Последни новини

„Георгиев, Тодоров и Ко.“ подкрепи регионална кръгла маса “Канада – България: СЕТА – Икономическо партньорство за повече бизнес възможности”.

Адвокатска кантора „Георгиев, Тодоров и Ко.“ имаше удоволствието да подкрепи провелата се на 05.12.2018г. в Пловдив първа по рода си регионална кръгла маса “Канада – България: СЕТА – Икономическо партньорство…

Експертен екип на „Георгиев, Тодоров и Ко.“ публикува българския раздел на Getting The Deal Through – Pharmaceutical Antitrust 2018

Публикацията, подготвена от Илиян Беслемешки, партньор в адвокатско дружество „Георгиев, Тодоров и Ко.“, Лена Бориславова, LL. M. Harvard Law School и Моника Маркова, LL. B University of Manchester предоставя сравнителен…

Проф. Иван Тодоров допринесе за решаване на конституционно дело № 13/2017 г. с предоставено правно становище

Конституционният съд на Република България се произнесе с решение по образуваното на 11.12.2017 г. дело, касаещо искане за даване на задължително тълкуване на чл. 125, ал. 2 от Конституцията на…

юли 30, 2018

Какво трябва да знаем за официално внесения в Народното събрание ЗИД на Закона за защита на личните данни

in Български

След дълго очакване на 18.07.2018 г. Законът за изменение и допълнение на Закона за защита на личните данни беше внесен в Народното събрание. Законопроектът има за цел да въведе мерките, предписани от Регламент (ЕС) 2016/679, по- известен като GDPR, както и да транспонира Директива 2016/680 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

Внасянето на законопроекта бе предшествано от обществено обсъждане на първоначална версия на закона, започнало на 30.04.2018г.[1] , която понесе остра критика от браншови организации, бизнеса и неправителствения сектор. Част от критиките бяха адресирани в изменения законопроект, но част останаха встрани от вниманието на вносителите  въпреки сериозното обществено внимание. Настоящата статия има за цел да разясни в какво се изразяват основните разлики между двете версии на законопроекта.

1.     Отпадане на изненадващите минимални прагове на имуществените санкции по Регламента

Може би „най-голямата“ и приветствана промяна бе премахването на така или иначе противоречивите поради колизия с нормативен акт от по-висока степен (а именно Регламента) минимални прагове на глобите и имуществените санкции (чл. 88 от първоначалния вариант на законопроекта).

Предвидената  глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат.

Освен това ЗИД вече предвижда, че глобите/санкциите ще бъдат плащани в тяхната левова равностойност (което не бе тъй очевадно с оглед на предходната редакция), а редът за установяване, изпълнение и обжалване на нарушенията бе уточнено, че ще бъде по ЗАНН.

2.     Отпадане на допълнителния критерий за определяне на длъжностно лице по защита на данните (ДЛЗД)

Като положителна промяна следва да бъде коментирано премахването на текста, който задължаваше администраторите/ обработващите лични данни да определят длъжностни лица по защитата на данните („ДЛЗД“), в случаите когато те обработват „данните на повече от 10 000 физически лица“. Не без основание това бе една от разпоредбите, предизвикваща смут в бизнес средите, а и сред консултантите. Основната причина бе както отсъствието на този критерии в основния текст на Регламент (ЕС) 2016/679, така и твърде неопределеният характер на критерия от 10 000 – данни на служители, клиенти или трети лица се има предвид? Събрани за какъв период от време – последната 1-2-3 години или от основаването на дружеството? Защо да се прилага тази цифра без оглед на конкретната дейност по обработване на лични данни – поддържане на телефонен справочник на 10 000 лица или изготвяне на подробни профили на 10 000 потребителя на онлайн услуги еднакъв риск за личните данни ли пораждат?

Със законопроектът бе уточнено, че занапред за публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства, което ще ги задължи да назначат ДЛЗД.

3.     Съхранение на автобиографии вместо за 3 г. – до 6 месеца

Независимо от предмета си на дейност, всяко дружеството се явява администратор на лични данни по отношение на наемания персонал. Затова и в този контекст се очакваше и очаква законодателят, а и контролният орган – КЗЛД да внесе по-голяма яснота за прилагане на Регламента. Вместо това, обаче единствените правила, съдържащи се в първоначалната версия на законопроекта, уточняваха, че:

– работодателят няма право да копира документи за самоличност и СУМПС на свои служители (което бе изведено категорично и в досегашната практика на КЗЛД, макар и да не се спазваше);

– и възможността работодателят за съхранява автобиографии на неодобрени кандидати за срок от три години, което с изменения ЗИД бе ограничено на 6 мес., освен ако субектът на лични данни не даде изрично съгласие за съхранение за по- дълъг срок.

Новата редакция може да се приветства, тъй като предишният срок от 3 години беше твърде дълъг и по този начин – непропорционален на преследваната цел. Едва ли повечето работодатели биха прибегнали до бази данни на кандидати на 3 години, за да извършат нов подбор на персонал. От своя страна, кандидатите за работа също едва ли биха могли разумно да очакват, че ще бъдат потърсени 3 години след като са кандидатствали за позиция при този работодател.

Погледнато от друга перспектива обаче, въпросният срок от 6 месеца, който е заложен сега, е твърде кратък за работодатели, предлагащи сезонни работни места- хотелиери, ресторантьори, земеделски производители и стопани и прочие.

Като цяло закрепването на срок за съхранение на автобиографии се явява ненужно упражнение за законодателя, вместо да се уредят въпроси като:

  • Допустимостта за обработване на данни за съдебно минало на лица, за които липсва изрично законово задължение, но би могъл да се обоснове съществен легитимен интерес на работодателя (например ако се наема детегледачка, шофьор на детски автобус и пр.). Към настоящия момент обработването на такива данни е недопустимо поради отсъствие на разрешителна правна норма.
  • Обработване на чувствителни лични данни – медицински и такива за психическото здраве на лицата при наемане на персонал – при какви гаранции и въз основа на кое от основанията в Регламента следва да се извършва, за какъв срок и др.[2]
  • Допустимостта на провеждането на тестове за оценка на качествата на кандидата, вкл. интелигентност, кооперативност и др., които биха могли да доведат до обработване на „забранените“ чувствителни лични данни.

Отговор на тези въпроси се очаква и от страна на националния контролен орган – КЗЛД, която е призвана да дава разяснения по приложението на Регламента.

4.     Защитени от закона тайни като основание за отказ за разкриване на лични данни

Внесеният законопроект адресира и острата критика от страна на юридически среди, като предвиди, че защитената от закона тайна (професионална, търговска, произтичаща от специален закон- напр. адвокатската тайна, или равностойна), може да послужи като основание за отказ да бъдат предоставените лични данни, защитени от такава тайна, в случай че разкриването им бъде изисквано от  Комисията за защита на личните данни (КЗЛД) във връзка с контролните й правомощия по ЗЗЛД.

5.     Упражняване на правата на субектите на данни

Преработен бе и чл. 37а, като бе предвидено, че исканият на субектите на лични данни да упражнят правата си по чл. 12- 22 от Регламента могат да не бъдат уважавани в пълен или частичен обем, ако при това се създава риск за: националната сигурност, отбраната, обществения ред и сигурността, цели с висок обществен интерес в сферата на финансите, паричните, бюджетните и данъчни въпроси, дори и когато става въпрос за защитата на субекта на данните или правата и свободите на други лица. Промяната отговаря на духа на Регламента, а именно постигането баланс и пропорционалност между правата на субектите и обществения интерес.

Вместо заключение:

Макар обсъжданият законопроект, внесен в НС, да предложи по-разумен и интелигентен подход към прилагането на Регламент (ЕС) 2016/679 на национално ниво, някои въпроси и необходими законодателни инициативи така и не получиха своя отговор и изражение.

 

 

[1] Достъпна на www.strategy.bg

[2] Съображенията и необходимостта от разяснения отново са свързани с изискването на Регламента чувствителни данни да се обработват само при наличието на някое от изключенията по чл. 9, пар. 2 и само тогава, когато националното право разрешава и съдържа гаранции за правата и свободите на субектите на данни – срв. чл. 9, пар. 2, б. „б“, „ж“, „з“, „и“.