Промени в Закона за защита на личните данни

Промени в Закона за защита на личните данни

             На 26.02.2019 г. бе обнародван Законът за изменение и допълнение на закона за защита на личните данни. Проектът на този закон беше изготвен и обсъждан повече от половин година. Неговата основна цел е да приведе Закона за защита на личните данни в съответствие с правилата на Регламент (ЕС) 2016/679, който се оказа един от най-важните законодателни актове на Европейския Съюз в последните години. Регламентът започна да се прилага от 25.05.2018г., когато отмени предхождащата го Директива 95/46/EО. Трябва да се отбележи, че Регламентът, като акт на Европейския Съюз, няма нужда да бъде транспониран от държавите членки, а следва да бъде прилаган директно в законодателството им. Независимо че по правило разпоредбите на регламентите на Европейския Съюз не се пренасят в националното законодателство, т. 8 от Встъпителните съображения на Регламент (ЕС) 2016/679 гласи , че „държавите членки могат, доколкото това е необходимо с оглед на последователността и разбираемостта на националните разпоредби за лицата, по отношение на които те се прилагат, да включат елементи на настоящия регламент в собственото си право“. С други думи националният законодател е задължен да уреди определени въпроси, правейки измененията във вътрешното право наложителни.

            В светлината на горното е и първата промяна, която Законът за изменение и допълнение на закона за защита на личните данни внася. С нея се изменя чл. 1 от Закона за защита на личните данни и вече гласи, че „този закон урежда обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните)“.

            Втората промяна касае Комисията за защита на личните данни. По-конкретно въведените изменения конкретизират функцията на КЗЛД като надзорен орган по спазването на  Регламент (ЕС) 2016/679. Това става ясно от променения чл. 6 (1), който гласи следното: „Комисията за защита на личните данни е постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на този закон“. По-нататък в закона са уредени и някои специфики касаещи тази нейна длъжност.

            Промените в Закона за защита на личните данни обхващат и функциите на Инспекторатът към Висшия съдебен съвет. Чл. 17 се изменя така: „(1) Инспекторатът към Висшия съдебен съвет осъществява надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на личните данни при обработване на лични данни от: 1. съдa при изпълнение на функциите му на орган на съдебната власт, и 2. прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания“. С други думи, това е органът, който е длъжен да следи за спазването на правилата на Регламента от висшите държавни органи съд и прокуратура. Тази особено важна роля на Инспекторатът го прави един от ключовите органи, длъжни да осигурят коректното спазване на правилата на Регламента.

           Трябва да се отбележи и създаването на Глава четвърта „а“, наименувана „Общи правила при обработване на лични данни. Особени случаи на обработване на лични данни“. В нея са изяснени редица случаи, в които са дадени указания как да протича съхранението на лични данни. Сред тях са случаи, при които става въпрос за лични данни на починали лица, приемане и прилагане на правила при мащабно обработване на лични данни, при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които се въвеждат подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни, обработването на лични данни за журналистически цели и т.н.

           Създадена е и глава девета, която носи наименованието: „Принудителни административни мерки. Административнонаказателни разпоредби“. Най-общо в нея се класифицира видът и размера на административните мерки, които се предприемат при нарушение на задълженията възникващи от Регламента. По вид тези мерки са имуществени санкции или глоби. Относно размерът им, българският законодател не въвежда долна граница на административнонаказтелните разпоредби, а просто копира изискванията на чл. 83 (5) на Регалемнта.

            Други важни промени са създаването на раздели II, III, IV и V в глава осма на ЗЗЛД. Най-значимите от тях са раздел II и III, в които са уредени правата на субекта на данни, както и похватите, с които администраторът на лични данни може да си служи при тяхното обработване и съхранение.

            Трябва да се отбележи, че гореспоменатите нововъведения са почти буквален превод на Регламент 2016/679. От друга страна, следващите редове целят да представят части на ЗЗЛД, които не могат да бъдат намерени в акта на Европейския съюз, а са плод на творческата дейност на българския законодател.

            Ще започнем с чл. 25к от ЗЗЛД. В него работодателят или органът по назначаването, в качеството си на администратор на лични данни, е задължен да определи срок за съхранение на лични данни на участниците в процедури по набиране и подбор на персонала. Срокът трябва да бъде не по-дълъг от 6 месеца, освен ако кандидатът не даде своето съгласие за съхранението на данните за по-дълъг период. След изтичането на срока администратора на лични данни е длъжен да унищожи събраните документи и информация.   

            Втори важен момент е свързан с изготвянето на кодекси на поведение и създаване на механизми за сертифициране, които са посочени в глава четвърта, раздел V от Регламента. Тези два толкова важни аспекти са само рамкирани, а се очакваше да бъдат уредени в обновения ЗЗЛД детайлно. Изискванията за одобряване на кодекси на поведение и критериите, механизмите и процедурите за сертифициране ще бъдат уредени в допълнителни подзаконови актове, които при всички положения ще бъдат забавени във времето, което от своя страна ще възпрепятства администраторите да се възползват от права, присъщи им във връзка с Регламента.

            На следващо място, трябва да се обърне сериозно внимание на интерпретацията от страна на българския законодател на чл. 30 от Регламент 679/2016. Разпоредбата от европейският акт задължава всички администратори на лични данни да поддържат регистър на дейностите по обработване на лични данни. От друга страна, ал. (5) от същия член стеснява значително обхвата му и прави задължението приложимо за по-малък кръг предприятия. Няма никакво обяснение защо тази алинея бива забравена и неглижирана от българския законодател. В ЗЗЛД няма ограниченията предвидени в Регламента, което прави чл. 62 от българския закон противоречащ на целта на чл. 30 от GDPR. В този ред на мисли, въз основа принципите на примат и директен ефект, администраторите следва да прилагат разпоредбата на чл. 30 от Регламент 679/2016 със съответните ограничения изведени в последната.

           Накратко внесените промени в Закона за защита на личните данни целят неговото осъвременяване, правейки го съвместим с изискванията на Регламент 2016/679. Въпреки че Регламентът сам по себе си регулира в доста голяма степен защитата на личните данни, ролята на ЗЗЛД е не по-малка за българското законодателство и граждани. За съжаление новият закон се отличава с палиативен характер, а основните моменти, които Регламентът поставя в дискрецията на националните законодателни органи, в България са отложени във времето за решаване с подзаконови нормативни актове, съответно от Министерски съвет и КЗЛД.

Изгтотвил:

                                                                 Младен Въчков – юридически сътрудник в KGK