Общият Регламент за защита на данните /GDPR/ влезе в сила от 25.05.2018г. , но все още представлява сериозно предизвикателство за организациите, особено за публичната администрация , която е натоварена да спазва и съчетава неговите разпоредби с множество други нормативни изисквания. Въпреки че по-голямата част от разпоредбите, съдържащи се в GDPR, се прилагат за всички администратори и обработващи данни, някои разлики са налице , когато става въпрос за публичен орган. По-долу ще разгледаме най-значимите според нас.
Един от първите въпроси, които обработващите данни и администраторите на данни трябва да си зададат е дали те са публичен орган за целите на GDPR. GDPR не съдържа определение за публична власт и оставя националните законодатели да дадат отговор на тази празнина. Това е подход, който почти неизбежно ще доведе до различия в практиката на различните европейски държави. Понастоящем КЗЛД не предвиждат различни условия и санкции за публичните органи на национално ниво.
Важно е обаче да разгледаме по-особените обстоятелства , които касаят администратора и обработващия данни в публичния сектор.
- Публичната администрация много по-трудно може да разчита на съгласието на субекта на данните като основание за обработка на данни. Съгласно GDPR съгласието може да се използва , само ако е свободно изразено, конкретно, информирано и недвусмислено дадено. Тъй като има вероятност да има ясен дисбаланс на властта между публичната власт и индивида, обикновено няма да е подходящо публичните власти да разчитат на съгласието като основание за обработка на данните. В основание 43 от GDPR се посочва, че когато администраторът е публичен орган “изглежда малко вероятно съгласието да е дадено свободно”.
- Публичните органи също няма да могат се позовават на легитимните интереси, като основание за обработка на данни. Казано е конкретно в чл.6 от Регламента. Въпреки че публичните органи няма да могат да разчитат напълно на съгласието и законните интереси като основания за обработка, то действията, предприети в обществен интерес по чл.6, буква (д) от GDPR, е едно добро основание за обработка на данни, с което разполагат публичните органи. Това основание се прилага, когато обработването на данни е необходимо за изпълнение на задача, изпълнявана в обществен интерес или при упражняване на публична власт, притежавана от администратора. Следователно обосновката на обществен интерес може да даде на публичните органи сравнително широкообхватно право на преценка да обработват данни, които преди това биха могли да бъдат обработени въз основа на законните/легитимни/ интереси или съгласие.
- GDPR изисква публичните органи задължително да разполагат с длъжностно лице по защита на данните – ДЛЗД (DPO). Това лице може да бъде ФЛ или ЮЛ, не е задължително да бъде служител на публичния орган, но трябва да има експертни познания относно законодателството и практиките за защита на данните и способността да изпълнява редица задачи, посочени в GDPR. Тези задачи включват:
- консултиране на публичните органи относно техните задължения за защита на данните;
- наблюдение на спазването на регламента;
- обучение на персонала;
- точка за контакт с надзорния орган (КЗЛД) и др.
Това е важна роля, която трябва да бъде предоставена на лице с подходящи експертни знания по защита на данните, в противен случай публичният орган ще се изложи на риск от голяма санкция за неспазване на GDPR.
- В публичния сектор няколко правила, които въвежда GDPR, ще бъдат по-малко приложими, докато други ще имат по-голямо въздействие върху публичния сектор конкретно. Някои нови задължения ще играят по-малка роля в този сектор, отколкото в други сектори, например:
- Преносимост на данни
Правото на преносимост на данни е добър пример за ново право за субектите на данни. Това право на субектите на данни да получат личните си данни в разпространен машинно четим формат, трябва да бъде изпълнявано от организациите, когато е приложимо. Само за лична информация, събрана на база на съгласие или за изпълнение на договор, обаче може да бъде приложено правото на преносимост на данни. Тъй като организациите в публичния сектор в по-голямата част от дейностите си не следва да използват съгласието като основание за обработка на данни, то – преносимостта на данните ще ги касае само във връзка с договорните отношения. Тъй като често най-често в рамките на публичния сектор, се използва за основание на обработка изпълнение на задача от обществен интерес, то преносимостта на данните няма да играе толкова голяма роля в неприкосновеността на личния живот на публичния сектор.
- Право да бъдеш забравен
Правото на изтриване или правото да бъдеш забравен – означава, че субектът на данни има право да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне. Правото да бъдеш забравен също ще играе по-малка роля в публичния сектор в сравнение с други сектори. В случай че обработката се извършва на основание за изпълнение на задача от обществен интерес или упражняване на публична власт, или за спазване на правно задължение на администратора в рамките на ЕС или на държавата-членка, правото да бъдеш забравен не е приложимо. И двата вида обработка се извършват сравнително често в рамките на публичния сектор.
Предвид обстоятелствата и спецификата всеки публичен орган трябва отговорно и своевременно да предвиди предприемане на стъпките за въвеждане на администрацията в съответствие с GDPR.
- Ако имате необходимост от съдействие в прилагането на GDPR във Вашата организация, моля вижте как можем да бъдем полезни тук: Услуги и Платени ресурси
- Ако искате да получите нашите ценови предложения, моля свържете се с нас тук: Контакт
- Повече за ДЛЗД може да прочетете в нашия блог тук: ПОЛЗИTE ОТ ВЪНШЕН DPO / data protection officer / / длъжностно лице по защита на данните/
- Още полезна информация вижте тук: Безплатни ресурси