Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, или накратко GDPR/General Data Protection Reglament/, ще започне да се прилага от 25.05.2018г. във всички държави – членки на Европейския съюз и отменя Директива 95/46/EО.
Регламентът борави с множество съществени понятия, изрично дефинирани в същия, сред които терминините ‘‘лични данни‘‘ и ‘‘обработване‘‘ следва да бъдат окачествени като основни, поради което тяхното предварително разбиране е изключително важно.
Какво се включва в понятието лични данни според Общия Регламент?
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“): физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
На практика лични данни са: име, адрес, ЕГН(ЛНЧ); снимки; банкова информация; web данни-IP адрес, данни от бисквитки; здравни и генетични данни; биметрични; расови и етнически; политически мнения, сексуална ориентация.
Какво означава обработване според Общия Регламент?
„Обработване “ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
ОСНОВНИ ПРИНЦИПИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ:
Принципите на обработването на личните данни са заложени в чл. 5 от Регламента. То следва да бъде: законосъобразно, добросъвестно и прозрачно; трябва да има конкретност и изричност на целта му и срока, за който ще се извършва/ограничение на целите/; да бъде ограничено до целите на обработването(свеждане на данните до минимум); трябва да бъде точно и актуално(точност); съхранението на личните данни следва да бъде обвързано с определен срок само за целите на обработването(ограничение на съхранението); обработването трябва да да гарантира подходящи нива на сигурност, чрез прилагане на технически или организационни мерки(цялостност и поверителност); администраторът трябва да може да докаже защо се събират и обработват данните (отчетност).
Всичко посочено по-горе показва, че обработването на личните данни на субектите се подчинява на първо място на гореизложените принципи, които имат за цел да регламентират общата рамка на защитата правата на физическите лица при обработване на техните лични данни.
ПРИНЦИП ЗА ЗАКОНОСЪОБРАЗНОТО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Основен принцип, заложен в Регламента е принципът за законосъобразно обработване на личните данни. Чл. 6 от Регламента посочва, че обработването е законосъобразно, когато е налице поне един от следните елементи при обработването:
- субектът е дал съгласие за една или повече конкретни цели
- е за изпълнение на договор, по което субектът е страна
- за спазване на законово задължение, приложимо спрямо администратора
- е за изпълнение на задача в обществен интерес
- е за защита на жизненоважни интереси на субекта на данните
- е необходимо за легитимните интереси на администратора, освен ако тези на субекта не са с предимство, например когато субектът е дете
СЪГЛАСИЕТО СПОРЕД ЧЛ. 7 ОТ РЕГЛАМЕНТА:
Субектът следва да е дал съгласие със следните важни белези: то трябва да е недвусмислено, да може да бъде оттеглено по всяко време, да е свободно изразено, информирано и конкретно. Съгласието може да бъде дадено в писмена декларация или в устна форма. Когато съгласието се дава в писмена форма и е част от декларация, касаеща и други въпроси, то същото трябва да може да се се отличи ясно от т.н. друга част.
Много важен момент е фактът, че съгласието е оттегляемо по всяко време и субектът следва да бъде информиран за това, преди да даде съгласие.
КАКВИ ПРАВА ИМА СУБЕКТЪТ НА ДАННИТЕ?
Субектът има следните права:
- Право на информация при събиране на личните данни – администарторът следва да предостави информация на субекта в момента на получаване на данните относно прозрачното и добросъвестно обработване: обработването на данните; целите на обработването; срока на съхранението на данните; същестуването на право на оттегляне на съгласието по всяко време; правото на жалба до надзорен орган; на какво основание се изискват данните; съществуването на автоматизирано вземане на решения, включително профилиране, както и значението на това обработване
- Право на достъп до данните-същият има право да получи потвърждение от администратора на лични данни дали се обработват негови лични данни , както и информация във връзка с това обработване.
- на коригиране-субектът има право да поиска от администратора да коригира без ненужно забавяне неточните данни
- на изтриване (правото да бъдеш забравен)
Какво означава ‘‘правото да бъдеш забравен‘‘ съгласно Регламента?
Субектът на данните има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължение да го изтрие при наличието на определени предпоставки, като: личните данни не са повече необходими за целите, за които са били събрани; субектът на данните е оттеглил съгласието си; субектът на данните е направил възражение съгласно чл. 21 пар.1 и няма законни основания за обработването; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава-членка; личните данни са били събрани във връзка с предлагането на услуги на информационнното общество.
- Право на ограничаване на обработването – това право субектът може да упражни, когато точността на данните се оспорва от него; когато обработването е неправомерно, но субектът не желае данните да бъдат изтрити, а само иска да ограничи използването им; когато администраторът не се нуждае повече от личните данни, но субектът ги изисква във връзка с упражняването и защитата на негови правни претенции; когато субектът е възразил срещу обработването и е в очакване на проверката дали основанията на администратора имат предимство пред неговите интереси.
- Право на преносимост на данните – субекът има право да получи личните данни , които го засягат и които той е предоставил на администратор в структуриран и пригоден за машинно четене формат. Субектът има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато: обработването е основано на съгласие или се извършва по автоматизиран начин. Машинно читаем формат е формат, който позволява компютърна програма еднозначно и надежно да идентифицира съдържащите се в електронния документ електронни данни, както и вътрешната им структура.
- право на възражение срещу обработване на лични данни, отнасящо се до него, включително профилиране – субектът има право по всяко време да направи възражение срещу обработване на негови лични данни, което се извършва при изпълнение на задача от обществен интерес или упражняване на официални правомощия, когато обработването е необходимо за легитимните интереси на администратора или трета страна; когато се обработват данни за целите на директния маркетинг, включващ и профилиране; когато данните се обработват за целите на научни, исторически изследвания или за статистически цели.
Какво означава и представлява профилирането?
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
- право на субекта да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което да породи правни последици за субекта на данните, или по подобен начин да го засегне в значителна степен. Изключения от това право са предвидени, когато решението е необходимо за сключването или изпълнението на договор, когато е разрешено по закон, когато се основава на изричното съгласие на субекта на данни.
/Настоящата статия представлява аторски материал на адв.Светослава Ангелова и няма претенции за изчерпателност. Във всеки конкретен случай и казус следва да се направи консултация с юрист, специалист по засегнатата тема./
19.12.2017г.