Защита на данните съгласно ОРЗД

С ОРЗД се определят подробни изисквания към дружествата и организациите относно събирането, съхраняването и управлението на лични данни, приложими за европейските организации, които обработват лични данни на физически лица в ЕС, както и за организации извън ЕС, чиято дейност е насочена към лица, живеещи в Съюза.

Кога се прилага Общият регламент относно защитата на данните?

ОРЗД се прилага, ако:

  • вашето дружество обработва лични данни и е базирано в ЕС, независимо от това къде се извършва самата обработка на данните
  • вашето дружество е установено извън ЕС, но обработва лични данни във връзка с предлагането на стоки или услуги на физически лица в ЕС или наблюдава поведението на физически лица в Съюза

Дружествата, установени извън ЕС, които обработват лични данни на граждани на Съюза, трябва да определят свой представител в ЕС.

Кога не се прилага Общият регламент относно защитата на данните?

ОРЗД не се прилага, ако:

  • субектът на данните е починал
  • субектът на данните е юридическо лице
  • обработването се извършва от лице, извършващо действия за цели извън неговата търговска или стопанска дейност или професия

Какво означава „лични данни"?

Под лични данни се разбира всяка информация за идентифицирано или подлежащо на идентифициране физическо лице, наричано още субект на данните. Личните данни включват информация, като например:

  • име
  • адрес
  • номер на лична карта/паспорт
  • доход
  • културен профил
  • адрес по интернет протокол (IP адрес)
  • данните, съхранявани от болници или лекари, които еднозначно идентифицират дадено лице за целите на здравеопазването.

Специални категории данни

Не можете да обработвате лични данни за:

  • расов или етнически произход
  • сексуална ориентация
  • политически възгледи
  • религиозни или философски убеждения
  • членство в синдикални организации
  • генетични, биометрични или здравни данни, освен в специфични случаи (напр. когато сте получили изрично съгласие или когато обработването е необходимо поради важен обществен интерес, въз основа на европейското или националното право)
  • лични данни, свързани с присъди и престъпления, освен ако това не е разрешено от законодателството на ЕС или националното законодателство.

Кой обработва личните данни?

При обработването личните данни могат да преминават през различни дружества или организации. В рамките на този цикъл има два основни профила, които се занимават с обработката на лични данни:

  • администратор на лични данни — взема решение за целите и начина на обработването на личните данни.
  • обработващ лични данни — съхранява и обработва данни от името на администратор на лични данни.

Кой наблюдава как се обработват личните данни в рамките на дадено дружество?

Длъжностното лице по защита на данните (ДЛЗД), което може да е назначено от дружеството, наблюдава обработката на личните данни и предоставя информация и съвети на служителите, обработващи лични данни, във връзка с техните задължения. ДЛЗД си сътрудничи със съответния орган за защита на данните (ОЗД) и осъществява връзката между органа и физически лица.

Кога следва да назначите длъжностно лице по защита на данните?

Вашето дружество има задължение да назначи ДЛЗД, когато:

  • редовно или систематично наблюдава поведението на физически лица или обработва специални категории данни
  • обработването на данни е основна стопанска дейност
  • обработват се данни в голям мащаб.

Например ако дружеството ви обработва лични данни за нуждите на целенасочената реклама чрез търсачки въз основа на онлайн поведението на хората, то задължително трябва да има длъжностно лице по защита на данните. Ако обаче изпращате рекламни материали на вашите клиенти само веднъж годишно, тогава дружеството ви не се нуждае от длъжностно лице по защита на данните. По подобен начин, ако сте лекар и събирате данни за здравето на пациентите си, вероятно не е необходимо да има ДЛЗД. Ако обаче обработвате лични данни, свързани с генетиката и здравето, за дадена болница, тогава е необходимо да бъде назначено ДЛЗД.

ДЛЗД може да бъде член на персонала на вашата организация или да бъде наето отвън въз основа на договор за предоставяне на услуга. ДЛЗД може да бъде физическо лице или структура в рамките на дадена организация.

Обработване на данни за друго дружество

Администраторът на лични данни може да използва единствено обработващ данни, който предоставя достатъчно гаранции, задължително включени в писмен договор между участващите страни. Договорът трябва да съдържа и известен брой задължителни клаузи, като например, че обработващият личните данни ще прави това единствено по нареждане на администратора на данните.

Предаване на данни извън ЕС

Когато личните данни се предават извън ЕС , те трябва да продължат да бъдат защитени от разпоредбите на ОРЗД. Това означава, че ако изнасяте данни в чужбина, вашето дружество трябва да гарантира, че е изпълнено едно от следните условия:

  • защитните мерки на държавата извън ЕС се считат за подходящи от ЕС
  • вашето дружество взема необходимите мерки, за да осигури подходяща защита, като например включване на специфични клаузи в договора с вносителя на личните данни извън ЕС
  • вашето дружество разчита на конкретни основания за трансфера на данните (дерогации), като например съгласието на съответното лице.

Кога се разрешава обработване на данните?

Съгласно правилата на ЕС за защита на данните следва да обработвате данните по справедлив и законосъобразен начин, за конкретна и законна цел и да обработвате само данните, необходими за постигане на съответната цел. Трябва да гарантирате, че сте изпълнили едно от следните условия за обработката на лични данни :

  • получили сте съгласието на съответното физическо лице
  • данните са ви необходими за изпълнението на договорно задължение спрямо съответното лице
  • личните данни ви трябват, за да изпълните законово задължение
  • данните са ви необходими, за да защитите жизненоважните интереси на съответното лице
  • обработвате личните данни с цел изпълнение на задача от обществен интерес
  • действате в името на законните интереси на вашето дружество, при условие че основните права и свободи на лицето, чиито данни се обработват, не са сериозно засегнати. Ако правата на лицето имат превес над интересите на вашето дружество, личните данни не могат да бъдат обработвани.

Одобрение на обработването на данни — съгласие

ОРЗД постановява строги правила за обработването на данни въз основа на съгласие. Целта на тези правила е да се гарантира, че физическото лице разбира с какво се съгласява. Това означава, че съгласието трябва да бъде изразено свободно, конкретно, информирано и недвусмислено в отговор на искане, представено на ясен и прост език. Съгласието следва да се дава чрез потвърждаващо действие, като например поставяне на отметка в кутийка онлайн или подписване на формуляр.

Когато дадено лице изрази съгласие личните му данни да бъдат обработвани, можете да обработвате данните само за целите, за които е дадено съгласието. Също така лицата трябва да имат възможност да оттеглят своето съгласие.

Предоставяне на прозрачна информация

Трябва да предоставите на физическите лица ясна информация относно това кой обработва личните им данни и защо. Информацията следва да включва най-малко следното:

  • кой сте вие
  • защо обработвате личните данни
  • какво е правното основание
  • кой ще получи данните (ако е приложимо).

В някои случаи информацията, която предоставяте, трябва да съдържа също така:

  • координатите за връзка с длъжностното лице по защита на данните (ДЛЗД), когато е приложимо
  • какъв е преследваният от дружеството законен интерес, когато той представлява правното основание за обработването
  • прилаганите мерки при прехвърляне на данните в държава извън ЕС
  • колко дълго ще се съхраняват данните
  • правата на физическото лице на защита на личните данни (например право на достъп, коригиране, изтриване, ограничаване, възражение, преносимост и др.)
  • как може да бъде оттеглено съгласието (когато съгласието на лицето представлява правното основание за обработването)
  • дали е налице законово или договорно задължение за предоставяне на данните
  • в случаите на автоматизирано вземане на решения, информация за логиката, значимостта и последиците на решението.

Информацията трябва да бъде формулирана на ясен и недвусмислен език.

Специфични правила за децата

Ако събирате лични данни за дете въз основа на съгласие, например в рамките на профил в социална медия или приложение за изтегляне на съдържание, първо трябва да получите съгласието на родител, например като изпратите известие до съответния родител или настойник. Възрастта, до която дадено лице се счита за дете се различава в зависимост от мястото, където живее то, но обикновено е между 13 и 16 години.

Право на достъп и право на преносимост на данните

Трябва да гарантирате, че физическите лица имат право на безплатен достъп до своите лични данни. Ако сте получили искане за достъп, трябва да:

  • уведомите лицето дали обработвате негови лични данни
  • предоставите информация за обработването (цел на обработването, засегнати категории лични данни, получатели на данните и др.)
  • предоставите копие на обработваните лични данни (в достъпен формат).

Когато обработването се основава на съгласие или договор, лицето може също така да поиска от вас да му върнете личните данни или да ги предадете на друго дружество. Това е известно като право на преносимост на данните. Трябва да предоставите данните в широко използван и машинночетим формат.

Право на коригиране и право на възражение

Ако дадено лице смята, че личните му данни са грешни, непълни или неточни, то има право те да бъдат коригирани или допълнени без неоснователно забавяне.

В подобни случаи трябва да уведомите всички получатели на данните, ако някои от личните данни, които сте споделили с тях, са били променени или заличени. Ако сте споделили неточни лични данни, може да се наложи да информирате за това всички, които са ги видели (освен ако се смята, че това изисква непропорционално големи усилия).

Дадено физическо лице може също така да възрази по всяко време срещу обработката на своите лични данни за конкретна цел, когато вашето дружество обработва данните въз основа на своя законен интерес или в изпълнение на задача от обществен интерес. Освен ако имате законен интерес, който има превес над интереса на физическото лице, трябва да преустановите обработването на личните данни.

По подобен начин физическото лице може да поиска обработката на личните му данни да бъде ограничена, докато се установи дали вашият законен интерес има превес над неговия интерес. В случаите на директен маркетинг обаче винаги сте длъжни да преустановите обработването на личните данни, ако лицето поиска това от вас.

Право на изтриване (право да бъдеш забравен)

При някои обстоятелства дадено лице може да поиска от администратора на данните да заличи неговите лични данни, например ако данните вече не са необходими за съответната цел на обработването. Въпреки това вашето дружество не е длъжно да направи това, ако:

  • обработването е необходимо за зачитане на свободата на изразяване на мнение и свободата на информация
  • трябва да съхранявате личните данни, за да изпълните правно задължение
  • има други съображения от обществен интерес за съхраняването на личните данни, като например съображения във връзка с общественото здравеопазване или с научни и исторически изследвания
  • трябва да съхранявате личните данни във връзка с предявяването на съдебен иск.

Автоматизирано вземане на решения и профилиране

Физическите лица имат право да не бъдат обект на решение, основаващо се единствено на автоматизирано обработване. Има обаче някои изключения от това правило, като например, когато физическото лице е изразило изрично съгласие с автоматизираното вземане на решение. Освен в случаите, когато автоматизираното решение се основава на даден закон, вашето дружество трябва да:

  • информира засегнатото лице относно автоматизираното вземане на решени
  • предостави на физическото лице правото на преразглеждане на автоматизираното решение от човек
  • предостави на физическото лице възможността да оспори автоматизираното решение

Така например, ако дадена банка взема автоматизирани решения дали да отпусне кредит на определено лице, това лице следва да бъде уведомено за автоматизираното решение и да има възможност да го обжалва и да поиска човешка намеса.

Нарушения на сигурността на данните — осигуряване на надлежно уведомяване

Нарушение на сигурността на данните представлява разкриване на личните данни, за които отговаряте — по случайност или по незаконен път, на неоторизирани лица, временно ограничаване на достъпа до данните или изменение на данните.

Ако възникне нарушение на сигурността на данните и то представлява риск за правата и свободите на съответното лице, трябва да уведомите вашия орган за защита на данните в рамките на 72 часа след установяване на нарушението.

В зависимост от това дали нарушението на сигурността на личните данни представлява висок риск за засегнатите или не, може да се наложи вашето дружество да информира и всички засегнати лица.

Отговор на искания

Ако вашето дружество получи искане от лице, което желае да упражни своите права, трябва да отговорите на това искане без неоснователно забавяне и при всички случаи в срок от 1 месец след получаване на искането. Времето за отговор може да бъде удължено с 2 месеца за комплексни или многобройни искания, при условие че лицето е уведомено за удължаването на срока. Исканията следва да се обработват безплатно.

Ако дадено искане бъде отхвърлено, трябва да уведомите лицето за причините за това и за неговото право да подаде жалба до орган за защита на данните.

Оценки на въздействието

Извършването на оценка на въздействието върху защитата на данните (ОВЗД) е задължително винаги когато предвиденото обработване носи висок риск за правата и свободите на физическите лица, напр. при използването на нови технологии.

Съществува висок риск, когато:

  • се използват механизми за автоматизирано обработване и профилиране за оценка на физическите лица
  • се извършва широкомащабно наблюдение на публично достъпна зона (напр. видеонаблюдение (CCTV)
  • се обработват специални категории данни или лични данни, свързани с присъди и престъпления, в голям мащаб (напр. здравни данни)

Забележка: Органите за защита на данните могат да считат за високорискови и други видове обработване на данни.

Ако мерките, посочени в ОВЗД, не успяват да отстранят всички установени високи рискове, органът за защита на данните трябва да бъде консултиран, преди да се извърши предвиденото обработване на данните.

Съхраняване на данни

Трябва да сте в състояние да докажете, че вашето дружество действа в съответствие с ОРЗД и изпълнява всички приложими задължения — особено при поискване или проверка от страна на органа по защита на данните.

Един от начините за това е да съхранявате подробна информация за:

  • наименованието и данните за контакт на вашето дружество, занимаващо се с обработване на данни
  • основанията за обработването на лични данни
  • категориите лица, които предоставят лични данни
  • категориите организации, получаващи личните данни
  • предаването на лични данни на друга държава или организация
  • срока на съхранение на личните данни
  • мерките за сигурност, използвани при обработката на лични данни.

Вашето дружество следва също така да разполага с писмени процедури и насоки, които да актуализира редовно и да популяризира сред своите служители.

Предупреждение

Ако вашето дружество е МСП en  или по-малко, няма нужда да пазите данни за вашите дейности по обработване на данни, при условие че те:

  • не се извършват редовно
  • не засягат правата или свободите на засегнатите лица
  • не са свързани с чувствителни данни или с регистрите за съдимост

Защита на данните на етапа на проектирането и по подразбиране

Защита на данните на етапа на проектирането означава, че вашето дружество следва да вземе предвид защитата на данните още през ранните етапи на планиране на нови начини за обработване на лични данни. В съответствие с този принцип администраторът на данни трябва да предприеме всички необходими технически и организационни мерки за опазване на правата на физическите лица и за прилагане на принципите за защита на данните. Тези мерки могат да включват например псевдонимизация на данните.

Защита на данните по подразбиране означава, че използваните от вашето дружество настройки по подразбиране винаги трябва да са настройките, при които личните данни са най-добре защитени. Ако например са възможни два вида настройки за личните данни и единият от тях не позволява достъпа до личните данни от трети лица, това трябва да бъде използваният вид настройка по подразбиране.

Нарушения на правилата и санкции

При неспазване на ОРЗД могат да бъдат наложени значителни глоби в размер до 20 милиона евро или 4 % от оборота в световен мащаб на вашето дружество за някои видове нарушения. Органът за защита на данните може да наложи допълнителни коригиращи мерки, като например да разпореди спиране на обработването на лични данни.

ЧЗВ — Защита на данните и неприкосновеност на личния живот в интернет Отваряне като външна връзка

Законодателство на ЕС

Нуждаете се от съдействието на службите за помощ?

Свържете се със специализираните служби за помощ

Потърсете съвет за правилата на ЕС, които важат за вашия бизнес / разрешете проблеми с публичен орган

Имате ли въпроси относно извършването на стопанска дейност през граница, например износ или разширяване на дейността в друга страна от ЕС? Ако отговорът е да, Enterprise Europe Network може да ви даде без платен съвет.

Можете да използвате и Инструмент за търсене на услуги за оказване на помощ, за да намерите необходимата ви помощ.

Последна проверка: 06/07/2022
Споделяне на страницата