Започна общественото обсъждане на Проекта на Закон за изменение и допълнение на Закона за защита на личните данни
На 30.04.2018 г. стартира общественото обсъждане на Проекта на Закон за изменение и допълнение на Закона за защита на личните данни. Общественото обсъждане ще приключи на 14.05.2018 г.
Общият регламент относно защитата на данни започва да се прилага считано от 25 май 2018 г.
Регламентът, за разлика от директивата, не се нуждае от транспониране /има пряко действие/, но по някои въпроси е оставена свобода на държавите членки, а има и такива, които изискват изрично въвеждане на законодателни мерки на национално ниво.
Някои от националните законодателни решения в изпълнение на Общия регламент, които са предложени за обсъждане:
1. Актуализират се правомощията на Комисията за защита на личните данни/КЗЛД/. Тя е постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и този закон.
2. КЗЛД ще може да организира и провежда обучение на лицата, определени за заемане на длъжността „длъжностно лице по защита на данните“ или на лица, желаещи да бъдат обучени за заемане на тази длъжност. Това обучение, когато е по искане на администраторите, обработващите или обучаващите се, е за тяхна сметка и се заплаща по тарифа, определена от министъра на финансите.“
3. Въвежда се принципът, че съдилищата са изключени от надзора на КЗЛД , когато действат при изпълнение на правораздавателните си функции
4. Регистрация на администратори: От 25 май 2018 г. отпада задължението за регистрация на администраторите на лични данни в КЗЛД.
5. Когато лични данни са предоставени от субекта на данни на администратор или обработващ, без правно основание или в противоречие с принципите на Регламента, администраторът/обработващият ги връща незабавно или ги изтрива, или унищожава в срок от един месец от узнаването.
6. Администраторът или обработващият лични данни задължително определя длъжностно лице по защита на данните, извън случаите по чл. 37, пар. 1 от Регламента (публични органи, такива на местното самоуправление или администратори, които извършват мащабно обработване на специални, чувствителни, лични данни), когато обработва лични данни на над 10 000 физически лица. Администраторът съобщава имената и данните за контакт на длъжностното лице по защита на данните на комисията, както и последващи промени в тях и публикува координатите за връзка с него.
7. Длъжностното лице по защита на данните може да изпълнява задачите си по трудово или служебно правоотношение, вкл. по вътрешно съвместителство, или въз основа на договор за услуги. Администраторът и обработващият не могат да съвместяват и функциите на длъжностно лице по защита на данните.
8. В случаите на пряко предлагане на услуги на информационното общество, ако субектът на данните е лице под 14 години, обработването е законосъобразно, само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.
9. Публичен достъп до ЕГН/ЛНЧ се предоставя, само ако закон изисква това. В тези случаи законът определя реда и условията за достъп с цел недопускане неговата общодостъпност. Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват единният граждански номер да е единственият идентификатор за предоставяне на съответната услуга.
10. Работодателят може да копира документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване на работник/държавен служител, само ако закон предвижда това.
11. Работодателят приема правила и процедури при:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.
Правилата и процедурите съдържат информация относно обхвата, задълженията и методите за прилагането им на практика и трябва да се довеждат до знанието на работниците и служителите.
12. Работодателят определя срок за съхранение на лични данни на участници в процедури по подбор на персонала, който не може да бъде по-дълъг от три години.
13. Когато в процедура по подбор работодателят/органът по назначаването е изискал да се представят оригинали или нотариално заверени копия на документи, удостоверяващи физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, субектът на данните, който не е одобрен за назначаване, може да поиска в 30-дневен срок от окончателното приключване на процедурата по подбор да получи обратно представените документи. Работодателят/органът по назначаването връща документите, по начина, по който са подадени.
14. Работодател/орган по назначаване може да обработва лични данни на работник/служител, които не е поискал или които не се изискват от нормативен акт, ако субектът на данни е дал своето изрично съгласие и няма забрана за това в нормативен акт.
15. Администраторът/обработващият приема специални правила при обработване на лични данни чрез систематично мащабно наблюдение на публично достъпни зони, вкл. чрез видеонаблюдение. В правилата се уреждат правните основания и целите за изграждане на система за наблюдение, местоположение, обхват на наблюдение и средства за наблюдение, срок на съхранение на записите с информация и изтриването им, правото на преглед от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица. Минималните изисквания за съдържанието на тези правила, КЗЛД ще публикува на интернет страницата си.
16. При обработване на лични данни на починали лица, администраторът предприема подходящи мерки за недопускане неблагоприятно засягане на правата и свободите на други лица и/или на обществен интерес. В тези случаи администраторът може да съхранява данните, само при наличие на правно основание за това. Администраторът осигурява, при поискване, достъп до лични данни на починало лице, вкл. предоставя копие от тях, на наследниците му или на други лица с правен интерес.“
17. Глобите според българския закон няма да са само максималните - както предвижда GDPR / 20 млн евро или 4% от оборота на компанията/. Според нашето законодателство администраторът или обработващият лични данни се наказва с глоба или имуществена санкция от 10 000 до левовата равностойност на 20 000 000 евро.
Информация за проекта на ЗИДЗЗЛД може да се намери и наwww.strategy.bg.
Акаунтинг нюз разработва в момента онлайн обучение по прилагане на Общия регламент за защита на личните данни, което е насочено към счетоводители и ТРЗ специалисти. Следете новините в нашия сайт
Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация