Последни новини

Нова по-ниска ставка ДДС от 9 % за ресторантьорските и кетъринг услуги – особености в прилагането

Екипът на Адвокатско дружество „Георгиев, Тодоров и Ко.“ постоянно следи за мерките за справяне с икономическите последствия от пандемията от коронавирус в страната. Юрисконсултът ни Вили Дацов подготви детайлна информация…

Адвокатско дружество „Георгиев, Тодоров и Ко.“ защити правата на държавно предприятие в спор за присъединяване към електропреносната мрежа

В края на месец юни 2020 г., Адвокатско дружество „Георгиев, Тодоров и Ко.“ успешно защити правата на държавното предприятие „Пристанище Бургас“ в административно дело по обжалване на решение на Комисията…

Как намалението на цената на газа изненадващо отне с обратна сила приходите на търговците в полза на държавния оператор?

Адвокатите ни Мария Дерелиева и Добрина Павлова, специализирани в областта на енергийно право, коментираха пред lex.bg спорни допълнения в Закона за енергетика, с които с обратна сила се преуреждат договорни…

Адвокатско дружество „Георгиев, Тодоров и Ко“ успешно защити правата на стoпански мрежови потребител в дело срещу електроразпределителен оператор

Aдвокатското дружество защити правата на концесионера на пристанищни терминали Бургас Изток 2 и Бургас Запад – „БМФ Порт Бургас“ в административно дело по обжалване на решение на Комисията за енергийно…

Отлично представяне на Адвокатско дружество „Георгиев, Тодоров и Ко“ в класацията на Legal 500 за 2020г.

Класацията на правната директория The Legal 500 за Европа, Близкия Изток и Африка вече е достъпна онлайн. Повече информация за България, разделена по сектори, можете да намерите тук. В тези…

юли 30, 2018

Какво трябва да знаем за официално внесения в Народното събрание ЗИД на Закона за защита на личните данни

in Български

След дълго очакване на 18.07.2018 г. Законът за изменение и допълнение на Закона за защита на личните данни беше внесен в Народното събрание. Законопроектът има за цел да въведе мерките, предписани от Регламент (ЕС) 2016/679, по- известен като GDPR, както и да транспонира Директива 2016/680 на Европейския Парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

Внасянето на законопроекта бе предшествано от обществено обсъждане на първоначална версия на закона, започнало на 30.04.2018г.[1] , която понесе остра критика от браншови организации, бизнеса и неправителствения сектор. Част от критиките бяха адресирани в изменения законопроект, но част останаха встрани от вниманието на вносителите  въпреки сериозното обществено внимание. Настоящата статия има за цел да разясни в какво се изразяват основните разлики между двете версии на законопроекта.

1.     Отпадане на изненадващите минимални прагове на имуществените санкции по Регламента

Може би „най-голямата“ и приветствана промяна бе премахването на така или иначе противоречивите поради колизия с нормативен акт от по-висока степен (а именно Регламента) минимални прагове на глобите и имуществените санкции (чл. 88 от първоначалния вариант на законопроекта).

Предвидената  глоба за други нарушения остава до 5 000 лева, като минималният праг от 1 000 лева е премахнат.

Освен това ЗИД вече предвижда, че глобите/санкциите ще бъдат плащани в тяхната левова равностойност (което не бе тъй очевадно с оглед на предходната редакция), а редът за установяване, изпълнение и обжалване на нарушенията бе уточнено, че ще бъде по ЗАНН.

2.     Отпадане на допълнителния критерий за определяне на длъжностно лице по защита на данните (ДЛЗД)

Като положителна промяна следва да бъде коментирано премахването на текста, който задължаваше администраторите/ обработващите лични данни да определят длъжностни лица по защитата на данните („ДЛЗД“), в случаите когато те обработват „данните на повече от 10 000 физически лица“. Не без основание това бе една от разпоредбите, предизвикваща смут в бизнес средите, а и сред консултантите. Основната причина бе както отсъствието на този критерии в основния текст на Регламент (ЕС) 2016/679, така и твърде неопределеният характер на критерия от 10 000 – данни на служители, клиенти или трети лица се има предвид? Събрани за какъв период от време – последната 1-2-3 години или от основаването на дружеството? Защо да се прилага тази цифра без оглед на конкретната дейност по обработване на лични данни – поддържане на телефонен справочник на 10 000 лица или изготвяне на подробни профили на 10 000 потребителя на онлайн услуги еднакъв риск за личните данни ли пораждат?

Със законопроектът бе уточнено, че занапред за публичен орган/ структура ще се считат и структури, чиято основна дейност е свързана с разходване на публични средства, което ще ги задължи да назначат ДЛЗД.

3.     Съхранение на автобиографии вместо за 3 г. – до 6 месеца

Независимо от предмета си на дейност, всяко дружеството се явява администратор на лични данни по отношение на наемания персонал. Затова и в този контекст се очакваше и очаква законодателят, а и контролният орган – КЗЛД да внесе по-голяма яснота за прилагане на Регламента. Вместо това, обаче единствените правила, съдържащи се в първоначалната версия на законопроекта, уточняваха, че:

– работодателят няма право да копира документи за самоличност и СУМПС на свои служители (което бе изведено категорично и в досегашната практика на КЗЛД, макар и да не се спазваше);

– и възможността работодателят за съхранява автобиографии на неодобрени кандидати за срок от три години, което с изменения ЗИД бе ограничено на 6 мес., освен ако субектът на лични данни не даде изрично съгласие за съхранение за по- дълъг срок.

Новата редакция може да се приветства, тъй като предишният срок от 3 години беше твърде дълъг и по този начин – непропорционален на преследваната цел. Едва ли повечето работодатели биха прибегнали до бази данни на кандидати на 3 години, за да извършат нов подбор на персонал. От своя страна, кандидатите за работа също едва ли биха могли разумно да очакват, че ще бъдат потърсени 3 години след като са кандидатствали за позиция при този работодател.

Погледнато от друга перспектива обаче, въпросният срок от 6 месеца, който е заложен сега, е твърде кратък за работодатели, предлагащи сезонни работни места- хотелиери, ресторантьори, земеделски производители и стопани и прочие.

Като цяло закрепването на срок за съхранение на автобиографии се явява ненужно упражнение за законодателя, вместо да се уредят въпроси като:

  • Допустимостта за обработване на данни за съдебно минало на лица, за които липсва изрично законово задължение, но би могъл да се обоснове съществен легитимен интерес на работодателя (например ако се наема детегледачка, шофьор на детски автобус и пр.). Към настоящия момент обработването на такива данни е недопустимо поради отсъствие на разрешителна правна норма.
  • Обработване на чувствителни лични данни – медицински и такива за психическото здраве на лицата при наемане на персонал – при какви гаранции и въз основа на кое от основанията в Регламента следва да се извършва, за какъв срок и др.[2]
  • Допустимостта на провеждането на тестове за оценка на качествата на кандидата, вкл. интелигентност, кооперативност и др., които биха могли да доведат до обработване на „забранените“ чувствителни лични данни.

Отговор на тези въпроси се очаква и от страна на националния контролен орган – КЗЛД, която е призвана да дава разяснения по приложението на Регламента.

4.     Защитени от закона тайни като основание за отказ за разкриване на лични данни

Внесеният законопроект адресира и острата критика от страна на юридически среди, като предвиди, че защитената от закона тайна (професионална, търговска, произтичаща от специален закон- напр. адвокатската тайна, или равностойна), може да послужи като основание за отказ да бъдат предоставените лични данни, защитени от такава тайна, в случай че разкриването им бъде изисквано от  Комисията за защита на личните данни (КЗЛД) във връзка с контролните й правомощия по ЗЗЛД.

5.     Упражняване на правата на субектите на данни

Преработен бе и чл. 37а, като бе предвидено, че исканият на субектите на лични данни да упражнят правата си по чл. 12- 22 от Регламента могат да не бъдат уважавани в пълен или частичен обем, ако при това се създава риск за: националната сигурност, отбраната, обществения ред и сигурността, цели с висок обществен интерес в сферата на финансите, паричните, бюджетните и данъчни въпроси, дори и когато става въпрос за защитата на субекта на данните или правата и свободите на други лица. Промяната отговаря на духа на Регламента, а именно постигането баланс и пропорционалност между правата на субектите и обществения интерес.

Вместо заключение:

Макар обсъжданият законопроект, внесен в НС, да предложи по-разумен и интелигентен подход към прилагането на Регламент (ЕС) 2016/679 на национално ниво, някои въпроси и необходими законодателни инициативи така и не получиха своя отговор и изражение.

 

 

[1] Достъпна на www.strategy.bg

[2] Съображенията и необходимостта от разяснения отново са свързани с изискването на Регламента чувствителни данни да се обработват само при наличието на някое от изключенията по чл. 9, пар. 2 и само тогава, когато националното право разрешава и съдържа гаранции за правата и свободите на субектите на данни – срв. чл. 9, пар. 2, б. „б“, „ж“, „з“, „и“.