ВЕНЦИСЛАВ КАРАДЖОВ*

Нови правила за защита на личните данни

На 18 декември 2015 г., след близо четиригодишни преговори, Европейският парламент, държавите-членки на Европейския съюз и Европейската комисия постигнаха съгласие по пакета от нови европейски правила за защита на личните данни, включващ Общ регламент за защита на личните данни и Директива за защита на личните данни в областта на полицейската дейност и наказателното преследване. Това e една от последните стъпки преди окончателното приемане на тези нормативни актове. Очаква се новите правила да се прилагат от средата на 2018 г.

Проектът на общ регламент бе предложен от Европейската комисия през януари 2012 г., като основната му цел е да модернизира настоящите правила за защита на личните данни с оглед на бързото развитие на технологиите и глобализацията. Той ще замени Директивата за защита на личните данни на физическите лица, приета през 1995 г., когато интернетът правеше своите първи стъпки и никой не бе в състояние да предвиди изключително бързото и всеобхватно разпространение на социалните медии, онлайн услугите, мобилните приложения и т.н. Независимо от промените, породени от технологичното развитие, основните принципи за защита на личните данни, върху които се изгражда политиката на ЕС в тази област, остават валидни и приложими и днес. В същото време новият регламент въвежда редица нови моменти, които предоставят на гражданите по-голям контрол върху личните им данни в дигиталния свят, като в същото време осигуряват по-голяма яснота и правна сигурност и намаляват бюрократичната тежест за бизнеса. Някои от най-важните нововъведения са следните:

Въвеждат се единен набор от правила за защита на личните данни във всички 28 държави-членки, като се слага край на сложната схема от различни национални норми, която съществува в момента в ЕС.

Европейските правила за защита на личните данни, както и санкциите при тяхното неизпълнение, ще важат не са само за европейските администратори, но и за фирми и мултинационални компании, базирани в трети страни като САЩ, Китай и др., в случаите, когато предлагат онлайн услуги или следят поведението в интернет на граждани на ЕС.

Новият регламент отчита както възможностите, така и рисковете, произтичащи от новите технологии, които са се превърнали в неизменна част от ежедневието ни. Така например в определението за „лични данни“ изрично са включени онлайн идентификаторите (IP адреси и др.), както и данните за местоположението ни (геолокация).

Особено внимание е отделено на „профилирането“, по-специално в интернет, като се отчита все по-голямото разпространение на тази мярка и заплахите, които тя крие за личната неприкосновеност. За целта регламентът въвежда редица гаранции за гражданите – субекти на данните, като задължението те да бъдат информирани за извършването на тяхно профилиране и евентуалните последици от него, недопускане на дискриминация чрез профилиране на основата на чувствителни данни като етнически произход, религия, здравно състояние и др.

Директивата от 1995 г. предоставя на лицата един основен набор от права по отношение на личните им данни, по-специално правото да бъдат информирани, право на достъп до техните данни, право на възражение и др. Тези права са разширени и засилени в новия регламент, като са добавени допълнителни възможности, например правото да поискат при смяна на доставчика на онлайн услуги или на социалната мрежа вече събраните техни лични данни да бъдат прехвърлени от стария на новия администратор, стига това да е технически възможно. Вероятно най-известният нов момент в този контекст е „правото да бъдеш забравен“. На практика това е разширено право на заличаване на лични данни, каквото съществува и в момента, но е адаптирано към реалностите на информационното общество и в частност на интернет търсачките, като Google, Bing, Yahoo и др.

. Стремителното развитие на технологиите направи възможно натрупването на огромни масиви от лични и други данни, т. нар. „Big Data”, които бизнесът би желал да ползва за различни цели. За да се защитят интересите на лицата, регламентът забранява на администраторите да обработват лични данни, събрани за една цел, за реализиране на други цели, несъвместими с първоначалната. В тези случаи е необходимо да е налице самостоятелно правно основание, като например недвусмислено съгласие, специална законова разпоредба и др.

Масовото използване на биометрични данни (пръстови отпечатъци, ДНК, ирис и др.) е отчетено от европейския законодател и поради тази причина новият регламент поставя биометричната информация, която позволява еднозначна идентификация на дадено лице, в категорията на специалните (чувствителните) лични данни, които се ползват със засилена защита.

Общият регламент предлага специална защита на децата като особено уязвима категория субекти на данни, особено при ползване на услуги на информационното общество. По дефиниция „дете“ означава всяко лице на възраст под 18 години, но за целите на регламента, по-специално при директно предлагане на онлайн услуги (например за регистрация във Фейсбук и др.), държавите-членки могат да изберат възрастова граница между 13 и 16 години. Обработването на личните данни на дете под определената възраст ще бъде законна само ако и дотолкова съгласието му е дадено или разрешено от неговия родител или попечител.

Изцяло нов момент в регламента, очакван с голям интерес от бизнеса, е въвеждането на „обслужване на едно гише” (one-stop-shop), при което администраторите ще могат да работят само с един национален орган по защита на данните в държавата от ЕС, в която се намира седалището им. Успехът на тази идея зависи в много голяма степен от ефективното сътрудничество между надзорните органи по защита на личните данни във всички 28 държави-членки в рамките на т.нар. „механизъм за съгласуваност“, както и от активността и авторитета на бъдещия Европейски комитет (борд) по защита на данните, който ще има функциите на арбитър и последна административна инстанция при спорове.

В условията на глобализация, трансферът на лични данни през границите, включително към трети страни, е важен, а за някои компании и основен компонент от бизнеса. Подходът на общия регламент в тази област много отчетливо илюстрира стремежът на европейските институции за постигане на баланс между защитата на личните данни на индивида и свободното движение на лични данни, особено в контекста на цифровата икономика. От една страна се запазват и допълнително се прецизират изискванията към третите страни за гарантиране на адекватно ниво на защита, на първо място чрез гарантиране на върховенство на закона и наличие на независими надзорни органи. В същото време се разширяват възможностите за компаниите да удостоверят наличието на необходимите гаранции, в т.ч. чрез нови инструменти, които до момента не бяха намерили място в нормативните актове на ЕС, като обвързващи корпоративни правила, кодекси за поведение, механизми за сертифициране и др.

Важно условие за гарантиране спазването на новите европейски правила за защита на личните данни е наличието на ефективни санкции със силен предупредителен и възпиращ ефект при нарушаването им. Отчитайки финансовите възможности на мултинационалните компании, регламентът предлага система от завишени финансови санкции, достигащи до 20 000 000 евро или 4 процента от общия годишен оборот на дружеството.

Накрая, но не и по значение, новият общ регламент потвърждава по категоричен и безспорен начин принципното разбиране, че един от фундаментите на защитата на личните данни на гражданите е съществуването на национални надзорни органи, оправомощени да изпълняват своите задачи и правомощия при пълна независимост, включително чрез обезпечаването им с необходимите човешки, финансови и технически ресурси. Това е разбираемо, в условията на цифровизация и обработване на личните ни данни по електронен път трудно би могла да се постигне защита и разкриване на нарушения при обработване на лични данни когато контролиращият орган не разполага с необходимите познания и технологии за тяхното установяване.

Основното предизвикателство през следващите две години е подготовката за практическото прилагане на новите европейски правила за защита на данните, включително чрез извършването на необходимите законодателни промени, разясняване на новите правила и обучение на администраторите.

* Венцислав Караджов e председател на Комисията за защита на личните данни