Сега действащите правила за защита на личните данни също се прилагат за компании извън ЕС, но само ако сървърите им се намират в държава членка. Ясна е идеята строгите европейски правила да се приложат срещу гиганти като Google и Microsoft, въпросът е доколко ефективно ще могат да се изпълняват.

Съгласие

За да бъде законосъобразно обработването на информация, дори и по сегашния закон трябва да е налице една от изрично изброените предпоставки като съгласие на лицето, договор, по който субектът на данните е страна, законово задължение спрямо администратора и други. Много често данните се събират въз основа на съгласието на лицето и именно по отношение на него Регламентът поставя повишени изисквания – то трябва да е недвусмислено и да е получено чрез ясно потвърждаващо действие. Така се гарантира, че няма да е валидно подразбиращото се съгласие – например самото използване на уебсайт, в който потребителят се е съгласил мълчаливо с общи условия, част от които е съгласието за обработване, или маркирано отнапред съгласие от администратора, или неизвършване на действия от потребителя (непроменяне на настройките за сигурност). Съгласието трябва да гарантира информираност на лицето за това, че дава съгласието си и точно за какво го дава. Трябва да е възможно съгласието да бъде оттеглено по всяко време и да е толкова лесно да оттеглиш, колкото и да изразиш съгласие. Нещо повече, съгласие за обработване не трябва да се изисква като условие да се даде достъп до услуга, когато личните данни не са необходими за изпълнението й.

Засилена отговорност на администратора

Редица задължения поставя новата регулация за всички администратори на лични данни. Такива са изискванията за защита на данните още при проектирането (privacy by design) и по подразбиране (privacy by default). Според първото рискът за поверителност трябва да се вземе предвид още в процеса на проектиране на нов продукт или услуга, като се предприемат подходящите за съответствие с Регламента технически и организационни мерки и процедури (например псевдонимизация). Второто изисква обработване по подразбиране само на данни, които са необходими за всяка конкретна цел, т.е. данните не се събират или запазват в обем или за срок на съхранение, по-голям от минимално необходимите за тези цели.

Всички компании, обработващи данни, ще са длъжни да представят значителен обем информация на лицата, чиито данни събират, още към момента на получаването им и при намерение за допълнително обработване за различна цел. Ще трябва също да уведомят регулатора (у нас КЗЛД) в случай на нарушение на сигурността на личните данни не по-късно от 72 часа след установяването му, както и да извършват оценка на въздействието върху защитата при вероятност за висок риск.

Много по-строга отговорност се предвижда за определени групи администратори. Такива са компании, чиято основна дейност е обработване на данни и които профилират лица в големи мащаби (Facebook), или които обработват в големи мащаби чувствителни данни (такова би могло да бъде застрахователно дружество, събиращо данни за здравето на застрахованите лица). Те ще трябва да назначат лице, отговарящо за защита на данните с опит в това законодателство и практика, което може да бъде служител на дружеството или външно наето.

Повишени изисквания са налице и за дружества с над 250 служители или когато обработването води до риск за правата и свободите на субекта на данни, или пък се обработват чувствителни данни. В тези случаи администраторите са длъжни да поддържат регистри на всички дейности по обработване в минимален обем, посочен в Регламента.

Глобите

Регламентът предвижда значително по-високи санкции в сравнение с прилаганите в момента по местните законодателства в ЕС. При нарушения на нашия Закон за защита на личните данни глобите са в размер до 100 хил. лв.

Максималните санкции по Регламента достигат до 20 млн. евро, или 4% от годишния световен оборот на предприятието за предходната финансова година, като се прилага сумата, която е по-висока. КЗЛД ще е компетентна да ги наложи, ако например администраторът не е спазил условията за съгласие (когато обработването е въз основа на такова) или е нарушил право на лице по Регламента (като "правото да бъде забравен", т.е. данните му да бъдат изтрити). Новост е, че пряко отговорни, а съответно и застрашени от санкции ще са и обработващите данни - такива са например доставчиците на облачни услуги.

Европейските законодатели се гордеят с реформата си в областта на защитата на данните и смятат, че тя няма да възпрепятства стопанските дейности, а напротив - ще помогне на Европа при разработването на иновационни дигитални услуги (ii). Надяваме се това да е така. Несъмнено обаче значително ще се повиши рискът за бизнеса при несъответствие с новите правила, което налага критичен преглед и адаптиране на политиките и практиките на компаниите преди влизане в сила на Регламента.

-----

(i) Регламент (ЕС) № ХХХ/2016 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

(ii) Съобщение за медиите на Европейската комисия от 15 декември 2015 г.