201605.20
0
0

Изискванията на новия Регламент за защита на личните данни – ще бъде ли двугодишният срок достатъчен за изпълнението им от компаниите?

от Надежда Свинарова-Петрова

Новата правна рамка за защита на личните данни в Европейския съюз е вече факт с публикуването в Официалния вестник на Европейския съюз от 4 май 2014 г. на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обрабоването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EC (“Регламент за защита на личните данни”).

По този начин, дългоочакваната промяна в защитата на личните данни в сектор, в който стойността на личните данни ще нарасне до близо 1 трилион евро годишно до 2020* г., е вече официална. Този значителен ръст ще доведе несъмнено и до нови бизнес възможности и фирмите трябва да са подготвени за новите правни стандарти, за да се възползват от възможностите пълноценно.

За да разберем причините и важността на този нов европейски правен инструмент, трябва да си отговорим на пет основни въпроса.

  1. Защо приеманаето на нова правна рамка в тази област е толкова значимо?

С интензивните темпове на развитие на технологиите защитата, предвидена от Директива 95/46/EC, прекалено бързо се оказа остаряла и неприложима.

От момента, в който този проблем стана очевиден, европейските институции имаха пред себе си една много трудна задача – да интегрират технологичните промени от последните 20 години в нов правен инструмент, който да осигури адекватна защита спрямо настоящите предизвикателства и да съумее да обхване и бъдещите иновации.

Европейските институции изтъкват предимствата на Регламента за защита на личните данни както за частните лица, така и за фирмите** :

  • Осигуряване на последователна правна рамка за държавите членки: повече от 90% от европейците твърдят, че са усетили лично несъответсвието на отделните национални закони в различните държави членки;
  • Премахване на пречките пред трансграничната търговия;
  • Цялостни ползи, изчислени на 2.3 милиарда евро годишно.

Въпреки това, докато институциите гордо обявяват съгласието си и привличат вниманието към неоспоримите предимства и възможности на Регламента за защита на личните данни, тежестта върху фирмите за изпълнението на новите изисквания е значителна.

2. Как европейските институции подхождат към проблема за нужда от нов правен инструмент?

За разлика от стария европейски инструмент за защита на личните данни (директива), този път европейският законодател е избрал регламент.

Причината за това е, че различните 28 закона за защита на личните данни, които съществуват в рамките на Европейския съюз, до този момент усложняваха значително работата по проекти, включващи няколко държави членки, както и ежедневната работа на холдинговите дружества.

Докато една директива трябва да бъде транспонирана в националното законодателство, което оставя на държавите известна гъвкавост, то регламентите са обвързващи в своята цялост и предвиждат директен ефект и пряко приложение във всички държави членки.

Така, необходимостта от последователни и единни правила в Европейския съюз могат да бъдат задоволени само чрез регламент.

3. Как ще се отрази приемането на новия Регламент за защита на лични данни на бизнеса?

Първият основен ефект на Регламента за защита на личните данни върху бизнеса произтича от неговото извъневропейско приложение, тъй като той ще се прилага за всеки, който се докосва до данни на европейски граждани, независимо от мястото му на стопанска дейност и от мястото, където се обработват данните.

Поради тази нова разширена отговорност, фирмите ще трябва да извършат одит на съществуващите договори с трети страни, включително процесори на данни, върху които Регламента за защита на лични данни е вече приложим (т.н. доставчици на облачни услуги), и да пристъпят към необходимите промени.

Преди всичко, новият правен инструмент засилва изискванията за спазване на задълженията, което ще наложи преразглеждане на вътрешната организация на фирмите.

Данните ще трябва да бъдат класифицирани по видове и оценките на риска ще трябва да се правят по категории. За да покажат своята ангажираност да отговарят на изискванията, фирмите ще трябва да приемат и преразглеждат систематично кодекси за поведение и вътрешни процедури за обработване на данните.

От сега нататък, въпросът за личните данни ще възниква в самото начало на обсъждане на нови проекти (privacy-by-design), за да могат да се прилагат необходимите мерки своевременно.

Човекът, който ще отговаря за тази нова организация, ще е длъжностното лице по защита на данните (Data Protection Officer), чието назначаване става задължително в определени ситуации, и в специалност за фирми, които обработват чувствителни данни. В Регламента за защита на личните данни основната роля на длъжностното лице по защита на данните е подчертана освен чрез редица задължения и чрез изискването да му се предоставят всички необходими ресурси за правилното изпълнение на задълженията му.

4. От кога Регламентът за защита на лични данни ще се прилага?

Регламентът за защита на личните данни ще влезе в сила на 20-я ден след датата на публикуването му в Официалния вестник на Европейския съюз, тоест на 25 май 2016 г.

Въпреки това, регламентът ще се прилага от 25 май 2018 г.

До тази дата вътрешните екипи за привеждане в съответсвие ще трябва да работят усилено, за да преразгледат новите изисквания и създадат необходимите за спазването им процедури.

5. Какво ще се случи, ако компаниите не са готови за новите си задължения на предвидената дата?

Последствията за фирмите, които не могат да отговорят на новите изисквания на посочената дата, могат да бъдат значителни. Регламентът за защита на личните данни предвижда санкции в размер до 20 милиона евро или 4% от световния годишен оборот на дружеството, като крайната санкция ще бъде в размер на по-високата от двете сума.

В допълнение, създадена е възможност за групови искове, което може да доведе до сериозни финансови загуби или щети върху репутацията.

Така, всяко неспазване на новите изисквания може да има значително отражение върху компаниите и най-вече групите от фирми.

Изглежда, че двугодишният срок за подготовка за прилагането на Регламента за защита на личните данни ще бъде достатъчен единствено за фирмите, които започнат да се подготвят незабавно.


*В.Рединг, Реформа на защитата на личните данни : възстановяване на доверието и изграждане на единен цифров пазар, 4та Европейска конференция за защита на личните данни, Брюксел, 17 септември 2013.

**В.Йоурова, Реформа на защитата на личните данни: Какви са ползите за бизнеса в Европа?, съобщение за пресата, януари 2016.


Leave a Reply

Your email address will not be published. Required fields are marked *