Общ регламент за защита на личните данни(GDPR). Практически насоки за прилагане на GDPR. Адвокат GDPR. Адвокат по лични данни.
На 6 април 2016 г. ЕС постигна съгласие за осъществяването на голяма реформа в областта на защитата на данните, като прие пакета за реформа на защитата на данните, включващ Общия регламент относно защитата на данните (английското му наименование е “GDPR”, с което е широко известен), който замени двадесет годишната Директива 95/46/ЕО („Директива за защита на данните“) и Директивата за полицейското сътрудничество. На 25 май 2018 г. новият общоевропейски инструмент за защита на данните — Общият регламент относно защитата на данните (наричан по-надолу „регламентът“), ще започне да се прилага пряко, две години след неговото приемане и влизането му в сила.
Новият регламент(GDPR) ще засили защитата на правото на физическите лица на защита на личните данни, като по този начин отразява същността на защитата на данните като основно право на Европейския съюз.
Като осигурява единен набор от правила, пряко приложими в правния ред на държавите членки, GDPR ще гарантира свободното движение на лични данни между държавите членки на ЕС и ще укрепи доверието и сигурността на потребителите, два абсолютно необходими елемента за създаването на истински цифров единен пазар. По този начин регламентът ще открие нови възможности за бизнеса и предприятията, особено за по-малките от тях, като също направи правилата за международно предаване на данни по-ясни.
Макар че новата рамка по GDPR за защита на данните се основава на съществуващото законодателство, тя ще има широкоспектърно въздействие и ще изисква значителни корекции в някои аспекти. По тази причина регламентът предвиди преходен период от 2 години — до 25 май 2018г., за да позволи на държавите членки и заинтересованите страни да се подготвят напълно за новата правна рамка.
През последните две години всички заинтересовани страни — от националните администрации и националните органи по защита на данните до администраторите на данни и обработващите лични данни, участваха в редица дейности, за да се гарантира, че значението и мащабът на промените, въведени с новата рамка за защита на данните, са добре разбрани и че всички участници са готови за нейното прилагане. Тъй като крайният срок 25 май наближава, следва да се отбележи, че е необходимо да се направи преглед на извършената работа и да се разгледат всякакви допълнителни мерки, които могат да бъдат полезни, за да се гарантира, че всички елементи за успешното привеждане в действие на новата рамка са налице.
В този контекст настоящото изложение цели да постигне най-малко следните ефекти:
- съдържа резюме на основните нововъведения и възможности, които се откриват благодарение на новото европейско законодателство за защита на данните, касаещо GDPR;
- прави преглед на подготвителната работа, извършена до момента на равнището на ЕС;
- посочва какво още трябва да се направи от Европейската комисия, националните органи за защита на данните и националните администрации за успешното приключване на подготовката по GDPR;
- посочва мерките, които Комисията възнамерява да предприеме през идните месеци по GDPR.
1.НОВАТА РАМКА ПО GDPR НА ЕС ЗА ЗАЩИТА НА ДАННИТЕ — ЗАСИЛЕНА ЗАЩИТА и НОВИ ВЪЗМОЖНОСТИ.
Следва коректно да се отбележи, че Регламентът продължава да следва подхода на Директивата за защита на данните, но въз основа на опита, натрупан от 20 години законодателство на ЕС за защита на данните и съответната съдебна практика, той пояснява и осъвременява правилата за защита на данните; с него се въвеждат редица нови елементи, които укрепват защитата на индивидуалните права и създават нови възможности за бизнеса и дружествата, по-специално:
На първо място Регламентът хармонизирана правна рамка, която ще доведе до еднакво прилагане на правилата в полза на единния цифров пазар на ЕС. Това означава един набор от правила за гражданите и предприятията. Това ще сложи край на днешното положение, при което държавите — членки на ЕС прилагат правилата на Директивата по различен начин. За да се осигури еднакво и последователно прилагане във всички държави членки се въвежда механизъм за „обслужване на едно гише“.
Важен ефект, които също се постига с прилагането на GDPR, е че той създава равнопоставени условия за всички дружества, осъществяващи дейност на пазара на ЕС. Регламентът изисква от дружествата, установени извън ЕС, да прилагат същите правила като тези, установени в неговите рамки, ако предлагат стоки и услуги, свързани с личните данни, или да наблюдават поведението на физически лица в Съюза. Дружествата, които са установени извън ЕС и извършват дейност на единния пазар на ЕС, трябва при определени условия да назначат свои представители в ЕС, към които гражданите и органите да могат да се обръщат в допълнение или вместо към дружеството със седалище в чужбина.
Регламентът налага и принципи на защита на данните по замисъл и подразбиране, които създават стимули за иновативни решения за справяне с проблемите, свързани със защитата на данните, още от самото начало.
С GDPR се създават и по-засилени права на физическите лица, като се въвеждат нови изисквания за прозрачност: засилени права на информация, достъп и изтриване (право „да бъдеш забравен“); мълчанието или липсата на действие вече няма да се разглеждат като валидно съгласие и ще се изисква ясно утвърдително действие за изразяване на съгласие; онлайн защита на децата.
GDPR създава и повече контрол върху личните данни на физическите лица. С регламента се създава ново право на преносимост на данните, което позволява на гражданите да изискват от дружество или организация да получат обратно лични данни, които са предоставили на това дружество или организация въз основа на предоставено съгласие или договор; в него се дава също възможност тези лични данни да се прехвърлят пряко на друго дружество или организация, когато това е технически осъществимо. Тъй като позволява директното предаване на лични данни от едно дружество или организация на друго, това право също ще подпомогне свободното движение на лични данни в ЕС, избягването на блокиране на лични данни, и ще насърчи конкуренцията между дружествата. Улесняването на гражданите да преминават от един доставчик на услуги на друг ще насърчи развитието на нови услуги в контекста на стратегията за цифровия единен пазар.
Регламентът създава по-силна защита срещу нарушенията на сигурността на личните данни. С регламента се установява всеобхватен набор от правила относно нарушенията на сигурността на личните данни. В него ясно се определя какво представлява „нарушение на сигурността на лични данни“, въвежда се задължение за уведомяване на надзорния орган не по-късно от 72 часа, когато има вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. При определени обстоятелства регламентът задължава да се уведоми лицето, чиито лични данни са засегнати от нарушението. Това значително засилва защитата в сравнение с настоящата ситуация в ЕС, в която само доставчиците на електронни съобщителни услуги, операторите на основни услуги и доставчиците на цифрови услуги са задължени да уведомяват за нарушения на сигурността на личните данни съгласно съответно Директивата за правото на неприкосновеност на личния живот в сектора на електронните комуникации („Директива за правото на неприкосновеност на личния живот и електронни комуникации“) и Директивата относно сигурността на мрежите и информационните системи („Директивата относно МИС“).
Чрез GDPR на всички органи по защита на данните се предоставя правомощието да налагат глоби на администраторите и обработващите лични данни. Понастоящем не всички от тях имат това право. Това ще даде възможност за по-добро прилагане на правилата. Глобите могат да достигнат до 20 милиона евро или, в случай на предприятие — 4 % от годишния оборот в световен мащаб.
Регламентът създава и повече гъвкавост за администраторите на данни и обработващите лични данни поради недвусмислените разпоредби относно отговорността (принципа на отчетност). GDPR се отклонява от система на уведомяванеи дава предпочитание на принципа на отчетност. Принципът на отчетност се осъществява на практика чрез задължения, които варират в зависимост от риска (например наличието на длъжностно лице за защита на данните или задължението за провеждане на оценки на въздействието върху защитата на данните). Въвежда се нов инструмент, който да помогне при оценяването на риска преди започването на обработката: оценка на въздействието върху защитата на данните. Оценката се изисква винаги, когато има вероятност обработването на данни да доведе до висок риск за правата и свободите на физическите лица. В този смисъл в регламента изрично са посочени три ситуации: когато дадено дружество оценява систематично и подробно личните аспекти на физическо лице (включително профилиране), когато обработва чувствителни данни в голям мащаб или системно осъществява мониторинг на обществени места в голям мащаб. Националните органи за защита на данните ще трябва да публикуват списъците на случаите, при които се изисква оценка на въздействието върху защитата на данните.
Общият Регламент създава повече яснота относно задълженията на обработващите лични данни и отговорността на администраторите, когато избират обработващ лични данни. Освен това той модернизира система на управление, за да се гарантира, че правилата се прилагат по-последователно и категорично. Това включва хармонизирани правомощия на органите за защита на данните, включително относно глобите, и нови механизми за сътрудничество на тези органи в мрежа.
Защитата на личните данни, гарантирана от Регламента, съпътства данните при предаването им извън ЕС и осигурява висока степен на защита. Въпреки че структурата на правилата относно международното предаване на данни в регламента по същество остава същата като тази, предвидена в Директивата от 1995 г., реформата изяснява и опростява тяхното използване и въвежда нови инструменти за предаването на данни. По отношение на решенията относно адекватността, регламентът предвижда точно определен и подробен набор от елементи, които Комисията трябва да отчита в оценката на това дали дадена чуждестранна система осигурява адекватна защита на личните данни. В GDPR също така се формализира и разширява броят на алтернативните инструменти за предаване, като стандартните договорни клаузи и задължителните фирмени правила.
След като бъдат приети преразгледаният Регламент за институциите, органите, службите и агенциите на ЕС и Регламентът относно зачитането на личния живот и защитата на личните данни в електронните съобщения („Регламент за неприкосновеността на личния живот и електронните съобщения“), които понастоящем са в процес на договаряне, ще бъде гарантирано, че ЕС разполага със стабилен и всеобхватен набор от правила за защита на данните.
2.ПОДГОТВИТЕЛНИ МЕРКИ ДО МОМЕНТА НА НИВО ЕС.
Успешното прилагане на GDPR изисква сътрудничество между всички участници в областта на защитата на данни: държавите членки, в т.ч. публичните администрации, националните органи за защита на данните (ОЗД), предприятията, организациите, обработващи лични данни, и физическите лица, както и Комисията.
2.1 Действия от страна на Европейската комисия.
Малко след като регламентът влезе в сила в средата на 2016 г., Комисията започна работа с органите на държавите членки, органите за защита на данните и заинтересованите страни, за да подготви прилагането на регламента и да предостави подкрепа и съвети.
а) оказване на подкрепа на държавите членки и техните органи.По време на преходния период Комисията работи в тясно сътрудничество с държавите членки в подкрепа на работата им, с оглед на това да се гарантира възможно най-високо равнище на съгласуваност. За тази цел Комисията създаде експертна група, която да съдейства на държавите членки в усилията им да се подготвят за привеждането в действие на регламента. Групата, която вече проведе заседания, играе ролята на форум, в чиито рамки държавите членки могат да обменят своя опит и експертиза. Комисията също участва в двустранни срещи с органите на държавите членки, в които се обсъждат въпросите, възникващи на национално равнище.
б) оказване на подкрепа за отделни органи за защита на личните данни и създаването на Европейски комитет по защита на данните. Комисията активно подкрепя работата на Работната група по член 29 също и с оглед на гарантирането на плавен преход към Европейския комитет по защита на данните.
в) международно измерение. Регламентът ще засили допълнително способността на ЕС активно да популяризира ценностите си в областта на защитата на данни и ще улесни трансграничните потоци от данни чрез насърчаване на сближаването на правните системи в световен мащаб. Правилата на ЕС за защита на данните все по-често се признават на международно равнище като установяващи едни от най-високите стандарти за защита на данните в света. Конвенция № 108 на Съвета на Европа, единственият правно обвързващ многостранен инструмент в областта на защитата на личните данни, също е в процес на осъвременяване. По отношение на Конвенцията Комисията работи в посока тя да може да отразява същите принципи като тези, заложени в новите правила на ЕС за защита на данните, и по този начин да спомогне за изграждането на единен набор от високи стандарти за защита на данните. Комисията активно ще насърчава бързото приемане на осъвременен текст на Конвенцията, за да може ЕС да стане страна по нея. Комисията насърчава държавите извън ЕС да ратифицират Конвенция № 108 на Съвета на Европа и допълнителния протокол към нея.
Освен това няколко държави и регионални организации извън ЕС — от непосредствено съседни държави до държави в Азия, Латинска Америка и Африка — са в процес на приемане на ново или на актуализиране на съществуващото законодателство в областта на защитата на данните, за да се възползват от възможностите, които предлага глобалната цифрова икономика, и за да отговорят на нарастващите нужди от засилване на сигурността на данните и защитата на неприкосновеността на личния живот. Въпреки че се наблюдават разлики в подхода на държавите в областта на защита на данните и в степента, в която са развили законодателството си, са налице признаци, че регламентът все повече служи за отправна точка и източник на вдъхновение.
В този контекст Комисията продължава да се занимава с международно популяризиране на своите стандарти в съответствие със съобщението си от януари 2017 г., като работи активно с ключови търговски партньори в Източна и Югоизточна Азия и Латинска Америка, с оглед на възможното приемане на решения относно адекватността.
По-специално Комисията работи с Япония за едновременното постигане на адекватно ниво на защита от двете страни до началото на 2018 г., както бе обявено в съвместната декларация на председателя Юнкер и министър-председателя Абе от 6 юли 2017 г. С Южна Корея също бяха започнати разговори с оглед на постигането на евентуално решение относно адекватността. Приемането на решение относно адекватността ще гарантира свободния поток на данни със съответните трети държави, като същевременно гарантира, че се прилага високо ниво на защита при предаването на лични данни от ЕС на тези държави.
В същото време Комисията непрестанно работи със заинтересованите страни, за да може да използва пълния потенциал на инструментариума на регламента за международно предаване на лични данни, като разработи алтернативни механизми за предаване на данни, приспособени към конкретните нужди на конкретни отрасли и/или оператори.
г) съвместна работа със заинтересованите страни. Комисията създаде многостранна група на заинтересованите страни относно регламента, състояща се от представители на гражданското общество, бизнеса, академичните среди и специалистите в областта. Тази група ще съветва Комисията, по-специално относно начините за постигане на подходящо ниво на осведоменост относно регламента сред заинтересованите страни.
Интересен момент за бизнеса е фактът, че Европейската комисия, чрез своята Рамкова програма за научни изследвания и иновации „Хоризонт 2020“, финансира действия за разработване на инструменти в подкрепа на ефективното прилагане на правилата на регламента по отношение на съгласието и на методите за анализ на данни, които зачитат неприкосновеността на личния живот, като например многостранните изчисления и хомоморфното криптиране.
2.2 Действия на Работната група по член 29(Европейския комитет по защита на данните).
Работната група по член 29 обедини всички национални органи по защита на данните, включително Европейския надзорен орган по защита на данните, играе основна роля в подготовката за прилагането на регламента, като издава насоки за дружествата и другите заинтересовани страни. Като органи за изпълнение на регламента и осъществяващи преки контакти със заинтересованите страни, националните органи за защита на данните са в най-добра позиция да предоставят допълнителна правна сигурност във връзка с тълкуването на регламента.
Работната група по член 29 актуализира своите съществуващи становища, включително по отношение на инструментите за предаване на данни в държави извън ЕС.
Тъй като наличието на цялостен и единен набор от насоки е от основно значение за операторите, настоящите насоки на национално равнище трябва да бъдат или отменени, или приведени в съответствие с насоките в същата област, приети от Работната група по член 29/Европейския комитет по защита на данните.
Комисията отдава голямо значение на факта, че тези насоки са предмет на обществена консултация преди финализирането им. От съществено значение е мненията на заинтересованите страни в този процес да бъдат възможно най-точни и конкретни, тъй като това ще спомогне да се идентифицират най-добрите практики и ще насочи вниманието на работната група по член 29 специфичните промишлени и отраслови характеристики. Крайната отговорност за тези насоки е на работната група по член 29 и бъдещия Европейски комитет по защита на данните и органите за защита на данните ще се обръщат към тях при прилагането на регламента.
Следва да е възможно насоките да се изменят в светлината на последните развития и практики. За тази цел е от съществено значение органите за защита на данните да насърчават култура на диалог с всички заинтересовани страни, включително с представители на бизнеса.
Важно е да се напомни, че когато става въпрос за тълкуването и прилагането на регламента, компетентни за окончателното тълкуване на регламента ще са съдилищата на национално и европейско равнище.
3.ФИНАЛНИ СТЪПКИ ЗА УСПЕШНА ПОДГОТОВКА.
3.1 Държавите членки да финализират създаването на правна рамка на национално равнище.
Ключов юридически факт е обстоятелството, че Регламентът ще се прилага пряко във всички 28 държави членки на ЕС. Това означава, че влиза в сила и се прилага независимо от националните правни мерки: гражданите, бизнесът, публичните администрации и други организации за обработка на лични данни при нормални обстоятелства могат пряко да се позовават на разпоредбите на регламента. Въпреки това, в съответствие с разпоредбите на регламента, държавите членки трябва да вземат необходимите мерки, за да адаптират законодателството си, като изменят и отменят съществуващите закони, създадат национални органи за защита на данните, изберат орган за акредитация и определят правилата за съвместяване на свободата на словото и защитата на данните.
Също така, регламентът дава възможност на държавите членки да уточнят в допълнителна степен прилагането на правилата за защита на данните в някои определени области: публичния сектор, заетостта и социалната сигурност, превантивната и трудовата медицина, общественото здраве, обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, националния идентификационен номер, публичния достъп до официални документи, и задълженията за пазене в тайна. Освен това за генетични, биометрични и други данни, свързани със здравословното състояние, регламентът оправомощява държавите членки да поддържат или да въведат допълнителни условия, включително и ограничения.
Действията на държавите членки в този контекст са ограничени от два елемента:
1.член 8 от Хартата в смисъл, че всеки национален специален закон трябва да отговаря на изискванията на член 8 от Хартата (и на регламента, който доразвива член 8 от Хартата), и
2.член 16, параграф 2 от ДФЕС, според който националното законодателство на може да възпрепятства свободното движение на лични данни в рамките на ЕС.
Регламентът представлява възможност да се опрости правната среда, и по този начин да се намалят националните правила и да се увеличи яснотата за операторите.
При адаптирането на националното си законодателство, държавите членки трябва да имат предвид, че национални мерки, които биха имали за последица създаването на пречка за прякото действие на регламента и застрашаващи едновременното му и еднакво прилагане в целия ЕС, са в противоречие с Договорите.
Повтарянето на текста на разпоредбите в националното право също е забранено (например повтаряне на определенията или правата на физическите лица), освен ако такива повторения са абсолютно необходими за постигане на съгласуваност и с цел подобряване на достъпността на национални закони, като ги направят по-разбираеми за лицата, за които те се прилагат. Буквалното възпроизвеждане на текста при транспонирането на регламента в националното право за спецификациите се допуска по изключение и следва да бъде обосновано и не може да се използва за добавяне на допълнителни условия или тълкувания към текста на регламента.
За тълкуването на регламента са оправомощени европейските съдилища (националните съдилища и като последна инстанция Съдът на Европейския съюз), а не законодателите в държавите членки. Националният законодател следователно не може нито да копира текста на регламента, когато това не е необходимо с оглед на критериите, предвидени в съдебната практика, нито да го тълкува или да добавя допълнителни условия по отношение на правилата, които са пряко приложими по силата на регламента. Ако това стане, операторите в Съюза отново ще се сблъскат с разпокъсаност на разпоредбите и няма да знаят кои правила да спазват.
На този етап само две държави членки вече са приели съответното национално законодателство; останалите държави членки са на различни етапи от законодателните си процедури и планират приемане на законодателството до 25 май 2018 г. От голямо значение е на операторите да се предостави достатъчно време, за да се подготвят за прилагането на всички разпоредби, които трябва да спазват.
Когато държавите членки не предприемат необходимите действия, които се изискват съгласно регламента, закъсняват с тях или се възползват от предвидените в Регламента разпоредби относно спецификациите, по начин, който противоречи на регламента, Комисията ще използва всички инструменти, с които разполага, в това число прибягването до производство за установяване на нарушение.
3.2 Органите за защита на данните да гарантират, че новият независим Европейски комитет по защита на данните функционира пълноценно.
От съществено значение е новият орган, създаден с регламента — Европейският комитет по защита на данните, който е приемник на работната група по член 29, да функционира пълноценно от 25 май 2018 г.
Европейският надзорен орган по защита на данните, който е органът за защита на данните, отговарящ за контрола на институциите и органите на ЕС, ще осигурява секретариата на Европейския комитет по защита на данните, за да се увеличат полезните взаимодействия и ефективността. През последните месеци Европейският надзорен орган по защита на данните започна необходимата за тази цел подготовка.
Европейският комитет по защита на данните ще играе основна роля за защитата на данните в Европа. Той ще допринесе за последователното прилагане на правото за защита на данните и ще предостави стабилна основа за сътрудничество между органите за защита на данните, включително Европейския надзорен орган по защита на данните. Европейският комитет по защита на данните не само ще издава насоки относно тълкуването на основни понятия от регламента, но също така ще бъде призован да приема решения със задължителен характер по спорове относно трансграничното обработване на данни. Това ще гарантира еднаквото прилагане на разпоредбите на ЕС и ще предотврати решаването на едно и също дело по различен начин в различните държави членки.
Гладкото и ефективно функциониране на Европейския комитет по защита на данните следователно е необходимо условие за доброто функциониране на системата като цяло. Сега повече от всякога е необходимо Европейският комитет по защита на данните да създаде обща култура на защита на данните за всички национални органи за защита на данните, за да се гарантира, че разпоредбите на регламента се тълкуват последователно. Регламентът насърчава сътрудничеството между органите за защита на данните, като им предоставя необходимите инструменти за ефективно и ефикасно сътрудничество: те по-специално ще могат да осъществяват съвместни операции, да приемат съгласувани решения и да преодоляват различията, които биха могли да имат по отношение на тълкуването на регламента, в рамките на Комитета чрез мнения и задължителни решения. Комисията насърчава органите за защита на данните да се възползват от тези промени и да коригират своето функциониране, финансиране и култура на труда, за да могат да отговорят на новите права и задължения.
3.3 Държавите членки да осигурят на националните органи за защита на данните необходимите финансови и човешки ресурси.
Установяването на напълно независими надзорни органи във всяка държава членка е от съществено значение, за да се гарантира защитата на физическите лица по отношение на обработката на техните лични данни в ЕС. Надзорните органи не могат ефективно да защитават индивидуалните права и свободи, ако не действат напълно независимо. Нарушаването на тяхната независимост и на ефективното упражняване на техните правомощия има широкообхватно отрицателно въздействие върху прилагането на законодателството в областта на защитата на данните.
Регламентът кодифицира изискването всеки орган за защита на данните да действа при пълна независимост. Той укрепва независимостта на националните органи за защита на данните и им предоставя еднакви правомощия в целия ЕС, така че те да разполагат с необходимото за ефективното разглеждане на жалби, за провеждането на ефективни разследвания, за вземането на решения със задължителен характер и за налагането на ефективни и възпиращи санкции. Освен това регламентът им дава правомощия да налагат административни глоби на администраторите или на обработващите лични данни в размер до 20 милиона евро или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, като се взема по-високата от двете суми.
Органите за защита на данните са естествените партньори и първата точка за контакт за широката общественост, предприятията и публичните администрации по въпросите относно регламента. Ролята на органите за защита на данните се изразява в уведомяване на администраторите и обработващите лични данни за задълженията им и повишаване на осведомеността на широката общественост и разбиране за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Това не означава обаче, че администраторите и обработващите лични данни следва да очакват от органите за защита на данните да им предоставят специално предназначено, индивидуализирано правно становище, каквото само юрист или длъжностно лице по защита на данните може да предостави.
Националните органи за защита на данните следователно играят централна роля, но относителното неравновесие между човешките и финансовите ресурси, отредени им в различните държави членки, може да застраши ефективността им, а в крайна сметка и пълната им независимост, изисквана съгласно регламента. То може също така да има отрицателно въздействие върху начина, по който органите за защита на данните могат да упражняват някои от своите правомощия, като например правомощията си за разследване. Държавите членки се насърчават да изпълняват правното си задължение да предоставят на своя национален орган за защита на данните човешките, техническите и финансовите ресурси, помещенията и инфраструктурата, необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия.
3.4 Предприятията, публичните администрации и другите организации, обработващи данни, следва стриктно да се подготвят за прилагането на новите правила.
Регламентът не промени съществено основните понятия и принципи на законодателството в областта на защитата на данните, въведени още през 1995 г. Това би следвало да означава, че, ако преобладаващата част от администраторите и обработващите лични данни вече са в съответствие със съществуващото право на ЕС за защита на данните, те няма да се нуждаят от съществени промени в операциите си по обработване на данни, за да спазят регламента.
Регламентът засяга най-силно операторите, чиято основна дейност е обработването на данни и/или боравенето с чувствителни данни. Той също така засяга операторите, които редовно и систематично наблюдават физически лица в голям мащаб. Тези оператори най-вероятно ще трябва да назначат длъжностно лице за защита на данните, да извършват оценка на въздействието върху защитата на данните и да уведомяват за нарушения на сигурността на данните, ако има риск за правата и свободите на физическите лица. За разлика от това, оператори, по-специално МСП, които не се занимават с високорискова обработка като своя основна дейност, обикновено не подлежат на тези специфични задължения по регламента.
За администраторите и обработващите лични данни е важно да предприемат задълбочен преглед на своя цикъл на политиката относно данните, така че ясно да се определят данните, които те притежават, с каква цел и на какво правно основание (напр. „изчисления в облак“; оператори във финансовия сектор). Те също така трябва да направят оценка на действащите договори, по-конкретно тези между администраторите и обработващите лични данни, възможностите за международно предаване на данни и общото управление (какви информационни технологии и организационни мерки да се въведат), включително назначаването на длъжностно лице за защита на данните. Основен елемент в този процес е да се гарантира, че в такива прегледи най-високото ниво на управление участва, предоставя своя принос, редовно получава актуална информация и че с него се провеждат консултации относно промените в политиката относно данните на предприятията.
За тази цел някои оператори прибягват до списъци за проверка на съответствието (вътрешни или външни), търсят съвети от консултанти и правни кантори и търсят продукти, които могат да изпълнят изискванията относно защитата на данните още при проектирането и по подразбиране. Всеки сектор трябва да разработи мерки, които са подходящи за спецификата на неговата област и са адаптирани към неговия бизнес модел.
Предприятията и другите организации, обработващи данни, също така ще могат да се възползват от новите инструменти, предвидени в регламента, като елемент за доказване на съответствието, например кодекси за поведение и механизми за сертифициране. Те представляват подходи „отдолу нагоре“, които идват от бизнес общността, асоциации или други организации, представляващи категории администратори или обработващи лични данни, и отразяват най-добрите практики, важните развития в даден сектор или могат да дадат информация за нивото на защита на данните, необходимо за някои продукти и услуги. Регламентът предвижда опростен набор от правила за такива механизми, като се вземат предвид пазарните реалности (напр. удостоверяване от сертифициращ орган или от орган за защита на данните).
Въпреки това, докато големите компании активно се подготвят за прилагането на новите правила, много МСП все още не са напълно наясно с бъдещите правила за защита на данните.
Накратко, операторите следва да се подготвят и да адаптират работата си към новите правила и да считат регламента за:
-възможност да „въведат ред в собствения си двор“ по отношение на това какви лични данни обработват и как ги управляват;
-задължение за разработване на продукти, зачитащи неприкосновеността на личния живот и защитата на данни, и за изграждане на нови отношения със своите клиенти на основата на прозрачност и доверие; както и
-възможност да дадат нов тласък на отношенията си с органите за защита на данните чрез отчетност и активно спазване.
3.5 Да се информират заинтересованите страни, по-специално гражданите и малките и средните предприятия.
Успехът на регламента се основава на добрата осведоменост на всички страни, засегнати от новите правила (бизнес средите и другите организации, обработващи данни, публичния сектор и гражданите). На национално равнище задачата да повишават осведомеността и да бъдат първа точка за контакт за администраторите, обработващите лични данни и физическите лица, имат органите по защита на данните. Като органи за правоприлагане на правилата за защита на данните на своя територия, органите за защита на данните също са в най-добра позиция да разясняват промените, въведени с регламента, на дружествата и публичния сектор, и за запознаване на гражданите с техните права.
Органите за защита на данните започнаха да информират заинтересованите страни в съответствие със специфичния национален подход. Някои провеждат семинари с публичните администрации, включително на регионално и местно равнище, и организират работни срещи с различни бизнес сектори, с цел да се повиши осведомеността относно основните разпоредби на регламента. Някои управляват специални програми за обучение на длъжностните лица по защита на данните. Повечето от тях предоставят информационни материали в различни формати на своите уебсайтове (контролни списъци, видеоматериали и др.).
Все още обаче гражданите не са достатъчно добре осведомени за промените и по-големите си права, които произтичат от въвеждането на новите правила за защита на данните. Инициативата за обучение и за повишаване на осведомеността, подета от органите за защита на данните, следва да бъде продължена и разширена, като се обърне особено внимание на МСП. Освен това националните секторни администрации могат да подкрепят дейностите на органите за защита на данните и въз основа на своите ресурси да проведат свои собствени информационни дейности сред различните заинтересовани страни.
4.ПОСЛЕДВАЩИ ЮРИДИЧЕСКИ СТЪПКИ.
През идните месеци се очаква Комисията да продължи да подкрепя активно всички участници в подготовката за прилагането на регламента.
а) работа с държавите членки
Комисията ще продължи да работи с държавите членки в периода преди май 2018 г. От май 2018 г. нататък Комисията ще проследи как държавите членки прилагат новите правила и ще предприеме действия, ако е необходимо.
б) нови насоки онлайн на всички езици на ЕС и дейности за повишаване на осведомеността
Комисията предоставя на разположение практически насоки, които да помогнат на предприятията, по-специално на МСП, публичните органи и гражданите, да спазват новите правила за защита на данните и да се възползват от тях.
Насоките са под формата на практически инструмент онлайн, който е на разположение на всички езици на ЕС. Онлайн инструментът ще бъде редовно актуализиран и е предназначен за три основни целеви групи: гражданите, предприятията (по-конкретно МСП) и другите организации и публичните администрации. Той се състои от въпроси и отговори, подбрани въз основа на обратната информация, получена от заинтересованите страни, с практически примери и връзки към различни източници на информация (напр. членове на регламента; насоки от работната група по член 29/Европейския комитет по защита на данните; и материали, разработени на национално равнище).
Комисията редовно ще актуализира инструмента, като добавя въпроси и актуализира отговорите на въпросите, въз основа на получената обратна информация и в светлината на евентуални нови въпроси, произтичащи от изпълнението.
Осведомеността за насоките ще бъде повишена чрез информационна кампания и дейности за разпространение във всички държави членки, насочени към предприятията и обществеността.
Доколкото регламентът предвижда засилени права на физическите лица, Комисията ще започне също дейности за повишаване на осведомеността и ще участва в мероприятия в държавите членки за информиране на гражданите относно ползите и въздействието от регламента.
в) финансова подкрепа за националните кампании и повишаването на осведомеността
Комисията подкрепя повишаването на осведомеността и усилията за привеждане в съответствие, предприети на национално равнище, чрез предоставяне на безвъзмездни средства, които могат да се използват за осигуряване на обучение на органите за защита на данните, публичната администрация, правните професии и длъжностните лица по защита на данните и за запознаване с регламента.
Около 1,7 милиона евро ще бъдат отпуснати за шестима бенефициери, които обхващат повече от половината от държавите членки на ЕС. Финансирането ще бъде насочено към местните публични власти, включително длъжностните лица за защита на данните в публичните органи на местно равнище, в публичните органи и от частния сектор, съдиите и юристите. Безвъзмездните средства ще бъдат използвани за разработване на материали за обучение на органите за защита на данните, длъжностните лица за защита на данните и други специалисти, както и програми като тези за „обучение на обучаващи“.
Комисията също така публикува покана за представяне на предложения, насочени конкретно към органите за защита на данните. Тя ще има общ бюджет от до 2 милиона евро и ще им оказва подкрепа за достигане на заинтересованите страни. Целта е да се предостави съфинансиране в размер на 80 % за мерки, предприети от органите по защита на данните в периода 2018—2019 г. за повишаване осведомеността на предприятията, по-специално на МСП, и да се отговори на техните запитвания. Това финансиране може да се използва и за повишаване на осведомеността сред обществото.
г) оценка на необходимостта от използване на правомощията на Комисията
Регламентът дава право на Комисията да издава актове за изпълнение или делегирани актове за оказване на допълнителна подкрепа за прилагането на новите правила. Комисията ще използва тези правомощия само когато има ясно изразена добавена стойност и въз основа на обратната информация, получена по време на консултацията със заинтересованите страни. По-специално Комисията ще търси начин за решаване на въпроса за сертифицирането, въз основа на проучване, възложено на външни експерти, и сведения и консултации по този въпрос от многостранната група на заинтересованите страни по регламента, създадена в края на 2017 г. Извършената от Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) работа в областта на киберсигурността също ще бъде от полза в този контекст.
д) интегриране на регламента в Споразумението за ЕИП
Комисията ще продължи работата си с трите държави от ЕАСТ (Исландия, Лихтенщайн и Норвегия) в Европейското икономическо пространство (ЕИП), с цел да включи регламента в Споразумението за ЕИП. Едва след като включването на регламента в Споразумението за ЕИП влезе в сила, личните данни ще могат да се движат свободно между държавите от ЕС и ЕИП по същия начин, както между държавите — членки на ЕС.
е) оттегляне на Обединеното кралство от ЕС
В контекста на преговорите за сключване на споразумение за оттегляне между ЕС и Обединеното кралство, въз основа на член 50 от Договора за Европейския съюз, Комисията ще продължи да прави необходимото за постигане на целта да се гарантира, че разпоредбите на правото на Съюза относно защитата на личните данни, приложими към деня преди датата на оттеглянето, продължават да се прилагат за личните данни, обработвани в Обединеното кралство преди датата на оттегляне. Например, засегнатите физически лица следва да продължат да имат право да бъдат информирани, право на достъп, право на коригиране, заличаване, ограничаване на обработването, преносимост на данните, както и право да направят възражение срещу обработването и да не бъдат обект на решение, основаващо се единствено на автоматизирано обработване, въз основа на съответните разпоредби на правото на Съюза, приложими към датата на оттегляне. Личните данни, посочени по-горе, следва да се съхраняват за срок не по-дълъг от необходимия за целите, за които тези лични данни са били обработвани.
Считано от датата на оттегляне, и при спазване на всички преходни разпоредби, които могат да се съдържат в евентуално споразумение за оттегляне, правилата от регламента за прехвърлянето на лични данни към трети държави ще се прилагат за Обединеното кралство.
ж) преглед на постигнатото през май 2019 г.
След 25 май 2018 г. Комисията ще следи отблизо прилагането на новите правила и ще има готовност да предприеме действия, ако възникнат значителни проблеми. Една година след започването на прилагането на регламента (2019 г.) Комисията ще организира мероприятие за преглед на натрупания от различните заинтересовани страни опит в прилагането на регламента. Резултатите от прегледа ще бъдат включени и в доклада, който Комисията трябва да представи до май 2020 г. относно оценката и прегледа на регламента. Този доклад ще бъде насочен по-специално, към международните трансфери и разпоредбите за сътрудничество и съгласуваност, които се отнасят до работата на органите за защита на данните.
Заключение.
На 25 май в целия ЕС ще започне да се прилага нов единен набор от правила за защита на данните. Новата рамка ще донесе значителни ползи на гражданите, предприятията, публичните администрации и другите сходни организации. Тя също така е възможност за ЕС да се превърне в световен лидер в областта на защитата на личните данни. Реформата обаче може да постигне успех само ако всички заинтересовани страни поемат своите задължения и права.
След приемането на регламента през май 2016 г. Комисията активно си взаимодейства с всички заинтересовани страни — правителства, национални органи, предприятия, организации на гражданското общество — с оглед на прилагането на новите правила. Извършена бе значителна работа за постигане на добра осведоменост и пълна подготовка, но предстои още работа. Подготовката в различните държави членки и на различните участници напредва с различни темпове. Освен това, ползите и възможностите, предоставяни от новите правила, не са известни на всички в еднаква степен. По-специално за МСП съществува необходимост от повишаване на осведомеността и подпомагане на усилията за привеждане в съответствие.
Поради това всички заинтересовани участници следва да засилят текущата работа за гарантиране на съгласувано прилагане и тълкуване на новите правила в целия ЕС и за повишаване на осведомеността сред предприятията и гражданите. Комисията ще подкрепя тези усилия чрез финансиране и административна подкрепа и ще спомогне за повишаване на общата осведоменост, като по-специално предложи инструментариум — насоки онлайн.
Данните стават много ценни за съвременната икономика и са от съществено значение за всекидневието на гражданите. Новите правила предлагат уникална възможност както за предприятията, така и за обществеността. Предприятията, особено по-малките, ще могат да се възползват от благоприятен за иновациите единен набор от правила и да „въведат ред в собствения си двор“ по отношение на личните данни за възстановяването на доверието на потребителите и да го използват като свое конкурентно предимство в целия ЕС. Гражданите ще могат да се възползват от по-добра защита на личните данни и да придобият по-добър контрол върху начина, по който дружествата боравят с данните им.
В съвременния свят с процъфтяваща цифрова икономика, Европейският съюз, неговите граждани и предприятия трябва да разполагат с всичко необходимо, за да извлекат ползите и да разбират потенциалните последици от икономиката, основана на данни. Новият регламент предлага необходимите инструменти, за да подготвим Европа за 21-ви век.
Автор: адв.Атанас Костов