Тази статия е за нормативен акт. Няма претенции да е пълна и изчерпателна по посочената тема (с обществена значимост).
Статиите не може да съдържат реклама на продукти или услуги. Уикипедия не е юрист, макар в съставянето на някои статии да участват и юристи – уикипедианци. |
Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни [GDPR] | |
— действащ — | |
Юрисдикция | Европейски съюз и Европейска икономическа зона |
---|---|
Приет от | Европейския парламент и Съвета на Европейския съюз |
Приет на | 27 април 2016 г. |
В сила от | 25 май 2018 г. (към 01.01.2022 г.) |
Отменя | |
Директива 95/46/EО | |
Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни [GDPR] в Общомедия |
Общият регламент относно защитата на данните (ОРЗД), (на английски: General Data Protection Regulation, със съкращение GDPR) е регламент за защита на личните данни на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. Официално е заведен като Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на Европейския съюз и е в сила от 25 май 2018 г. Засяга и субекти извън Европейския съюз и Европейската икономическа зона (ЕИП), които обработват данни на европейски граждани. Основна цел на регламента е да гарантира на гражданите контрол върху техните лични данни.[1]
За разлика от предходната Директива 95/46/EО, регламентът – разширява обхвата на личните данни; въвежда задължения за обработващите лични данни; въвежда строги изисквания за валидност на съгласието като основание за обработване на данни; въвежда нови права на субектите на данни, например – преносимост; въвежда строги изисквания за прозрачност и отчетност и други.
Регламентът може да е свързан с административна тежест за администраторите и обработващите лични данни, които може или трябва да извършат (според обекта и изискванията) информационен одит, очертаване на потоците данни, преглед на законови основания и договори и въвеждане на персонални, организационни и технически мерки за защита на личните данни.
Всяка организация, която обработва лични данни на европейски граждани, е задължена да спазва изискванията. Примери за подобни дейности са събиране, обработване, съхраняване, предоставяне на данни на клиенти, партньори, служители и дори кандидати за работа.[2] Определя дали организация (или сектор) трябва да спазва и други – по-високи изисквания за защита на личните данни. Пример за това е наличието на длъжностно лице по защита на данните, специални мерки за сигурност и други мерки и рестрикции.
ОРЗД задължава частни организации (субекти); корпорации, търговци; държавни и административни органи, с изключение на съдебни, правосъдни органи и институции по опазване на обществения ред и национална сигурност.
Регламентът дава легално определение и обхват на „лични данни“.[3] Това е всяка информация, отнасяща се до физически лица, които са идентифицирани или чрез която същите могат да бъдат идентифицирани пряко или непряко чрез идентификационен / клиентски номер или чрез един или повече специфични признака.[3]
|
„Лични данни“ означава и всяка информация, свързана с идентифицирано или идентифицируемо живо физическо лице. Отделни данни, които когато се съберат, заедно могат да доведат до идентифициране на конкретно лице, също представляват лични данни.
Регламентът въвежда уеднаквяване / хармонизиране на процесите по защита на данните. Изискванията са общи за всички държави-членки. Регламентът предоставя единен набор от правила за физическите лица и предприятията (администратори и обработващи данни). Прекратява се предходното положение, при което държавите-членки на ЕС прилагат по различен начин правилата на отменената с регламента Директива 95/46/EО.[4]
За компаниите (администраторите на лични данни) е от полза хармонизирането на процесите по обработка на лични данни. За международните оператори с данни, се реализират финансови и процедурни икономии, от това, да не създават правила за всяка отделна държава-членка, в която операторът развива дейност. Предполага се намаляване на административната тежест за компаниите, опериращи в повече от една страна-членка на Европейския съюз (ЕС), а също и стимулиране на свободната търговия.[4]
С Регламент (ЕС) 2016/679 се разширява териториалният обхват на европейските правила за защита на личните данни. Те важат и за администратори, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС – винаги, когато се предоставят стоки или услуги на физически лица или наблюдение на поведение на физически лица (намиращи се в ЕС). Това се извършва независимо дали от субекта на данни се изисква заплащане на стока или услуга и независимо дали обработването се извършва на територията на ЕС.
Свободното движение на лични данни в рамките на ЕС не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица, във връзка с обработването на лични данни.
Регламентът е с териториален обхват и засяга ЕС и ЕИП.[1]
Общият регламент за защита на личните данни въвежда редица задължения за администратори и обработващи лични данни, някои от които са изцяло нови и непознати в действащата към момента на приемането му правна уредба. Такива примери са[1][5]:
ОРЗД регламентира следните основания за обработка на лични данни:
Регламентът определя обработването на данни да е в съответствие със следните принципи за защита на данните (Глава II, Член 5 – „Принципи“, стр. 35 – 36)[8]:
Регламентът въвежда и кодифицира различни права на субектите на лични данни, а именно:
Регламент (ЕС) 2016/679 съдържа легални определения и дефиниции на работните си понятия в Член 4 – „Определения“ – от 1) до 26) – стр. 33 до стр. 35 на Официален вестник на Европейския съюз, бр. L 119/1, 2016 г.[10] (следват някои от дефинициите)
Администраторът на лични данни e физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни, в това число и неговите служители, ангажирани с дейността.
Длъжностното лице по защита на данните е лице, ангажирано по опазване на личните данни, което може да е и посредник при спор между физическо лице (клиент) и администратора, или администратора и контролния орган – наречено от Европейската комисия точка за контакт. Лицето не може и не трябва да оперира с лични данни при назначилия го администратор. Правоотношението може да е трудово или на граждански договор, като лицето може да изпълнява и други функции в администрацията на администратора.
Длъжностно лице по защита на данните се назначава задължително при наличие на определени обстоятелства, например: обработване на данни на над 10 000 лица; обработване на чувствителни данни, биометрични данни, данни на деца; когато администраторът е публични органи.
Обработващият лични данни e физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора (например: счетоводител, IT и др).
Получател на данни е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава-членка, не се считат за „получатели“.
Физическо лице е субект / притежател на личните данни, с местоположение в Европейския съюз, което може да бъде индивидуализирано / идентифицирано, пряко или непряко, чрез идентификатор – име, дата на раждане, идентификационен номер, данни за местонахождение и адрес, онлайн идентификатори, в това число IP или MAК адрес, електронна поща или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност.
Специални (чувствителни) лични данни са данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация, са лични данни, поставени под специална защита и изискващи допълнителни мерки.
Специфични признаци са данни, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
Обработване на лични данни е всяко действие или съвкупност от действия, които администраторът / обработващият личните данни извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, структуриране, съхраняване, адаптиране или изменение, промяна, извличане, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне или друг начин, по който данните стават достъпни, подреждане, актуализиране или комбиниране, блокиране, ограничаване, изтриване, заличаване или унищожаване на личните данни и др.).
Общият регламент относно защитата на данните, се прилага за обработване на лични данни изцяло или частично с автоматични средства, както и за неавтоматизирано обработване, ако е част от структуриран регистър с лични данни.
Регистър на лични данни е вътрешен регистър на дейностите по обработване на лични данни в дружеството/организацията (Член 30 от регламента), който редовно се актуализира.
Второто значение е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на администратора, която може да бъде централизирана и децентрализирана и е разпределена на функционален принцип. Регистърът трябва да се приеме като „жив акт“, който следва да се актуализира редовно, съобразно всяка промяна в организацията, в това число карти и схеми на ангажираната с лични данни инфраструктура и участници, а също и обработващите лични данни. Регистърът съдържа и описание на отделните видове дейности и регистри (книги/бази данни), както и основанието за тяхното водене и конкретните видове лични данни, които се съхраняват в него. Например, видеонаблюдението също е вид регистър.
Съгласие на физическо лице е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни или представляващия юридическото лице – за себе си, недвусмислено се съгласява те да бъдат обработвани. Съгласие следва да се дава чрез изявление или ясно утвърдителен акт (потвърждаващо действие), с който да се даде съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Администраторът да е способен да докаже неговото наличие.
Свободно дадено съгласие е налично в случаите, когато субектът на данни има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението. Пример може да се даде от електронната търговия, където може да се маркира съгласен или несъгласен, с приемането на бисквитки, като несъгласието не следва да ни откаже от услугите. При маркетинговите съгласия, следва всяко да се маркира поотделно, съответно със съгласен или несъгласен, например: да се получава известия по е-поща; по друг начин – за всяко конкретно, дадени поотделно.
Субектът на данни има право да оттегли съгласието си по всяко време като тази процедура трябва да е също толкова лесна, колкото и даването на съгласие. Оттеглянето на съгласие важи занапред и не може да има обратно действие. Действията по обработване на лични данни, предприети от администратора, в съответствие с дадено преди това съгласие, са законосъобразни, тъй като администраторът е разполагал с валидно правно основание за обработване.
Подобно съгласие не се изисква при съдебни процедури, правоохранителни органи и публични органи; органи в системата на националната сигурност, действащи и изпълняващи правомощия по закон и във връзка със законоустановени процедури.
Оценка на въздействието е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.
Отчетността на администратора на лични данни е основен инструмент (и принцип) за доказване изпълнението на изискванията на Общия регламент относно защита на данните.
Отчетност е способността във всеки един момент администраторът на лични данни да удостовери и да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно, за конкретни и пропорционални цели, с подходящо ниво на сигурност и защита.
Основните средства за спазване на принципа на отчетност са:
Регламентът „отваря врати за законна търговия“ с лични данни на клиенти (потребители). С изричното разрешение на потребителите – физически лица, няма механизъм, който да попречи компании да обменят данни по между си, – но при условията на изрично писмено съгласие на потребителите – дадено доброволно, свободно и информирано, подлежащо на оттегляне, забравяне и ревизия.
Регламентът създава ниша за професионално и бизнес реализиране за физически и юридически лица в услуги, свързани със защитата на лични данни.
Международните компании могат да работят само с една организация (лице) за защита на личните данни, независимо от това, къде е базиран бизнесът или лицето/организацията по защита на лични данни.[11]
Развиващият се онлайн пазар изисква хармонизация и регулация на процесите по защита на личните данни.
С регламента се гарантира правото на защита на личните данни (Член 8 от Хартата на основните права на Европейския съюз и член 6 (1), изр. 2 от Европейската конвенция за правата на човека) – особено чувствително право от гледна точка на основните права и свободи.[12]
По данни на Европейската комисия, до въвеждане на регламента 85% от европейските граждани, считат, че личните им данни не са достатъчно защитени.
Регламентът създава задължителни равни права на гражданите на ЕС за обработка на личните им данни.
С регламента се въвеждат нови изисквания за прозрачност; право на информираност, достъп и изтриване на данни; изисква се ясно, индивидуално, конкретно, утвърдително действие за изразяване на съгласие; несъгласието не следва да е пречка за получаване на услугата; специални правила за защита на децата; специални начини за съхранение на данните и тяхното анонимизиране, криптиране; прехвърляне и други.
Регламентът създава ново право на преносимост на данните, което позволява на гражданите да изискват от дружество или организация да получат обратно лични данни, които са предоставили на това дружество или организация, въз основа на предоставено съгласие или договор; в него се дава също възможност тези лични данни да се прехвърлят пряко на друго дружество или организация, когато това е технически осъществимо.
С регламента се установява набор от правила относно нарушенията на сигурността на личните данни. Ясно се определя какво е „нарушение на личните данни“; въвежда се задължение за уведомяване на надзорния орган в рамките на 72 часа от събитието.
Регламентът повишава доверието на потребителите от ЕС. Насърчава електронната търговия, търговските и служебни взаимоотношения. Регламентът гарантира свободното движение на лични данни между държавите-членки на ЕС и укрепя доверието и сигурността на потребителите – два елемента, необходими за създаване на цифров единен пазар.
Регламентът създава известна ангажираност на някои лица като лица по защита на данните. Тази позиция би могла да осигури основни или допълнителни приходи.[13]
Големите компании и тези, които извършват мащабен мониторинг върху физически лица, както и тези, които боравят с чувствителна информация и данни, се налага да инвестират в софтуер, хардуер и наемане на постоянни длъжностни лица по защита на данните, вместо да се покриват текущи разходи.
Регламентът се използва за организиране на платени обучения.
Регламентът изисква по-обширни Общи условия в интернет сайтовете.
Заложените санкции за нарушаване разпоредби от регламента са прекомерно високи.
Всички дейности се заплащат от бизнеса (администраторите на лични данни – администрация и организации).[14]
Общинската и държавна администрация (без съдебните, правоохранителни органи и органи по националната сигурност) заплащат цената от своите бюджети, следователно данъкоплатецът я покрива.