Защитата на личните данни вече неколко-кратно е била предмет на анализи в списание „Труд и осигуряване“, най-вече във връзка със специалните правила за обработване на лични данни на работниците и служителите. Особената актуалност на тези въпроси и към днешна дата се свързва с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на личните данни). Той започва да се прилага от 25 май 2018 г.
Като че ли прекалено бързо за мнозина, подготвителният период от две години, предвиден в Регламента с цел привеждане в съответствие с новите правила, изтече, и след броени дни новият режим ще е в пълна сила. Разбира се, той не променя изцяло основните принципи в тази материя, а само ги доразвива и надгражда, поради което част от тревогите на администратори и обработващи са необосновани. факт е обаче, че изискванията за законосъобразността на обработването на лични данни се увеличават, а предвидените санкции за допуснати нарушения стават значително по-високи. Ето защо си струва отново да се напомнят някои важни правила, които администраторите на лични данни (и в частност – работодателите) трябва да съобразяват в дейността си. Тук избрахме подхода да предложим конкретни отговори на някои от често поставяните в практиката въпроси. Надяваме се, че с публикуването на тези отговори ще помогнем и на други читатели да намерят повече информация по теми, създаващи колебание и несигурност в работата им.

***
Бизнесът ми не е високотехнологичен. Означава ли това, че Общият регламент за защита на личните данни не ме засяга?
Не, Общият регламент за защита на личните данни засяга всички администратори на лични данни, независимо от сферата им на дейност. Действително, една от причините за приемането на Регламента беше бързото технологично развитие в последните години и дигитализирането на процесите по обработване, което не можеше да бъде обхванато напълно от действалата до момента Директива 95/46/ЕС. Затова и в Регламента се отчита, че „бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. Технологиите позволяват и на частните дружества, и на публичните органи, да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. физическите лица все по- често оставят лична информация, която е публично достъпна и в световен мащаб. Технологиите преобразиха както икономиката, така и социалния живот и следва да улесняват още повече свободното движение на лични данни в Съюза и предаването на данни до трети държави и международни организации, като същевременно гарантират високо ниво на защита на личните данни. Тези промени изискват силна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане, като се има предвид значението на изграждането на доверие, което да позволи на цифровата икономика да се развива на вътрешния пазар. физическите лица следва да имат контрол върху собствените си лични данни. Правната и практическата сигурност за физическите лица, икономическите оператори и публичните органи следва да бъдат засилени“.
Смисълът от приемането на Регламента обаче не се изчерпва до това да се отговори на новите технически предизвикателства и той не създава задължения само за администратори и обработващи, които работят в сферата на информационните технологии. Новата уредба целй да унифицира правилата за защита на данните във всички държави членки и да ги „затегне“, в смисъл да въведе по- високи изисквания към необходимите технически и организационни мерки за защита, дейностите по обработване и т.н. Дори един администратор на лични данни да ги обработва само на хартиен носител (колкото и изолирани да са подобни случаи днес), той пак ще трябва да се съобразява с принципите, въведени в Регламента, с правата на субектите на данните, които трябва да гарантира, с новите изисквания за валидност на съгласието като условие за законосъобразност на обработването и т.н. На общо основание този администратор попада и под контрола на националния надзорен орган. За България това е Комисията за защита на личните данни (КЗЛД).

Какви са промените по отношение на вече регистрираните администратори на лични данни в КЗЛД?
Считано от 25 май 2018 г. отпада задължението на администраторите на лични данни да подават заявление за вписване в регистъра на администраторите на лични данни и водените от тях регистри по чл.10, ал.1, т.2 от ЗЗЛД. Занапред няма да има правно значение дали един администратор е бил вписан в този регистър преди 25 май 2018 г. или не – правилата на Регламента засягат в еднаква степен всички лица, които обработват лични данни.
От особена важност е да се подчертае принципът на отчетност, въведен с Регламента. Съгласно този принцип администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички правила на режима.
Принципът за отчетност не се ограничава само до тежестта на доказване при възникване на спор, а трябва да се разбира значително по-широко. Администраторът по всяко време трябва да може да демонстрира съблюдаването на принципите, прогласени в Регламента. Конкретен израз на тази идея може да се открие в:
• задължението за водене на регистри относно дейностите по обработване на лични данни: за разлика от досегашната регистрация, регистрите по чл.30 от Регламента са „вътрешни“, няма да се заявяват предварително пред КЗЛД и ще е необходимо да се представят единствено при проверка;
• изискването отношенията между администратор и обработващ да са уредени писмено и обработването на данните да се извършва само съобразно документираните нареждания на администратора;
• изискването оценката за въздействие да бъде изготвяна в писмена форма и др.
Принципът за отчетност цели да гарантира, че обработването на личните данни се осъществява по прозрачен, документиран и лесно проследим начин. Както беше посочено, той засяга в еднаква степен както лицата, които отдавна обработват лични данни и са подлежали на регистрация по досегашния режим, така и тези, които за първи път започват подобна дейност при действието на Регламента.

Какво точно се включва в понятието за лични данни? Наистина ли и косвена информация като локализиране на лицето представлява „лични данни“?
Често в практиката се среща едно твърде стеснено разбиране за „личните данни“, като в това понятие се включват само категориите информация, споменавани най-често във връзка с този режим. Тук се отнасят имената, ЕГН, данните в личната карта. Пропуска се обаче, че това далеч не са всички лични данни на едно физическо лице.
Според легалната дефиниция, дадена в Регламента (чл.4) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Така понятието за „лични данни“ (и в досега действалата Директива 95/46/ЕО, и в новия Регламент) целенасочено е дефинирано по начин, който позволява изключително широко тълкуване. Липсата на сигурни и еднозначни идентификатори като имена, ЕГН или др. в масива от информация, който обработва един администратор или обработващ, далеч не означава, че не се обработват лични данни. Дори и само на база на косвена информация и специфични признаци е възможно да се стигне до идентификация на физическите лица, за които се отнася тази информация, и съответно при обработването й е необходимо да се спазват правилата на Регламента.
Накратко, всякаква информация би могла да съставлява лични данни. Няма изчерпателен списък с типове данни, които съставляват „лични данни“, и не би могло да бъде формулиран такъв. Така например личните данни, които един работодател обработва за своите работници и служители, не се свеждат до идентификационните им данни, вписани в трудовите договори и документите, които се съдържат в трудовите досиета. В масива от лични данни, които се обработват за работниците и служителите, се включва и цялата информация, отнасяща до тях, която се генерира в хода на трудовото правоотношение, включително и данни като постигнати от служителите резултати, оценки и анализи за справянето им с работата, обратна връзка за представянето им в работния процес от други служители, от ръководители и от клиенти и т.н. Информацията за активността или използването на определено устройство като компютър, мобилен телефон, автомобил, производствени машини и др. би попаднала в обхвата на Регламента, ако се използва заедно с информация за конкретно физическо лице, което работи със съответните устройства. Ето защо отговорът на поставения въпрос е положителен: и данни за местоположението (локализирането) на едно лице ще подлежат на защита по правилата на Регламента, когато косвено и в съвкупност с други данни могат да доведат до идентифицирането на това физическо лице.

В дружеството имаме регистри, в които се обработват данни на клиенти и доставчици, които са изключително само юридически лица. В тях обаче има данни и за физически лица като имената на управителя на фирмата доставчик и т.н. В този случай обработват ли се лични данни на физическо лице или не?
По така поставения въпрос следва да се направят две важни уточнения:
На първо място правноиндивидуализиращите белези на юридическите лица (наименование, седалище, адрес на управление, ЕИК) не са лични данни и не попадат в предметния обхват на Регламента.
На второ място юридическите лица по правило се ръководят и представляват от физически лица, и техните лични данни не загубват това си качество, само защото са публично достъпни. За да се обработват законосъобразно, отново трябва да се съобразят принципите на Регламента и по-конкретно принципът на ограничаване на целите на обработването. Обстоятелството, че администраторът разполага с определен набор от данни, не означава, че свободно може да ги обработва за всички цели, за които прецени, и/или да добавя нови цели към първоначално предвидените. Този принцип забранява и произволното използване на публично достъпните лични данни (напр. част от търговския регистър).
Очевидно целта, с която се поддържа търговският регистър, е да спомага за развитието на стопанския оборот. Използването на лични данни на представляващи търговски дружества при проверка на актуалното състояние на юридическо лице – контрагент, включването на тези данни в договорите и т.н. представлява законосъобразна форма на обработване на съответните данни. Наличните в търговския регистър данни обаче не са направени публично достъпни, за да бъдат събирани и обработвани за други, различни от и несъвместими с посочената по-горе първоначална цел, от типа на директен маркетинг. Ако например едно дружество започне да използва така събраната информация от договорите с клиенти и доставчици, за да изпраща непоискани търговски съобщения, адресирани до съответните физически лица, ще е налице нарушение на правния режим на защита на личните данни.

Какво трябва да съдържа договорът между администратор и обработващ лични данни?
Съгласно легалните дефиниции, включени в Регламента, администратор на лични данни
означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни, а обработващ лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
Следва да се има предвид, че служителите на администратора не са обработващи по смисъла на тази дефиниция, а лица, действащи под неговото ръководство. Затова за тях не се отнася изложеното по-долу относно съдържанието на договорните отношения между администратор и обработващ. Така например „външен“ обработващ спрямо работодателя като администратор на лични данни ще се яви службата по трудова медицина, с която работодателят трябва да уреди отношенията си по повод възлагането на обработка на личните данни на персонала. Обратно – счетоводителят на предприятието обработва лични данни на останалите служители като част от служебните си задължения и с него не се сключва отделен договор за обработването на тези данни.
Съгласно чл.28, ал.3 от Регламента обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:
• обработва личните данни само по документирано нареждане на администратора;
• гарантира, че лицата, оправомощени да обработват личните данни (лицата, действащи под контрола на обработващия), са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
• прилага подходящи технически и организационни мерки за осигуряване сигурността на личните данни;
• подпомага администратора, за да се гарантира изпълнението на изискванията за осигуряване на сигурност на личните данни, за уведомяване при нарушения в сигурността на
данните и за извършването на оценка на въздействието и за провеждането на предварителни консултации с надзорния орган (КЗЛД), като отчита естеството на обработване и информацията, до която му е осигурен достъп;
• подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на правата на субектите на данни;
• по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение; и
• осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на посочените по-горе задължения, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.
В допълнение към изброените изисквания Регламентът въвежда и някои изключително важни задължения, отнасящи се до превъзла- гането на дейности по обработване от обработващия към подизпълнители/подобра- ботващи. Обработващият не може да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин дава възможност на администратора да оспори тези промени.
Когато обработващ лични данни включва друг обработващ лични данни за извършването на дейности по обработване от името на администратора, на това друго лице също е необходимо да се наложат (с договор или друг правен акт) същите задължения за защита на данните като задълженията, предвидени между администратора и обработващия лични данни.
За обработващите лични данни лица са въведени и задължения да поддържат регистри на всички категории дейности по обработване, извършени от името на администратор, как- то и за определяне на длъжностно лице по защита на данните, ако характерът на извършваните дейности по обработване налага назначаването на такова.

Какви функции ще изпълнява длъжностното лице по защита на данните и кога е задължително да определим такова?
Длъжностното лице по защита на данните (ДЛЗД) е „отговорник“ по въпросите, свързани със защитата на личните данни в организацията на администратора или на обработващия лични данни. То е служител на администратора/обработващия или външно за организацията лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на Регламента в организацията и повишаването на осведомеността и обучението на персонала. Това лице информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни, наблюдава спазването на правилата за защита на личните данни и на съответните вътрешни политики, съдейства при извършване на оценка на въздействието, осъществява връзка с надзорния орган и служи като точка за контакт на субектите на данни при упражняване на техните права.
По силата на новите правила могат да се обособят две групи случаи на определяне на ДЛЗД. При първата от тях то представлява правно задължение и евентуалното му неизпълнение може да доведе до налагане на санкции на задължените лица. Във втората група случаи определянето на ДЛЗД става по избор на съответната организация, с цел да се оптимизира защитата на обработваните лични данни. Независимо дали определянето на ДЛЗД е било задължително или е предприето от организацията доброволно, неговите статут и функции са еднакви.
Хипотезите на задължително определяне на ДЛЗД според Регламента са следните:
• когато обработването се извършва от публичен орган или структура, освен когато
става въпрос за съдилища при изпълнение на съдебните им функции;
• когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
• когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Комисията за защита на личните данни вече анонсира намеренията си да предложи още една хипотеза на задължително определяне на ДЛЗД на национално ниво – когато администраторът обработва данни на над 10 000 физически лица. Тя е конкретен израз на идеята за „мащабност“ на обработването, но дали ще се приеме наистина предстои да се разбере, когато станат факт очакваните промени в ЗЗЛД.
Описаните по-горе хипотези налагат няколко уточнения, например кога обработването на данни представлява основна дейност
на администратора или на обработващия. За „основни дейности“ се считат ключовите операции, които са необходими за постигането на целите на администратора или обработващия лични данни. Обработването на данни е основна дейност и в случаите, когато то е неразделна част от останалите дейности на организацията. Така например основната дейност на една болница – без съмнение – е предоставянето на здравно обслужване. Болницата обаче не може да предоставя здравно обслужване безопасно и ефективно, без да обработва данни за здравословното състояние, като например здравни досиета на пациенти. Следователно обработването на тези данни следва да се счита за една от основните дейности на всяка болница и съответно болниците трябва да определят ДЛЗД.
Обратно – дейности като обработка на данни на работници и служители с цел изплащане на възнагражденията им или стандартна 1Т поддръжка на системите не следва да се считат за основна дейност на администратора/обработващия. Това са примери за спомагателни функции, които са необходими за основната дейност или основното направление на стопанската дейност на организацията.
Що се отнася до хипотезите на мащабно обработване на данни, липсва точен количествен критерий кога е налице такова обработване. При преценката следва да се вземат под внимание фактори като броя на субектите на данни, обема или вида данни, които се обработват, продължителността на обработването, географския обхват на обработването. При това тези критерии следва да се съобразят кумулативно (едновременно), а не самостоятелно. Обработването например може да се осъществява паралелно в няколко държави членки и да е налице широк географски обхват, но да засяга малко на брой лица и незначителен обем данни. В този случай то няма да се характеризира като мащабно.
Понятието за редовно и систематично наблюдение на субектите на данните също не е изрично дефинирано в Регламента. За „редовно“ се счита напр. текущото или възникващо на определени интервали за определен период наблюдение. То е систематично, кога- то се осъществява чрез система, организирано е или е част от целенасочен план или стратегия за събиране на данни.

Кой може да е длъжностно лице по защита на данните?
В разпоредбата на чл.37, ал.5 от Регламента е предвидено, че „длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството“. Необходимото ниво на експертни познания следва да се определи в съответствие с извършваните операции по обработване на данни. Въпреки, че Регламентът не поставя конкретни изисквания относно необходимата професионална квалификация и опит на ДЛЗД, то следва да познава добре сектора и организацията на администратора, както и да разбира операциите по обработка, информационните системи, сигурността на данните и необходимостта от тяхната защита.
Според Регламента ДЛЗД може да бъде както служител на предприятието, така и да изпълнява задълженията си по договор за услуги. Няма пречка служителят, определен от администратора за лице по защита на данните, да изпълнява и други функции в рамките на организацията (т.е. вече назначен на друга длъжност служител да поеме и функциите на длъжностно лице по защита на данните по вътрешно съвместителство).
Предвид възможността длъжностното лице по защита на данните да изпълнява и други задачи, Регламентът въвежда изискването те да не водят до конфликт на интереси. Затова ДЛЗД не може да заема позиция в организацията, която е свързана с определяне на целите и средствата за обработка на личните данни. Поради специфичната организационна структура във всяка организация, конфликтът на интереси трябва да се преценява конкретно за случая. Все пак като обща насока може да се отбележи, че висшите ръководни позиции (изпълнителен директор, оперативен или финансов директор, ръководителите на звената за човешките ресурси и информационните технологии) могат да се окажат в такъв конфликт, т.е. тези лица не следва да се определят за ДЛЗД. Противното би означавало те да съчетаят в едно качествата на контролиращ и контролиран, т.е. да осъществяват контрол над собствените си действия, което е логически неиздържано, а оттук – и юридически недопустимо.
Пряко свързан с правилото за предотвратяване на всеки възможен конфликт на интереси е и принципът на независимост на ДЛЗД. Администраторът/обработващият трябва да гарантират, че това лице не поучава никакви указания във връзка с изпълнение на своите задачи. Това означава не само те да се въздържат от указания как да се реши конкретен въпрос или жалба, но това да важи и за всички други техни служители. ДЛЗД се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни. Това е проявление на неговата независимост от други ръководни нива в структурата.
Длъжностното лице по защита на данните е обвързано със задължение да спазва конфиденциалност при изпълнение на своите задачи. Това е важна гаранция за субектите на данни, които могат да се обръщат към него по всички въпроси, свързани с обработването на лични данни и с упражняването на техните права съгласно Регламента. Задължението за поверителност е установено по отношение на конкретните обстоятелства, станали известни на длъжностното лице при или по повод изпълнение на неговите задачи.
Накрая следва да се отбележи още, че ДЛЗД не са лично отговорни в случай на неспазване на правилата на Регламента. Администраторът или обработващият лични данни е този, който е длъжен да гарантира и да е в състояние на докаже, че обработването се извършва в съответствие с предвидените правила.

Необходимо ли е да се събират декларации от работниците и служителите за съгласие за обработването на техните лични данни във връзка с изпълнението на правата и задълженията по трудовите правоотношения?
По принцип не.
Регламентът запазва концепцията, че за да е законосъобразно обработването на лични данни е необходимо да е налице поне едно от т.нар. условия за допустимост на обработването:
• когато субектът на данните е дал съгласие за обработването;
• когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
• когато обработването е необходимо за спазването на законово задължение на администратора;
• когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
• когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия на администратора;
• когато обработването е необходимо за целите на легитимните интереси на администратора, освен когато преимущество пред тези интереси имат интересите или правата и основните свободи на субекта.
Съгласието като условие за допустимост на обработването на лични данни на работници и служители е твърде „несигурно“ основание, от една страна, защото то може лесно да бъде опорочено от работодателя, а от друга, защото субектът на данните винаги може да го оттегли. Същевременно е очевидно, че обработването на личните данни на персонала е необходимо за изпълнението на договор, по който субектът на данните е страна – това е трудовият договор. Обработването на такива данни обикновено е и част от нормативноустановени задължения на работодателя по трудовото законодателство. Така за съгласието остава ограничено „приложно поле“, когато друго основание липсва – напр. при провеждане на психологически тест на кандидати за работа, който не може да се обоснове с никакво законово или договорно задължение.
Казано накратко, що се отнася до съгласието като условие за допустимост на обработването на лични данни на работниците и служителите, към него трябва да се подхожда внимателно. Разбира се, препоръчително е да има съгласие – било обективирано в клауза в трудовия договор, било в нарочна декларация. Това е най-малкото индикация, че работниците и служителите са запознати с целите на обработването и с правата си по действащото законодателство. Работодателят обаче следва да се стреми да обоснове наличието на някое от другите условия за допустимост и да третира съгласието като „допълнителна“, а не като „основна“ гаранция за законосъобразност на обработването. Ако събирането и обработването на определена категория данни не произтича пряко от закона и се основава единствено на даденото от лицата съгласие, добре е да се помисли дали наистина тази информация е необходима за целите на трудовото правоотношение и ако не е – да се преустанови използването й. Водещ тук е принципът на минимизиране на обработването – обемът на обработваните лични данни трябва да се сведе до минимално необходимото за постигане на заложените цели.

Кое е основанието за обработване на лични данни във връзка с изпълнението на права и задължения по колективен трудов договор? Реално служителите не са страна по колективния трудов договор, дори сами да са се присъединили към него (и в този случай не може да се ползва условието за законосъобразност на обработването „необходимост от изпълнение на договор, по който субектът на данните е страна“).
Общият принцип е, че колективният трудов договор се прилага за работниците и служителите – членове на синдикалните организации, които са страна по него. Съгласно чл.57 ал.2 от КТ работниците и служителите, които не членуват в синдикална организация, страна по договора, могат да се присъединяват към сключения колективен трудов договор от техния работодател с писмено заявление до него или до ръководството на синдикалната организация, която е сключила договора, при условия и по ред, определени от страните по договора, така че да не противоречат на закона или да го заобикалят, или да накърняват добрите нрави. И в този случай страни по договора остават работодателят и синдикалната организация, а индивидуално присъединилите се работници и служители се включват в кръга от лица, в чиято полза е сключен този договор (без да стават страна по него). Те например не могат да искат предоговаряне на условията му и трябва да се присъединяват с изричен акт и към всеки следващ анекс на колективния трудов договор.
В случая като условие за законосъобразност на обработването може да се използва спазването на законово задължение, което се прилага спрямо администратора: работодателят е длъжен да допусне присъединяването с индивидуални заявления и да спазва задълженията по колективния трудов договор, а за целта трябва да обработва и лични данни на работниците и служителите. Оттук може да се заключи, че не е задължително те да подписват изрични декларации за съгласие за обработването на данните, доколкото е налице и друго условие за законосъобразност на обработването, а и самото присъединяване е доброволен акт. Все пак няма пречка в заявлението за присъединяване да се включи и изрично волеизявление за съгласие за обработване на данните – то ще е един вид допълнителна „гаранция“ за администратора. Разбира се, правата на субектите на данните (чл.13 и сл. от Регламента) са приложими, независимо от условието за допустимост на обработването.

Наистина ли и в България ще се налагат санкции за нарушаване на правилата на Регламента от порядъка на милиони евро?
Едва ли е изненадващо, че може би най-често споменаваната тема относно новия Регламент е значителното увеличаване на размерите на административните санкции за извършени нарушения. Наказанията глоба или имуществена санкция са диференцирани за различни видове нарушения в разпоредбата на чл.83 от Регламента, например до 20 милиона евро или до 4% от общия годишен световен оборот на предприятието за предходната финансова година се предвиждат за нарушаване на основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие и т.н.
Съвсем не е изненадващо, че предвидените нови размери на административните наказания будят тревоги, но всъщност и досега глобите и имуществените санкции по ЗЗЛД бяха доста високи. Евентуалното им налагане в максималния размер от 100 000 лв. практически можеше да доведе до прекратяване на дейността на наказваното лице. Разбира се, не в това е целта и смисълът на административното наказване. Впрочем, и досега в практиката на КЗЛД санкциите, гравитиращи към законовия максимум, бяха по-скоро изключение.
Важно е да се отбележи, че Регламентът не задължава националите надзорни органи механично да прилагат предвидените в него санкции при установени нарушения. Напротив, всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ за извършени нарушения, във всеки конкретен случай, са ефективни, пропорционални и възпиращи. Според чл.83, ал.2 от Регламента при индивидуализирането на наказанието във всеки конкретен случай се вземат предвид:

• естеството, тежестта и продължителността на нарушението, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
• дали нарушението е извършено умишлено или по небрежност;
• действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;
• евентуални свързани предишни нарушения;
• степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни
последици от него;
• категориите лични данни, засегнати от нарушението;
• други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая.
След провеждането на този доста изчерпателен „тест“, националният орган може да наложи санкция в значително по-нисък размер от максимално допустимия. Наред с това, очакванията са поне в началния етап на прилагането на новите правила КЗЛД да заложи най-вече на превантивни дейности и методически указания към администраторите, с цел недопускане на нарушения.