Какво е GDPR ?
GDPR (General Data Protection Regulation) е новият Общ регламент на Европейския съюз за защитата на данните (ОРЗД) от 27 април 2016 година, който регулира обработването, съхранението и използването на лични данни на физически лица от други лица, дружества или организации. Новият регламент влиза в сила на 25 май 2018 година. Всеки, които обработва лични данни, е задължен да спазва всички установени правила.
Под лични данни се разбира всякакъв вид информация, свързана с живо физическо лице, което е идентифицирано или може да бъде идентифицирано, например име, фамилия, адрес, ЕГН, имейл, номер на лична карта, местоположение, IP адрес, бисквитки и др.
Според регламента, за да се събират и обработват лични данни, е необходимо предварителното съгласие на физическото лице, за което ще се събират данните. Това съгласие е и основание за обработване на тези данни от страна на администратора на лични данни. Съгласието може да бъде давано чрез устна или писмена декларация (включително и по електронен път). Субектът на данни (физическото лице) има право по всяко време да оттегли съгласието си неговите данни да бъдат събирани и обработвани. Когато субектът не желае данните му да бъдат обработвани и не съществуват законни основания за тяхното съхранение, GDPR дава право на физическото лице данните му да бъдат изтрити (т.нар. „право да бъдеш забравен”).
Кой е „длъжностно лице по защита на данните”?
Във връзка със събирането и обработването на данните Регламентът въвежда и понятието „длъжностно лице по защита на данните”. Това е служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала. Важно е да се отбележи, че регламентът предвижда длъжностно лице по защита на личните данни да имат не всички, а само определени категории администратори, в това число:
– публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
– администратори, чиято дейност, поради своето естество, обхват и цели, изисква редовно и систематично мащабно наблюдение на субектите на данни;
– администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Какво е задължението на лицата, събиращи и обработващи лични данни?
Независимо в коя сфера развивате дейност, дали е в интернет или не, задължително трябва да информирате физическите лица, чиито данни събирате и ще обработвате, за следното:
- Коя е вашата фирма/организация/дружество;
- Данни за контакт на дружеството, както и контактите на вашия служител по защита на личните данни (ако имате назначен такъв);
- С каква цел събирате и обработвате лични данни и за какво точно ще бъдат използвани те;
- Какви категории лични данни събирате;
- Какво правно основание имате, за да обработвате лични данни;
- За какъв период от време ще съхранявате личните данни;
- Ще бъдат ли личните данни споделяни и използвани от трети лица;
- Ще бъдат ли изнасяни извън ЕС;
Трябва да бъдат упоменати и правата на физическите лица във връзка с обработването на личните им данни -право на достъп, информираност, коригиране, подаване на жалби и др.
Какви са санкциите при неспазване на Регламента?
В случай на неспазване на правилата за защита на данните Общият регламент предоставя различни инструменти на органите за защита на данните- КЗЛД. На лицата/ фирмите могат да бъдат наложени следните видове санкции:
- При вероятно нарушение — например може да бъде издадено предупреждение;
- При извършено нарушение: възможностите включват порицание, временна или окончателна забрана за обработването и глоба до 20 милиона евро или 4 % от общия годишен световен оборот на бизнеса.
Струва си да се отбележи, че в случай на нарушение органът за защита на личните данни може да наложи парична глоба вместо или в допълнение към порицанието и/или забраната за обработване. Органът трябва да гарантира, че глобите, наложени във всеки отделен случай, са ефективни, пропорционални и възпиращи. Той ще вземе предвид редица фактори, като естеството, тежестта и продължителността на нарушението, умишления или небрежния му характер, всяко действие, предприето за смекчаване на претърпените от физическите лица щети, степента на сътрудничество на организацията и т.н.
