Политика за поверителност
Какво е GDPR?
Общ регламент за защита на личните данни (ОРЗД или понякога срещано ОРЗЛД, на английски език: GDPR – General Data Protection Regulation) е регулация/закон на Европейския съюз (ЕС), който е в сила на 25 май 2018г.
Можете да прегледате едновременно Английския текст и българския превод оттук:
eur-lex.europa.eu (EN/BG)
Принципи на правилата за защита за лични данни
Основен принцип на правилата за защита за лични данни е това, че администраторът на лични данни (този, който ги събира и обработва), в случая Ди енд Пи Стандарт ЕООД, има задължението да защитава поверените му лични данни и носи отговорност за тях!
В това влиза:
Администраторът на ЛД носи отговорност и трябва да е в състояние да докаже спазването на горните задължения („отчетност“).
Обработката на лични данни за деца е при специални условия. При специални условия са и данните за етнически произход, политически и религиозни убеждения и др.
Какво означава лични данни (ЛД)? Кои данни са защитени като част от „лични данни“?
Личните данни не са дефинирани като списък. Вместо това е указано следното определение:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Личните данни включват: име, имейли, физически адрес, IP адрес, здравна информация, доходи и т.н.
Какви са правата на гражданите (т.е. субектите на данните)?
Т.нар. граждани/клиенти/потребители се реферират като „субекти на данните“ („data subject“) в регламента. Правата са разписани като принципи на регламента и като права на субектите:
Лицата имат право:
Още разяснения за правата:
Право на Достъп – Ако се съхраняват/обработват/притежават лични данни – трябва да може да се предостави безплатно копие на тези данни. Лицата имат право да научат какви данни се съхраняват и обработват.
Правото на Заличаване / Право да бъде(ш) Забравен – Субектите на данните имат право да поискат изтриване на всички техни данни. Администраторът на ЛД заявява изтриване на ЛД към всички обработващи тези данни (3-ти лица и фирми).
Право на Преносимост на данни – лицата могат да сменят доставчиците си, при което могат да изискват данните им да бъдат прехвърлени при друг доставчик.
Право на Уведомяване (Уведомления за изтичане/кражба на личните данни (напр. при кражба, хакване и др.) – в срок до 72 часа трябва да бъде уведомена КЗЛД, а ако последиците могат да са опасни (напр. изтичане на банкови данни) – трябва да се уведомят и субектите на ЛД, за да предприемат мерки за защита от неправомерно използване на откраднатите лични данни.
Задължения на администраторите на ЛД
Изисквания към организациите/агенциите
Защитата на личните данни е процес, а не е еднократна задача. За да се обработват правомерно личните данни, е необходимо:
В кои случаи / Кога НЕ Е НЕОБХОДИМО искане на съгласие за събиране и обработване на лични данни?
Обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, точка/параграф 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR). Или когато:
Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са равнопоставени (алтернативни едно на друго). Наличието на поне едно от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.
В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване, като например законово задължение или договор, както и какви биха били последиците за съответната дейност при оттегляне на съгласието от лицето.
Общ регламент за защита на личните данни (ОРЗД или понякога срещано ОРЗЛД, на английски език: GDPR – General Data Protection Regulation) е регулация/закон на Европейския съюз (ЕС), който е в сила на 25 май 2018г.
Можете да прегледате едновременно Английския текст и българския превод оттук:
eur-lex.europa.eu (EN/BG)
Принципи на правилата за защита за лични данни
Основен принцип на правилата за защита за лични данни е това, че администраторът на лични данни (този, който ги събира и обработва), в случая Ди енд Пи Стандарт ЕООД, има задължението да защитава поверените му лични данни и носи отговорност за тях!
В това влиза:
- ЛД да бъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
- ЛД да бъдат събирани за конкретни, изрично указани цели и да се обработват за тези цели;
- ЛД да бъдат ограничени до необходимото във връзка с целите („свеждане на данните до минимум“);
- ЛД да бъдат поддържани в актуален вид („точност“);
- ЛД да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период спрямо целите; личните данни могат да се съхраняват за по-дълги срокове, но проверете подробно при какви изисквания („ограничение на съхранението“);
- ЛД да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане – чрез технически или организационни мерки („цялостност и поверителност“);
Администраторът на ЛД носи отговорност и трябва да е в състояние да докаже спазването на горните задължения („отчетност“).
Обработката на лични данни за деца е при специални условия. При специални условия са и данните за етнически произход, политически и религиозни убеждения и др.
Какво означава лични данни (ЛД)? Кои данни са защитени като част от „лични данни“?
Личните данни не са дефинирани като списък. Вместо това е указано следното определение:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Личните данни включват: име, имейли, физически адрес, IP адрес, здравна информация, доходи и т.н.
Какви са правата на гражданите (т.е. субектите на данните)?
Т.нар. граждани/клиенти/потребители се реферират като „субекти на данните“ („data subject“) в регламента. Правата са разписани като принципи на регламента и като права на субектите:
- Прозрачна информация, комуникация и условия/начини за упражняването на правата на субекта на данни
- Информация и условия/начини за достъп до лични данни
- Прозрачна информация, предоставяна при събиране на лични данни от субекта на данните
- Право на достъп до данните от страна на субекта на данните
- Право на коригиране
- Право на изтриване (право „да бъдеш забравен“)
- Право на ограничаване на обработването
- Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
- Право на преносимост на данните
- Право на възражение и автоматизирано вземане на индивидуални решения
- Право на възражение
- Автоматизирано вземане на индивидуални решения, включително профилиране*
- Ограничения
Лицата имат право:
- на достъп до личните си данни
- да поправят грешки в личните си данни
- да изтриват личните си данни
- научат за предмета на обработка на личните им данни
- да изтеглят личните си данни
Още разяснения за правата:
- Достъп до данните: Субектите на данните (потребителите) трябва да имат достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.
- Изтриване на данните: Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.
- Профилиране: Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.
Право на Достъп – Ако се съхраняват/обработват/притежават лични данни – трябва да може да се предостави безплатно копие на тези данни. Лицата имат право да научат какви данни се съхраняват и обработват.
Правото на Заличаване / Право да бъде(ш) Забравен – Субектите на данните имат право да поискат изтриване на всички техни данни. Администраторът на ЛД заявява изтриване на ЛД към всички обработващи тези данни (3-ти лица и фирми).
Право на Преносимост на данни – лицата могат да сменят доставчиците си, при което могат да изискват данните им да бъдат прехвърлени при друг доставчик.
Право на Уведомяване (Уведомления за изтичане/кражба на личните данни (напр. при кражба, хакване и др.) – в срок до 72 часа трябва да бъде уведомена КЗЛД, а ако последиците могат да са опасни (напр. изтичане на банкови данни) – трябва да се уведомят и субектите на ЛД, за да предприемат мерки за защита от неправомерно използване на откраднатите лични данни.
Задължения на администраторите на ЛД
- Използване на разбираем език: Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.
- Съгласие за обработване на личните данни: Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение. ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.
- Предоставяне на данните на 3-ти лица: Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.
Изисквания към организациите/агенциите
- От правна страна – обновяване на всички необходими документи в бизнеса: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.
- От техническа страна – трябва да се подготви фактическото спазване на предвиденото в изготвените правни документи. Това, например, може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.
Защитата на личните данни е процес, а не е еднократна задача. За да се обработват правомерно личните данни, е необходимо:
- да се изгради/осигури ясна и защитена система/процес за обработка на личните данни
- да се приемат вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
- периодично да се ревизира въведената система
- да се познава развитието на технологията и подходящите нива на защита на личните данни
В кои случаи / Кога НЕ Е НЕОБХОДИМО искане на съгласие за събиране и обработване на лични данни?
Обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, точка/параграф 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR). Или когато:
- субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
- обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
- обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
- обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
- обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
- обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са равнопоставени (алтернативни едно на друго). Наличието на поне едно от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.
В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване, като например законово задължение или договор, както и какви биха били последиците за съответната дейност при оттегляне на съгласието от лицето.