Последни новини

Стажант на „Георгиев, Тодоров и Ко.“ е обявен за най-добър оратор на второто състезание, организирано от Студентска научна академия „Ребус“

Адвокатско дружество „Георгиев, Тодоров и Ко.“ поздравява стажанта Вили Дацов за отличното му представяне в провелото се през месец май 2019г. второ състезание, организирано от Студентска научна академия „Ребус“. Състезанието…

Стажант на „Георгиев, Тодоров и Ко.“ е студент на годината в Софийски университет „Cв. Климент Охридски“

Адвокатско дружество „Георгиев, Тодоров и Ко.“ поздравява стажанта Александър Лешев за наградата му за „Студент на годината“ за академичната 2018-2019г. към Софийския университет „Св. Климент Охридски“. Наградата се връчва в…

„Георгиев, Тодоров и Ко.“ сред спонсорите на European Business Networking Evening 2019

Изключително удоволствие бе за адвокатско дружество „Георгиев, Тодоров и Ко.“ да бъде сред спонсорите на European Business Networking Evening 2019 – едно забележително събитие, обединило усилията на 10 двустранни търговски…

„Адвокатската професия е професия с бъдеще“ – едно интервю на проф. Иван Тодоров, управляващ съдружник на „Георгиев, Тодоров и Ко.“

Умният и практичен човек все по-често ще се съветва с адвоката си, казва управляващият съдружник в „Георгиев, Тодоров и Ко.“ Адвокат Тодоров, броят на адвокатите в страната се увеличи многократно…

Адвокатско дружество „Георгиев, Тодоров и Ко“ успешно защити на първа съдебна инстанция правата на болнично заведение в дело срещу НЗОК за плащане на надлимитна медицинска дейност

Aдвокатско дружество „Георгиев, Тодоров и Ко“ предяви от името на „Аджибадем Сити Клиник МБАЛ Токуда“ ЕАД искове срещу Националната здравноосигурителна каса („НЗОК“) за плащане на надлимитна медицинска дейност, оказана от…

юли 30, 2018

Какво трябва да знаем за официално внесения в Народното събрание ЗИД на Закона за защита на личните данни

in Български

След дълго очакване на 18.07.2018 г. Законът за изменение и допълнение на Закона за защита на личните данни беше внесен в Народното събрание. Законопроектът има за цел да въведе мерките, предписани от Регламент (ЕС) 2016/679, по- известен като GDPR, както и да транспонира Директива 2016/680 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

Внасянето на законопроекта бе предшествано от обществено обсъждане на първоначална версия на закона, започнало на 30.04.2018г.[1] , която понесе остра критика от браншови организации, бизнеса и неправителствения сектор. Част от критиките бяха адресирани в изменения законопроект, но част останаха встрани от вниманието на вносителите  въпреки сериозното обществено внимание. Настоящата статия има за цел да разясни в какво се изразяват основните разлики между двете версии на законопроекта.

1.     Отпадане на изненадващите минимални прагове на имуществените санкции по Регламента

Може би „най-голямата“ и приветствана промяна бе премахването на така или иначе противоречивите поради колизия с нормативен акт от по-висока степен (а именно Регламента) минимални прагове на глобите и имуществените санкции (чл. 88 от първоначалния вариант на законопроекта).

Предвидената  глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат.

Освен това ЗИД вече предвижда, че глобите/санкциите ще бъдат плащани в тяхната левова равностойност (което не бе тъй очевадно с оглед на предходната редакция), а редът за установяване, изпълнение и обжалване на нарушенията бе уточнено, че ще бъде по ЗАНН.

2.     Отпадане на допълнителния критерий за определяне на длъжностно лице по защита на данните (ДЛЗД)

Като положителна промяна следва да бъде коментирано премахването на текста, който задължаваше администраторите/ обработващите лични данни да определят длъжностни лица по защитата на данните („ДЛЗД“), в случаите когато те обработват „данните на повече от 10 000 физически лица“. Не без основание това бе една от разпоредбите, предизвикваща смут в бизнес средите, а и сред консултантите. Основната причина бе както отсъствието на този критерии в основния текст на Регламент (ЕС) 2016/679, така и твърде неопределеният характер на критерия от 10 000 – данни на служители, клиенти или трети лица се има предвид? Събрани за какъв период от време – последната 1-2-3 години или от основаването на дружеството? Защо да се прилага тази цифра без оглед на конкретната дейност по обработване на лични данни – поддържане на телефонен справочник на 10 000 лица или изготвяне на подробни профили на 10 000 потребителя на онлайн услуги еднакъв риск за личните данни ли пораждат?

Със законопроектът бе уточнено, че занапред за публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства, което ще ги задължи да назначат ДЛЗД.

3.     Съхранение на автобиографии вместо за 3 г. – до 6 месеца

Независимо от предмета си на дейност, всяко дружеството се явява администратор на лични данни по отношение на наемания персонал. Затова и в този контекст се очакваше и очаква законодателят, а и контролният орган – КЗЛД да внесе по-голяма яснота за прилагане на Регламента. Вместо това, обаче единствените правила, съдържащи се в първоначалната версия на законопроекта, уточняваха, че:

– работодателят няма право да копира документи за самоличност и СУМПС на свои служители (което бе изведено категорично и в досегашната практика на КЗЛД, макар и да не се спазваше);

– и възможността работодателят за съхранява автобиографии на неодобрени кандидати за срок от три години, което с изменения ЗИД бе ограничено на 6 мес., освен ако субектът на лични данни не даде изрично съгласие за съхранение за по- дълъг срок.

Новата редакция може да се приветства, тъй като предишният срок от 3 години беше твърде дълъг и по този начин – непропорционален на преследваната цел. Едва ли повечето работодатели биха прибегнали до бази данни на кандидати на 3 години, за да извършат нов подбор на персонал. От своя страна, кандидатите за работа също едва ли биха могли разумно да очакват, че ще бъдат потърсени 3 години след като са кандидатствали за позиция при този работодател.

Погледнато от друга перспектива обаче, въпросният срок от 6 месеца, който е заложен сега, е твърде кратък за работодатели, предлагащи сезонни работни места- хотелиери, ресторантьори, земеделски производители и стопани и прочие.

Като цяло закрепването на срок за съхранение на автобиографии се явява ненужно упражнение за законодателя, вместо да се уредят въпроси като:

  • Допустимостта за обработване на данни за съдебно минало на лица, за които липсва изрично законово задължение, но би могъл да се обоснове съществен легитимен интерес на работодателя (например ако се наема детегледачка, шофьор на детски автобус и пр.). Към настоящия момент обработването на такива данни е недопустимо поради отсъствие на разрешителна правна норма.
  • Обработване на чувствителни лични данни – медицински и такива за психическото здраве на лицата при наемане на персонал – при какви гаранции и въз основа на кое от основанията в Регламента следва да се извършва, за какъв срок и др.[2]
  • Допустимостта на провеждането на тестове за оценка на качествата на кандидата, вкл. интелигентност, кооперативност и др., които биха могли да доведат до обработване на „забранените“ чувствителни лични данни.

Отговор на тези въпроси се очаква и от страна на националния контролен орган – КЗЛД, която е призвана да дава разяснения по приложението на Регламента.

4.     Защитени от закона тайни като основание за отказ за разкриване на лични данни

Внесеният законопроект адресира и острата критика от страна на юридически среди, като предвиди, че защитената от закона тайна (професионална, търговска, произтичаща от специален закон- напр. адвокатската тайна, или равностойна), може да послужи като основание за отказ да бъдат предоставените лични данни, защитени от такава тайна, в случай че разкриването им бъде изисквано от  Комисията за защита на личните данни (КЗЛД) във връзка с контролните й правомощия по ЗЗЛД.

5.     Упражняване на правата на субектите на данни

Преработен бе и чл. 37а, като бе предвидено, че исканият на субектите на лични данни да упражнят правата си по чл. 12- 22 от Регламента могат да не бъдат уважавани в пълен или частичен обем, ако при това се създава риск за: националната сигурност, отбраната, обществения ред и сигурността, цели с висок обществен интерес в сферата на финансите, паричните, бюджетните и данъчни въпроси, дори и когато става въпрос за защитата на субекта на данните или правата и свободите на други лица. Промяната отговаря на духа на Регламента, а именно постигането баланс и пропорционалност между правата на субектите и обществения интерес.

Вместо заключение:

Макар обсъжданият законопроект, внесен в НС, да предложи по-разумен и интелигентен подход към прилагането на Регламент (ЕС) 2016/679 на национално ниво, някои въпроси и необходими законодателни инициативи така и не получиха своя отговор и изражение.

 

 

[1] Достъпна на www.strategy.bg

[2] Съображенията и необходимостта от разяснения отново са свързани с изискването на Регламента чувствителни данни да се обработват само при наличието на някое от изключенията по чл. 9, пар. 2 и само тогава, когато националното право разрешава и съдържа гаранции за правата и свободите на субектите на данни – срв. чл. 9, пар. 2, б. „б“, „ж“, „з“, „и“.