Промени в законопроекта за личните данни

Журналистите няма да искат съгласие при обработване на лични данни. 

Няма да има изискване за назначаване на длъжностно лице по защита на данните (DPO) при обработване на личните данни на 10 000 души.

Това са част от промените в проекта за изменения в Закона за защита на личните данни (ЗЗЛД), които са настъпили преди Министерският съвет да го внесе в парламента, съобщи https://news.lex.bg/.

Също така според поправките няма да има изрично разписване на размери на санкциите за нарушения на Общия регламент за защита на данните (GDPR), въвеждане на възможност за отказ за достъп до информация, ако с нея се погазва професионална тайна.

Окончателният вариант на законопроекта днес беше публикуван на сайта на Народното събрание и всички заинтересовани могат да се запознаят с него (Проектът за промени в ЗЗЛД). Това стана близо два месеца след влизането в сила на Общия регламент за защита на данните и на самия финал на парламентарната сесия, което означава, че депутатите ще го обсъдят най-рано през септември. Така през лятото ще може да се изпращат становища.

Във внесения в Народното събрание проект са съобразени множеството възражения, които бяха направени по първоначалните текстове.

Заради множеството критики, че в първоначалния вариант на проекта недопустимо е въведен долен праг на санкциите за нарушения на GDPR, сега е предприет друг подход. Българският закон няма да ги преписва, а само ще препраща към тях. Така той вече предвижда единствено, че размерите на предвидените в регламента глоби и имуществени санкции се определят съобразно посочените в него критерии и се налагат в тяхната левова равностойност.

Извън тази обща разпоредба има препратки към отделните видове нарушения на изискванията на регламента:

Чл. 86. (1) За нарушения на чл. 45, ал. 1, чл. 49, ал. 1, чл. 51, чл. 53-56, чл. 80, ал. 1, т. 1, буква „а“, т. 2, букви „б“ и „в“ администраторът и/или обработващият лични данни се наказва с глоба или с имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.

(2) За нарушения по чл. 59, 62 и 64-70 административното наказание глоба или имуществена санкция е в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.

(3) Размерите на предвидените в ал. 1 и 2 административни наказания се определят съобразно посочените в чл. 83, параграф 2 от Регламент (ЕС) 2016/679 критерии и се налагат в тяхната левова равностойност.

Предвидено е, че за други нарушения на ЗЗЛД санкцията е до 5000 лв.

Регистър на администраторите, назначили DPO, a не длъжностните лица

След критиките, че в разрез с регламента у нас се въвежда регистрационен режим за длъжностните лица по защита на данните, е направена друга промяна в окончателния проектозакон. Той предвижда, че Комисията за защита на личните данни води регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните, т.е. не и на самите DPO.

В проекта е уредено задължение за администраторите да съобщят на КЗЛД кого са назначили за длъжностното лице по защита на данните, както и данните му за контакт. Формата и съдържанието на уведомлението и редът за подаването му до комисията се определят с правилника за дейността ѝ и на нейната администрация, предвижда законопроектът.

Очаквано от проекта е отпаднало изискването да се назначава DPO при обработване на данни на над 10 000 души, което не съществува в регламента.

Във внесения в Народното събрание законопроект отсъстват и други разпоредби, свързани с DPO, залегнали в първоначалния му вариант. Липсват текстовете, които уреждаха, че длъжностното лице може да изпълнява задачите си по трудово или служебно правоотношение или въз основа на договор за услуги. Те не са заменени от друга разпоредба, т.е. проектът засега не ограничава бизнеса дали ще наеме физическо лице или фирма за тази дейност, нито под каква форма.

Защита на професионалната тайна и някои важни изключения

Първоначалният проект на практика дерогираше адвокатската, търговската или друга професионална тайна и разпореждаше, че те не са основание администраторът да откаже съдействие на Комисията за защита на личните данни. Сега в чл. 12а е записано следното: „Наличието на търговска, производствена или друга защитена от закона тайна не може да е основание за отказ от съдействие от страна на администратора и/или обработващия при осъществяване на задачите и правомощията на комисията. Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви „д“ и „е“ от Регламент (ЕС) 2016/679 може да се наруши задължение на администратора или обработващия за опазване на професионална тайна или друго равностойно задължение за опазване на тайна, произтичащо от закон, или до нейното разкриване в нарушение на разпоредба на закон, администраторът или обработващият отказва предоставяне и/или достъп само до информацията, защитена като тайна“.

Освен това проектът вече предвижда възможност за администраторите на лични данни да откажат на субектите на данни да упражнят част от правата си по GDPR (тези, регламентирани в чл. 12-22 от GDPR, например – данните им да бъдат заличени), ако с това би се създал риск за националната сигурност, независимостта на съдебната власт и съдебните производства, както и за „други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност“ и др. (за пълния списък виж чл. 37а в законопроекта).

Журналистите не искат съгласие при обработване на данни

След опасенията на медиите, че приемането на проекта за изменения в ЗЗЛД в първоначалния му вид може да възпрепятства работата им да информират обществото и да засегне свободата на словото, в текстовете са направени важни допълнения.

Сега изрично е записано, че при обработване на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване не се прилагат чл. 6, чл. 8-10, чл. 30, чл. 34 и глава пета от Регламент (ЕС) 2016/679. Това означава, че например няма да е необходимо журналистът да иска съгласие, когато събира лични данни. Регламентирано е и че фоторепортерите и операторите няма да искат съгласие, когато снимат някого.

Освен това медиите могат да откажат на човек, чиито данни са събрали, да ги изтрият, както и да упражни други свои права по GDPR (по чл. 12-21 от регламента).

Има и разпоредба, която предвижда, че проверките на КЗЛД в медиите и правомощията, които комисията има в тази връзка, не може да станат причина за разкриване на тайната на източника на информация.

Всички тези правила важат, когато обработването на лични данни за журналистически цели е законосъобразно. Според проекта то е такова, „когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот“.

Върни се горе