Директивата 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни e важен исторически етап в развитието на защитата на личните данни в Европейския съюз. Тя утвърждава две от най-старите и еднакво важни цели на процеса на европейска интеграция: защитата на основните права и свободи на физическите лица, и по-специално на основното право на защита на личните данни, и изграждането на вътрешния пазар, в този случай свободното движение на лични данни.

Петнадесет години по-късно тази двойна цел е все още в сила, а принципите, заложени в директивата - все така валидни. Бързото развитие на технологиите и глобализацията обаче коренно промениха обкръжаващия ни свят и доведоха до нови предизвикателства пред защитата на личните данни.

Днес технологиите позволяват на хората лесно да споделят информация за своето поведение и предпочитания, като тази информация е публично достъпна в невиждан досега световен мащаб. Сайтовете за социални контакти със стотици милиони членове по целия свят са може би най-очевидният, но не и единствен пример за това явление. "Изчислителните облаци", т.е. използването на изчислителни системи, базирани в интернет, при което софтуерът, споделените ресурси и информацията са на отдалечени сървъри ("в облака"), също могат да представляват предизвикателства пред защитата на личните данни, тъй като могат да доведат до загубата на контрол от страна на лицата над потенциално чувствителна информация, когато съхраняват техните данни с програми, хоствани на чужд хардуер. Неотдавнашно проучване потвърждава, че е налице близост във възгледите (на органите за защита на данните, на стопанските сдружения и организациите на потребителите), че рисковете за неприкосновеността на личния живот и защитата на личните данни, свързани с дейности в интернет, се увеличават.

В същото време начините за събиране на лични данни стават все по-усъвършенствани и по-трудно откриваеми. Така например използването на сложни технологии позволява на икономическите оператори да персонализират своята дейност спрямо физическите лица, като проследяват поведението им в интернет.

Всичко това неминуемо поставя въпроса дали действащото законодателство на ЕС за защита на данните все още е в състояние да даде пълноценен и ефективен отговор на тези предизвикателства. За да отговори на този въпрос,

----------------------------------------

Европейската комисия започна преразглеждане на сега действащата правна уредба на защитата на личните данни.

В началото на 2012 г. бе предложен проект за pегламент за защита на личните данни. Основната му цел е да се актуализират и модернизират принципите, залегнали в Директивата за защита на данните от 1995 г., като се предлагат нови гаранции за защита на това основно човешко право в съвременния свят.

Европейската комисия предлага нови правила за премахване на бариерите на вътрешния пазар, пораждани от различните правни подходи в 27-те държави от ЕС. Очаква се те да създадат равнопоставеност при обработването на данните в рамките на ЕС чрез приемане на един-единствен закон, приложим в целия съюз. Предвижданите икономии от приемането на регламента, свързани с отпадане на административни изисквания, ще възлизат на около 2.3 милиарда евро годишно. Предлага се да се въведе принципът "обслужване на едно гише": предприятията или организациите ще работят само с един орган за защита на данните — органа в държавата, в която е седалището им. Националните органи за защита на данните ще си сътрудничат по въпросите с по-широко европейско измерение. Така ще се гарантира, че всички европейци могат да са сигурни, че правата им са защитени в целия съюз, независимо в коя държава от него живеят.

Най-важната промяна по отношение на правата на гражданите е регламентиране на правото "да бъдеш забравен". Това право дава възможност, когато лицето не желае данните му да бъдат обработвани и не съществуват законни основания за тяхното съхранение, те да бъдат заличавани. Предлага се въвеждането на изрично, ясно, недвусмислено съгласие за обработване на лични данни, което впоследствие се отразява на по-лесното прехвърляне на лични данни от един администратор на друг. По-лесен става и достъпът до собствени лични данни на лицата.

Въвеждат се еднакви правила и процедури, свързани със защитата на личните данни за всички национални органи. Администраторите на лични данни, които имат персонал над 250 служители, трябва да назначат лице по защита на данните, което да отговаря за провеждането на политиката по защита на данните в организацията. Въвежда се също така задължение за предприятията и организациите да информират в срок от 24 часа за нарушения на сигурността на данните, които биха могли да засегнат неблагоприятно физическите лица.

С регламента се уеднаквяват санкциите във всички държави членки за административни нарушения, като се определя максимален размер до 1 000 000 ЕUR или на 2% от годишния световен търговски оборот на предприятията при нарушения при обработването на лични данни.

Новият режим ще осигури предимство за дружествата от ЕС в условията на глобална конкуренция, тъй като те ще бъдат в състояние да предложат на клиентите си гаранции, подкрепени от стабилни закони, че ценните им лични данни се обработват със съответната грижа и усърдие. Наличието на едни и същи права в целия ЕС също така ще засили увереността на отделните хора, че защитата, която получават по отношение на данните си, е еднакво стабилна, независимо къде се обработват тези данни. 

Новата наредба На 30 януари 2013 г. Комисията за защита на личните данни прие нова Наредба за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Тази наредба отменя Наредба №1 от 7 февруари 2007 г. (ДВ, бр. 25 от 23 март 2007 г.). Новата наредба има за цел да осигури адекватно ниво на защита на личните данни в поддържаните регистри с лични данни в зависимост от характера на данните и от броя на засегнатите лица при евентуално нарушаване на защитата им. Дефинирани са основните цели на защитата на личните данни – поверителност, цялостност и наличност, и са определени видовете защита на личните данни. С цел да се определи адекватното ниво на техническите и организационните мерки и допустимият вид защита администраторите са длъжни да извършват периодична оценка на въздействието върху обработваните лични данни. Резултат от оценката на въздействието е определянето на нивото на въздействие и съответното му ниво на защита. Основен принцип за достъп до данните е "Необходимост да се знае". За всяко ниво на защита са определени необходимите технически и организационни мерки, които следва да предприемат администраторите на лични данни. В срок до шест месеца от влизане на наредбата в сила администраторът е длъжен да определи нивото на въздействие на обработваните от него регистри.

* Материалът на Красимир Димитров, член на Комисията по защита на лични данни, и на Десислава Борисова, главен юрисконсулт на комисията, е по презентацията им "Реформата за защита на личните данни - проблеми и предизвикателства" на конференцията "Маркетинг на лоялността"