Основни принципи и права на субектите съгласно Общия регламент за защита на личните данни (GDPR)

Основни принципи и права на субектите съгласно Общия регламент за защита на личните данни (GDPR)

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, или накратко GDPR/General Data Protection Reglament/, ще започне да се прилага от 25.05.2018г. във всички държави – членки на Европейския съюз и отменя Директива 95/46/EО.

Регламентът борави с множество съществени понятия, изрично дефинирани в същия, сред които терминините ‘‘лични данни‘‘ и ‘‘обработване‘‘ следва да бъдат окачествени като основни, поради което тяхното предварително разбиране е изключително важно.

Какво се включва в понятието лични данни според Общия Регламент?

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“): физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

На практика лични данни са: име, адрес, ЕГН(ЛНЧ); снимки; банкова информация; web данни-IP адрес, данни от бисквитки; здравни и генетични данни; биметрични; расови и етнически; политически мнения, сексуална ориентация.

Какво означава обработване според Общия Регламент?

„Обработване “ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

ОСНОВНИ ПРИНЦИПИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ:

Принципите на обработването на личните данни са заложени в чл. 5 от Регламента. То следва да бъде: законосъобразно, добросъвестно и прозрачно; трябва да има конкретност и изричност на целта му и срока, за който ще се извършва/ограничение на целите/; да бъде ограничено до целите на обработването(свеждане на данните до минимум); трябва да бъде точно и актуално(точност); съхранението на личните данни следва да бъде обвързано с определен срок само за целите на обработването(ограничение на съхранението); обработването трябва да да гарантира подходящи нива на сигурност, чрез прилагане на технически или организационни мерки(цялостност и поверителност); администраторът трябва да може да докаже защо се събират и обработват данните (отчетност).

Всичко посочено по-горе показва, че обработването на личните данни на субектите се подчинява на първо място на гореизложените принципи, които имат за цел да регламентират общата рамка на защитата правата на физическите лица при обработване на техните лични данни.

ПРИНЦИП ЗА ЗАКОНОСЪОБРАЗНОТО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Основен принцип, заложен в Регламента е принципът за законосъобразно обработване на личните данни. Чл. 6 от Регламента посочва, че обработването е законосъобразно, когато е налице поне един от следните елементи при обработването:

  • субектът е дал съгласие за една или повече конкретни цели
  • е за изпълнение на договор, по което субектът е страна
  • за спазване на законово задължение, приложимо спрямо администратора
  • е за изпълнение на задача в обществен интерес
  • е за защита на жизненоважни интереси на субекта на данните
  • е необходимо за легитимните интереси на администратора, освен ако тези на субекта не са с предимство, например когато субектът е дете

СЪГЛАСИЕТО СПОРЕД ЧЛ. 7 ОТ РЕГЛАМЕНТА:

Субектът следва да е дал съгласие със следните важни белези: то трябва да е недвусмислено, да може да бъде оттеглено по всяко време, да е свободно изразено, информирано и конкретно. Съгласието може да бъде дадено в писмена декларация или в устна форма. Когато съгласието се дава в писмена форма и е част от декларация, касаеща и други въпроси, то същото трябва да може да се се отличи ясно от т.н. друга част.

Много важен момент е фактът, че съгласието е оттегляемо по всяко време и субектът следва да бъде информиран за това, преди да даде съгласие.

КАКВИ ПРАВА ИМА СУБЕКТЪТ НА ДАННИТЕ?

Субектът има следните права:

  • Право на информация при събиране на личните данни – администарторът следва да предостави информация на субекта в момента на получаване на данните относно прозрачното и добросъвестно обработване: обработването на данните; целите на обработването; срока на съхранението на данните; същестуването на право на оттегляне на съгласието по всяко време; правото на жалба до надзорен орган; на какво основание се изискват данните; съществуването на автоматизирано вземане на решения, включително профилиране, както и значението на това обработване
  • Право на достъп до данните-същият има право да получи потвърждение от администратора на лични данни дали се обработват негови лични данни , както и информация във връзка с това обработване.
  • на коригиране-субектът има право да поиска от администратора да коригира без ненужно забавяне неточните данни
  • на изтриване (правото да бъдеш забравен)

Какво означава ‘‘правото да бъдеш забравен‘‘ съгласно Регламента?

Субектът на данните има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължение да го изтрие при наличието на определени предпоставки, като: личните данни не са повече необходими за целите, за които са били събрани; субектът на данните е оттеглил съгласието си; субектът на данните е направил възражение съгласно чл. 21 пар.1 и няма законни основания за обработването; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава-членка; личните данни са били събрани във връзка с предлагането на услуги на информационнното общество.

  • Право на ограничаване на обработването – това право субектът може да упражни, когато точността на данните се оспорва от него; когато обработването е неправомерно, но субектът не желае данните да бъдат изтрити, а само иска да ограничи използването им; когато администраторът не се нуждае повече от личните данни, но субектът ги изисква във връзка с упражняването и защитата на негови правни претенции; когато субектът е възразил срещу обработването и е в очакване на проверката дали основанията на администратора имат предимство пред неговите интереси.
  • Право на преносимост на данните – субекът има право да получи личните данни , които го засягат и които той е предоставил на администратор в структуриран и пригоден за машинно четене формат. Субектът има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато: обработването е основано на съгласие или се извършва по автоматизиран начин. Машинно читаем формат е формат, който позволява компютърна програма еднозначно и надежно да идентифицира съдържащите се в електронния документ електронни данни, както и вътрешната им структура.
  • право на възражение срещу обработване на лични данни, отнасящо се до него, включително профилиране – субектът има право по всяко време да направи възражение срещу обработване на негови лични данни, което се извършва при изпълнение на задача от обществен интерес или упражняване на официални правомощия, когато обработването е необходимо за легитимните интереси на администратора или трета страна; когато се обработват данни за целите на директния маркетинг, включващ и профилиране; когато данните се обработват за целите на научни, исторически изследвания или за статистически цели.

Какво означава и представлява профилирането?

„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

  • право на субекта да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което да породи правни последици за субекта на данните, или по подобен начин да го засегне в значителна степен. Изключения от това право са предвидени, когато решението е необходимо за сключването или изпълнението на договор, когато е разрешено по закон, когато се основава на изричното съгласие на субекта на данни.

/Настоящата статия представлява аторски материал на адв.Светослава Ангелова и няма претенции за изчерпателност. Във всеки конкретен случай и казус следва да се направи консултация с юрист, специалист по засегнатата тема./

19.12.2017г.

Новите положения на Общия Регламент за защита на личните данни – GDPR

Новите положения на Общия Регламент за защита на личните данни – GDPR

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, или накратко GDPR/General Data Protection Reglament/ ще започне да се прилага от 25.05.2018г. във всички държави-членки на Европейския съюз и отменя Директива 96/45/Е0.

Понастоящем в България защитата на личните данни на физическите лица е регламентиранa в Законa за защита на личните данни и Наредба НАРЕДБА № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. За да може да се извършва законосъобразно обработване на личните данни, законът изисква регистрацията на определени лица като администратори на лични данни. Законът за личните данни дефинира кои данни са лични, каква е защитата им, кой може да бъде администратор на лични данни, какви са задълженията му и т.н., като по този начин дава общата рамка на защитата на личните данни на физическите лица към настоящия момент.

КAКВО ЩЕ СЕ ПРОМЕНИ СЛЕД 25.05.2018г.?

Нуждите на съвременното информационно и дигитално общество налагат да се създадат повече гаранции за защита правата на гражданите, проявление на които е и защитата на техните лични данни. Следва да се отбележи предварително, че лични данни са не само ЕГН, три имена и адрес, както голяма част от хората считат – лични данни са всички данни относно социалната ни идентичност; медицински данни; данни относно икономическата идентичност, както и културна и обществена идентичност; политическа ориентация, сексуална ориентация, расова и етническа идентичност, банкова информация, изобщо всички данни, чрез които едно лице може да бъде идентифицирано. Законът за личните данни предоставя защита на тези данни и понастоящем чрез различни свои инструменти, но GDPR въвежда нови положения и много повече гаранции, като:

  • повече права за субектите: правото на достъп и информация до данните, правото да искаш корекция на данните, право на възражение, право да не бъдеш профилиран, право на изтриване (the right to be forgotten); право на преносимост на данните от един администатратор на друг; правото да не бъдеш обект на решение, основано единиствено на автоматизирано обработване.
  • изрични правила за съгласието и достъпа до информация
  • повече задължения за обработващите личните данни
  • въвеждат се нови технически мерки за защита като криптиране и псевдонимизация
  • осигуряване на защита на данните на етапа на проектирането и по подразбиране( privacy by design and privacy by default)
  • преносимост на данните
  • имуществени санкции при нарушения в значителен размер
  • извършване на оценка на въздействието върху защитата на данните
  • назначаване на длъжностно лице по защита на данните (data protection officer) в изрично посочени в Регламента случаи
  • уведомяване на надзорния орган и субекта на данните в случай на нарушения

В настоящия материал, първи от поредицата, посветени на защитата на личните данни, посочвам съществените нововъведения в регламента GDPR:

НОВАТА ФИГУРА ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ (DPO)

Длъжностното лице по защита на данните е новата фигура съгласно регламента и се различава от обработващия личните данни и администратора на лични данни – последните две лица са разграничени и понастоящем, и дефинирани изрично и в Закона за защита на личните данни. Длъжностното лице по защита на данните може да бъде назначен служител вътре в организацията/компанията или част от персонала на обработващия/, както и да изпълнява задачите си по договор за услуги/външно лице/. При всички положения, длъжностното лице по защита на данните трябва да притежава експертни познания в областта и законодателството и практиките по защита на личните данни.

Голяма част от компаниите вероятно си задават въпроса дали трябва  да назначават длъжностно лице по защита на данните. Трябва да се каже това, че в няколко случая назначаването на длъжностно лице по защита на данните (DPO) e задължително:

  • Когато обработването се извършва от публичен орган или структура, с изключение на съдилищата при изпълнение на съдебните им функции
  • Когато е необходимо редовно систематично мащабно наблюдение на субекти
  • Когато се обработват специални категории лични данни и данни, свързани с присъди и нарушения( т.н. чувстителни данни)

Функциите на длъжностното лице по защита на данните се изразяват в това да информира и съветва администратора или обработващия лични данни за техните задължения по силата на регламента; да наблюдава спазването на регламента и други разпоредби за защита на данните, включително възлагане на отговорности, повишаване на осведомеността и обучението на персонала; да предоставя съвети по отношение на оценката въздействието върху защитата на данните; да си сътрудничи с надзорния орган; да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в чл. 36.

КАКВО ДА РАЗБИРАМЕ ПОД ‘‘ПОДХОДЯЩИ ТЕХНИЧЕСКИ И ОРГАНИЗИЦИОННИ МЕРКИ‘‘

Регламетентът изисква от администратора и обработващия лични данни да прилагат подходящи технически и организационни мерки, като:

  • псевдонимизация и криптиране на личните данни;
  • гарантиране на поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  • способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
  • редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

КРИПТИРАНЕ

Криптирането представлява техника, при която данните се превръщат в код, чрез използването на криптографски алготирми с цел да не могат да бъдат разчетени от лица без оторизация.

ПСЕВДОНИМИЗАЦИЯ

Псеводнимизацията е процес, при който обработването на данните се извършва по такъв начин, че данните да не могат да се свържат с конкретен субект. Идентифицируемите данни се подменят с псевдоними, така че да не могат да се свържат с явните данни, като е необходимо използването на някакъв допълнителен елемент, който да позволи обратното възстанояване на данните. Самата допълнителна информация следва също да бъде предмет на технически и организационни мерки за защита с цел да гарантира защитата на правата на субектите и задължително се съхранява отделно.

ЗАЩИТА НА ЕТАПА НА ПРОЕКТИРАНЕ И ПО ПОДРАЗБИРАНЕ

В какво се изразява това задължение за администратора на лични данни?

Администраторът трябва да въвежда, както към момента на определяне на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, като например псевдонимизация, които са разработени с оглед ефективното прилагане на принципите защита на данните, като свеждане на данните до минимум. Освен това администраторът следва да въведе подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, необходими за конкретната цел. Това задължение важи и за обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност.

ИЗВЪРШВАНЕ НА ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ

Кога трябва да се извършва оценка на въздействието върху защита на данните?

При обработване на данни, при което се използват нови технологии, както и предвид естеството, обхвата, контекста и целите на обработването, когато е възможно да се породи риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът прави оценка на въздействието на предвидените операции по обработването върху защитата на данните.

Такава оценка се изисква, когато е налице:

  • систематична и подробна оценка на личните аспекти на физически лица, която се базира на автоматично обработване, включително профилиране
  • мащабно обработване на специални категории данни, посочени в чл. 9, пар.1 или на лични данни за присъди и нарушения
  • систематично мащабно наблюдение на публично достъпна зона

Администраторът е длъжен да се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска. Надзорният орган трябва да даде писмено становище, когато е на мнение, че планираното обработване нарушава регламента, като може да използва и правомощията си съгласно регламента.

УВЕДОМЯВАНЕ НА НАДЗОРНИЯ ОРГАН И СУБЕКТА НА ДАННИТЕ В СЛУЧАЙ НА НАРУШЕНИЯ

Администраторът е длъжен, без ненужно забавяне, не по-късно от 72 часа, след като е разбрал за нарушението в сигурността на данните, да уведоми надзорния орган. Същото задължение има и обработващият личните данни, който е длъжне да уведоми администратора, без ненужно забавяне.

Администраторът следва да уведоми субекта на данните, без ненужно забавяне, когато има вероятност нарушението в сигурността на данните да породи висок риск за правата и свободите на физическите лица.

Изпълнението на тези задължения на администратора, обработващия личните данни и надзорния орган, е предпоставено от непрекъснато изследване и наблюдение относно обработването на личните данни на субектите, с цел откриване на нарушения в изискванията, поставени от регламента.

ЗНАЧИТЕЛЕН РАЗМЕР НА ИМУЩЕСТВЕНИТЕ САНКЦИИ

Регламентът въвежда изключително висок размер на глобите и имуществените санкции при нарушения на регламента. Диференцирани са два различни размера, съобразно различни фактори, като във всеки конкретен случай, следва да се направи и индивидуализация на нарушението.

  1. Глоба или имуществена санкция в размер до 10 000 000 ЕUR , или в случай на предприятие-до 2% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при нарушения на: задълженията на администратора и обработващия личните данни във връзка със съгласието на децата при услугите на информационното общество; нарушения на обработващите личните данни съгласно чл. 11, 25-39; нарушения, свързани с уведомяването за нарушения; нарушения, свързани с оценката на въздействието; нарушения, свързани със сертифицирането; нарушения на задължения на сертифициращия орган и задълженията на органа за наблюдение.
  2. Глоба или имуществена сакнция в размер до 20 000 000 EUR, или в случай на предприятие – до 4% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при нарушаване на: основните принципи на обработване, включително условията, свързани с даване на съгласие, правата на субектите съгласно регламента; трасфера на лични данни в трета държава или международна организация; всички задължения на държавите членки, произтичащи от разпоредбите, свързани с особени ситуации на обработване; неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни, или непредоставяне на достъп

/Настоящата статия представлява аторски материал на адв.Светослава Ангелова и няма претенции за изчерпателност. Във всеки конкретен случай и казус следва да се направи консултация с юрист, специалист по засегнатата тема./

19.12.2017г.