ЛИЧНИ ДАННИ И GDPR

януари 28, 2025

ОСНОВНИ ПРАВНИ АСПЕКТИ И АКТУАЛНА УРЕДБА НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ В БЪЛГАРИЯ

Тази статия предоставя полезна информация относно обработването и защитата на личните данни в контекста на Общия регламент за защита на данни (GDPR) на Европейския съюз, който регулира обработването на лични данни и тяхната защита в ЕС. https://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:32016R0679#d1e1518-1-1 .
Ето някои от основните аспекти:

Обща информация:

В последните години все повече се говори за лични данни, тяхната защита, обработване и съхранение. GDPR е законодателен акт на Европейския съюз, който цели да осигури защита на личните данни на индивидите, като изисква от бизнеса да спазва редица правила при обработването на тези данни.

Кого засяга GDPR?

GDPR засяга всяко дружество или институция, която обработва лични данни на своите клиенти или служители.

GDPR засяга и всички уебсайтове, които използват „бисквитки” за събиране на информация, макар и анонимна, която може да идентифицира потребителите и техните предпочитания при сърфиране в интернет.

GDPR се прилага за всички компании и организации, които обработват и съхраняват лични данни на лица, пребиваващи в Европейския съюз, независимо от това къде се намира самото дружество или организация.

Какво представляват личните данни?

Лични данни представлява всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Това могат да бъдат име, фамилия, адрес, ЕГН, номер на лична карта, местоположение, IP адрес, имейл и други.

Какво представлява администратора на лични данни?

Физическо или юридическо лице, орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на данните, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон.

Какво представлява обработването на лични данни?

Обработване на лични данни е всяко действие, което се извършва с тях като събиране, записване, организиране, структуриране, съхранение. Необходимо е това обработване да бъде сведено до минимум, т.е. да бъдат обработвани само лични данни, които са необходими за съответната цел.

От гледна точка на защитата на личните данни е важно да обърнем внимание и на понятието за Трета страна/ трето лице по смисъла на Регламент (ЕС) 2016/679, тъй като регламентът не позволява разкриване на лични данни на такива лица, без да е налице правно основание. /виж „Стъпки и процедури“/. Трето лице може да бъде физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.

Стъпки и процедури за администраторите на лични данни

След 25 май 2018 г. вече няма задължение за регистрация като администратор на лични данни към Комисията за защита на лични данни (КЗЛД). Регистрацията като администратор на лични данни се измества от т.нар. принцип за отчетност. Той се изразява в задължението да се докаже във всеки един момент, че са спазени изискванията на Регламента, т.е. ако бъде направена проверка от КЗЛД, да може да се установи какви лични данни се обработват, за какви цели и период от време, как ги съхранявам, предоставя ли ги на трети лица и кои са те, какви мерки са предприети, за да се гарантира сигурността на личните данни. https://cpdp.bg/%D0%BF%D1%80%D0%B0%D0%B2%D0%BD%D0%B0-%D1%80%D0%B0%D0%BC%D0%BA%D0%B0/

Ако няма законово или договорно основание (например въз основа на трудов/ граждански договор или договор за предоставяне на услуги) за да се съхраняват или обработват лични данни на дадено лице, то трябва да се получи неговото изрично съгласие. Това може да стане чрез писмена декларация, включително и по електронен път (ако например има сайт, в който се въвеждат данни, трябва да се поиска съгласието на потребителите да се обработват личните им данни, за определените цели, чрез съответно поле, в което те дават своето съгласие).

Не е задължително да има назначено длъжностно лице по защита на личните данни. Този служител може да е вътрешен за дружеството или институцията, но може да бъде и нает от външна организация. Има определени изключения, когато е задължително. Длъжностното лице има задълженията да осъществява надзор за спазването на Регламента и да подпомага администратора на лични данни. Длъжностното лице по защита на личните данни е и лицето, към което КЗЛД или всеки друг може да се обръща по въпроси, свързани с обработването и съхранението на лични данни.

Задължени ли са администраторите на лични данни да осигуряват по-високо ниво на защита на личните данни на децата?

Децата се ползват със специална защита във всички области, включително и по отношение на личните им данни, тъй като те не са достатъчно запознати с рисковете, заплахите и възможните неблагоприятни последици от неправомерното им обработване, както и със своите права. Тази защита трябва да бъде приложена особено когато става въпрос за използване на лични данни на деца с цел маркетинг, създаване на личностни или потребителски профили, както и за събиране на данни относно деца при ползване на услуги, насочени директно към тях. Когато обработването на данни е насочено към деца, всяка информация и комуникация трябва да бъдат предоставяни с ясни и лесноразбираеми формулировки, които детето да може да разбере.

Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на техните данни е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

Задължения на администратора на лични данни

Спазване на общите задължения, осигуряване на сигурност на личните данни, провеждане на оценка на въздействието върху защитата на данните и осъществяване на предварителни консултации.

Назначаване на длъжностно лице по защита на данните в случай че попада в една от следните категории:

a) обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

б) основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни;

в) основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специални категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, съгласно член 10.

Контрол при спазването на GDPR

В България, контролният орган е Комисията за защита на лични данни (КЗЛД). Тя отговаря и следи за спазването на GDPR. При констатирани нарушения комисията чрез своите актове налага административни наказания (глоби/ имуществени санкции), които могат да достигнат до значително високи суми.

При нарушение на сигурността на личните данни, всяко дружество е длъжно да уведоми Комисията без ненужно забавяне и най-късно до 72 часа след узнаване за нарушението.

https://cpdp.bg/home-default/%D0%BF%D0%BE%D0%B4%D0%B0%D0%B2%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D1%83%D0%B2%D0%B5%D0%B4%D0%BE%D0%BC%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B4%D0%BE-%D0%BA%D0%B7%D0%BB%D0%B4/

В тази връзка, консултацията с адвокат би била полезна, както за да Ви помогне като обсъдите основните аспекти при обработката на лични данни, касаещи Вашия бизнес, така и за изготвянето на необходимите документи като „Декларация за поверителност на личните данни“ и други важни и задължителни елементи, които трябва да бъдат взети предвид, за да се избегнат нарушения на регламента и възможни санкции.

В случай че имате въпроси или казус, пишете ни на: office@lexsofia.com

Легални понятия по смисъла на Регламент (ЕС) 2016/679:

Comments

comments

свързани статии

COPYRIGHT LexSofia© / 2014

designed by DBUGG / image by Sebastien Wiertz
Chat on Viber Chat on Viber Chat on Telegram