Регламентът за защита на личните данни ще въведе общи информационни стандарти
Общият регламент (ЕС) 2016/679 за защита на личните данни е сред най-мащабните нормативни изменения и допълнения от последните години, осъществявани в правния режим на работата с данни (в т.ч. защитата на личните данни в епохата на цифрово общество и повсеместно свободно движение на такива данни).
(24.05.2018) Общият Регламент (ЕС) 2016/679 за защита на физическите лица при обработка на лични данни и за свободно движение на такива данни (GDPR – General Data Protection Regulation), който утре ще влезе в сила за Европейския съюз, е сред най-мащабните нормативни изменения и допълнения от последните години, осъществявани в правния режим на работата с данни. Регламент (ЕС) 2016/679 обхваща всички случаи на обработка (достъп, използване, предаване към трети страни) на лични данни на физически лица на територията на Европейския съюз и по отношение на европейски граждани. „Бързото технологично развитие и глобализацията – четем в Преамбюла към Регламента – създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. Технологиите позволяват и на частните дружества, и на публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Физическите лица все по-често оставят лична информация, която е публично достъпна и в световен мащаб.“ Това налга приемането на „силна и по-съгласувана рамка за защита на данните в Съюза“, при която „физическите лица следва да имат контрол върху собствените си лични данни“ при засилена „павната и практическата сигурност за физическите лица, икономическите оператори и публичните органи“. Важно е още тук да се подчертае, че Регламент (ЕС) 2016/679 не ограничава обработването на лични данни, а създава обща за Европейския съюз регулационна рамка, която ще позволи засилване на единния цифров пазар и осигуряване на правна стабилност за всички участващи субекти.
Регламент (ЕС) 2016/679 отменя прилаганата до този момент Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, като унифицира нормативната уредба на европейско ниво и въвежда няколко основни понятия, явяващи се от критично значение за управлението на личните данни. На първо място, Регламент (ЕС) 2016/679 въвежда основните принципи, на които всяка обработка на лични данни в Европейския съюз (или по отношение на европейски граждани) трябва да се подчинява: обработката трябва да бъде осъществявана прозрачно (явно, нескрито); при посочването на конкретни легитимни (законово допустими) цели; за чието постигане засегнатото лице е дало изричното си съгласие, сключило е договор или съществува изрично законово изискване; като данните представляват възможният абсолютен минимум, необходим за постигането на тези цели; обработват се при съответстващо на тяхната критичност ниво на информационна сигурност; при съблюдаването на стриктна отчетност и одитна следа за спазването на Регламента.
Като „обработка“ на лични данни Регламент (ЕС) 2016/679 разглежда всяко придобиване на лични данни, преглеждане, редактиране или предаване към трети страни. По-специално, като „обработка“ Регламентът разглежда: даването на съгласие от засегнатото лице; придобиването под каквато и да било форма на лични данни; осъществяването на профилиране (автоматизирано охарактеризиране на личността, например по начина на писане във Facebook); всяко достъпване на каквато и да било част от личните данни; коригирането на неверни или непълни лични данни; ограничаване по-нататъшното използване на личните данни (изцяло, по отношение на определен администратор или за постигането на определена цел); пренасянето на лични данни към трети страни по желание на засегнатото лице; препращане на данните по желание на администратора; псевдономизация (временно скриване на самоличността или на определени нейни характеристики, например чрез потребителски номера); анонимизиране (окончателно и необратимо премахване на възможностите за установяване на самоличността); възразяване срещу начина, по който данните се обработват; обжалване на постановените решения пред следваща независима инстанция; заличаване (окончателно и необратимо) на достъпа до личните данни; отчетност за начина, по който данните се управляват (с възможност да бъде доказано спазването на Регламент (ЕС) 2016/679.
Първото задължение, което Регламент (ЕС) 2016/679 вменява на администраторите на лични данни, е да предоставят ясна и отчетливо разпознаваема информация на засегнатото лице за намерението им да пристъпят към обработване на лични данни. Информацията трябва да бъде разбираема и ясна, и да не се предоставя между друго съдържание (например като част от обширни Общи условия, където на пръв поглед може и да не бъде забелязана от потребителите). В тази информация администраторът трябва да посочи свои координати за връзка, координати на длъжностното лице по сигурността на данните (ако такава позиция е обособена при него), конкретни нормативни основания и цели, за постигането на които ще бъдат обработвани данните, на какви трети страни и при какви условия могат да бъдат препращани данните; логиката на профилиране (ако се осъществява автоматизирано охарактеризиране на личността); начини, по които лицето може да упражни своите права (например да достъпи и коригира своите данни, да изиска тяхното блокиране, да възрази срещу използването им или да обжалва постановено решение, а така също – да оттегли даденото съгласие за обработване на негови лични данни).
Предоставената от администратора информация за намерението му да обработва лични данни трябва да бъде последвана от изрично съгласие на засегнатото лице неговите лични данни да бъдат обработвани съгласно така предоставената информация (освен ако обработването на става по силата на закон или договор, или във връзка с правосъдието, обществения ред или националната сигурност). Съгласието трябва да бъде изрично и ясно, и да не е смесено с други изявления (не може да бъде например част от Общите условия или една от клаузите на договор за потребителска услуга и да се слива с останалото съдържание). Съгласието трябва да бъде предоставено отделно, на ясен и достъпен за засегнатото лице език, да не включва необосновано обвързване и да е изрично указано, че оттеглянето на съгласието е също толкова лесно. Съгласието на лица под 16-годишна възраст (за България – под 18-годишна възраст) трябва да бъде потвърдено от пълнолетно лице, което упражнява родителска грижа. При всички положения администраторът трябва да бъде в състояние да докаже, че е предоставил изискуемата информация за обработване личните данни на засегнатото лице и е получил неговото изрично съгласие това обработване да бъде осъществено (да започне да се осъществява). Необходимостта администраторът да бъде в състояние да предостави подобни доказателства означава, че целият процес по обработване на лични данни трябва да бъде структуриран така, че да оставя разпознаваема одитна следа за спазване изискванията на Регламента.
Администраторът на лични данни трябва да предостави технологичен интерфейс (или да установи организационни процедури) за упражняване правата на засегнатото лице по Регламент (ЕС) 2016/679. Това означава, че администраторът трябва да създаде механизми, чрез които засегнатото лице да бъде в състояние да преглежда, коригира, пренася или заличава своите лични данни, да ограничава тяхното използване или да възразява срещу такова използване, и да обжалва постановените от администратора решения във връзка с неговите искания. По понятни причини тези механизми не могат да бъдат технологични, ако администраторът не разполага със сериозно IT-обезпечение; още повече, че създаването на интерфейс за достъп (макар и частичен) до определена база данни създава рискове за данните като цяло (които рискове са в пряко противоречие с изискуемата по Регламент (ЕС) 2016/679 сигурност на личните данни).
Администраторът е длъжен да поддържа технологична неутралност – например при изпълняване искането на засегнатото лице администраторът да пренесе данните му към трети страни по електронен път, това трябва да бъде да направено чрез използването на структуриран, широко използван и пригоден за машинно четене формат, който не е зависим от конкретно (несвободно) софтуерно обезпечение или хардуерно оборудване. Не може в тази връзка да се приеме за надлежно изпълнение поставянето на достъпа до или пренасянето на данните в зависимост от придобиването и ползването на конкретна марка софтуер.
Регламент (ЕС) 2016/679 разширява значително организационната структура от субекти, които са свързани под една или друга форма с процеса по обработване на лични данни. Отчита се глобалният характер на подобно обработване и съществуването на групи от предприятия, обединени и мултинационални компании, които често работят на няколко континента и встъпват в сложни взаимоотношения помежду си. В тази връзка Регламентът разпознава т.нар. „съвместни администратори“ – при които съществува управленска, организационна или икономическа връзка, поставяща ги в зависимост един от друг или изправяща ги пред общи отговорности.
Под „обработващ лични данни“ Регламентът разбира конкретен оператор, който осъществява техническата дейност по обработване на личните данни, но за разлика от администратора не формулира самостоятелно цели на обработването и не определя средства за постигане на тези цели. Обработващият лични данни изпълнява своята дейност по възлагане от администратора на лични данни – например като hosting-компания, cloud-услуга или data-център.
Ако администраторът (или обработващият) няма седалище в Европейския съюз, той следва да ангажира свой представител на европейска територия, който служи като точка за контакт с него във връзка с личните данни.
Ако обработката включва критични по своя характер лични данни (например такива за здравословното състояние или политически/граждански убеждения) или широкомащабна обработка (включваща постоянно наблюдение или засягаща големи групи от физически лица), администраторите и обработващите лични данни са длъжни да определят и длъжностно лице за защита на личните данни, което да се ангажира изключително с обезпечаването на изискуемата информационна сигурност. В тази връзка чл. 24, §1 от Регламента е категоричен: „като взема предвид естеството, обхвата и целите на обработване, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът (но така също и обработващият – бел. www.Advocati.org) въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия Регламент“.
Ако планираната обработка на лични данни е от естеството да засегне големи групи лица или включва лични данни от критична значимост, тя трябва да бъде предшествана от оценка на риска и предварителна консултация със засегнатия надзорен орган, обезпечаваща вземането на адекватни мерки за ограничаване на констатираните рискове. Надзорният орган за България е Комисията за защита на лични данни (КЗЛД).
Регламент (ЕС) 2016/679 въвежда разграничение между държавите извън Европейския съюз в зависимост от това дали установеният в тях политически и правов ред осигурява дължимото адекватно ниво на защита на личните данни. В зависимост от това предаването на лични данни на европейски граждани към такива държави може да се осъществява свободно или при спазването на ограничения, имащи за цел обезпечаването на дължимата информационна сигурност – чрез приемането на подходящи гаранции и ефективни средства за защита.
За да бъде онагледен процесът, който администраторите и обработващите лични данни трябва да осъществят, за да отговорят на изискванията на Регламент (ЕС) 2016/679, могат да се зададат няколко групи от въпроси, чийто отговор ще позволи изясняване на завареното състояние и локализирането на проблемните области, нуждаещи се от актуализация.
Първата група от такива въпроси е насочена към изясняване целта на обработването и средствата, насочени към постигането на тази цел. За какво ни трябват личните данни? Какви данни (ще) обработваме? По какъв начин (ще) ги придобиваме? От отговорите на тези въпроси може да бъде изведен предметът на регулация, който попада в нормативния обхват на Регламент (ЕС) 2016/679.
Втората група от въпроси е насочена към оценка на въздействието от очертания по-горе предмет на обработване. Колко чувствителни са данните? Колко мащабно е обработването? Какви рискове произтичат за лицата? От отговорите на тези въпроси може да бъде изведено нивото на информационна сигурност, което е адекватно за ограничаване на установените рискове.
Третата група от въпроси е насочена към изясняване на актуалното състояние при съответния администратор (обработващ) лични данни. Имаме ли (какви) правила и процедури за защита на личните данни? Следи ли се за нарушения и инциденти? Данните охраняват ли се и доколко (как)? От отговорите на тези въпроси могат да бъдат локализирани конкретни проблемни моменти, нуждаещи се от актуализация.
Четвъртата група от въпроси е насочена към изясняване отношенията на съответния администратор или обработващ лични данни с трети страни, към които той препраща лични данни. Предоставяме ли данни на трети страни? Третите страни в сигурни държави ли са? Третите страни поддържат ли (какви) системи за информационна сигурност? От отговорите на тези въпроси може да се изясни евентуалната необходимост да бъде изискано от третите страни да обезпечат определени допълнителни нива на информационна сигурност, за да продължат да получават данни от съответния администратор или обработващ лични данни.
Както стана дума, Регламент (ЕС) 2016/679 няма за цел да ограничи или затрудни обработването на лични данни – но да въведе единен европейски стандарт за обезпечаване на дължимата информационна сигурност, позволявайки по този начин свободно и безпрепятствено обработване на данни при съблюдаване правата и интересите на засегнатите физически лица. Последното е от критична важност във време, в което безпрецедентни обеми от лични данни биват събирани от социални медии, носима електроника и алгоритми за анализ на информационни масиви в глобален мащаб. Както демонстрират случаи като този с аналитичната компания Cambridge Analytica и социалната медия Facebook (където личните данни на 80 млн. потребители са послужили за манипулирането на тези потребители с оглед произвеждането на конкретен политически избор), съвременната обработка на лични данни може да окаже опустошително въздействие върху обществото и да предизвика невероятни събития. Установяването в този контекст на общоевропейска регулация за личните данни е повече от необходимо – макар гаранцията за това, че технологичните компании с техните непроницаеми информационни системи ще се съобразяват наистина с подобна регулация, да остава най-меко казано дискусионна.
