Законът за защита на личните данни (ЗЗЛД) съществува още отпреди да влезе в сила през май 2018 Общият регламент за защита на личните данни на физическите лица (ОРЗД или GDPR). Оттогава всички заинтересовани лица тръпнеха в очакване как нашият законодател ще имплементира изискванията на Регламента в националното ни законодателство. За целта трябваше да бъдат направени сериозни промени и допълнения в Закона за защита на личните данни. Обновеният закон вече е факт след цели 10 месеца чакане. Промените са в голяма си част преписани от разпорежданията от Регламента, но разбира се и нашият законодател е добавил нещичко от себе си.
Няма да се спираме отделно на всяка изменена или допълнена разпоредба на закона, тъй като няма смисъл при все, че основно се преповтаря Регламента, а неговото разглеждане може да видите в други обширни статии. Ще се спрем само на основните и по-значителни неща, които са допълнени или по някакъв начин се различават от тези в Регламента.
Едни от най-съществените допълнения са свързани с уреждане на въпросите относно събирането и обработването на лични данни от работодател, в качеството му на администратор. По отношение на случаите на подбор на персонал, работодателят има право да съхранява личните данни на кандидатите, които не са били одобрени за съответната позиция за срок, не по-дълъг от 6 месеца. Този срок може да бъде удължен само ако кандидатът е дал изричното си съгласие за по-дълго съхранение и евентуално последваща свободна позиция за работа. Има случаи, в които работодателят изисква някои документи от кандидатите в оригинал (диплома, трудова книжка, медицинско свидетелство и др.). Той обаче е длъжен след приключване на подбора на персонал да върне изисканите документи на кандидатите, които не са били одобрени в срок до 6 месеца от приключване на процедурата. Същото важи и за нотариално заверени копия от посочените документи.
Във връзка с горното е важно да се спомене фактът, че копирането на документи за самоличност, вкл. шофьорска книжка, може да стане само ако има изрично посочена в закона причина за това. Подборът на персонал не би следвало да се счита за такава, още повече, че често кандидатът представя достатъчно документи, които включват лични данни. Това ограничение обаче, в доста случаи ще отпада, тъй като с въвеждането на Закона за мерките срещу изпирането на пари (ЗМИП) голяма част от администраторите са задължени да снемат самоличността на своите клиенти, за да докажат в последствие пред ДАНС, че са извършили необходимите вътрешни проверки. А задължените по този закон лица са много, сред които: адвокати, нотариуси, ЧСИ, застрахователи, брокери на недвижими имоти, държавни органи и куп други.
Друга съществена разлика на Закона от Регламента е по-ниската възрастова граница при обработването на лични данни на деца. Според Регламента тя е 16 години, а според нашия закон – едва 14 години. Това не е някакво своеволие, а резултат от възможността, предвидена в Общия регламент националните законодателства на отделните страни членки да сложат по-ниска граница. Това означава, че за лица под тази възраст, трябва изрично съгласие от страна на упражняващия родителските права (родител, попечител или настойник) за всяко действие, което е свързано със събирането, обработването и съхраняването на лични данни на деца.
Както повечето закони у нас, така и ЗЗЛД трябва да има свой Правилник за прилагане. Той обаче не е готов все още и не е ясно кога можем да го очакваме. В него трябва да бъдат уредени някои допълнителни въпроси, а именно: редът, условията и критериите за одобрение на проекти на кодекси за поведение на администраторите и обработващите лични данни; редът за обучение на Длъжностни лица по защита на данните (тук можем да кажем, че сертифицирането на тези лица не е задължително условие при назначаването на ДЛЗД. Сертификатът се издава след успешно положен изпит и е със срок на валидност 3 години); формата и редът за уведомяване на КЗЛД за назначаване на ДЛЗД (в момента на сайта на Комисията е публикувана информация как се подава такова уведомление, заедно с бланката, която се попълва от администратора).
Ще се спрем накратко и на правата на субектите на данни. В случай на нарушение, субектът има право да сезира Комисията в срок до 6 месеца от узнаване на нарушението, но не по-късно от 2 години от извършването му. Законодателят е предвидил обаче, че за нарушение на закона и на Регламента, които са извършени преди влизането в сила на новия ЗЗЛД, сроковете за сезиране на Комисията са различни – 1 година от узнаването и до 5 години от извършването на нарушението. Освен сезирането на Комисията, субектът на данни може да иска обезщетение за претърпени вреди от неправомерно обработване на личните му данни по пътя на съдебното производство.
Другата разлика с Регламента е предвидената глоба или имуществена санкция за „други нарушения на този закон“ в размер на 5 000 лв., а при повторно нарушение – в двоен размер. Най-съществената разлика с Регламента обаче е различният срок за отговор от страна на администратора до субекта на данни при отправено искане и упражняване на правата си. Според Регламента този срок е 1 месец, а нашият законодател, незнайно защо, удължава двойно този срок – до 2 месеца.
В заключение е важно да се знае, че при несъответствие на национален закон (напр. ЗЗЛД) с регламент на Европейския съюз (напр. GDPR), прилага се регламентът.