ЛИЧНИ ДАННИ И GDPR
януари 28, 2025
ОСНОВНИ ПРАВНИ АСПЕКТИ И АКТУАЛНА УРЕДБА НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ В БЪЛГАРИЯ
Тази статия предоставя полезна информация относно обработването и защитата на личните данни в контекста на Общия регламент за защита на данни (GDPR) на Европейския съюз, който регулира обработването на лични данни и тяхната защита в ЕС. https://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:32016R0679#d1e1518-1-1 .
Ето някои от основните аспекти:
Обща информация:
В последните години все повече се говори за лични данни, тяхната защита, обработване и съхранение. GDPR е законодателен акт на Европейския съюз, който цели да осигури защита на личните данни на индивидите, като изисква от бизнеса да спазва редица правила при обработването на тези данни.
Кого засяга GDPR?
GDPR засяга всяко дружество или институция, която обработва лични данни на своите клиенти или служители.
GDPR засяга и всички уебсайтове, които използват „бисквитки” за събиране на информация, макар и анонимна, която може да идентифицира потребителите и техните предпочитания при сърфиране в интернет.
GDPR се прилага за всички компании и организации, които обработват и съхраняват лични данни на лица, пребиваващи в Европейския съюз, независимо от това къде се намира самото дружество или организация.
Какво представляват личните данни?
Лични данни представлява всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Това могат да бъдат име, фамилия, адрес, ЕГН, номер на лична карта, местоположение, IP адрес, имейл и други.
Какво представлява администратора на лични данни?
Физическо или юридическо лице, орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на данните, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон.
Какво представлява обработването на лични данни?
Обработване на лични данни е всяко действие, което се извършва с тях като събиране, записване, организиране, структуриране, съхранение. Необходимо е това обработване да бъде сведено до минимум, т.е. да бъдат обработвани само лични данни, които са необходими за съответната цел.
От гледна точка на защитата на личните данни е важно да обърнем внимание и на понятието за Трета страна/ трето лице по смисъла на Регламент (ЕС) 2016/679, тъй като регламентът не позволява разкриване на лични данни на такива лица, без да е налице правно основание. /виж „Стъпки и процедури“/. Трето лице може да бъде физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.
Стъпки и процедури за администраторите на лични данни
След 25 май 2018 г. вече няма задължение за регистрация като администратор на лични данни към Комисията за защита на лични данни (КЗЛД). Регистрацията като администратор на лични данни се измества от т.нар. принцип за отчетност. Той се изразява в задължението да се докаже във всеки един момент, че са спазени изискванията на Регламента, т.е. ако бъде направена проверка от КЗЛД, да може да се установи какви лични данни се обработват, за какви цели и период от време, как ги съхранявам, предоставя ли ги на трети лица и кои са те, какви мерки са предприети, за да се гарантира сигурността на личните данни. https://cpdp.bg/%D0%BF%D1%80%D0%B0%D0%B2%D0%BD%D0%B0-%D1%80%D0%B0%D0%BC%D0%BA%D0%B0/
Ако няма законово или договорно основание (например въз основа на трудов/ граждански договор или договор за предоставяне на услуги) за да се съхраняват или обработват лични данни на дадено лице, то трябва да се получи неговото изрично съгласие. Това може да стане чрез писмена декларация, включително и по електронен път (ако например има сайт, в който се въвеждат данни, трябва да се поиска съгласието на потребителите да се обработват личните им данни, за определените цели, чрез съответно поле, в което те дават своето съгласие).
Не е задължително да има назначено длъжностно лице по защита на личните данни. Този служител може да е вътрешен за дружеството или институцията, но може да бъде и нает от външна организация. Има определени изключения, когато е задължително. Длъжностното лице има задълженията да осъществява надзор за спазването на Регламента и да подпомага администратора на лични данни. Длъжностното лице по защита на личните данни е и лицето, към което КЗЛД или всеки друг може да се обръща по въпроси, свързани с обработването и съхранението на лични данни.
Задължени ли са администраторите на лични данни да осигуряват по-високо ниво на защита на личните данни на децата?
Децата се ползват със специална защита във всички области, включително и по отношение на личните им данни, тъй като те не са достатъчно запознати с рисковете, заплахите и възможните неблагоприятни последици от неправомерното им обработване, както и със своите права. Тази защита трябва да бъде приложена особено когато става въпрос за използване на лични данни на деца с цел маркетинг, създаване на личностни или потребителски профили, както и за събиране на данни относно деца при ползване на услуги, насочени директно към тях. Когато обработването на данни е насочено към деца, всяка информация и комуникация трябва да бъдат предоставяни с ясни и лесноразбираеми формулировки, които детето да може да разбере.
Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на техните данни е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.
Задължения на администратора на лични данни
Спазване на общите задължения, осигуряване на сигурност на личните данни, провеждане на оценка на въздействието върху защитата на данните и осъществяване на предварителни консултации.
Назначаване на длъжностно лице по защита на данните в случай че попада в една от следните категории:
a) обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
б) основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни;
в) основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специални категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, съгласно член 10.
Контрол при спазването на GDPR
В България, контролният орган е Комисията за защита на лични данни (КЗЛД). Тя отговаря и следи за спазването на GDPR. При констатирани нарушения комисията чрез своите актове налага административни наказания (глоби/ имуществени санкции), които могат да достигнат до значително високи суми.
При нарушение на сигурността на личните данни, всяко дружество е длъжно да уведоми Комисията без ненужно забавяне и най-късно до 72 часа след узнаване за нарушението.
https://cpdp.bg/home-default/%D0%BF%D0%BE%D0%B4%D0%B0%D0%B2%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D1%83%D0%B2%D0%B5%D0%B4%D0%BE%D0%BC%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B4%D0%BE-%D0%BA%D0%B7%D0%BB%D0%B4/
В тази връзка, консултацията с адвокат би била полезна, както за да Ви помогне като обсъдите основните аспекти при обработката на лични данни, касаещи Вашия бизнес, така и за изготвянето на необходимите документи като „Декларация за поверителност на личните данни“ и други важни и задължителни елементи, които трябва да бъдат взети предвид, за да се избегнат нарушения на регламента и възможни санкции.
В случай че имате въпроси или казус, пишете ни на: office@lexsofia.com
Легални понятия по смисъла на Регламент (ЕС) 2016/679:
- „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
- „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
- „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
- „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
- „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
Comments
свързани статии