Защита на личните данни – обща информация
 

В тази секция можете да намерите следната информация:

  • Какво наложи промяната на законодателството в областта на личните данни?
  • Какво е важно да знаем за GDPR (General Data Protection Regulation) или ОРЗД (Общ регламент за защита на данните)?
  • Кой трябва да прилага Регламента?
  • Какви са санкциите, когато се нарушат изискванията на Регламента?
  • Кои са основните понятия, с които трябва да се запознаете, за да спазвате регламента?

 

Какво наложи промяната на законодателството в областта на личните данни?

Наблюдаваме бурно развитие на технологиите, социалните мрежи и облачните услуги, където се съхранява огромна информация, в голямата си част, конфиденциална. Нерегламентираният достъп до нея може да доведе до много злоупотреби, като кражба на самоличност, незаконно прехвърляне на финансови средства, дори манипулиране на потребителите да изберат да закупят определена стока или гласуват за определен кандидат на изборите. Все по-често електронната поща и социалните мрежи се ползват и от деца, които не знаят как да се предпазят от заплахите. Част от сървърите, на които се съхранява тази информация, са извън Европейския съюз, където страните–членки не могат да правят проверки. Чрез въвеждането на новите правила, Европейският съюз се опита да ограничи рисковете, на които са изложени гражданите му в интернет като наложи ясни изисквания и правила за защита на личната им информацията, независимо къде по света се намира тази информация.

 

Какво е важно да знаем за GDPR (General Data Protection Regulation) или ОРЗД (Общ регламент за защита на данните)?

Цялото име на документа е Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и

относно свободното движение на такива данни и за отмяна на директива 95/46/ЕО (Общ регламент относно защитата на данните)“ или за кратко „Регламент“. За разлика от отменената Директива, Регламентът се прилага пряко и всяко лице може директно да се позове на него.

По време на действие на Директивата бе създадена Работна група по член 29, която даваше насоки, препоръки и мнения по ключови въпроси и тълкуване на понятията и принципите в сферата на личните данни. Голяма част от тези документи все още се използват, за да се изясни правилното прилагане на Регламента.

Работната група по член 29 ще продължи да съществува като Европейски комитет за защита на данните.

 

Кой трябва да прилага Регламента?

От 25 май 2018 г. всяка компания има задължение да обработва, съхранява и прехвърля лични данни според изискванията за защита на личните данни, описани в Регламента. Регламентът се прилага относно защитата на личните данни на граждани на Европейския съюз или лица, пребиваващи на територията му. Ако данните на тези граждани се съхраняват извън Съюза, тогава те отново трябва да бъдат защитени съгласно изискванията на Регламента.

 

Важно е да знаете
Важно е да знаете

Регламентът не се прилага от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления и налагането на наказания. Не се прилага и когато се обработват лични данни за лични цели или в рамките на домакинството. Не се прилага и за лица, които не са граждани на Европейския съюз и които не пребивават на територията на Съюза.

 

Какви са санкциите, когато се нарушат изискванията на Регламента?

Санкциите за неспазване на разпоредбите на Регламента може да достигнат до по-високата сума от 20 000 000 евро или до 4% от общия годишен световен оборот на компанията за предходната финансова година.

 

Кои са основните понятия, с които трябва да се запознаете, за да спазвате Регламента?

Първата стъпка, която трябва да предприемете, за да осигурите сигурността на личните данни, с които работите, е да разберете основните принципи и понятия, които се съдържат в Регламента:

Понятие Същност Пример/Пояснение

Лични данни (Чл. 4, т. 1 от Регламента) и вижте тук.

всяка информация, която в своята цялост може да се използва за идентифицирането на физическо лице (субект на лични данни)

 

имена, ЕГН, и-мейл адрес, телефон, снимка, IP адрес, друг регистрационен номер, глас, изображение, информация за локация

Специални категории лични данни (чл. 9 и 10 от Регламента)

данни, разкриващи расов и етнически произход, членство в синдикални организации, генетични, биометрични данни, данни за здравословно състояние, сексуален живот и сексуална ориентация, данни, свързани с присъди и нарушения

 

медицинска информация, пръстов отпечатък, сканиран образ от ретина, документ за членство в синдикална организация, свидетелство за съдимост

Субект на лични данни

вижте тук.

винаги физически лица

клиенти, доставчици, работници, потребители, управители на дружества, лица, снимани на видеозапис или на снимка, включително Вие, които четете тази информация

 

Обработване

(чл. 4, т. 2 от Регламента)

операции, извършвани с личните данни

събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване, разпространяване, комбиниране, изтриване или унищожаване

 

Принципи на обработване на лични данни

(чл. 5 от Регламента)

законосъобразност, добросъвестност, прозрачност

данните трябва да се обработват съгласно закона, без намерение да се осъществи нарушение или престъпление и лицата да знаят за обработването

ограничение на целите

ако данните са събрани за една цел, не могат да се използват за друга

 

свеждане на данните до минимум

не трябва да се обработват повече данни от минимално необходимите

точност

данните трябва да се поддържат актуални и точни във всеки момент

ограничение на съхранението

данните не трябва да се съхраняват за повече време, отколкото е необходимо за постигане на целите или до периода, определен в закон

цялостност и поверителност

трябва да се приложат всички необходими мерки, с цел да се ограничи възможността за нерегламентиран достъп

 

Понятие Същност Пример/Пояснение

Цели

определят се във всеки конкретен момент, като някои произлизат от закона, а други от стопанската дейност на дружеството

 

по закон: трудовоправни отношения, достъп до данни, публикувани в Търговски регистър, стопанска дейност: маркетинг, продажби, охрана на офиса

Основания (чл. 6-8 от Регламента)

съгласие

 

съгласието се използва, само когато другите основания са неприложими


договор

личните данни, които са включени в договора, могат да се обработват от страните, както и когато са получени данни на физически лица по повод подписване на договор, ако физическото лице е инициирало процеса

 


задължение по закон

трудови задължения на работодателя, събиране на данни, свързани със задълженията относно мерките срещу изпирането на пари

 


защита на жизненоважни интереси на субекта на данните

когато болници или дентални специалисти осъществяват своята дейност


изпълняване на задача от обществен интерес

охрана с камери по време на концерт, футболен мач

 

легитимен интерес

този интерес е свързан с конкретната стопанска дейност, като например продажби, маркетинг и други

Администратор

(чл. 4, т. 7, чл. 24 - 27 от Регламента и

вижте тук)

физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или с други определя целите и средствата за обработването на личните данни

дружеството в качеството си на работодател, на задължено лице във връзка с мерките по изпирането на пари и други

Обработващ

чл. 4, т. 8, чл. 28 от Регламента и

вижте тук)

физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора

доставчик на облачни услуги, доставчик на услуги по труд и заплата и други

Длъжностно лице по защита на данните

чл. 37 – 39 от Регламента

позиция в дружество, което е администратор или обработващ, която трябва да отговаря на определени условия

 

Средства

вижте тук)

включват не само техническите параметри на обработването, но и организационните

конкретни технически продукти, организацията за достъп до данните и други

 

Понятие Същност Пример/Пояснение

Нарушение на сигурността на личните данни

чл. 4, т. 12 от Регламента и вижте тук

нарушение, което да води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин

 

хакерска атака, загубване на електронна информация, загубване на носител на електронна информация, наличие на достъп до информацията на лице, което не би трябвало да има достъп до нея

Псевдонимизация

чл. 4, т. 5 от Регламента

обработването на лични данни по такъв начин, че те да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно

 

криптоключ, при което използваните данни не могат да бъдат четими, за да се превърнат отново в четима информация, без криптоключът да трябва да се използва отново

Профилиране

чл. 4, т. 4 от Регламента и вижте тук


всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице

обработването се използва за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение

 

Автоматизирано вземане на решение

чл. 22 от Регламента и вижте тук


анализирането и оценката на лични аспекти на физическо лице само въз основа на автоматично взето решение, при което няма направен анализ от човек, а само от машина

 

 

Оценка на въздействието

чл. 35 и 36 от Регламента и вижте тук


Процедура, която трябва да се приложи, ако съществуват данни, които се обработват и представляват висок риск

 

 

Важно е да знаете
Важно е да знаете

Дори данни като имена и ЕГН да не са налични, физическите лица могат да бъдат идентифицирани чрез например IP адрес, което е често срещан способ при „бисквитките“, както и чрез служебен номер, което е практика при професионални организации и някои работодатели. Важно е да се отбележи, че лицето може да бъде идентифицирано също по запис на глас или чрез видеозапис.

 

Важно е да знаете
Важно е да знаете

Всяка от операциите чл. 4, т. 2 от Регламента сама по себе си се счита за обработване на данни. Ако дружество единствено съхранява или единствено унищожава лични данни без да осъществява каквито и да е други операции, то влиза в обхвата на Регламента и трябва да прилага изискванията му. Не е нужно дори служителите на дружеството да имат достъп до данните или да ги ползват по какъвто и да е друг начин.

 

Повече информация
Повече информация

Повече информация може да намерите на интернет страниците на:

  • Мнения на работна група по член 29:


отпечатай тази страница
 
 


Публикувай коментар

In nisl nibh, tempus eget adipiscing at, venenatis vel ligula! Aenean mattis elit ut est congue sagittis. Lorem ipsum dolor sit amet, consectetur adipiscing elit

Свързани документи
 
 
 
Пишете ни
Министерство на икономиката
ул. "Славянска" № 8
ЕИК 176789453
тел. централа: +359 2 940 7001

факс: +359 2 9872190; 02 9819970
 
Оперативна програма BREXIT
Контакти: София 1052 ул. "Славянска" 8 тел. центр.: +359 2 9407001 e-docs@mi.government.bg
Последвайте ни: Фейсбук Профил на Министерство на икономиката Туитър Профил на Министерство на икономиката