ПЕРСОНАЛЬНЫЕ ДАННЫЕ И GDPR
28 января, 2025
ОСНОВНЫЕ ПРАВОВЫЕ АСПЕКТЫ И СОВРЕМЕННОЕ РЕГУЛИРОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В БОЛГАРИИ
В этой статье представлена полезная информация об обработке и защите персональных данных в контексте Общего регламента ЕС по защите данных (GDPR), который регулирует обработку и защиту персональных данных в ЕС. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
Вот некоторые из основных аспектов:
Общая информация:
В последние годы все больше говорят о персональных данных, их защите, обработке и хранении. GDPR — законодательный акт Европейского Союза, целью которого является обеспечение защиты персональных данных физических лиц, требуя от предприятий соблюдения ряда правил при обработке этих данных.
Кого касается GDPR?
GDPR влияет на любую компанию или учреждение, которое обрабатывает персональные данные своих клиентов или сотрудников.
GDPR также затрагивает все веб-сайты, которые используют файлы cookie для сбора информации, хотя и анонимной, которая может идентифицировать пользователей и их предпочтения при работе в Интернете.
GDPR распространяется на все компании и организации, которые обрабатывают и хранят персональные данные физических лиц, проживающих на территории Европейского Союза, независимо от того, где находится сама компания или организация.
Что такое персональные данные?
Персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или идентифицируемому физическому лицу. Это могут быть имя, фамилия, адрес, номер социального страхования, номер удостоверения личности, местоположение, IP-адрес, адрес электронной почты и другие.
Что такое контролер персональных данных?
Физическое или юридическое лицо, орган государственной власти или местного самоуправления, которые самостоятельно или совместно с другим лицом определяют цели и средства обработки данных, а также которые обрабатывают персональные данные, вид которых, цели и средства обработки определяются законом.
Что такое обработка персональных данных?
Обработкой персональных данных является любое действие, совершаемое с ними, такое как сбор, запись, систематизация, структурирование, хранение. Необходимо минимизировать эту обработку, т.е. обрабатывать только персональные данные, необходимые для соответствующей цели.
С точки зрения защиты персональных данных важно обратить внимание на понятие Третья сторона/третья сторона в смысле Регламента (ЕС) 2016/679, поскольку регламент не допускает раскрытия персональных данных. таких лиц без законных оснований. /см. «Шаги и процедуры»/. Третьим лицом может быть физическое или юридическое лицо, государственный орган или орган местного самоуправления, за исключением физического лица, к которому относятся данные, администратора персональных данных, обработчика персональных данных и лиц, находящихся под непосредственным контролем. администратора или обработчика имеют право обрабатывать персональные данные.
Шаги и процедуры для контролеров персональных данных
После 25 мая 2018 г. больше нет никаких обязательств регистрироваться в качестве контролера персональных данных в Комиссии по защите персональных данных (PCPD). Регистрация в качестве контролера персональных данных переносится из так называемого принцип ответственности. Оно выражается в обязанности в любой момент доказать, что требования Регламента выполнены, т.е. если проверка проводится CPLD, чтобы иметь возможность установить, какие персональные данные обрабатываются, для каких целей и в течение периода времени, как я их храню, предоставляю ли я их третьим лицам и кто они, какие меры были приняты принятые для обеспечения безопасности персональных данных. https://cpdp.bg/en/legislation/
Если нет правовой или договорной основы (например, на основании трудового/гражданско-правового договора или договора на оказание услуг) для хранения или обработки персональных данных физического лица, необходимо получить его явно выраженное согласие. Это можно сделать посредством письменного заявления, в том числе в электронном виде (например, при наличии сайта, на который вводятся данные, согласие пользователей на обработку их персональных данных в указанных целях необходимо запрашивать через соответствующее поле, в котором они указывают их согласие).
Наличие назначенного должностного лица по защите данных не является обязательным. Этот сотрудник может быть внутренним сотрудником компании или учреждения, но также может быть нанят сторонней организацией. Есть определенные исключения, когда это является обязательным. Должностное лицо обязано контролировать соблюдение Положения и оказывать помощь контролеру персональных данных. Уполномоченный по защите персональных данных также является лицом, к которому CPLD или любое другое лицо может обратиться по вопросам, связанным с обработкой и хранением персональных данных.
Обязаны ли контролеры данных обеспечивать более высокий уровень защиты персональных данных детей?
Дети пользуются особой защитой во всех сферах, в том числе в отношении их персональных данных, поскольку они недостаточно осведомлены о рисках, угрозах и возможных неблагоприятных последствиях их незаконной обработки, а также о своих правах. Эта защита должна применяться, в частности, когда речь идет об использовании персональных данных детей в маркетинговых целях, создании личных или пользовательских профилей, а также сборе данных о детях при использовании услуг, направленных непосредственно на них. Если обработка данных предназначена для детей, любая информация и сообщения должны предоставляться в ясных и понятных терминах, понятных ребенку.
В связи с прямым предложением услуг информационного общества детям обработка их данных является законной, если ребенку исполнилось 16 лет. Если ребенку меньше 16 лет, такая обработка является законной только в том случае и в той степени, в которой такое согласие дано или разрешено лицом, несущим родительскую ответственность за ребенка.
Обязанности контролера персональных данных
Соблюдение общих обязательств, обеспечение безопасности персональных данных, проведение оценки воздействия на защиту данных и проведение предварительных консультаций.
Назначение уполномоченного по защите данных в случае, если он подпадает под одну из следующих категорий:
а) обработка осуществляется государственным органом или структурой, за исключением случаев, когда речь идет о судах при выполнении ими судебных функций;
б) основная деятельность контролера или обработчика персональных данных состоит из операций по обработке, требующих регулярного и систематического масштабного мониторинга субъектов данных;
в) основная деятельность контролера или обработчика состоит в крупномасштабной обработке специальных категорий данных в соответствии со статьей 9 и персональных данных, связанных с обвинительными приговорами и правонарушениями в соответствии со статьей 10.
Контроль соответствия GDPR
В Болгарии надзорным органом является Комиссия по защите персональных данных (ПКПД). Она отвечает за соблюдение GDPR и контролирует его. В случае выявления нарушений комиссия своими действиями налагает административные взыскания (штрафы/имущественные санкции), которые могут достигать значительно больших сумм.
В случае нарушения безопасности персональных данных каждая компания обязана уведомить Комиссию без неоправданной задержки и не позднее, чем через 72 часа после того, как ей станет известно о нарушении. https://cpdp.bg/en/submission-of-notifications/
В связи с этим консультация с юристом будет полезной, как для того, чтобы помочь вам обсудить основные аспекты обработки персональных данных, касающихся вашего бизнеса, так и для подготовки необходимых документов, таких как «Политика конфиденциальности» и других важных и обязательных элементов, которые должны быть приняты во внимание, чтобы избежать нарушений регулирования и возможных санкций.
Если у вас есть какие-либо вопросы или казусс, напишите нам по адресу: office@lexsofia.com
Правовые понятия в значении Регламента (ЕС) 2016/679:
- “персональные данные” означают любую информацию, относящуюся к идентифицированному физическому лицу или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификатору, такому как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или по одной или нескольким характеристикам, специфичным для физического, физиологического, генетическая, психическая, умственная, экономическая, культурная или социальная идентичность этого физического лица;
- “обработка” означает любую операцию или набор операций, выполняемых с персональными данными или набором персональных данных автоматическими или другими способами, такими как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, просмотр, использование, раскрытие передача, распространение или другой способ, с помощью которого данные становятся доступными, систематизируются или объединяются, ограничиваются, удаляются или уничтожаются;
- “администратор” — физическое или юридическое лицо, государственный орган, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и средства такой обработки определены законодательством Союза или законодательством государства-члена, контролер или специальные критерии для его определения могут быть установлены законодательством Союза или законодательством государства-члена;
- “обработчик персональных данных” означает физическое или юридическое лицо, государственный орган, агентство или другую структуру, которая обрабатывает персональные данные от имени контролера;
- “третья сторона” означает физическое или юридическое лицо, государственный орган, агентство или другой орган, кроме субъекта данных, контролера, обработчика персональных данных и лиц, которые под непосредственным контролем контролера или обработчика персональных данных, имеют право на обработку персональных данных;
Comments
tags
related posts