GDPR: една година по-късно

Още в началото на 2019 на сайта на Европейския парламент се появи малък доклад с данни за резултатите от първите месеци на действието на общия регламент за защита на данните, влязъл в сила през май 2018 г.

По повод изтичането на първата година има повече  публикации, вкл. специално прессъобщение на ЕК и  инфографика Регламентът в числа.

•     67% от европейците са чували за регламента;
•     57% от европейците знаят, че в тяхната страна има  орган, отговорен за защитата на техните права относно личните данни;
•     20% знаят кой държавен орган е отговорен;
•     144,376 е общият брой на запитванията и жалбите до съответния орган;
•     най-много оплаквания има в областите телемаркетинг, промоционални имейли и видеонаблюдение;
•     89,271 е броят на уведомленията за нарушаване на данните;
•     446 трансгранични дела;
•     25 държави членки на ЕС са приели необходимото национално законодателство, но три са все още в процес  (Гърция, Словения и Португалия).

У нас

Регламентът беше въведен в законодателството. Президентът наложи вето, което беше преодоляно. Въвеждането на журналистическото изключение се оспорва пред Конституционния съд.

Комисията за защита на личните данни е приела Стратегията за развитие в областта на защитата на личните данни.

ЦИК и КЗЛД приеха съвместни указания относно обработването и защитата на личните данни в изборния процес

КЗЛД относно защитата на личните данни в контекста на прилагане на Закона за обществените поръчки (ЗОП)

КЗЛД   относно правото „да бъдеш забравен” в контекста на обработване на лични данни за журналистически цели

КЗЛД  относно сроковете за съхранение на лични данни на участници в процедури по набиране и подбор на персонал

КЗЛД: становища относно прилагането на Регламент 2016/679 (GDPR)

КЗЛД прие становищa по актуални въпроси, свързани с приложението на Регламент 2016/679 (Общ регламент относно защита на данните)

В отговор на запитвания от банки и пощенски оператори, КЗЛД направи тълкуване на правните фигури „администратор” и „обработващ лични данни” в контекста на предоставянето на услуги.

Позицията на КЗЛД, изразена в няколко становища, е следната:

 „1. Дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, по принцип не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Примери за такива администратори са пощенските оператори, банките и застрахователните дружества.

2. Предвид многообразието от обществени отношения и в съответствие с принципа за отчетност, регламентиран в чл. 5, параграф 2 от Регламент (ЕС) 2016/679, участниците в търговския и гражданския оборот следва сами да определят във всеки отделен случай какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ или съвместни администратори. Техният избор не следва да е формален и трябва да гарантира в най-голяма степен съответствие с изискванията на Регламент (ЕС) 2016/679 и ефективна защита на правата на субектите на данни.”

Пълният текст на становищата за 2018 е на сайта на КЗЛД.

Измененията на Закона за защита на личните данни по GDPR – внесени в парламента

От сайта на парламента –

Законопроект за изменение и допълнение на Закона за защита на личните данни

Както ще установите,  с пар. 25 и следващите се предлагат изменения в десетки други закони.  В голяма част от тях препратката към Закона за защита на личните данни се заменя с  „изискванията за тяхната защита“, но в някои закони има и по-обстойни промени.

Мотивите започват необичайно, с теоретична рамка – четвъртата индустриална революция

Всеобхватната дигитализация на света около нас, известна още като „4-та индустриална революция“, налага цялостно преосмисляне на подходите към защитата на личните данни и личната неприкосновеност.

Целите на проекта са описани така:

Целите на законопроекта са насочени към осигуряването на ефективното прилагане на Общия регламент относно защитата на данните и изпълнение на задълженията на Република България като държава – членка на ЕС, във връзка с въвеждане в националното законодателство на законодателен акт (директива) на ЕС, с който се определят особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

Какво съдържа проектът:

С проекта на закон се регламентират както въпросите, по които е оставена свобода на държавите членки, така и въпросите, които изискват изрично въвеждане на законодателни мерки на национално ниво с цел осигуряване изпълнението на новия законодателен пакет в областта на защитата на личните данни.

и в частност:

Актуализиран понятиен апарат: Регламентът значително разширява досегашния понятиен апарат в областта на защитата на личните данни. С предлаганите законодателни промени използваната терминология се актуализира в съответствие с Регламент 2016/679 и Директива 2016/680.

Регистрация на администратори: от 25 май 2018 г. отпада задължението за регистрация на администраторите на лични данни в Комисията за защита на личните данни. Това обстоятелство е отчетено в проекта на законови изменения и допълнения, като е предложено отменяне на досегашните текстове, уреждащи задължителната регистрация като администратор на лични данни.

Особени ситуации на обработване на лични данни: законопроектът предлага по-детайлно регламентиране на отделни групи обществени отношения, като упражняването на правото на свобода на изразяване и информация, включително за журналистически цели и за целите на академичното, художественото или литературното изразяване; обработване на лични данни в контекста на трудови/служебни правоотношения; законово регламентиране в специални закони на публичния достъп до ЕГН; изключване на данните на починали лица от кръга на личните данни.

Административни санкции на публични органи: не се предвижда разграничаване в санкционния режим при нарушение на правилата за защита на личните данни между публични и частни администратори.

Подзаконова уредба: с оглед на голямото разнообразие на материята, уредена с Общия регламент, съответно със ЗЗЛД, в предложените промени е предвидена законодателна делегация за приемане на подзаконови актове, като наредба в областта на сертифицирането, както и ненормативни документи, като например минималните изисквания при систематично мащабно видеонаблюдение на публично достъпни зони, както и по отношение на автоматизираното вземане на индивидуални решения, включително профилиране.

КЗЛД: лични данни, обвиняеми, журналистика

КЗЛД прие становище в отговор на постъпило запитване от Главния прокурор на Република България, относно приложението на Регламент (ЕС) 2016/679 при публикуване на прессъобщения и предоставяне на информация за журналистически цели от Прокуратурата на Република България.

В своето становище КЗЛД прави анализ на поставените въпроси при прилагане  на новите европейски правила за защита на данните, дефинирани в Регламент (ЕС)2016/679 (Общ регламент за защита на данните) и Директива (ЕС) 2016/680 за защита на личните данни в полицейската и наказателната дейност.

В отговор на поставените въпроси, КЗЛД изразява следното становище:

„1. Публикуването на лични данни на обвиняеми лица в досъдебното производство на интернет страниците на прокуратурите, както и предоставянето им на медиите за журналистически цели е законосъобразно, когато има законово задължение или е налице надделяващ обществен интерес. В случаите, когато с оглед на общественополезната цел е невъзможно или нецелесъобразно информацията да бъде публикувана в анонимизиран или псевдонимизиран вид, тогава посочването на името, длъжността или местоработата на обвиняемия биха били достатъчни за постигане на обществена осведоменост, докато публикуването на ЕГН, адрес, връзки с трети лица извън процеса и пр. би било прекомерно.

2. По правило не бива да се публикуват или разкриват по друг начин лични данни на други участници в досъдебното производство, като свидетели, вещи лица или свързани с тези категории трети лица и др., доколкото по отношение на тях не е налице законово задължение или надделяващ обществен интерес. Изключение би могло да има по отношение на лица, заемащи висши публични длъжности по смисъла на чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество или друго лице, което поради естеството на своята дейност има влияние върху обществото, или когато публикуването на информацията защитава жизненоважни интереси на субекта на данните.

3. Във всички случаи на публикуване на лични данни на участници в досъдебното производство или предоставянето им на медиите следва да се спазват принципите за обработване на лични данни в чл. 5 на Регламент (ЕС) 2016/679, по-специално принципите на свеждане на данните до минимум с оглед постигане на целта, точност на данните и ограничение на времето на съхранение.”

Целият текст на Становището

КЗЛД: Кога не е необходимо искане на съгласие

Съобщение на сайта на Комисията за защита на личните данни:

В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание.

Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни.

*

Примерен неизчерпателен списък на случаи, в които не се изисква съгласие:

В съответствие с посочените критерии, по правило не е необходимо отделно съгласие от лицата, в това число подписването на всякакви форми на декларации, за обработване на личните им данни от изброените по-долу администратори в хода на тяхната обичайна професионална дейност. Това не включва обработването на лични данни за директен маркетинг, където съгласието следва да е водещо основание.

– лекари, зъболекари и фармацевти;

– адвокати;

– работодатели;

– публични органи (държавни и общински);

– учебни заведения (детски градини, училища и висши учебни заведения);

– банки и други кредитни институции;

– застрахователи;

– предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги;

– куриерски фирми и други пощенски оператори;

– предприятия, предоставящи комунални услуги (електроразпределителни дружества, ВиК, топлофикации);

– обработващи лични данни (счетоводители, служби по трудова медицина и др.);

– хотелиери и туристически агенции;

– управителите на етажна собственост (домоуправители);

– копирни услуги;

– преводачи;

– журналисти, фотографи и видеооператори;

– религиозни, политически, обществени и синдикални организации;

– и други.

Целият материал

Шремс подава оплаквания срещу Google, Facebook, Instagram и WhatsApp

Макс Шремс подава оплаквания срещу Google, Facebook, Instagram и WhatsApp. Причината е, че според него е незаконен изборът, пред който са изправени потребителите им – да приемат условията на компаниите или да загубят достъп до услугите им.

Подходът “съгласи се или напусни”, казва Шремс пред Reuters Television, нарушава правото на хората съгласно Общия регламент за защита на данните (GDPR) да избират свободно дали да позволят на компаниите да използват данните им. Трябва да има  избор,  смята Шремс.

Шремс е австриецът, който все не е доволен от защитата на личните данни в социалните мрежи и не ги оставя на мира, като превръща борбата си за защита на данните и в професия, юрист е. Този път действа чрез създадена от него неправителствена организация noyb

Independent.ie 

The Guardian

КЗЛД: Информационно-разяснителни материали по Регламент 2016/679 (GDPR)

Информационно-разяснителни материали по Регламент (ЕС) 2016/679 (Общ регламент за защитата на данните)

• Насоки на Европейската комисия относно предстоящите нови правила за защита на данните
• Насоки от Работна група по чл. 29 с оглед на началото на прилагането на Общия регламент за защита на данните
• Десет практически стъпки за прилагане на Регламент 2016/679 (актуализиран и допълнен вариант)
• Практически въпроси на защитата на личните данни след 25 май 2018 г.
• Разяснения относно практическото приложение на Общия регламент за защита на данните от органите на местното самоуправление (общините)
• Задължения на администраторите на лични данни по новия Общ регламент относно защитата на данните
• Длъжностно лице по защита на данните
• Права на физическите лица
• „Съгласието” според новия Общ регламент относно защитата на данните

WG29: Насоки относно съгласието според GDPR

През тази седмица работната група WG29 издаде Насоки относно съгласието според Общия регламент за защита на данните.

Те са изготвени в продължение на Opinion 15/2011 на WG29  относно съгласието и имат за цел да предоставят практическа помощ за прилагане на Общия регламент за защита на данните. Opinion 15/2011 запазва валидност, доколкото е в съответствие с новия регламент.

Практически въпроси на защитата на личните данни след 25 май 2018

Комисията за защита на личните данни предлага този материал в помощ на прилагането на GDPR.

Практически въпроси на защитата на личните данни след 25 май 2018

• Съгласие за обработване на лични данни
• Правото да бъдеш забравен
• Профилиране
• Длъжностно лице по защита на данните
• Отчетност
• Оценка на въздействието
• Защитата на личните данни на етапа на проектирането (privacy by design) и по подразбиране (privacy by default)
• Административно-наказателна отговорност

=

КЗЛД: Десет практически стъпки за прилагане на новия Регламент относно защитата на данните (GDPR)

На 25 май 2018 г. влиза в сила новият Общ регламент относно защитата на   данните –  Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО 

Комисията за защита на личните данни е издала указания – десет практически стъпки за прилагане на новия Общ регламент.