РЕГЛАМЕНТ 2016/679 – ПРАКТИЧЕСКИ НАСОКИ ЗА ПРИЛАГАНЕ
1. Роли и отговорности на основните фигури, съгласно Регламент 2016/679
Администратор на лични данни (АЛД) – субектът (ФЛ или ЮЛ) , който определя целите и средствата на обработката на личните данни (чл.4 ал.7 на Регламента). АЛД е длъжен да осигури технически и организационно спазването на нормите на Регламента. Кога сме длъжни да определим АЛД? Винаги. Чл. 5 ал.2. “Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 (“отчетност”). Следователно, в случай на проверка всеки АЛД трябва да може да докаже, че е извършил анализ на риска по отношение на защитата на личните данни и е предприел необходимите технически и организационни мерки за неговото ограничаване в разумни граници. Резултатът от този анализ, като обем документация, може да варира в много широки граници (от декларация от страна на АЛД до цялостна интегриран модел за защита на личните данни), в зависимост от много и различни фактори – сфера на дейност, мащаб на организацията, вид на обработваните лични данни и т.н. Всяка грешка или пропуск в оценката, а от там – и в документацията, би могла да струва много скъпо!
Обработващ личните данни– субектът (ФЛ или ЮЛ), който обработва лични данни от името на Администратора въз основа на договор или друг правен акт и притежава компетентност в областта на защитата на личните данни. Натоварен е с отговорността да предостави гаранции пред АЛД за прилагането на подходящи технически и организационни мерки, така че процесите, при които се обработват личните данни, да са в съответствие с Регламента. Обработващият е винаги външен спрямо организацията на Администратора на лични данни. Кога сме длъжни да определим дадена организация или физическо лица като Обработващ? Винаги когато делигираме обработване на лични данни (счетоводна дейност, реклама и др.)
Длъжностно лице по защита на личните данни (ДЛЗД) – ФЛ, което, когато е необходимо, може да бъде подпомагано от екип. Трябва да притежава професионални качества и експертни познания в областта на защитата на личните данни. Тази фигура е задължителна за държавната и общинска администрация, за организациите с над 250 служителя, както и за тези организации, които обработват лични данни в голям мащаб.
2. От къде да се започне процеса на хармонизиране с Регламент 2016/679?
От съществено значение за всяка организация е да бъде осъзната концепцията за важността и значимосттта на личните данни, както и икономическите загуби, до които може да доведе загубата на информация от този вид. Преди да бъдат предприети каквито и да е действия по хармонизиране с Регламента е необходимо извършването на вътрешен анализ на вида и обема лични данни, които се обработват в конкретната организация.
3. Терминът, често свързан с GDPR, е този на “accountabilty”, английският еквивалент на “отчетност”. Какво точно означава и каква е отговорността?
Осъзнаването на термина е от основно значение, тъй като целият Регламент се основава на тази концепция в една изключително новаторска перспектива спрямо действащото към момента на приемането му законодателство – администраторите на лични данни трябва да решават самостоятелно кой е най-добрият начин за прилагане на разпоредбите на Регламента в рамките на тяхната организация. Подходът, въведен от GDPR, е базиран на оценка на риска, произтичащ от обработка на лични данни. Тази оценка е предоставена на АЛД, които са оправомощени да определят и приемат мерките и процедурите, необходими за гарантиране на правилното прилагане на законодателството в областта на защитата на лични данни. По силата на този принцип всеки АЛД е длъжен да възприеме проактивно поведение, което е в състояние да гарантира спазването на правилата и нормите на законодателството, като самостоятелно избере методите, гаранциите и ограниченията, които трябва да се прилагат при обработката на лични данни.
4. Спазването на разпоредбите на Регламента като средство за повишаване на конкурентноспособността на фирмите
За да се гарантира спазването на GDPR, собствениците (или мениджърите) трябва да са запознати с разпоредбите и да разберат какво трябва да направят. Съгласно GDPR, защитата на личните данни следва да се разглежда като система за управление на всички дейности, която да се прилага във всеки отрасъл и всеки сектор на дейност. Фирмите трябва да осъзнаят защитата на личните данни именно като един допълнителен инструмент за повишаване на доверието на физическите лица в техните организации, а оттам – и тяхната конкурентоспособност на пазара, включително и в международен аспект.
5. Индивидуален подход при определяне на необходимите технически и организационни мерки
Въз основа на извършения анализ на дейностите, които предвиждат обработката и разпространението на лични данни, се определят възможните рискове за защитата на личните данни на заинтересованите лица и съответните мерките за сигурност, необходими за въвеждането на реална защита на данните с оглед тяхното законосъобразно, безопасно и прозрачно обработване.Трябва да се има предвид, че всяка дейност и всяка професионална реалност имат свои собствени характеристики и особености и по отношение на защитата на личните данни, и на провежданите мерки. Следователно, какви са конкретните рискове и възможните начини за тяхното преодоляване, е оценката, която трябва да бъде направена за всеки отделен случай, въз основа на извършените конкретни дейности и видовете обработвани данни, референтния контекст, в който всяка компания работи и участващите субекти. Именно поради това трябва да се изключи стандартизирано прилагане на готови решения, тъй като всяко действие по ограничаване на риска изисква анализ и предоставяне на персонализирани мерки.
6. Повече свобода и повече отговорност за АЛД
От една страна, АЛД са по-свободни да решават дали и какви форми на защита при обработката на личните данни трябва да бъдат въведени, от друга страна, обаче, липсата на предварително определени мерки (както беше в действащото преди законодателство в рамките на ЕС) означава, че правилността на предприетите мерки зависи от правилността на оценките, извършени от АЛД.
Казаното по-горе е свързано и с различното определяне на ролята на Надзорния орган (в България – Комисията за защита на личните данни): проверките, извършвани от Комисията, вече са почти изключително “последващи”, т.е. след избора на АЛД и завършването на събирането и обработката на данни. В Регламента отсъстват някои от гаранционните институти за предварителна проверка от страна на Комисията, като напр. предварително уведомяване и предварителна проверка. С GDPR подобните процедури се заменят с механизми, които позволяват последваща проверка на правилното прилагане на регулаторната рамка. В този смисъл Регламентът въведе, например, институтите за оценка на въздействието относно защитата на данните и регистър на дейностите по обработване, които са изцяло отговорност на АЛД.
Накратко, целият процес на защита на личните данни се прехвърля на АЛД, който процес трябва:
1. да се основава на превантивен, точен и задълбочен анализ;
2. да се осъществява чрез поредица от специфични дейности; и
3. да бъде извършено по такъв начин, че да позволява на АЛД да докажат правилността на взетите за целта решения и на мерките за сигурност, установени и считани за адекватни на риска.
По този начин АЛД са овластени с по-голямата свобода на действие, но придружена от отговорността за направения избор и за осъществяването или не на ефективна и адекватна защита на правата на физически лица по отношение на обработваните техни личните данни.