Пропуските по въвеждане на GDPR възникват като следствие от забавеното приемане на закона, съобразен с новия регламент

2012

Защитата на личните данни съобразно GDPR изисква създаването на система от фирмени политики и вътрешни правила, които да гарантират сигурното обработване, използване и съхраняване на данните. Целият процес обхваща много компоненти, а един от най-важните е назначаването на квалифицирано лице, което да отговаря за работата с лични данни във всяка компания или още длъжностно лице по защита на данните. Неспазването на изискванията води до наказания, а Комисията по защита на личните данни съдейства на организациите и компаниите с препоръки за по-лесното прилагане на регламента. Влизането в сила на промените в Закона за защита на личните данни, съобразени с GDPR, обаче ще бъде и началото на сериозни проверки от страна на Комисията, които биха могли да доведат до санкции.
Адвокат Асен Велинов, старши партньор в Консултантска къща „Велинов и партньори“ с опит в областта на търговското право и обществените поръчки, участва в представянето на GDPR (Регламент за защита на личните данни) в няколко семинара през изминалите месеци. Два такива бяха „Get Ready For GDPR” в София и „Семинар за GDPR“ в Русе. „Над 90% от компаниите и организациите, които трябва да бъдат съгласувани с GDPR изискванията, не са готови с процеса по въвеждане на регламента, което трябваше да се случи до 25 май“ споделя адвокат Велинов. Причината за възникналите грешки и пропуски се дължи на забавянето на влизането в сила на промените в българския закон. „Това, което се случи, беше, че повечето хора се презастраховаха и започнаха да изпълняват изискванията на GDPR така, както те самите ги разбират“ разкрива още той.
Въвеждането на декларации за предоставяне на лични данни, които трябва да бъдат попълвани навсякъде и от всеки, независимо дали тази декларация се изисква или става дума за субект, който следва да извърши определени действия или услуга без да бъде подадена такава декларация, е една от грешките, според адвокат Велинов. Той съветва администраторите на лични данни и всички, които работят с такива, да се информират периодично за конкретните изисквания на GDPR. Комисия за защита на личните данни публикува препоръки и насоки в тази връзка на официалния си сайт. Така например „Практически насоки в случаите, при които не е необходимо съгласие за обработване на личните данни“ е една от публикациите, в които можем да открием изброени органи, професии и дейности, които не се нуждаят от събиране на декларации, за да предоставят услугите си. Такива са всички публични органи в лицето на държавните и общински администрации, които изпълняват задачи от обществен интерес или упражняват официалните си правомощия по силата на закон, който им вменява да извършват определени услуги за всички граждани. В този случай не е необходимо да бъдат допълнително събирани декларации за обработка лични данни.
„В момента законът е внесен в парламента на първо четене и не е минал през всички комисии, за да бъде ясно, дали ще се приеме точно в този вид, в който е формулиран. Много от разписаните задължения в регламента са направени твърде общо. Всяка държава има право да специфицира тези задължения и спрямо законодателството си да уточни кое и как ще влезе в сила и как ще се прилага на територията на тази държава“ споделя адвокат Велинов. Липсата на конкретни процедури е и причината много институции, включително и държавни такива, да прилагат Регламента за защита на личните данни по неправилен начин. „Получават се пропуски и грешки, тъй като до момента не съществува закон в България, който да е съгласуван с регламента. Има Закон за защита на личните данни, но се прилага в различна посока от регламента и не е в съответствие с неговите изисквания. След като законът бъде приет на второ четене, бъде обнародван и влезе в сила, тогава можем да кажем, дали е специфицирал изискванията на регламента достатъчно добре“ разкрива адвокат Велинов.
Важно е да се отбележи, че органът, който изисква декларацията за предоставяне на лични данни, често може да ги обработва и без нея. Регламентът предоставя достатъчен брой основания, на които администраторите на лични данни могат да обработват информация и не е необходимо тя да бъде дублирана. „Един трудов договор позволява на работодателя да обработва личните данни в него. Не е необходима изрична декларация от лицето, което се назначава на трудов договор, защото за да сключи такъв, трябва бъдат предоставени личните му данни“ дава пример адвокат Велинов. Според него е важно да се информираме пряко от Комисията по защита на личните данни. Второто важно нещо е да се работи с консултанти, които разбират от GDPR и извършват действията в последователността, която се изисква.

СПОДЕЛИ