Во всех странах, входящих в состав ЕС, в том числе и в Болгарии, начиная с 25.05.2018, будут применяться новые правила защиты персональных данных. Они рассматриваются в системе GDPR (Общее регулирование защиты данных). Проверки выполнения болгарского Закона о защите личных данных (ЗЗЛД) начнутся в конце мая. Их будет проводить специальная комиссия.
Ознакомиться с законом можно по ссылке.
Согласно ЗЗЛД, к персональным данным относится любая информация, которая имеет отношение к физическому лицу и позволяет его идентифицировать прямо или косвенно.
Согласие на обработку личных данных (ЛД) – одно из оснований для законной обработки персональной информации. От администратора личных данных требуется возможность доказать, что персональная информация была предоставлена:
-
Добровольно, без давления.
-
Посредством явного заявления.
-
По соглашению, в котором указаны конкретные цели и точные, полные, понятно изложенные сведения об использовании данных.
Принцип подотчетности контроллеров данных предполагает, что согласие должно быть задокументировано в целях удостоверения его доступности.
Какую информацию нельзя собирать
Запрещены сбор и обработка персональной информации о:
-
национальности и этническом происхождении;
-
сексуальной жизни;
-
здоровье;
-
генах;
-
политических, философских, религиозных убеждениях;
-
членстве в организациях с политическими, профсоюзными, философскими и религиозными целями, политических партиях.
Запрет распространяется также на личные данные, которые:
-
имеют отношение к состоянию здоровья, генам и сексуальной жизни личности;
-
показывают национальность, этническое или расовое происхождение;
-
выявляют членство в организациях с политическими, религиозными, философскими, профсоюзными целями, раскрывают соответствующие убеждения.
Исключения
В ряде случаев запрет недействителен. Сбор и обработка личных данных возможны в следующих случаях:
-
Если это необходимо, чтобы реализовать конкретные права и обязанности администратора в сфере трудового права.
-
Если получено прямое согласие на обработку данных от физического лица, к которому они относятся.
-
Если это необходимо для защиты здоровья и жизни физического лица, к которому относятся данные, и которое не может дать согласие из-за своего состояния или юридических осложнений.
-
Если они производятся некоммерческой организацией, в т.ч. политической, религиозной, философской или профсоюзной направленности, в ходе ее законной деятельности при наличии соответствующей защиты. При этом обработка может относиться только к членам организации или к лицам, которые с ней постоянно контактируют и разделяют ее цели. Кроме того, для разглашения информации третьим лицам необходимо согласие тех, к кому она относится.
-
Если речь идет о данных, которые физическое лицо ранее публично раскрыло.
-
Если данные необходимы для установления, защиты и осуществления прав судом.
-
Если потребность в обработке обусловлена медицинскими целями – данные нужны для превентивной медицины, диагностики, предоставления медуслуг или их управления. Необходимо, чтобы в этом случае информация обрабатывалась врачом, который юридически связан с профессиональной тайной, или иным лицом, которое обязано защищать приватность и соблюдать режим секретности.
-
Если цель заключается исключительно в литературном, художественном, журналистском выражении – до того момента, пока обработка данных начнет нарушать неприкосновенность частной жизни лица, которого эта информация непосредственно касается.
Санкции
Согласно ЗЗЛД Болгарии, за нарушение предусмотрены санкции.
Если цели сбора и обработки информации не совпадают, или если процесс сбора данных начинается до регистрации в качестве администратора, то штраф или имущественные санкции составляют от 10 до 100 тысяч левов. Такую же сумму придется заплатить в случае отказа в содействии комиссии по защите персональных данных.
За нарушение 5 статьи (о данных, которые запрещено обрабатывать) или отказ администратора ЛД предоставить свои данные лицу, которого непосредственно касается процесс сбора и обработки, предусмотрены санкции от 2 до 20 тысяч левов. Такой же штраф грозит в том случае, если администратор ЛД не занесен в реестр организаций, которые обрабатывают персональную информацию, или же не выполнил предписание соответствующей комиссии. От 2000 до 20000 левов нужно будет заплатить, и если администратор ЛД не предоставляет по запросу комиссии по защите личных данных нужную информацию в устной или письменной форме, а также не обеспечивает доступ комиссии.
Если письменное обращение физического лица согласно статьям 26, 28, 28 ЗЗЛД администратор ЛД оставляет без ответа, то санкции составят от 1 до 20 тысяч левов за исключением случаев, когда такие действия караются более суровыми наказаниями.
Другие нарушения закона караются штрафом или имущественными санкциями на сумму от 500 до 5000 левов.
Если ваша компания собирает, обрабатывает и использует для своей деятельности персональные данные физических лиц, то до 25.05.2018 года вам нужно зарегистрироваться в качестве администратора личных данных, заключить с клиентами и контрагентами соглашения на этот счет и тщательно соблюдать все предписания ЗЗЛД.