Регламент (ЕС) 2016/679 на Европейския парламент относно защитата на физическите лица във връзка с обработването на лични данни ще започне да се прилага от 25 май 2018 г. Какви са основните промени спрямо действащата правна рамка и новите изискванията към компаниите? Вижте какво сподели по темата Цанко Цолов, член на Комисията за защита на личните данни по време на тазгодишната майска конференция на Българската асоциация за управление на хора.
С прилагането на регламента се предвижда да отпадне регистрацията в Комисията за защита на личните данни. Вместо от надзорен орган, контролът ще се упражнява от крайните потребители. „Основните ключови промени са няколко. На първо място, въведе се един нов принцип, наречен ‚отчетност‘“, разказа Цанко Цолов. По думите му този принцип дава право на хората да изискват от компаниите информация, доказваща, че спазват законодателството. Също така, в случай на пробив на данни, съответната компания трябва да информира всеки засегнат.
Какво се променя с влизането на Регламента в сила?
В Регламента се подчертава необходимостта от съгласие на потребителите за съхраняването и ползването на техните данни. Съгласието се дава за определена цел, а не общо. Субектът на данни - физическото лице, за което се отнасят данните, има право на информираност и достъп до собствените си лични данни. В случай че данните са неточни, той може да поиска тяхното коригиране. Субектът може да поиска и изтриване на личните му данни, това е неговото право „да бъде забравен“. „Изтриването не трябва да стане само в текущата, продукционната база данни, а във всяко едно копие, всеки един архив“, подчерта Цолов.
Сред правата на потребителите още са правото на възражение спрямо обработването на техните лични данни и правото на преносимост, т.е. може да поискат от един администратор да предостави данните им на друг администратор. Субектът на данни има право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което го засяга в значителна степен.
Какво ще се изисква от компаниите, които обработват лични данни?
За да докаже спазването на регламента, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване. Аминистраторът въвежда подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.
Какви са санкциите, предвидени при неспазване на Регламента?
Администраторите ще могат да покажат, че покриват изискванията на Регламента чрез сертифициране, марки и печати и придържане към етични кодекси, информира Цолов. „Сертифицирането е, когато някой акредитиран орган раздава сертификати. Вторият механизъм - това са марки и печати, в които някой описва едни правила и администраторът сам припознава такива правила. Третото е етичен кодекс – добри практики, които трябва да се спазват“, поясни той. Сертифицирането се извършва от Българска служба по акредитация по критерии, изготвени от КЗЛД.
Санкциите при неспазване на Регламента са разделени основно на две групи: при неизпълнение на задължението на администратор и при неспазване на правата на субектите. „Най-често жалбите, които постъпват при нас, са от служители на компания, които по един или друг начин искат не толкова да защитават данните си, колкото да санкционират компанията. Това им дава страшни права.“, обобщи Цолов.
България вече е сред държавите в ЕС с най-облекчени правила за задължителен финансов одит – Пламен Донев, член на УС на Института на дипломираните експерт-счетоводители в България