Промени в Правилника за дейността на Комисията за защита на личните данни и на нейната администрация

08.08.2019

С новия Правилник за дейността на Комисията за защита на личните данни и на нейната администрация, обнародван в ДВ, брой 60, от дата 30.07.2019 г., в сила от 30.07.2019 г. („Новият правилник“) бе отменен досега действащият Правилник за дейността на Комисията за защита на личните данни и на нейната администрация, обнародван в ДВ, брой 11 от 10.02.2009 г., в сила от 10.02.2009 г. („Отмененият правилник“). С Новия правилник се въведоха редица промени, които станаха необходими във връзка с влизането в сила на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („ОРЗД“). Основните промени се изразяват в следното:

I. Компетенции на Комисията за защита на лични данни („КЗЛД“)

  • Отпаднаха производствата за регистрация и заличаване на администратори на лични данни.
  • Дейността на КЗЛД се съсредоточава върху:
    • приемане на стандартни договорни клаузи по чл. 28, пара. 8 от ОРЗД;
    • съставяне и поддържане на списък във връзка с изискването за оценка на въздействието върху защитата на данните;
    • даване на становища по операциите за обработване на данните във връзка с искания за консултации;
    • насърчаване съставянето на кодекси за поведение;
    • насърчаване на създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните;
    • одобряване на задължителни фирмени правила.

II. Регистри, поддържани от КЗЛД

Отпадна изискването за поддържане на регистър на администраторите на лични данни. КЗЛД поддържа следните регистри:

1. Публични регистри на:

  • администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;
  • кодексите за поведение;
  • акредитираните по чл. 14 от ЗЗЛД сертифициращи органи.

2. Регистри, които не са публични на:

  • нарушенията на законодателството за защита на лични данни, както и на предприетите мерки в съответствие с упражняването на правомощията на КЗЛД като надзорен орган;
  • уведомленията за нарушенията относно сигурността на личните данни;
  • получените протоколи от предприятията, предоставящи електронни съобщителни услуги за унищожените данни по чл. 251ж, ал. 1 от Закона за електронните съобщения.

III. Структура на КЗЛД

Въвеждат се функционални промени в дейността на администрацията на КЗЛД.

IV. Производства пред КЗЛД

Въведоха се нови производства свързани с:

  • прилагане на мерки по член 58, параграф 2 от ОРЗД (във връзка с отправяне на официални предупреждения, разпореждания до администратори /обработващи на лични данни; налагане на ограничения, забрани за обработване на данни и други, насочени към защита на данните);
  • приемане на стандартни договорни клаузи;
  • разглеждане на производства по Глава V от ОРЗД (предаване на лични данни на трети държави или международни организации);
  • провеждане на предварителни консултации;
  • разглеждане на уведомления за нарушения на сигурността на личните данни;
  • одобряване, изменение или допълнение на кодекси за поведение;
  • акредитация и отнемане на акредитация на органи за наблюдение на одобрени кодекси за поведение;
  • акредитация и отнемане на акредитация на сертифициращи органи;
  • сертифициране.

Както и досега, производствата пред КЗЛД започват по писмено или устно искане на физическо или юридическо лице или по инициатива на КЗЛД. Писмените искания се подават в деловодството на КЗЛД с писмо, по факса или по електронен път. За устните искания се съставя протокол, който се подписва от подателя и от служителя на КЗЛД, който го е съставил, и се завежда в деловодството.

Искането трябва да съдържа освен данни за искателя, естество на искането, друга информация, предвидена по закон, дата и подпис, така също и дата на узнаване на нарушението, ако се твърди такова, както и посочване на лице, срещу което е подадено искането.

Разширен е обхватът на исканията, които не се разглеждат от КЗЛД: не само анонимни, но и такива, в които липсва необходимата информация, която трябва да се посочи в искането. Това важи и за сигналите, които бяха въведени с Новия правилник. Въведена е и дефиниция за сигнал: искане, с което се съобщава за нарушения на ОРЗД и по ЗЗЛД, без да са засегнати права на искателя.

V. Приемане на стандартни договорни клаузи във връзка с предаване на лични данни на трети държави или международни организации (Глава V от ОРЗД)

Новият правилник въведе една доста усложнена процедура за приемане на стандартни договорни клаузи, която се изразява в следното:

  1. КЗЛД по своя инициатива приема стандартни договорни клаузи за защита на данните.
  2. Когато КЗЛД одобри проекта на стандартни договорни клаузи с решение, той се изпраща на Европейския комитет по защита на данните за становище.
  3. След получаване на становището в 1-месечен срок дирекция „Правно-нормативна и международна дейност“ го отразява в редакцията на проекта на стандартни договорни клаузи и след одобрение на КЗЛД изпраща проекта на Европейската комисия за приемане.
  4. След приемане на проекта на стандартни договорни клаузи от Европейската комисия, в 1-месечен срок  дирекция „Правно-нормативна и международна дейност“ изготвя доклад до КЗЛД с предложение за приемане на стандартните договорни клаузи, като прилага към него тяхната окончателна редакция.
  5. КЗЛД приема стандартните договорни клаузи и ги публикува на страницата си в Интернет.

VI. Разглеждане на уведомления за нарушения на сигурността на личните данни

След постъпване на уведомлението за извършено нарушение, последното се разпределя на дирекция „Правно-аналитична, информационна и контролна дейност“, която го регистрира в регистър на уведомленията за нарушения на сигурността. В двуседмичен срок се извършва анализ на постъпилата информация, като в резултат на анализа дирекцията  изготвя мотивиран доклад до КЗЛД с предложения за: (i) приемане на уведомлението на нарушението за сведение при наличие на ниско ниво на риск за правата и свободите на физическите лица;(ii) извършване на проверка по документи при наличие на средно ниво на риск за правата и свободите на физическите лица; (iii) извършване на проверка на място при наличие на високо ниво на риск за правата и свободите на физическите лица. С решение на КЗЛД може да бъде извършена проверка на място, независимо от нивото на риска.

VII. Обучение в областта на защитата на личните данни

Извършва се въз основа на подадено до КЗЛД искане или по нейна инициатива. Обучението се провежда въз основа на стандартизирано и утвърдено от КЗЛД тематично обучително съдържание. КЗЛД приема годишен план за обучение. В годишния план задължително се включват някои администратори и обработващи (като например тези, чиято основна дейност е с висока обществена и социална значимост). Обучението се провежда от членове на КЗЛД или нейни служители, но може и от външни експерти по решение на КЗЛД. Обучението завършва с полагане на изпит, като се издава сертификат.

За повече информация можете да се обърнете към:

адв. Иля Комаревски, Съдружник
Ilya.komarevski@tbk.bg

адв. Милеслава Богданова-Мишева, Старши правен консултант
Mileslava.bogdanova@tbk.bg

Мартина Димитрова,  Правен консултант
Martina.dimitrova@tbk.bg

Този материал е съставен с информационна цел и не представлява детайлен правен съвет. Ако искате да получите такъв в контекста на конкретна ситуация, ще се радваме да Ви бъдем от полза. Адвокатското дружество не отговаря за вреди от действия или бездействия, предприети само въз основа на този текст.
©TBK, 2019

TBK-alert_GDPR_08082019_BG.pdf

Изтеглете статията в PDF