Скоро в България ще започне да се прилага европейски регламент за защита на личните данни. За повече подробности по темата се обърнахме към евродепутата от ГЕРБ/ЕНП Емил Радев. Ето какво обясни той пред Дир.бг.

- Г-н Радев, от 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Какво трябва да знаем?

- Регламентът за защита на личните данни цели да хармонизира различните правила в държавите-членки на Европейския съюз относно обработката, съхранението и трансфера на лични данни в ЕС, вместо да съществуват 28 режима, каквато е в момента ситуацията. Освен това регламентът осъвременява законовата рамка с оглед на последни технологични развития и цифровата икономика. В момента дори може да се каже, че личната информация, която оставяме в интернет пространството, е много повече от информацията, която може да бъде извлечена от нашия физически адрес, и с нея може да се злоупотреби лесно и безпрепятствено. Затова беше приет нов регламент, който да замени съществуващата от 1995 г. директива, и който да подобри защитата на личните данни на европейските граждани.

- Регламентът въвежда редица нови задължения за работодателите - за отчетност, поддържане на регистри и др. Защо?

- Работодателите събират, съхраняват и обработват много данни на своите служители и като такива попадат в обхвата на регламента. Следва те да прилагат същите правила за защита на личните данни спрямо своите служители, както спрямо своите клиенти.

- Какво е новото и с какво въведената с Регламента регулация се различава от настоящата уредба?

- На първо място следва да се отбележи разширеният териториален обхват на регламента, който ще се прилага и по отношение на дружества и лица, които не са на територията на Европейския съюз, но в своята търговска дейност обработват личните данни на европейски граждани. Една от основните цели на това ново правило е да бъде регулирана дейността на големите компании като Гугъл и Фейсбук, които разполагат с огромен набор от данни, въпреки че те самите не са в Европа. Такива фирми ще трябва да назначат също свои представител в Европа, който да ги представлява тук по отношение на спазването на регламента.

Освен това се предоставят повече права на потребителите върху техните лични данни. Те трябва да дават изричното си съгласие за предоставяне на данните, трябва да имат достъп до своите данни, както и да имат право на промяна или тяхното пълно заличаване. В случай на пробив в сигурността на данните, фирмата трябва да информира своите субекти на данни в рамките на 72 часа, че е имало такъв пробив.

- След май месец 2018 всяко едно физическо лице може да се позове директно на Регламента за защита на личните данни. Но какво означава това?

- Регламентът ще изисква субектите на данни да дават предварително съгласие за събирането и обработването на техните данни, ще имат право да прекратят това съгласие, както и да местят данните си от една фирма/администратор в друга. Даването на съгласие обаче няма да е само еднократно, както беше досега практиката, а за всяко едно използване на данните на хората. Т.е. ако дадена фирма обработва данните на даден субект за целите на маркетинг, поддръжка, проверки за измами, то фирмата ще трябва да иска съгласие от лицето за всяко едно използване на данните. Искането на съгласие обаче не трябва вече да е с отбелязани предварително графи, които хората могат да променят, а трябва да бъде ясно съгласие. Също така новият текст предвижда всеки, който е под 16 години, да получи родителско съгласие преди да използва услуги като Фейсбук, ако държавите членки не понижат възрастовата граница на 13 години.

Хората ще трябва да получават обяснения за различните права, които имат по отношение на данните – право на заличаване, коригиране и обезщетяване. Субектите на данни ще могат да си търсят правата пред надзорен орган във всяка една държава-членка, както и имат право на съдебно обезщетение. Това са важни права и хората трябва да ги знаят, защото регламентът няма да работи ефективно, ако хората не си защитават правата.

- Регламентът само за компании в Европа ли засяга, или и фирми от други континенти?

- Регламентът ще засяга всички компании в Европа, които обработват лични данни на европейски клиенти, както и всички чуждестранни компании в трети страни, дори други континенти, които за своята търговска цел обработват данните на европейски граждани или извършват мониторинг на тяхното поведение. Това означава, че редица други държави ще трябва да променят своето законодателство в синхрон с европейското, ако искат техните фирми да обработват данните на европейски граждани. Това най-вече важи за държавите, с които ЕС има подписани търговски споразумения. По този начин регламентът за защита на личните данни на ЕС се превръща в световен стандарт.

- Към кои компании ще се прилага Регламентът?

- Регламентът се прилага към всички компании, извършващи икономическа дейност, вкл. малки и средни предприятия, които обработват данни на европейски граждани. Единственото изключение е, че предприятия с по-малко от 250 служители не следва да поддържат регистри на дейност, освен ако обработването на данни няма да доведе до риск за правата и свободите на субектите на данни или обработването на данни не е спорадично.

- По какъв начин се изменя процедурата, по която една компания може да стане администратор на лични данни?

- Вече няма да е нужна регистрация на администраторите на лични данни, защото реално всяко едно физическо или юридическо лице, публичен орган, агенция или друга структура може да бъде администратор. Това не означава, че няма да има контрол върху администраторите. Напротив, те ще придобият още повече задължения. Освен това държавите-членки ще бъдат окуражени да разработят сертификати за добро управление на данните, като сертифицирането ще бъде по желание.

- Задължение за отчетност? Какво означава това за една фирма?

- Това ново задължение за фирмите е да документират и да оставят следа, така че могат да докажат, че спазват принципите, свързани с обработването на лични данни. По-конкретно, ще трябва да разполагат с разписани правила за обработка на личните данни, описание на данните, основание на обработка, начин на съхранение, потенциални рискове, както и защитни механизми.

- Какво трябва да представлява регистърът за обработка на лични данни?

- Всички фирми с над 250 души персонал ще трябва да поддържат регистър на дейностите по обработване, като в регистъра ще трябва да се съхранява информация като целите на обработването, описание на категориите субекти на данни на категории на лични данни, категориите получатели на личните данни, вкл. трети страни, предвидени срокове за изтриване на различните категории данни и общо описание на техническите и организационни мерки за сигурност.

- Как трябва да се подходи към чувствителните лични данни?

- Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, освен ако не са налице определени условия, описани подробно в регламента. Държавите членки могат да запазят или да въведат допълнителни условия, включително и ограничения, по отношение на обработването на генетични данни, биометрични данни или данни за здравословното състояние. Като цяло според регламента може данните да бъдат псевдонимизирани, така че да не се прави връзка между отделните компоненти от данните на даден субект, и по този начин да бъдат защитени, особено ако са чувствителни.