бъдат конкретизирани в новото българско законодателство и да бъдат реализирани на практика, след националното право ги предвиди.

Регламентът въвежда и механизъм на сертифициране на администратора на лични данни във връзка със защитата на личните данни, чиято функция е да гарантира, че администраторът на лични данни изпълнява определените и предвидени от закона условия по защитата. Сертифицирането обаче не е предвидено от Регламента, като задължителна процедура. Новата нормативна база предвижда обаче като задължителни изисквания управлението на риска и оценката на въздействието, за което следва да са предвидени алгоритъм, критерии за нивата на въздействие, технически и организационни мерки по различните видове сигурност – физическа, персонална, документална, сигурност на автоматизираните информационни системи и криптографска сигурност.

 

Законът за изменение и допълнение на Закона за защита на личните данни, все още не е публикуван за обществено обсаждане.

Предвид това всякакви действия по закупуване на готови продукти, тяхното внедряване и изпълнение може да се окаже напълно излишно и недостатъчно, поради което администраторите на лични данни следва да са въздържат от такива действия, до влизането на измененията в сила./ Център за обучение и квалификация на ИПАИ