Актуално към 26.03.2021 г.
В тази секция можете да намерите следната информация:
Какво наложи промяната на законодателството в областта на личните данни?
Наблюдаваме бурно развитие на технологиите, социалните мрежи и облачните услуги, където се съхранява огромна информация, в голямата си част, конфиденциална. Нерегламентираният достъп до нея може да доведе до много злоупотреби като кражба на самоличност, незаконно прехвърляне на финансови средства, дори манипулиране на потребителите да изберат да закупят определена стока или гласуват за определен кандидат на изборите. Все по-често електронната поща и социалните мрежи се ползват и от деца, които не знаят как да се предпазят от заплахите. Част от сървърите, на които се съхранява тази информация, са извън Европейския съюз, където страните членки не могат да правят проверки. Чрез въвеждането на новите правила Европейският съюз се опита да ограничи рисковете, на които са изложени гражданите му в интернет, като наложи ясни изисквания и правила за защита на личната им информацията, независимо къде по света се намира тази информация.
Какво е важно да знаем за GDPR (General Data Protection Regulation) или ОРЗД (Общ регламент за защита на данните)?
Цялото име на документа е Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на директива 95/46/ЕО (Общ регламент относно защитата на данните)“ или за кратко „Регламент“. За разлика от отменената Директива, Регламентът се прилага пряко и всяко лице може директно да се позове на него.
По време на действие на Директивата бе създадена Работна група по член 29, която даваше насоки, препоръки и мнения по ключови въпроси и тълкуване на понятията и принципите в сферата на личните данни. Голяма част от тези документи все още се използват, за да се изясни правилното прилагане на Регламента.
Работната група по член 29 ще продължи да съществува като Европейски комитет за защита на данните.
Кой трябва да прилага Регламента?
От 25 май 2018 г. всяка компания има задължение да обработва, съхранява и прехвърля лични данни според изискванията за защита на личните данни, описани в Регламента. Регламентът се прилага относно защитата на личните данни на граждани на Европейския съюз или лица, пребиваващи на територията му. Ако данните на тези граждани се съхраняват извън Съюза, тогава те отново трябва да бъдат защитени съгласно изискванията на Регламента.
Важно е да знаете | |
Регламентът не се прилага от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления и налагането на наказания. Не се прилага и когато се обработват лични данни за лични цели или в рамките на домакинството. Не се прилага и за лица, които не са граждани на Европейския съюз и които не пребивават на територията на Съюза. Не се прилага от държавите членки, които извършват дейности, попадащи в приложното поле на общата външна политика и политика на сигурност на Съюза, както и в хода на дейности, които са извън приложното поле на правото на Съюза. |
Какви са санкциите, когато се нарушат изискванията на Регламента?
Санкциите за неспазване на разпоредбите на Регламента може да достигнат до по-високата сума от 20 000 000 евро или до 4% от общия годишен световен оборот на компанията за предходната финансова година.
Кои са основните понятия, с които трябва да се запознаете, за да спазвате Регламента?
Първата стъпка, която трябва да предприемете, за да осигурите сигурността на личните данни, с които работите, е да разберете основните принципи и понятия, които се съдържат в Регламента:
Понятие |
Същност |
Пример/Пояснение |
Лични данни (чл. 4, т. 1 от Регламента) |
всяка информация, която в своята цялост може да се използва за идентифицирането на физическо лице (субект на лични данни) |
имена, ЕГН, номер на документ за самоличност, номер на социална осигуровка, семейно положение, родствени връзки, и-мейл адрес, телефон, снимка, IP адрес, друг регистрационен номер, глас, лицево изображение, пръстови отпечатъци, информация за локация |
Специални категории лични данни (чл. 9 от Регламента) |
данни, разкриващи расов и етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични, биометрични данни, данни за здравословно състояние, сексуален живот и сексуална ориентация |
медицинска информация, пръстов отпечатък, сканиран образ от ретина, документ за членство в синдикална организация |
Данни, свързани с присъди и нарушения (чл. 10 от Регламента) |
обработват се само под контрола на официален орган или когато обработването е разрешено от правото на Съюза или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни | свидетелство за съдимост |
Субект на лични данни (чл. 4, т. 1 от Регламента) |
винаги живи физически лица, които са идентифицирани или могат да бъдат идентифицирани |
клиенти, доставчици, работници, потребители, управители на дружества, лица, снимани на видеозапис или на снимка, включително Вие, които четете тази информация |
Обработване (чл. 4, т. 2 от Регламента) |
Всяка операция, извършвана с лични данни |
събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване, разпространяване, комбиниране, изтриване, унищожаване
|
Принципи на обработване на лични данни (чл. 5 от Регламента) |
законосъобразност, добросъвестност, прозрачност |
данните трябва да се обработват съгласно закона, без намерение да се осъществи нарушение или престъпление и лицата да знаят за обработването |
ограничение на целите |
ако данните са събрани за една цел, не могат да се използват за друга; целите, за които личните данни се обработват, трябва да бъдат дефинирани преди да започне процесът по тяхното събиране |
|
|
свеждане на данните до минимум |
не трябва да се обработват повече данни от минимално необходимите |
точност |
данните трябва да се поддържат актуални и точни (верни) във всеки момент |
|
ограничение на съхранението |
данните не трябва да се съхраняват за повече време, отколкото е необходимо за постигане на целите или до периода, определен в нормативен акт |
|
цялостност и поверителност |
трябва да се приложат всички необходими мерки, с цел да се ограничи възможността за нерегламентиран достъп |
|
отчетност | администраторът трябва да разполага с доказателства за мерките, които предприема с цел изпълнение на задълженията си по Регламента |
Понятие |
Същност |
Пример/Пояснение |
Цели |
определят се във всеки конкретен момент, като някои произлизат от закона, а други от стопанската дейност на дружеството
|
по закон: трудовоправни отношения, достъп до данни, публикувани в Търговски регистър; стопанска дейност: маркетинг, продажби, охрана на офиса |
Основания (чл. 6 – 8 от Регламента) |
съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, което изразява съгласието му свързаните с него лични данни да бъдат обработвани за една или повече конкретни цели
|
съгласието се използва, само когато другите основания са неприложими |
договор |
личните данни, които са включени в договора, могат да се обработват от страните, както и когато са получени данни на физически лица по повод подписване на договор, ако физическото лице е инициирало процеса
|
|
задължение по закон |
трудови задължения на работодателя, събиране на данни, свързани със задълженията относно мерките срещу изпирането на пари
|
|
защита на жизненоважни интереси на субекта на данните |
когато болници или дентални специалисти осъществяват своята дейност; когато се обработват лични данни за хуманитарни цели, включително за справяне с природни явления или бедствия, причинени от човешка дейност |
|
изпълняване на задача от обществен интерес |
охрана с камери по време на концерт, футболен мач |
|
|
легитимен интерес |
този интерес е свързан с конкретната стопанска дейност, като например продажби, маркетинг и други; администраторът следва да направи тест за търсения баланс между неговите легитимни интереси и интересите или правата и свободите на субектите на данни |
Администратор (чл. 4, т. 7, чл. 24 – 27 от Регламента и вижте тук) |
физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или с други определя целите и средствата за обработването на личните данни |
дружеството в качеството си на работодател, на задължено лице във връзка с мерките по изпирането на пари и други |
Обработващ (чл. 4, т. 8, чл. 28 от Регламента и вижте тук) |
физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора |
доставчик на облачни услуги, доставчик на услуги по труд и заплата (счетоводна къща осъществява дейностите по управление на човешките ресурси на работодателя (администратор) и други |
Длъжностно лице по защита на данните (чл. 37 – 39 от Регламента и вижте тук) |
позиция в дружество, което е администратор или обработващ, която трябва да отговаря на определени условия |
чл. 37 от Регламента определя случаите, в които назначаването на длъжностно лице по защита на данните е задължително |
Средства (вижте тук) |
включват не само техническите параметри на обработването, но и организационните |
конкретни технически продукти – пароли, криптиране, организацията за достъп до данните – заключване на помещения, сейфове и други |
Понятие |
Същност |
Пример/Пояснение |
Нарушение на сигурността на личните данни (чл. 4, т. 12 от Регламента и вижте тук) |
нарушение, което да води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин
|
хакерска атака, загубване на електронна информация, загубване на носител на електронна информация, наличие на достъп до информацията на лице, което не би трябвало да има достъп до нея |
Псевдонимизация (чл. 4, т. 5 от Регламента) |
обработването на лични данни по такъв начин, че те да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно
|
криптоключ, при което използваните данни не могат да бъдат четими, за да се превърнат отново в четима информация, без криптоключът да трябва да се използва отново |
Профилиране (чл. 4, т. 4 от Регламента и вижте тук) |
всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице |
обработването се използва за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение
|
Автоматизирано вземане на решение (чл. 22 от Регламента и вижте тук) |
анализирането и оценката на лични аспекти на физическо лице само въз основа на автоматично взето решение, при което няма направен анализ от човек, а само от машина |
|
Оценка на въздействието (чл. 35 и 36 от Регламента и вижте тук) |
Процедура, която трябва да се приложи, ако съществуват данни, които се обработват и представляват висок риск |
|
Важно е да знаете | |
Дори данни като имена и ЕГН да не са налични, физическите лица могат да бъдат идентифицирани например чрез IP адрес, което е често срещан способ при „бисквитките“, както и чрез служебен номер, което е практика при професионални организации и някои работодатели. Важно е да се отбележи, че лицето може да бъде идентифицирано също по запис на глас или чрез видеозапис. |
Важно е да знаете | |
Всяка от операциите чл. 4, т. 2 от Регламента сама по себе си се счита за обработване на данни. Ако дружество единствено съхранява или единствено унищожава лични данни без да осъществява каквито и да е други операции, то влиза в обхвата на Регламента и трябва да прилага изискванията му. Не е нужно дори служителите на дружеството да имат достъп до данните или да ги ползват по какъвто и да е друг начин. |
Повече информация |
|
Повече информация може да намерите на интернет страниците на:
|