Често задавани въпроси за GDPR - Какво трябва да знаем?


GDPR надпис

Как GDPR касае физическите и юридическите лица?

В тази статия ще намерите отговор на често задавани въпроси за изискванията на GDPR регламента и относно защитата на данните.

Важно е да го познавате добре не само ако имате бизнес уебсайт или електронен магазин, а при всички случаи на работа с лични данни на живи физически лица.

Какво е GDPR?

Съкращението означава General Data Protection Regulation. На български: Общ регламент на Европейски съюз за защитата на данните - ОРЗД. Той бе приет на 27 април 2016 година и влезе в сила от 25 май 2018 година.

Общ регламент относно защитата на данните (ЕС 2016/679) на Европейския парламент и на Съвета на Европейския съюз регулира обработването, съхранението и използването на лични данни на физически лица от трета страна - лица, дружества или организации.

За единното прилагане на правилата относно защитата на данните и насърчаването сътрудничеството между органите за защита на данните навсякъде в ЕС допринася Европейският комитет по защита на данните (ЕКЗД).

Препоръчително е дружествата да прилагат определени технически и организационни мерки още в ранните етапи от проектиране на операциите по обработка, за да защитават от самото начало принципите на неприкосновеност на личния живот и защита на данните (това се нарича „защита на данните на етапа на проектирането“). По подразбиране организациите следва да гарантират, че данните се обработват с най-голяма защита на неприкосновеността на личния живот и не са достъпни за неопределен брой лица („защита на данните по подразбиране“).

Какво се разбира под лични данни и обработването им?

Под лични данни (personal data на английски) се разбира всякакъв вид информация, свързана с живо физическо лице, което е или може да бъде идентифицирано. Такава информация е например име, фамилия, адрес, ЕГН, имейл, номер на лична карта, местоположение, IP адрес, бисквитки и др.

Обработване на лични данни е всяко действие, което се извършва с тях – събиране, записване, организиране, структуриране, съхранение. То трябва да бъде сведено до минимум, тоест да се обработват само лични данни, които са необходими за съответната цел.

Какво е администратор на лични данни?

Според това кой определя как ще се обработват данните и кой реално ги обработва, едно лице може да бъде администратор или обработващ лични данни.

Администраторът единствено определя за какво ще се използват данните, които се събират. Обработващият данните събира/обработва данни по заявка на администратора.

Лицето, обработващо личните данни, може да бъде и администратор в някои случаи.

Всеки администратор (и представител на такъв) поддържа регистър на дейностите по обработване, за които отговоря.

Съществуват и кодекси на поведение, които не са задължителни, но са препоръчителни. Те се изготвят за отделна категория администратори/обработващи лични данни с цел улеснение ефективното прилагане на регламента, както и спомагане за доказването на факта на спазване на нормативните изисквания.

Кога се допуска обработването на лични данни?

  • по силата на договор;
  • по силата на закона;
  • при наличие на легитимен интерес;
  • със съгласието на субектите на данните;
  • за изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са предоставени на администратора.

Кого касае GDPR?

GDPR касае всяко дружество и институция, където съществува обработване на лични данни на клиенти или служители. За да разберете доколко регулацията се отнася за вашия бизнес, първо трябва да анализирате процесите в него. Различните бизнеси са засегнати в различни степени.

GDPR касае и всички сайтове, тъй като използват “бисквитки”, а те съдържат определена анонимна информация, която идентифицира отделните потребители и следи техните предпочитания при сърфиране в интернет.

GDPR се прилага не само за организации, разположени в рамките на ЕС, но и за такива извън държавите членки, ако предлагат стоки, услуги или наблюдават поведението на субекти на данни в ЕС. Регламентът се прилага за всички дружества, които обработват и съхраняват личните данни на субекти, пребиваващи в Европейския съюз, независимо от местоположението на компанията.

В случай, че се нуждаете от консултация и съдействие от експертни адвокати, свържете се с нас.

 

Какви са правата на субектите и GDPR изискванията?

Лицата, обработващи лични данни, са длъжни да предоставят следната информация на субектите:

  1. Информация за дружеството и за контакт;
  2. Целта, за която се събират данните и правното основание за обработването им;
  3. Лицата, на които ще се предоставят данните;
  4. Срока на съхранението им;
  5. Информация за правата на субекта;
  6. Информация за автоматизирана обработка и профилиране;

Най-чест пример за предоставяне на подобна информация е изскачащото съобщение за “бисквитки” при отварянето на определен сайт за пръв път. Вместо да става автоматично, вече е необходимо да се изисква изричното съгласие от всеки потребител, за да се активират бисквитките и съответно събирането на данните му. За лица под 16 години се изисква съгласието на родителите им.

Субектите имат следните права:

  1. Право на достъп до своите данни;
  2. Право да поискат коригиране и изтриване на лични данни;
  3. Право на ограничаване на обработването;
  4. Право на преносимост на данните;
  5. Право на възражение срещу автоматично обработване;
  6. Ако обработването се основава на съгласие, право на оттегляне на съгласието;
  7. Право на жалба пред надзорен орган;
  8. Ако данните не са събрани от субекта, трябва да се посочи източника на лични данни.

Какво е длъжностно лице по защита на личните данни и кога е необходимо?

Съгласно изискванията на GDPR, в определени случаи се налага назначаването на длъжностно лице по защита на личните данни, което да вземе мерки за анонимизация, псевдонимизация и криптиране. То е с консултативни функции в областта на защитата на личните данни, надзирава спазването на регламента в организацията на администратора и обучава персонала.

Длъжностното лице по защита на личните данни може да е физическо лице, външно или вътрешно за фирмата. Може да е служител на фирмата или външен експерт, например адвокат или фирма.

Назначаването на такова лице е необходимо при следните ситуации:

  • които се отнасят до обработването извършвано от публичен орган или структура;
  • системно и мащабно наблюдение на субектите на данните;
  • мащабно обработване на чувствителни категории данни.

Лицата, обработващи лични данни, са длъжни да въведат вътрешни правила за обработването им, политика за защитата им, а в дадени случаи оценка на въздействието. Също така трябва да водят установените в закона регистри и да могат да гарантират защита на обработваните от тях лични данни.

Следва да се вземат и необходимите мерки по техническата и физическа обезпеченост на обработваните лични данни.

Какви са санкциите при неспазване на GDPR и кой следи за това?

Според регламент ЕС 2016/679, обработващите лични данни трябва да спазват определени правила и процеси. Ако те не бъдат изпълнени или бъдат нарушени, може да бъде наложена имуществена санкция (глоба) до 20 милиона евро или 4% от годишния оборот на дружеството. Взима се предвид дали администраторът е направил всичко възможно да приведе дейността си съобразно регламента или не.

Комисията за защита на лични данни е надзорният орган в България, който отговаря и следи за спазването на GDPR.

При нарушение на сигурността на личните данни, всяко дружество (организация) е длъжно да да уведоми надзорния орган без ненужно забавяне и най-късно до 72 часа след узнаване за нарушението.

Добра идея е да се посъветвате с адвокат, за да ви помогне с изготвянето на необходимите обновени “Декларация за поверителност”, “Условия за ползване” и други задължителни елементи според регламента, за да избегнете евентуални санкции.

Заключение

Общият регламент за защита на личните данни въведе по-ясни и стриктни политики и процедури. Целта бе прозрачност по отношение на личните данни и относно събирането, съхраняването и обработването им от различни организации. Така се ограничава злонамереното ползване на тези данни, както и нежеланите търговски съобщения (СПАМ / SPAM) до потребителите. Подсигурява се защитата на физическите лица във връзка с обработването на личните им данни.

Важно е своевременно да бъдат предприети необходимите правни и практически действия за защита на личните данни, за да се спази GDPR регламента и да се избегнат санкции.



Адвокатска кантора „Данаилова, Тодоров и партньори“ е лидер в областта на търговското, облигационното, трудовото, административното и данъчното право.

ОЧАКВАМЕ ВАШИТЕ ЗАПИТВАНИЯ

Image
far fa-map

АДРЕС

София - 1404, ж.к. Гоце Делчев, ул. "Славовица", блок 24Е, офис 2

Варна - 9000, р-н "Владислав Варненчик", ЗПЗ, ул. "Нептун" № 2

 

fas fa-mail-bulk
fas fa-phone-volume

ТЕЛЕФОН

+359895967532