След по-малко от една година, на 25 май 2018 г., официално започва да действа влезлият в сила Регламент 2016/679/ЕС (GDPR/Регламентът), засягащ защитата на физически лица във връзка с обработването на техни лични данни и в контекста на свободното движение на такива данни. Преди тази дата обаче се очаква да бъде приет нов Закон за защита на личните данни.Целта на новия Регламент е да хармонизира регулациите за обработката, съхранението и трансфера на лични данни в страните от ЕС и да осъвремени настоящата законова рамка, приета с директива на ЕС през далечната 1995 г. Това налага и актуализацията на сега действащия в България Закон за защита на личните данни.В същото време Регламентът е по-скоро рамков нормативен акт, който в по-голямата си част поставя граници, в които държавите членки следва да вместят своите национални законодателства, регулиращи защитата на личните данни на физическите лица.За последните 22 години същността на услугите, предлагани чрез интернет, както и аудиторията, към която са насочени, са се променили кардинално. Хора от всички социални среди и с различни технологични познания и потребности имат достъп до мрежата, а количеството лични данни, които всеки от тях споделя, е огромно. Отделно мобилните оператори и интернет доставчиците имат достъп до местоположението на всеки, който ползва тяхната мобилна или интернет услуга. Информация за съдържанието на съобщенията ни, продължителността на разговорите ни, поведението ни в интернет се съхранява ежедневно, като в някои случаи тези данни се продават на трети лица, предоставящи всякакви видове услуги. Всичко това в преобладаващия брой случаи е лична информация, с която в по-голяма част от случаите би могло да се злоупотреби лесно и безпрепятствено. Децата са една от най-уязвимите групи. Това бяха и основните съображения на Европейската комисия, когато предложи текста на вече приетия Регламент.На първо място, следва да се отбележи разширеният обхват на Регламента, който ще се прилага и по отношение на дружества и лица, които не са позиционирани на територията на ЕС и Европейското икономическо пространство, но в търговската си дейност обработват лични данни на европейски граждани. Една от основните цели на това разширяване е да бъде регулирана дейността по обработване на лични данни на големите компании като Facebook, Google, Apple и др., които действително не са разположени на територията на ЕС, но разполагат с огромен набор от лични данни именно на европейски граждани.Регламентът носи и драстично увеличение на правата на потребителите във връзка с техните лични данни. Всеки доставчик на услуги ще бъде задължен да предоставя на клиентите си достъп до предоставените от тях лични данни, както и право на промяната им или пълното им заличаване (познато като "Правото да бъдеш забравен"). Това би било от особено значение при обработка на лични данни под формата на номера на кредитни карти, споделена лична информация или мнения в социалните мрежи.Поради бързото развитие в предлагането на т.нар облачни услуги Регламентът предвижда специални технически и организационни мерки, които доставчиците на тези услуги следва да осигурят, за да ги предлагат на европейските граждани и съответно да обработват личните им данни в съответствие с изискванията на новата регулация.При някои компании ще бъде задължително и назначаването на нова фигура в корпоративната им структура – "длъжностно лице по защита на данните". Това е една от най-важните "новости" в GDPR. Всъщност това беше заложено и в директивата от 1995 г., но предвид незадължителния характер на този нормативен акт не беше въведено в националните законодателства на много от държавите в ЕС.Сега назначаването на длъжностно лице ще бъде задължение за:а) публичните органи и техните структури с изключение на съдилищатаб) компаниите, които систематично и редовно обработват лични данни на големи групи от лицав) компаниите, които систематично и редовно обработват така наречените специални категории лични данни (това са данни, свързани със здравословното състояние на лицата, сексуална ориентация, принадлежност към политически партии и др.).И тук личи рамковият характер на Регламента, тъй като определението "големи групи от лица" не е определено с цифрово или друго изражение.Длъжностното лице ще бъде основното лице за контакт в случай на извършвани проверки от страна на Комисията за защита на личните данни. В този смисъл компаниите следва да имат предвид, че то трябва да бъде добре запознато с нормативната уредба в сферата и, разбира се, с вътрешните процедури, свързани с обработка на лични данни в съответната компания. Длъжностното лице може да бъде "външно" за компанията, като в западните страни от ЕС вече се налага тази практика. Услугата "длъжностно лице по защита на данните" вече се предлага от адвокатски кантори (включително и в България), одиторски фирми, както и от дружества, занимаващи се основно с услуги по защита на информацията.Регламентът въвежда оценката на въздействие като основен механизъм при внедряване на технически и организационни мерки за защита на данните в компаниите и органите на държавната и местната власт. Публикуваните насоки в това отношение подсказват, че на европейско ниво ще се държи на тяхната периодичност.Разбира се, няма как да пропуснем и санкциите, които са в пъти по-високи от заложените към днешна дата в Закона за защита на личните данни от 1000 лв. до 100 хил. лв. Регламентът въвежда единствено горна граница на глобите, която е 20 млн. евро, или 4% от общия годишен световен оборот на съответната компания – санкцията се определя на базата на по-високата от двете суми.И тук ЕК се стреми да постави под страх от санкция и най-големите корпорации в света като Apple, Facebook и Google. В новия Закон за защита на личните данни по-скоро би могло да се очаква, че те все пак ще са съобразени с платежоспособността най-вече на българските компании и икономическата ситуация в страната, а не с бюджетите на компютърни гиганти от естеството на горепосочените.Регламентът изисква компаниите и организациите от всякакъв мащаб да приемат нови политики, целящи да предоставят на крайния потребител по-високо ниво на контрол върху личните му данни. Голяма част от тях са свързани със списването на нови процедури, инструкции и указания, допълнителни обучения и ъпдейт на системите за обработка на информацията, в това число криптиране на данните и др.Това отговаря на заложения в Регламента принцип Privacy by design, който прокламира въвеждане на технически и организационни мерки на защита на личните данни преди имплементирането на даден продукт, услуга или реализирането на едно бизнес начинание.Важно е да се отбележи, че към днешна дата протичат преговорите и обсъжданията на предложения през януари т.г. проект на регламент, който отменя изцяло Директива 2002/58/EC, регулираща защитата на данните в сектора на електронните комуникации. ЕК предвижда до края на 2017 г. да бъде приет окончателният текст на нов регламент, който да бъде неразделно приложение от GDPR и съответно също ще се прилага най-късно от 25 май 2018 г. Той ще засяга дейността на телекомуникационните компании, интернет доставчиците, както и доставчиците на така наречените over the top услуги (Whats app; Snap Chat; Skype и др.). Разпоредбите на Електронния регламент предвиждат и допълнителна защита на трафичните данни (съдържание на съобщенията, продължителност на разговорите, GPS координати и др.).До края на 2017 г. предстои да разберем какви ще бъдат и окончателно приетите нови права и задължения на физическите лица по отношение на тяхната електронна комуникация.