Съгласно ОРЗД прилагането на правната уредба е отговорност на националните органи за защита на данните (ОЗД). Всяка държава от ЕИП има свой независим орган за защита на данните, който наблюдава прилагането на Регламента, включително разглеждането на жалби. За обработването на данни, извършвано в повече от една държава от ЕИП, ОРЗД предоставя система за сътрудничество между компетентните ОЗД, в рамките на която те си взаимодействат с цел постигане на консенсус. Намерете общ преглед на ОЗД.

ОРЗД предоставя определени права на физическите лица, включително правото да подават жалба до компетентния орган, когато се опасяват, че правата им за защита на данните са нарушени.

Задачи и правомощия на органите за защита на данните (ОЗД)

Задачи на ОЗД

Всеки ОЗД на ЕИП носи отговорността да наблюдава и прилага  ОРЗД, и да насърчава обществената осведоменост и разбирането на рисковете, правилата, гаранциите и правата във връзка с обработването на лични данни. ОЗД са също така задължени да съветват националния парламент, правителството и други институции и органи, и да предоставят информация на всяко лице относно упражняването на неговите права. ОЗД също така насърчават осведомеността на администраторите и обработващите лични данни относно техните задължения съгласно ОРЗД. ОЗД разглеждат жалби от физически лица, провеждат разследвания във връзка с правилното прилагане на ОРЗД и си сътрудничат с други ОЗД при прилагането на Регламента. Органите отговарят също така за:

  • приемане и разрешаване на стандартни договорни клаузи;
  • одобряване на задължителни фирмени правила;
  • одобряване на кодекси за поведение;
  • насърчаване на създаването на механизми за сертифициране за защита на данните;
  • допринасяне за  дейностите на ЕКЗД;
  • изпълнение на всякакви други задачи, свързани със защитата на личните данни.

Правомощия на ОЗД

Съгласно ОРЗД националните органи за защита на данните значително увеличиха правомощията си за правоприлагане. Член 58 от ОРЗД определя правомощията на всеки от тези национални органи, като ги разделя ясно на три основни групи:

  • правомощия за разследване;
  • корективни правомощия;
  • консултативни правомощия.

Правомощия за разследване

ОЗД упражняват своите правомощия за разследване, за да определят дали е налице нарушение на ОРЗД, точния му обхват и характер. Наред с другото, ОЗД могат:

  • Да разпореждат на организациите да предоставят всякаква информация, свързана с разследването;
  • Да провеждат разследвания под формата на одити за защита на данните и да уведомят организациите за предполагаемо нарушение на ОРЗД.
  • Да получат достъп до всички лични данни, съхранявани от дадена организация, и до цялата информация, необходима за изпълнението на нейните задачи, включително достъп до помещенията на организацията,  до всякакво оборудване и средства за обработка на данни, в съответствие с правото на ЕС и националното процесуално право.
  • Да извършват преглед на сертификатите, издадени съгласно член 42, параграф 7 от ОРЗД

Корективни правомощия

Когато в резултат на разследването е установено нарушение на разпоредбите на ОРЗД или се счита, че дадена операция по обработване носи риск или не отговаря на конкретни изисквания, ОЗД имат право да упражняват едно или повече от своите корективни правомощия, например:

  • Предупреждение или забрана за обработка: в случай на съществуващи рискове ОЗД могат да отправят предупреждения към организациите, за да се предотврати нарушаването на разпоредбите на ОРЗД. ОЗД могат също така да разпоредят временно или окончателно ограничение, включително забрана на дейностите по обработване на организации, както и да им наредят да съобщят на засегнатите физически лица за нарушенията на сигурността на данните, които са настъпили.
  • Разпореждане за изпълнение: за да се гарантира спазването на ОРЗД или да се разглеждат случаи, в които определени критерии или изисквания не са изпълнени, ОЗД имат правомощието да разпореждат на организациите да изпълняват исканията на физическите лица да упражняват правата си съгласно ОРЗД. Когато е целесъобразно, на организациите може да бъде наредено да приведат своите операции по обработване в съответствие с разпоредбите на ОРЗД по определен начин и в рамките на определен срок.
  • Преустановяване на потоците от данни или отнемане на сертификат: освен това ОЗД биха могли също така да упражняват правомощията си да преустановят всякакви потоци от данни към получатели в трети държави или към международни организации. Освен това те биха могли да отнемат сертификат или да нареждат на сертифициращия орган да оттегли издаден сертификат в съответствие с членове 42 и 43 от ОРЗД. В случаите, когато изискванията за сертифициране не са спазени или вече не се спазват, да се разпореди на сертифициращия орган да не издава сертификат.
  • Официални предупреждения: в случай на установени нарушения ОЗД могат да отправят официални предупреждения до  организациите.
  • Административни глоби: ОЗД могат също така да налагат административни глоби, определени в съответствие с член 83 от ОРЗД, в допълнение към или вместо другите мерки, изброени по-горе. Режимът на административни санкции изисква оценка на обстоятелствата по всяко отделно нарушение за всеки отделен случай. При оценката следва да се вземат предвид фактори като естеството, тежестта и продължителността на нарушението, умишления или небрежния характер, евентуалните стъпки за смекчаване на последиците от вредите, които може да са били претърпени от субектите на данни, техническите и организационните мерки (т.е. мерките за сигурност), които са били приложени, и начина, по който ОЗД е узнал за проблема.

Максималният размер на потенциалната санкция ще зависи от вида на нарушението:

  • той може да достигне максимум 10 милиона евро или 2 % от общия годишен световен оборот за предходната финансова година (например при нарушение на „неприкосновеност на личния живот още при проектирането и по подразбиране“, неспазване на задължението за сключване на споразумение за обработване на данни или липса на оценка на въздействието върху защитата на данните или назначаване на длъжностно лице по защита на данните) съгласно член 83, параграф 4 от ОРЗД; или
  • той може да достигне максимум 20 милиона или 4 % от общия световен годишен оборот за предходната финансова година (например за нарушение на основните принципи, свързани с обработването, за обработване на лични данни незаконносъобразно без правно основание или за нарушения на правата на субектите на данни) съгласно член 83, параграф 5 от ОРЗД.

Повече информация относно административните глоби, свързани с нарушения на различни членове от ОРЗД, можете да намерите в член 83 от ОРЗД и насоките на ЕКЗД относно изчисляването на административните глоби съгласно ОРЗД.

Консултативни правомощия

Всеки ОЗД има определена разрешителна и консултативна роля съгласно ОРЗД, чрез която може да оказва подкрепа на организациите и да разрешава специфични дейности по обработване. Някои примери са:

  • Предварителна консултация: съветва администраторите на данни в съответствие с процедурата за предварителна консултация по чл. 36 от ОРЗД.
  • Становища относно законодателните дейности: да издават, по собствена инициатива или при поискване, становища на своя национален парламент, правителство или, в съответствие с националното право — до други институции и органи, както и на обществеността по всякакви въпроси, свързан със защитата на личните данни.
  • Кодекси за поведение и сертифициране: одобрява проекти на кодекси за поведение, акредитира сертифициращи органи или издава сертификати и одобрява критерии за сертифициране.

Упражняването на горепосочените правомощия на ОЗД е предмет на подходящи гаранции, включително ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на ЕС и националното право в съответствие с Хартата на основните права на ЕС. Всеки ОЗД има правомощието да довежда нарушенията на ОРЗД до знанието на съдебните органи и по целесъобразност  да инициира или да участва по друг начин в съдебни производства с цел осигуряване на изпълнението на ОРЗД. На ОЗД могат да бъдат предоставени допълнителни правомощия съгласно тяхното национално право.

Сътрудничество и обслужване на едно гише

ОРЗД се прилага в ЕИП, като се използва един набор от правила за защита на данните за всички държави. Този подход подкрепя международните дружества, но също така и МСП в усилията им да се развиват и разрастват, като предлагат услугите си в повече от една страна от ЕИП.

ОРЗД предвижда система за сътрудничество между ОЗД — т.нар. механизъм за „обслужване на едно гише“, за да се постигне консенсус между многобройните ОЗД и за да се намали административната тежест при обработването на лични данни в две или повече държави от ЕИП..

Когато дадена организация обработва данни в две или повече държави от ЕИП, компетентният орган, който разглежда жалба или нарушение на сигурността на данните, е този на държавата, в която се намира основното място на стопанска дейност на администратора на данни. Това улеснява администраторите, тъй като те не трябва да спазват различните закони във всяка държава, в която извършват дейност. Освен това те трябва да взаимодействат само с един ОЗД. В зависимост от Вашия вид бизнес и продуктите и услугите, които предлагате, трансграничната обработка може да се отнася и за вашето МСП. Много по-малки предприятия, като например онлайн магазини, уебсайтове за електронна търговия, мобилни и компютърни приложения, предлагат услуги в множество държави.

Ако Вашето МСП обработва данни на физически лица в различни държави от ЕИП, Вие сте длъжни да определите кой е компетентният орган за защита на данните или водещият орган. Това обикновено е ОЗД, разположен в държавата от ЕИП, в която се намира седалището на Вашата организация, и където се вземат решения относно целите и средствата за обработване на лични данни.

На практика

  • Онлайн търговците на дребно, например, които продават дрехи чрез своите уеб магазини на клиенти в няколко държави от ЕИП, могат и често обработват лични данни. В такъв трансграничен случай компетентният орган трябва да бъде държавата на основното място на установяване на онлайн търговеца на дребно („принципно място на стопанска дейност“).

След като сте определили кой ОЗД е водещият, трябва само да общувате с тях. Водещият ОЗД си сътрудничи и участва в дискусии с други засегнати ОЗД от ЕИП.

Когато жалба с трансграничен елемент трябва да бъде разгледана в  сътрудничество с друг ОЗД, се предприемат следните мерки за осъществяване на взаимодействие:

  • Ако друг ОЗД е получил жалбата, той има задължението да информира водещия ОЗД за случая;
  • Засегнатият ОЗД може да участва в изготвянето на решение по жалбата;
  • При изготвянето на решение водещият ОЗД трябва да вземе предвид становището на засегнатия ОЗД.

Определяне на водещия орган за защита на данните

Ключови понятия

Трансгранично обработване на лични данни

Съгласно ОРЗД определянето на водещ орган за защита на данните е от значение само за организациите, извършващи трансгранично обработване на лични данни.

В ОРЗД понятието „трансгранично обработване“ се определя като:

  1. обработване на лични данни, което се извършва в повече от една държава от ЕИП, в която администраторът или обработващият лични данни е установен в повече от една държава от ЕИП; или
  2. обработване на лични данни, което се извършва в едно-единствено място на установяване на организация в ЕИП, но което съществено засяга или е вероятно да засегне съществено физически лица в повече от една държава от ЕИП.

На практика

  • Това означава, че когато дадена организация има учреждения в Германия и Хърватия, например, и обработването на лични данни се извършва във връзка с техните дейности, това ще представлява трансгранично обработване.
  • Като алтернатива, организацията може да има място на установяване само в Германия. Ако обаче нейната дейност по обработване засяга значително — или има вероятност да засегне съществено — физически лица в Германия и Хърватия, това също ще представлява трансгранично обработване.

Разбиране на „съществено засяга“

Фактът, че дадена организация обработва определен обем, дори и голям, от лични данни на физически лица в няколко държави от ЕИП, не означава непременно, че обработването има или е вероятно да има съществено въздействие. Обработването с малък или никакъв ефект не представлява трансгранично обработване, независимо от това колко физически лица засяга.

ОЗД ще тълкуват „съществено засяга“ за всеки отделен случай. Те ще вземат предвид характера на обработването, вида на данните, целта и факторите, като например дали обработването:

  • причинява или има вероятност да причини вреди, загуби или страдания на отделни лица;
  • има или е вероятно да има действително въздействие по отношение на ограничаването на правата на физическите лица или непредоставянето на възможност за упражняване на права;
  • засяга или е вероятно да засегне здравето, благосъстоянието или спокойствието на хората;
  • засяга или е вероятно да засегне финансовото или икономическото състояние или обстоятелства на физическите лица;
  • оставя лицата отворени за дискриминация или несправедливо третиране;
  • включва анализ на специални категории лични или други данни с чувствителен характер,по-специално лични данни на деца;
  • кара или е вероятно да накара хората да променят поведението си по значителен начин;
  • има малко вероятни, неочаквани или нежелани последици за физическите лица;
  • създава неудобство или други отрицателни резултати, включително накърняване на репутацията; или включва обработването на широк спектър от лични данни.

Водещ орган за защита на данните

Казано по-просто, „водещ орган за защита на данните“ или водещ ОЗД е ОЗД, който носи основната отговорност за извършването на трансгранична дейност по обработване на данни, например когато дадено лице подаде жалба относно обработването на личните му данни. Водещият ОЗД ще координира всяко разследване и ще работи заедно със „засегнатите“ ОЗД. Определянето на водещия ОЗД зависи от определянето на местоположението на „основното място на установяване„или „единственото място на установяване“ на администратора в ЕС.

Ако дадена организация е установена само в една държава от ЕИП, тя има едно място на установяване в ЕИП и ОЗД на тази държава ще бъде водещият ОЗД.

Ако дадена организация е установена в повече от една държава от ЕИП, е необходимо да се определи основното ѝ място на установяване, така че водещият ОЗД да може да бъде идентифициран.

Основно място на установяване

За да се разбере къде се намира основното място на установяване, е необходимо първо да се определи местоположението на централната администрация на организацията в ЕИП („място на централно управление”; централата), ако има такава. Това е мястото, където се вземат решения относно целите и средствата за обработването на лични данни.

В случаите, когато решенията, свързани с различни трансгранични дейности по обработване, се вземат в рамките на централното управление, в ЕИП ще има един водещ ОЗД за различните дейности по обработване на данни, извършвани от многонационалното дружество. Възможно е обаче да има случаи, в които предприятие, различно от мястото на централно управление, взема самостоятелни решения относно целите и средствата на конкретна дейност по обработване. В тези ситуации ще бъде от съществено значение дружествата да определят точно къде се вземат решенията относно целта и средствата за обработване. Правилното идентифициране на основното място на установяване е в интерес на администраторите и обработващите лични данни, тъй като осигурява яснота по отношение на това с кой ОЗД трябва да си сътрудничат в зависимост от различните си задължения, заложени в ОРЗД.

На практика

  • Седалището на търговеца на дребно на дрехи (т.е. „мястото на централно управление“) се намира в София, България. Тя има предприятия в различни други държави от ЕИП, които са в контакт с физически лица там. Всички обекти използват един и същ софтуер, за да обработват личните данни на клиентите за маркетингови цели. Всички решения относно целите и средствата за обработване на личните данни на клиентите за маркетингови цели се вземат в седалището на дружеството в София. Това означава, че водещият ОЗД на дружеството за тази трансгранична дейност по обработване е Българският орган за защита на данните.

Организации, които не са установени в ЕИП

Ако Вашата организация не е установена в ЕИП, но е предмет на ОРЗД, тъй като попада в териториалния обхват на ОРЗД, може да се наложи да назначите представител в една от държавите от ЕИП.

Ако обаче дадена организация няма място на установяване в ЕИП, самото присъствие на представител в една от държавите от ЕИП не задейства системата за обслужване на едно гише. Това означава, че организациите, които нямат място на установяване в ЕИП, трябва да се занимават с местни ОЗД във всяка държава от ЕИП, в която извършват дейност, чрез своя местен представител.

Роля на Европейския комитет по защита на данните

ЕКЗД е независим европейски орган с правосубектност, който допринася за последователното прилагане на правилата за защита на данните в ЕИП и насърчава сътрудничеството между органите на ЕИП за защита на данните. ЕКЗД се състои от ръководителите на ОЗД и Европейския надзорен орган по защита на данните (ЕНОЗД) или техни представители. 

Научете повече за ЕКЗД

В ЕКЗД ОЗД работят заедно за:

  • предоставяне на общи насоки (включително насоки, становища, препоръки и най-добри практики) относно законодателството за защита на данните, по-специално ОРЗД; 
  • консултиране на Европейската комисия по всички въпроси, свързани със защитата на личните данни и новото предложение за законодателство в ЕС;
  • приемане на решения за съгласуваност и становища по трансгранични дела за защита на данните.

Вместо да отговаря на конкретни индивидуални искания, ЕКЗД издава общи насоки.

ЕКЗД прие няколко документа с насоки, които са пряко свързани с дружествата, включително МСП. В тях се изясняват различни понятия на ОРЗД, като например основните принципи на обработване, защитата на данните още при проектирането и по подразбиране, международното предаване на данни и правата на субектите на данни. Преглед на тези документи можете да намерите тук.

 

Механизъм за съгласуваност

Механизмът за съгласуваност може да има пряко въздействие върху МСП. На първо място механизмът за съгласуваност може да бъде задействан, когато водещият и засегнатите ОЗД не могат да постигнат консенсус по конкретен трансграничен случай. При такава ситуация,  случаят ще бъде отнесен до ЕКЗД, който ще приеме решение със задължителен характер за уреждане на спора.

Освен това ЕКЗД изготвя становища за съгласуваност по някои проекти на решения, изготвени от ОЗД на ЕИП, които имат трансгранично въздействие (напр. относно нов набор от стандартни договори или кодекси за поведение).

ЕКЗД може също така да изготвя становища за съгласуваност по всеки въпрос от общо приложение на ОРЗД или по всеки въпрос, който има ефект в повече от една държава от ЕИП. Тази работа има за цел да гарантира, че ОРЗД се разбира и прилага последователно в различните държави от ЕИП.