Общ регламент относно защитата на данните

Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни [GDPR]
— действащ —
Юрисдикция Европейски съюз и Европейска икономическа зона
Приет отЕвропейския парламент и Съвета на Европейския съюз
Приет на27 април 2016 г.
В сила от25 май 2018 г.      (към 01.01.2022 г.)
Отменя
Директива 95/46/EО
Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни [GDPR] в Общомедия
Официален вестник на Европейския съюз, бр. L 119/1, година 59, от 4 май 2016 г., стр. 1 – 88

Общият регламент относно защитата на данните (ОРЗД), (на английски: General Data Protection Regulation, със съкращение GDPR) е регламент за защита на личните данни на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. Официално е заведен като Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на Европейския съюз и е в сила от 25 май 2018 г. Засяга и субекти извън Европейския съюз и Европейската икономическа зона (ЕИП), които обработват данни на европейски граждани. Основна цел на регламента е да гарантира на гражданите контрол върху техните лични данни.[1]

За разлика от предходната Директива 95/46/EО, регламентът – разширява обхвата на личните данни; въвежда задължения за обработващите лични данни; въвежда строги изисквания за валидност на съгласието като основание за обработване на данни; въвежда нови права на субектите на данни, например – преносимост; въвежда строги изисквания за прозрачност и отчетност и други.

Регламентът може да е свързан с административна тежест за администраторите и обработващите лични данни, които може или трябва да извършат (според обекта и изискванията) информационен одит, очертаване на потоците данни, преглед на законови основания и договори и въвеждане на персонални, организационни и технически мерки за защита на личните данни.

Всяка организация, която обработва лични данни на европейски граждани, е задължена да спазва изискванията. Примери за подобни дейности са събиране, обработване, съхраняване, предоставяне на данни на клиенти, партньори, служители и дори кандидати за работа.[2] Определя дали организация (или сектор) трябва да спазва и други – по-високи изисквания за защита на личните данни. Пример за това е наличието на длъжностно лице по защита на данните, специални мерки за сигурност и други мерки и рестрикции.

ОРЗД задължава частни организации (субекти); корпорации, търговци; държавни и административни органи, с изключение на съдебни, правосъдни органи и институции по опазване на обществения ред и национална сигурност.

Определяне на „лични данни“

[редактиране | редактиране на кода]

Регламентът дава легално определение и обхват на „лични данни“.[3] Това е всяка информация, отнасяща се до физически лица, които са идентифицирани или чрез която същите могат да бъдат идентифицирани пряко или непряко чрез идентификационен / клиентски номер или чрез един или повече специфични признака.[3]

Член 4, 1):лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

Регламент (ЕС) 2016/679

„Лични данни“ означава и всяка информация, свързана с идентифицирано или идентифицируемо живо физическо лице. Отделни данни, които когато се съберат, заедно могат да доведат до идентифициране на конкретно лице, също представляват лични данни.

Хармонизация на процесите

[редактиране | редактиране на кода]

Регламентът въвежда уеднаквяване / хармонизиране на процесите по защита на данните. Изискванията са общи за всички държави-членки. Регламентът предоставя единен набор от правила за физическите лица и предприятията (администратори и обработващи данни). Прекратява се предходното положение, при което държавите-членки на ЕС прилагат по различен начин правилата на отменената с регламента Директива 95/46/EО.[4]

За компаниите (администраторите на лични данни) е от полза хармонизирането на процесите по обработка на лични данни. За международните оператори с данни, се реализират финансови и процедурни икономии, от това, да не създават правила за всяка отделна държава-членка, в която операторът развива дейност. Предполага се намаляване на административната тежест за компаниите, опериращи в повече от една страна-членка на Европейския съюз (ЕС), а също и стимулиране на свободната търговия.[4]

Задължени субекти и териториален обхват

[редактиране | редактиране на кода]
Европейската икономическа зона (ЕИЗ) – наричана по-рано Европейско икономическо пространство (ЕИП). Регламентът е от значение за ЕИП.
  Членки на ЕАСТ без Швейцария
  Членки на ЕС

С Регламент (ЕС) 2016/679 се разширява териториалният обхват на европейските правила за защита на личните данни. Те важат и за администратори, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС – винаги, когато се предоставят стоки или услуги на физически лица или наблюдение на поведение на физически лица (намиращи се в ЕС). Това се извършва независимо дали от субекта на данни се изисква заплащане на стока или услуга и независимо дали обработването се извършва на територията на ЕС.

Свободното движение на лични данни в рамките на ЕС не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица, във връзка с обработването на лични данни.

Регламентът е с териториален обхват и засяга ЕС и ЕИП.[1]

Задължения на администраторите и обработващи лични данни

[редактиране | редактиране на кода]

Общият регламент за защита на личните данни въвежда редица задължения за администратори и обработващи лични данни, някои от които са изцяло нови и непознати в действащата към момента на приемането му правна уредба. Такива примери са[1][5]:

  • обработването на данни да е в съответствие с принципите за защита на лични данни, заложени в регламента, като администраторът на данни да е в състояние да докаже това (въвеждане на отчетност);
  • осигуряване защита на данните при етап проектиране и планиране;
  • определяне на длъжностно лице по защита на данните, в изрично посочените от регламента случаи;
  • поддържане на регистър на дейностите по обработване, за които организацията и длъжностното лице отговарят;
  • уведомяване на надзорния орган и субекта на данни, в случай на нарушаване на сигурността на личните данни, както и документиране на всяко нарушение на сигурността на личните данни, в т. ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;
  • извършване на оценка на въздействието върху защитата на данните;
  • провеждане на предварителна консултация с надзорния орган преди обработването, когато оценката на въздействието покаже, че обработването ще породи висок риск (в случай, че администраторът на данни не предприеме мерки за ограничаване на риска);
  • прилагане на подходящи технически и организационни мерки за осигуряване на сигурност на данните. В регламента са посочени и конкретни технически и организационни мерки за сигурност – псевдонимизация[6]; криптиране; гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; своевременно възстановяване на наличността и достъпа до личните данни, в случай на физически или технически инцидент; редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;
  • сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи от регламента.

Основания за обработване на данните

[редактиране | редактиране на кода]

ОРЗД регламентира следните основания за обработка на лични данни:

  • Съгласие – изрично (писмено / електронно) съгласие;
  • Изпълнение на договор – сключване или изпълнение на договор (с клауза за обработване на лични данни / доброволно предоставени, при подписване на договора, желателна, но незадължителна);
  • Законово изискване – законово задължение за администратора – т.е. действия, произтичащи от закон, най-често при публичните органи (например: нотариуси и ЧСИ) – (без съгласие);
  • Обществен интерес – изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
  • Жизненоважни интереси на субекта на данни или трети лица – защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
  • Легитимен интерес на администратора или трети лица[7] – легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).

Регламентът определя обработването на данни да е в съответствие със следните принципи за защита на данните (Глава II, Член 5 – „Принципи“, стр. 35 – 36)[8]:

  • Законосъобразност, добросъвестност и прозрачност
  • Минимум данни
  • Ограничение на целите
  • Ограничение на съхранението
  • Цялостност и поверителност
  • Точност на данните
  • Отчетност

Права на гражданите[9]

[редактиране | редактиране на кода]

Регламентът въвежда и кодифицира различни права на субектите на лични данни, а именно:

  • Право на достъп до информацията
  • Право на корекция
  • Право на заличаване (правото „да бъдеш забравен“)
  • Право на ограничаване на обработването
  • Право на възражение
  • Право на преносимост на данните
  • Право на жалба пред надзорния орган

Легални определения и дефиниции

[редактиране | редактиране на кода]
Официален вестник на Европейския съюз, бр. L 119/1, година 59, от 4 май 2016 г., стр. 33

Регламент (ЕС) 2016/679 съдържа легални определения и дефиниции на работните си понятия в Член 4 – „Определения“ – от 1) до 26) – стр. 33 до стр. 35 на Официален вестник на Европейския съюз, бр. L 119/1, 2016 г.[10] (следват някои от дефинициите)

„Администратор на лични данни“

[редактиране | редактиране на кода]

Администраторът на лични данни e физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни, в това число и неговите служители, ангажирани с дейността.

„Лице по защита на (личните) данни“

[редактиране | редактиране на кода]

Длъжностното лице по защита на данните е лице, ангажирано по опазване на личните данни, което може да е и посредник при спор между физическо лице (клиент) и администратора, или администратора и контролния орган – наречено от Европейската комисия точка за контакт. Лицето не може и не трябва да оперира с лични данни при назначилия го администратор. Правоотношението може да е трудово или на граждански договор, като лицето може да изпълнява и други функции в администрацията на администратора.

Длъжностно лице по защита на данните се назначава задължително при наличие на определени обстоятелства, например: обработване на данни на над 10 000 лица; обработване на чувствителни данни, биометрични данни, данни на деца; когато администраторът е публични органи.

„Обработващ лични данни“

[редактиране | редактиране на кода]

Обработващият лични данни e физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (например: счетоводител, IT и др).

Получател на данни е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава-членка, не се считат за „получатели“.

Физическо лице е субект / притежател на личните данни, с местоположение в Европейския съюз, което може да бъде индивидуализирано / идентифицирано, пряко или непряко, чрез идентификатор – име, дата на раждане, идентификационен номер, данни за местонахождение и адрес, онлайн идентификатори, в това число IP или MAК адрес, електронна поща или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност.

„Чувствителни лични данни“

[редактиране | редактиране на кода]

Специални (чувствителни) лични данни са данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация, са лични данни, поставени под специална защита и изискващи допълнителни мерки.

Сървъри с лични данни

„Специфични признаци“

[редактиране | редактиране на кода]

Специфични признаци са данни, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

„Обработване на лични данни“

[редактиране | редактиране на кода]

Обработване на лични данни е всяко действие или съвкупност от действия, които администраторът / обработващият личните данни извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, структуриране, съхраняване, адаптиране или изменение, промяна, извличане, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне или друг начин, по който данните стават достъпни, подреждане, актуализиране или комбиниране, блокиране, ограничаване, изтриване, заличаване или унищожаване на личните данни и др.).

Общият регламент относно защитата на данните, се прилага за обработване на лични данни изцяло или частично с автоматични средства, както и за неавтоматизирано обработване, ако е част от структуриран регистър с лични данни.

„Регистър на лични данни“

[редактиране | редактиране на кода]

Регистър на лични данни е вътрешен регистър на дейностите по обработване на лични данни в дружеството/организацията (Член 30 от регламента), който редовно се актуализира.

Второто значение е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на администратора, която може да бъде централизирана и децентрализирана и е разпределена на функционален принцип. Регистърът трябва да се приеме като „жив акт“, който следва да се актуализира редовно, съобразно всяка промяна в организацията, в това число карти и схеми на ангажираната с лични данни инфраструктура и участници, а също и обработващите лични данни. Регистърът съдържа и описание на отделните видове дейности и регистри (книги/бази данни), както и основанието за тяхното водене и конкретните видове лични данни, които се съхраняват в него. Например, видеонаблюдението също е вид регистър.

„Съгласие на физическо лице“

[редактиране | редактиране на кода]

Съгласие на физическо лице е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни или представляващия юридическото лице – за себе си, недвусмислено се съгласява те да бъдат обработвани. Съгласие следва да се дава чрез изявление или ясно утвърдителен акт (потвърждаващо действие), с който да се даде съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Администраторът да е способен да докаже неговото наличие.

„Свободно дадено съгласие“

[редактиране | редактиране на кода]

Свободно дадено съгласие е налично в случаите, когато субектът на данни има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението. Пример може да се даде от електронната търговия, където може да се маркира съгласен или несъгласен, с приемането на бисквитки, като несъгласието не следва да ни откаже от услугите. При маркетинговите съгласия, следва всяко да се маркира поотделно, съответно със съгласен или несъгласен, например: да се получава известия по е-поща; по друг начин – за всяко конкретно, дадени поотделно.

„Оттегляне на съгласие“

[редактиране | редактиране на кода]

Субектът на данни има право да оттегли съгласието си по всяко време като тази процедура трябва да е също толкова лесна, колкото и даването на съгласие. Оттеглянето на съгласие важи занапред и не може да има обратно действие. Действията по обработване на лични данни, предприети от администратора, в съответствие с дадено преди това съгласие, са законосъобразни, тъй като администраторът е разполагал с валидно правно основание за обработване.

Подобно съгласие не се изисква при съдебни процедури, правоохранителни органи и публични органи; органи в системата на националната сигурност, действащи и изпълняващи правомощия по закон и във връзка със законоустановени процедури.

Оценка на въздействието

[редактиране | редактиране на кода]

Оценка на въздействието е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

Отчетността на администратора на лични данни е основен инструмент (и принцип) за доказване изпълнението на изискванията на Общия регламент относно защита на данните.

Отчетност е способността във всеки един момент администраторът на лични данни да удостовери и да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно, за конкретни и пропорционални цели, с подходящо ниво на сигурност и защита.

Основните средства за спазване на принципа на отчетност са:

  • поддържане на регистри на дейностите по обработване;
  • определяне на длъжностно лице по защита на личните данни, когато такова се изисква;
  • извършване на оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица;
  • своевременно уведомяване на контролния орган (за Република БългарияКомисията за защита на личните данни) и субекта на данните при нарушения на сигурността;
  • прилагане на доброволни механизми за сертифициране и/или спазването на кодекси на поведение.

Някои ползи от ОРЗД

[редактиране | редактиране на кода]

Регламентът „отваря врати за законна търговия“ с лични данни на клиенти (потребители). С изричното разрешение на потребителите – физически лица, няма механизъм, който да попречи компании да обменят данни по между си, – но при условията на изрично писмено съгласие на потребителите – дадено доброволно, свободно и информирано, подлежащо на оттегляне, забравяне и ревизия.

Регламентът създава ниша за професионално и бизнес реализиране за физически и юридически лица в услуги, свързани със защитата на лични данни.

Международните компании могат да работят само с една организация (лице) за защита на личните данни, независимо от това, къде е базиран бизнесът или лицето/организацията по защита на лични данни.[11]

Развиващият се онлайн пазар изисква хармонизация и регулация на процесите по защита на личните данни.

Примерен банер, изобразяващ ОРЗД (GDPR)

Ползи за физическите лица – потребители и професионалисти [9]

[редактиране | редактиране на кода]

С регламента се гарантира правото на защита на личните данни (Член 8 от Хартата на основните права на Европейския съюз и член 6 (1), изр. 2 от Европейската конвенция за правата на човека) – особено чувствително право от гледна точка на основните права и свободи.[12]

По данни на Европейската комисия, до въвеждане на регламента 85% от европейските граждани, считат, че личните им данни не са достатъчно защитени.

Регламентът създава задължителни равни права на гражданите на ЕС за обработка на личните им данни.

С регламента се въвеждат нови изисквания за прозрачност; право на информираност, достъп и изтриване на данни; изисква се ясно, индивидуално, конкретно, утвърдително действие за изразяване на съгласие; несъгласието не следва да е пречка за получаване на услугата; специални правила за защита на децата; специални начини за съхранение на данните и тяхното анонимизиране, криптиране; прехвърляне и други.

Регламентът създава ново право на преносимост на данните, което позволява на гражданите да изискват от дружество или организация да получат обратно лични данни, които са предоставили на това дружество или организация, въз основа на предоставено съгласие или договор; в него се дава също възможност тези лични данни да се прехвърлят пряко на друго дружество или организация, когато това е технически осъществимо.

С регламента се установява набор от правила относно нарушенията на сигурността на личните данни. Ясно се определя какво е „нарушение на личните данни“; въвежда се задължение за уведомяване на надзорния орган в рамките на 72 часа от събитието.

Регламентът повишава доверието на потребителите от ЕС. Насърчава електронната търговия, търговските и служебни взаимоотношения. Регламентът гарантира свободното движение на лични данни между държавите-членки на ЕС и укрепя доверието и сигурността на потребителите – два елемента, необходими за създаване на цифров единен пазар.

Регламентът създава известна ангажираност на някои лица като лица по защита на данните. Тази позиция би могла да осигури основни или допълнителни приходи.[13]

Големите компании и тези, които извършват мащабен мониторинг върху физически лица, както и тези, които боравят с чувствителна информация и данни, се налага да инвестират в софтуер, хардуер и наемане на постоянни длъжностни лица по защита на данните, вместо да се покриват текущи разходи.

Регламентът се използва за организиране на платени обучения.

Регламентът изисква по-обширни Общи условия в интернет сайтовете.

Заложените санкции за нарушаване разпоредби от регламента са прекомерно високи.

Всички дейности се заплащат от бизнеса (администраторите на лични данни – администрация и организации).[14]

Общинската и държавна администрация (без съдебните, правоохранителни органи и органи по националната сигурност) заплащат цената от своите бюджети, следователно данъкоплатецът я покрива.

  1. а б в Официален уебсайт на Европейския съюз. РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
  2. Kой трябва да спазва GDPR?
  3. а б Член 4, /1/ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, от 27 април 2016. Официален вестник на Европейския съюз, 4.5.2016, L 119/1
  4. а б Съобщение на ЕВРОПЕЙСКАТА КОМИСИЯ Брюксел, 24.1.2018 г.
  5. Насоки на Европейската комисия за защита на личните данни (2018 г.) /достъпен до 2019 г. https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_bg
  6. „Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни.
  7. economix.bg, Петър Николов. Легитимният интерес според GDPR // economix.bg.
  8. Глава II, Член 5 – „Принципи“, Принципи, свързани с обработването на лични данни, Официален вестник на Европейския съюз, бр. L 119/1, 2016 г., стр. 35 – 36
  9. а б в European Commission. Questions and Answers – General Data Protection Regulation // 24 January 2018.
  10. Официален вестник на Европейския съюз, бр. L 119/1, година 59, от 4 май 2016 г., стр. 33 – 35; Член 4 – „Определения“ – от 1) до 26)
  11. Мария Максим. Ползите за бизнеса от новия регламент на ЕС за защита на личните данни // Bloomberg TV Bulgaria. 28 март 2017.
  12. European Union Agency for Fundamental Rights / Агенция на Европейския съюз за основните права. Data protection
  13. Официален уебсайт на Европейския съюз. РЕЗЮМЕ НА: Регламент (EС) 2016/679 — защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни
  14. Investor.bg. ИПИ: Новият регламент за защита на личните данни – за цената и възможностите