Какви нови задължения за работодателите въвежда Регламентът за защита на личните данни?

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Регламентът въвежда редица нови задължения за работодателите - за отчетност, поддържане на регистри и др. За да разберем повече за тях, се обърнахме към адвокат Таня Стивасарева. Тя е мениджър в Адвокатско съдружие „Ърнст и Янг“, с повече от 10 години опит в консултиране на клиенти по въпроси, свързани със защитата на личните данни, трудово право и защита на конкуренцията. Адвокат Стивасарева е съпредседател на Комитета по човешки ресурси на КРИБ, участва активно в експертни групи по промяна на законодателството в България и има международна сертификация за специалист по защита на личните данни за Европа (CIPP/E). Ето какво сподели пред екипа на Economy.bg:

Адвокат Стивасарева, с какво въведената с Регламента регулация се различава от настоящата уредба?
Регламентът за защита на личните данни или т.нар. Общ регламент е правен механизъм на европейско ниво, който създава доста детайлен нов режим за защита на личните данни. Регламентът влиза в сила от 25 май 2018 година. Компаниите имаха около две години, вече почти една, за да се подготвят за новите изисквания. За разлика от сега действащата директива за защита на личните данни Регламентът създава една общоприложима рамка – държавите членки не само трябва да го имплементират такъв, какъвто е, без никакви отклонения, но и той ще има абсолютно директно приложение. Т.е. след май месец 2018 всяко едно физическо лице може да се позове директно на Регламента за защита на личните данни.

Има ли разлика спрямо сега прилаганата директива по отношение на териториалното действие?
Регламентът за разлика от директивата има т.нар. екстериториално действие. Той се прилага не само за компании, установени в Европа, но и към всички компании, които обработват лични данни на европейски граждани. Компании от трети страни, от Америка, чиято дейност е насочена към европейските граждани и които във връзка с тази дейност обработват техни лични данни, ще са задължени лица по Регламента. Нещо повече, когато става дума за юридически лица, неустановени в Европа, те имат и едно допълнително задължение - за назначаване на представител за Европа, който да ги представлява във връзка със задълженията им по регламента.

Към кои компании ще се прилага Регламентът?
Истината е, че Регламентът се прилага към почти всички компании, защото всички компании имат работници и служители и обработват техните лични данни. Разбира се, някои компании имат физически лица- клиенти , определени индустрии - финансови институции, банки, болници, компании за електронна търговия, хотели - ред компании са тясно свързани с физически лица-клиенти. Така че там големият обем от лични данни, които обработват, е на техните клиенти. Но от гледна точка на работодател всяка компания ще бъде администратор на лични данни и поради тази причина това наистина важи за всички дружества.

По какъв начин се изменя процедурата, по която една компания може да стане администратор на лични данни?
Досегашният режим беше такъв, че всеки администратор, всяка фирма, която е работодател или обработва лични данни на своите клиенти, има качеството на администратор и следва да се регистрира в КЗЛД. Това задължение ще отпадне, няма да го има при действието на новия регламент. Това е сигурно. Но ще има доста други задължения за отчетност, които компаниите ще следва да спазват. Те ще трябва да поддържат специални регистри за обработката на личните данни. Ще има нови хипотези, в които ще трябва да адресират конкретни запитвания и искания за одобрение към Комисията например в контекста на оценката на риска. Така че с отпадането на изискването за регистрация като администратор на лични данни, не бихме могли да кажем, че ще се облекчат отчетните и комуникационните задължения на работодателите към Комисията. Определено има въведени нови, много по-сериозни задължения за отчетност на фирмите.

Какво точно ще представлява задължението за отчетност?
Може би това е едно от основните нови правила по Регламента. Това е такова задължение за всички работодатели и компании, които обработват лични данни, за документално обосноваване на обработката на лични данни, т.е. трябва да има документално разписване на процесите и процедурите за обработка на лични данни в компаниите: какви лични данни се обработват, какво е основанието за обработката, как те се съхраняват, предоставят ли се на трети лица и кои са тези трети лица, какви са рисковете за физическите лица от обработката на тези данни и какви са мерките за защита, които съответният администратор мисли да предприеме, за да може да предотврати нарушение на сигурността на данните. Така че ще има едно по-мащабно документиране и задължение за поддържане на писмена следа за видовете обработка, които работодателите правят и също така за това на кои юридически лица те предоставят личните данни в качеството на обработващи. Това се отнася и за доста стандартните допълнителни придобивки, които всички работодатели дават на своите служители, като допълнително здравно осигуряване, ваучери за храна, карта за спорт. Случаите, в които иска да предостави тази допълнителна придобивка, работодателят трябва да даде на доставчика на съответната услуга личните данни на физическите лица. Работодателите трябва да се уверят, че имат съгласието на лицата за предоставянето на техни конкретни данни на конкретно юридическо лице.

Какво трябва да представлява регистърът за обработка на лични данни?
Всички фирми, които имат над 250 служители, ще трябва да поддържат регистър за обработката на лични данни. Той може да е писмен или в електронна форма. В него ще се записват: типът лични данни, които се обработват; какви са целите на обработката; има ли трети лица, които получават достъп до тези данни; какви са организационните и техническите мерки за защита, които съответният администратор е взел, за да не се случи нарушаване на сигурността, както и какво би направил, ако се случи нарушаване на сигурността.

Какво ще представлява оценката за риска от обработка?
Друго ново задължение по регламента е  задължение за работодателите да правят оценка на риска от обработката. Какво означава това? Когато компанията анализира какви типове данни получава, от кого, за какви цели, на кого ги предоставя, когато прецени, че рискът от обработката на тези данни е висок, трябва да документира и да направи така наречената оценка на риска. Тепърва предстои в новия закон да се разпишат конкретни дейности, за които оценката на риска ще бъде задължителна. Когато компаниите извършват тези дейности, те ще трябва да документират това, че са направили анализ на риска от обработка и са предвидили подходящи мерки за адресиране на този риск. Когато установят че рискът от обработката е висок, дружествата следва да уведомят КЗЛД, която на свой ред ще трябва да оцени дали предприетите мерки за защита съответстват на изискванията на Регламента или да препоръча алтернативни мерки.

Как трябва да се подходи към чувствителните лични данни?
Има отделна категория данни, които са по дефиниция чувствителни данни. При тях трябва да се приложат по-високи мерки на защита. Регламентът препоръчва прилагането на криптирането и псевдонимизацията като едни подходящи технически мерки за защита на личните данни. Псевдонимизацията е способ, който разделя различни категории лични данни за съхранение на различни места с различни ключове за достъп, така че в случай на пробив, ако едно лице достигне до едната база данни, а няма ключ за другата база данни, не може да направи връзката между информацията в двете бази данни. Така че ние очакваме много широко използване на тази техника, защото тя наистина се препоръчва като способ за адресиране на висок риск от обработка на лични данни.