Често задавани въпроси за GDPR - Какво трябва да знаем?
Как GDPR касае физическите и юридическите лица?
В тази статия ще намерите отговор на често задавани въпроси за изискванията на GDPR регламента и относно защитата на данните.
Важно е да го познавате добре не само ако имате бизнес уебсайт или електронен магазин, а при всички случаи на работа с лични данни на живи физически лица.
Какво е GDPR?
Съкращението означава General Data Protection Regulation. На български: Общ регламент на Европейски съюз за защитата на данните - ОРЗД. Той бе приет на 27 април 2016 година и влезе в сила от 25 май 2018 година.
Общ регламент относно защитата на данните (ЕС 2016/679) на Европейския парламент и на Съвета на Европейския съюз регулира обработването, съхранението и използването на лични данни на физически лица от трета страна - лица, дружества или организации.
За единното прилагане на правилата относно защитата на данните и насърчаването сътрудничеството между органите за защита на данните навсякъде в ЕС допринася Европейският комитет по защита на данните (ЕКЗД).
Препоръчително е дружествата да прилагат определени технически и организационни мерки още в ранните етапи от проектиране на операциите по обработка, за да защитават от самото начало принципите на неприкосновеност на личния живот и защита на данните (това се нарича „защита на данните на етапа на проектирането“). По подразбиране организациите следва да гарантират, че данните се обработват с най-голяма защита на неприкосновеността на личния живот и не са достъпни за неопределен брой лица („защита на данните по подразбиране“).
Какво се разбира под лични данни и обработването им?
Под лични данни (personal data на английски) се разбира всякакъв вид информация, свързана с живо физическо лице, което е или може да бъде идентифицирано. Такава информация е например име, фамилия, адрес, ЕГН, имейл, номер на лична карта, местоположение, IP адрес, бисквитки и др.
Обработване на лични данни е всяко действие, което се извършва с тях – събиране, записване, организиране, структуриране, съхранение. То трябва да бъде сведено до минимум, тоест да се обработват само лични данни, които са необходими за съответната цел.
Какво е администратор на лични данни?
Според това кой определя как ще се обработват данните и кой реално ги обработва, едно лице може да бъде администратор или обработващ лични данни.
Администраторът единствено определя за какво ще се използват данните, които се събират. Обработващият данните събира/обработва данни по заявка на администратора.
Лицето, обработващо личните данни, може да бъде и администратор в някои случаи.
Всеки администратор (и представител на такъв) поддържа регистър на дейностите по обработване, за които отговоря.
Съществуват и кодекси на поведение, които не са задължителни, но са препоръчителни. Те се изготвят за отделна категория администратори/обработващи лични данни с цел улеснение ефективното прилагане на регламента, както и спомагане за доказването на факта на спазване на нормативните изисквания.
Кога се допуска обработването на лични данни?
- по силата на договор;
- по силата на закона;
- при наличие на легитимен интерес;
- със съгласието на субектите на данните;
- за изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са предоставени на администратора.
Кого касае GDPR?
GDPR касае всяко дружество и институция, където съществува обработване на лични данни на клиенти или служители. За да разберете доколко регулацията се отнася за вашия бизнес, първо трябва да анализирате процесите в него. Различните бизнеси са засегнати в различни степени.
GDPR касае и всички сайтове, тъй като използват “бисквитки”, а те съдържат определена анонимна информация, която идентифицира отделните потребители и следи техните предпочитания при сърфиране в интернет.
GDPR се прилага не само за организации, разположени в рамките на ЕС, но и за такива извън държавите членки, ако предлагат стоки, услуги или наблюдават поведението на субекти на данни в ЕС. Регламентът се прилага за всички дружества, които обработват и съхраняват личните данни на субекти, пребиваващи в Европейския съюз, независимо от местоположението на компанията.
В случай, че се нуждаете от консултация и съдействие от експертни адвокати, свържете се с нас.
Какви са правата на субектите и GDPR изискванията?
Лицата, обработващи лични данни, са длъжни да предоставят следната информация на субектите:
- Информация за дружеството и за контакт;
- Целта, за която се събират данните и правното основание за обработването им;
- Лицата, на които ще се предоставят данните;
- Срока на съхранението им;
- Информация за правата на субекта;
- Информация за автоматизирана обработка и профилиране;
Най-чест пример за предоставяне на подобна информация е изскачащото съобщение за “бисквитки” при отварянето на определен сайт за пръв път. Вместо да става автоматично, вече е необходимо да се изисква изричното съгласие от всеки потребител, за да се активират бисквитките и съответно събирането на данните му. За лица под 16 години се изисква съгласието на родителите им.
Субектите имат следните права:
- Право на достъп до своите данни;
- Право да поискат коригиране и изтриване на лични данни;
- Право на ограничаване на обработването;
- Право на преносимост на данните;
- Право на възражение срещу автоматично обработване;
- Ако обработването се основава на съгласие, право на оттегляне на съгласието;
- Право на жалба пред надзорен орган;
- Ако данните не са събрани от субекта, трябва да се посочи източника на лични данни.
Какво е длъжностно лице по защита на личните данни и кога е необходимо?
Съгласно изискванията на GDPR, в определени случаи се налага назначаването на длъжностно лице по защита на личните данни, което да вземе мерки за анонимизация, псевдонимизация и криптиране. То е с консултативни функции в областта на защитата на личните данни, надзирава спазването на регламента в организацията на администратора и обучава персонала.
Длъжностното лице по защита на личните данни може да е физическо лице, външно или вътрешно за фирмата. Може да е служител на фирмата или външен експерт, например адвокат или фирма.
Назначаването на такова лице е необходимо при следните ситуации:
- които се отнасят до обработването извършвано от публичен орган или структура;
- системно и мащабно наблюдение на субектите на данните;
- мащабно обработване на чувствителни категории данни.
Лицата, обработващи лични данни, са длъжни да въведат вътрешни правила за обработването им, политика за защитата им, а в дадени случаи оценка на въздействието. Също така трябва да водят установените в закона регистри и да могат да гарантират защита на обработваните от тях лични данни.
Следва да се вземат и необходимите мерки по техническата и физическа обезпеченост на обработваните лични данни.
Какви са санкциите при неспазване на GDPR и кой следи за това?
Според регламент ЕС 2016/679, обработващите лични данни трябва да спазват определени правила и процеси. Ако те не бъдат изпълнени или бъдат нарушени, може да бъде наложена имуществена санкция (глоба) до 20 милиона евро или 4% от годишния оборот на дружеството. Взима се предвид дали администраторът е направил всичко възможно да приведе дейността си съобразно регламента или не.
Комисията за защита на лични данни е надзорният орган в България, който отговаря и следи за спазването на GDPR.
При нарушение на сигурността на личните данни, всяко дружество (организация) е длъжно да да уведоми надзорния орган без ненужно забавяне и най-късно до 72 часа след узнаване за нарушението.
Добра идея е да се посъветвате с адвокат, за да ви помогне с изготвянето на необходимите обновени “Декларация за поверителност”, “Условия за ползване” и други задължителни елементи според регламента, за да избегнете евентуални санкции.
Заключение
Общият регламент за защита на личните данни въведе по-ясни и стриктни политики и процедури. Целта бе прозрачност по отношение на личните данни и относно събирането, съхраняването и обработването им от различни организации. Така се ограничава злонамереното ползване на тези данни, както и нежеланите търговски съобщения (СПАМ / SPAM) до потребителите. Подсигурява се защитата на физическите лица във връзка с обработването на личните им данни.
Важно е своевременно да бъдат предприети необходимите правни и практически действия за защита на личните данни, за да се спази GDPR регламента и да се избегнат санкции.
Адвокатска кантора „Данаилова, Тодоров и партньори“ е лидер в областта на търговското, облигационното, трудовото, административното и данъчното право.