Последна проверка: 15/03/2019

Защита на данните съгласно ОРЗД

Решение на Обединеното кралство да се позове на член 50 от Договора за Европейския съюз: Повече информация

От 30 март 2019 г. правото на ЕС ще престане да се прилага за Обединеното кралство, освен ако в ратифицираното споразумението за оттегляне бъде определена друга дата или Европейският съвет и Обединеното кралство решат единодушно да удължат двегодишния период на преговори. За повече информация относно правните последици за предприятията:

С ОРЗД се определят подробни изисквания към дружествата и организациите относно събирането, съхраняването и управлението на лични данни, приложими за европейските организации, които обработват лични данни на физически лица в ЕС, както и за организации извън ЕС, чиято дейност е насочена към лица, живеещи в Съюза.

Кога се прилага Общият регламент относно защитата на данните?

ОРЗД се прилага, ако:

Дружествата, установени извън ЕС, които обработват лични данни на граждани на Съюза, трябва да определят свой представител в ЕС.

Кога не се прилага Общият регламент относно защитата на данните?

ОРЗД не се прилага, ако:

Какво означава „лични данни"?

Под лични данни се разбира всяка информация за идентифицирано или подлежащо на идентифициране физическо лице, наричано още субект на данните. Личните данни включват информация, като например:

Специални категории данни

Не можете да обработвате лични данни за:

Кой обработва личните данни?

При обработването личните данни могат да преминават през различни дружества или организации. В рамките на този цикъл има два основни профила, които се занимават с обработката на лични данни:

Кой наблюдава как се обработват личните данни в рамките на дадено дружество?

Длъжностното лице по защита на данните (ДЛЗД), което може да е назначено от дружеството, наблюдава обработката на личните данни и предоставя информация и съвети на служителите, обработващи лични данни, във връзка с техните задължения. ДЛЗД си сътрудничи със съответния орган за защита на данните (ОЗД) и осъществява връзката между органа и физически лица.

Кога следва да назначите длъжностно лице по защита на данните?

Вашето дружество има задължение да назначи ДЛЗД, когато:

Например ако дружеството ви обработва лични данни за нуждите на целенасочената реклама чрез търсачки въз основа на онлайн поведението на хората, то задължително трябва да има длъжностно лице по защита на данните. Ако обаче изпращате рекламни материали на вашите клиенти само веднъж годишно, тогава дружеството ви не се нуждае от длъжностно лице по защита на данните. По подобен начин, ако сте лекар и събирате данни за здравето на пациентите си, вероятно не е необходимо да има ДЛЗД. Ако обаче обработвате лични данни, свързани с генетиката и здравето, за дадена болница, тогава е необходимо да бъде назначено ДЛЗД.

ДЛЗД може да бъде член на персонала на вашата организация или да бъде наето отвън въз основа на договор за предоставяне на услуга. ДЛЗД може да бъде физическо лице или структура в рамките на дадена организация.

Обработване на данни за друго дружество

Администраторът на лични данни може да използва единствено обработващ данни, който предоставя достатъчно гаранции, задължително включени в писмен договор между участващите страни. Договорът трябва да съдържа и известен брой задължителни клаузи, като например, че обработващият личните данни ще прави това единствено по нареждане на администратора на данните.

Предаване на данни извън ЕС

Когато личните данни се предават извън ЕС, те трябва да продължат да бъдат защитени от разпоредбите на ОРЗД. Това означава, че ако изнасяте данни в чужбина, вашето дружество трябва да гарантира, че е изпълнено едно от следните условия:

Кога се разрешава обработване на данните?

Съгласно правилата на ЕС за защита на данните следва да обработвате данните по справедлив и законосъобразен начин, за конкретна и законна цел и да обработвате само данните, необходими за постигане на съответната цел. Трябва да гарантирате, че сте изпълнили едно от следните условия за обработката на лични данни :

Одобрение на обработването на данни — съгласие

ОРЗД постановява строги правила за обработването на данни въз основа на съгласие. Целта на тези правила е да се гарантира, че физическото лице разбира с какво се съгласява. Това означава, че съгласието трябва да бъде изразено свободно, конкретно, информирано и недвусмислено в отговор на искане, представено на ясен и прост език. Съгласието следва да се дава чрез потвърждаващо действие, като например поставяне на отметка в кутийка онлайн или подписване на формуляр.

Когато дадено лице изрази съгласие личните му данни да бъдат обработвани, можете да обработвате данните само за целите, за които е дадено съгласието. Също така лицата трябва да имат възможност да оттеглят своето съгласие.

Предоставяне на прозрачна информация

Трябва да предоставите на физическите лица ясна информация относно това кой обработва личните им данни и защо. Информацията следва да включва най-малко следното:

В някои случаи информацията, която предоставяте, трябва да съдържа също така:

Информацията трябва да бъде формулирана на ясен и недвусмислен език.

Специфични правила за децата

Ако събирате лични данни за дете въз основа на съгласие, например в рамките на профил в социална медия или приложение за изтегляне на съдържание, първо трябва да получите съгласието на родител, например като изпратите известие до съответния родител или настойник. Възрастта, до която дадено лице се счита за дете се различава в зависимост от мястото, където живее то, но обикновено е между 13 и 16 години.

Право на достъп и право на преносимост на данните

Трябва да гарантирате, че физическите лица имат право на безплатен достъп до своите лични данни. Ако сте получили искане за достъп, трябва да:

Когато обработването се основава на съгласие или договор, лицето може също така да поиска от вас да му върнете личните данни или да ги предадете на друго дружество. Това е известно като право на преносимост на данните. Трябва да предоставите данните в широко използван и машинночетим формат.

Право на коригиране и право на възражение

Ако дадено лице смята, че личните му данни са грешни, непълни или неточни, то има право те да бъдат коригирани или допълнени без неоснователно забавяне.

В подобни случаи трябва да уведомите всички получатели на данните, ако някои от личните данни, които сте споделили с тях, са били променени или заличени. Ако сте споделили неточни лични данни, може да се наложи да информирате за това всички, които са ги видели (освен ако се смята, че това изисква непропорционално големи усилия).

Дадено физическо лице може също така да възрази по всяко време срещу обработката на своите лични данни за конкретна цел, когато вашето дружество обработва данните въз основа на своя законен интерес или в изпълнение на задача от обществен интерес. Освен ако имате законен интерес, който има превес над интереса на физическото лице, трябва да преустановите обработването на личните данни.

По подобен начин физическото лице може да поиска обработката на личните му данни да бъде ограничена, докато се установи дали вашият законен интерес има превес над неговия интерес. В случаите на директен маркетинг обаче винаги сте длъжни да преустановите обработването на личните данни, ако лицето поиска това от вас.

Право на изтриване (право да бъдеш забравен)

При някои обстоятелства дадено лице може да поиска от администратора на данните да заличи неговите лични данни, например ако данните вече не са необходими за съответната цел на обработването. Въпреки това вашето дружество не е длъжно да направи това, ако:

Автоматизирано вземане на решения и профилиране

Физическите лица имат право да не бъдат обект на решение, основаващо се единствено на автоматизирано обработване. Има обаче някои изключения от това правило, като например, когато физическото лице е изразило изрично съгласие с автоматизираното вземане на решение. Освен в случаите, когато автоматизираното решение се основава на даден закон, вашето дружество трябва да:

Така например, ако дадена банка взема автоматизирани решения дали да отпусне кредит на определено лице, това лице следва да бъде уведомено за автоматизираното решение и да има възможност да го обжалва и да поиска човешка намеса.

Нарушения на сигурността на данните — осигуряване на надлежно уведомяване

Нарушение на сигурността на данните представлява разкриване на личните данни, за които отговаряте — по случайност или по незаконен път, на неоторизирани лица, временно ограничаване на достъпа до данните или изменение на данните.

Ако възникне нарушение на сигурността на данните и то представлява риск за правата и свободите на съответното лице, трябва да уведомите вашия орган за защита на данните в рамките на 72 часа след установяване на нарушението.

В зависимост от това дали нарушението на сигурността на личните данни представлява висок риск за засегнатите или не, може да се наложи вашето дружество да информира и всички засегнати лица.

Отговор на искания

Ако вашето дружество получи искане от лице, което желае да упражни своите права, трябва да отговорите на това искане без неоснователно забавяне и при всички случаи в срок от 1 месец след получаване на искането. Времето за отговор може да бъде удължено с 2 месеца за комплексни или многобройни искания, при условие че лицето е уведомено за удължаването на срока. Исканията следва да се обработват безплатно.

Ако дадено искане бъде отхвърлено, трябва да уведомите лицето за причините за това и за неговото право да подаде жалба до орган за защита на данните.

Оценки на въздействието

Извършването на оценка на въздействието върху защитата на данните (ОВЗД) е задължително винаги когато предвиденото обработване носи висок риск за правата и свободите на физическите лица, напр. при използването на нови технологии.

Съществува висок риск, когато:

Забележка: Органите за защита на данните могат да считат за високорискови и други видове обработване на данни.

Ако мерките, посочени в ОВЗД, не успяват да отстранят всички установени високи рискове, органът за защита на данните трябва да бъде консултиран, преди да се извърши предвиденото обработване на данните.

Съхраняване на данни

Трябва да сте в състояние да докажете, че вашето дружество действа в съответствие с ОРЗД и изпълнява всички приложими задължения — особено при поискване или проверка от страна на органа по защита на данните.

Един от начините за това е да съхранявате подробна информация за:

Вашето дружество следва също така да разполага с писмени процедури и насоки, които да актуализира редовно и да популяризира сред своите служители.

Ако вашето дружество е МСПen или по-малко, няма нужда да пазите данни за вашите дейности по обработване на данни, при условие че те:

  • не се извършват редовно
  •  не засягат правата или свободите на засегнатите лица
  • не са свързани с чувствителни данни или с регистрите за съдимост

Защита на данните на етапа на проектирането и по подразбиране

Защита на данните на етапа на проектирането означава, че вашето дружество следва да вземе предвид защитата на данните още през ранните етапи на планиране на нови начини за обработване на лични данни. В съответствие с този принцип администраторът на данни трябва да предприеме всички необходими технически и организационни мерки за опазване на правата на физическите лица и за прилагане на принципите за защита на данните. Тези мерки могат да включват например псевдонимизация на данните.

Защита на данните по подразбиране означава, че използваните от вашето дружество настройки по подразбиране винаги трябва да са настройките, при които личните данни са най-добре защитени. Ако например са възможни два вида настройки за личните данни и единият от тях не позволява достъпа до личните данни от трети лица, това трябва да бъде използваният вид настройка по подразбиране.

Нарушения на правилата и санкции

При неспазване на ОРЗД могат да бъдат наложени значителни глоби в размер до 20 милиона евро или 4 % от оборота в световен мащаб на вашето дружество за някои видове нарушения. Органът за защита на данните може да наложи допълнителни коригиращи мерки, като например да разпореди спиране на обработването на лични данни.

ЧЗВ — Защита на данните и неприкосновеност на личния живот в интернет

Свързани теми

Законодателство на ЕС

Нуждаете се от съдействието на службите за помощ?

Свържете се със специализираните служби за помощ

Местна подкрепа за бизнеса - Имате ли въпроси относно извършването на стопанска дейност през граница, например износ или разширяване на дейността в друга страна от ЕС? Ако отговорът е да, мрежата Enterprise Europe може да ви даде безплатен съвет.

Споделяне на страницата: