В чл.2 от ЗЗЛД е записано, че: „Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.“
Какво представлява идентификацията?
Обичайно идентификацията е ЕГН-то на физическото лице.
Лични данни са още: Име на физическото лице, адрес, мобилен телефон, електронна поща, кукитата /те персонализират вашата работа, престой и действия в сайтовете/, IP адрес, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Името на лицето НЕ представлява идентификация, тъй като понякога е възможно имената на двама различни души да съвпадат. По отношение на защитата на личните данни, името на лицето представлява информация.
Информацията касаеща търговско дружество НЕ представлява лични данни, но информация идентифицираща физическо лице от фирма, съгласно нормативната уредба, представлява лични данни.
Какви категории лични данни и на какви категории лица се обработват?
- „обикновени“ лични данни са: имена, адрес и т.н.; единен граждански номер;
- „чувствителни“ лични данни са: – биометрични / снимка на ретината или отпечатък на пръст/, здравни, генетични данни /ДНК анализ например/етническа принадлежност, сексуална ориентация, банкова информация, политически възгледи и т.н.
При „чувствителните“ лични данни нивото на защита се вдига на средно, дори да се отнася за едно единствено лице от регистъра за лични данни.
В Регламент (ЕС) 2016/679 е записано, че:
„Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва ДА МОЖЕ ДА ДОКАЖЕ, че субектът на данните е дал съгласието си за операцията по обработване. По-специално, в случай на писмена декларация по друг въпрос, с гаранциите следва да се обезпечи, че субектът на данни е информиран за това, че дава съгласието си, и в каква степен го дава. В съответствие с Директива 93/13/EИО на Съвета (10) следва да бъде осигурена предварително съставена от администратора декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не следва да съдържа неравноправни клаузи. За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.“
Лицето трябва ЯСНО, КАТЕГОРИЧНО и НЕДВУСМИСЛЕНО да даде своето съгласие за обработка на личните му данни. В декларацията за обработка на личните данни трябва ясно да се разпишат целите – ЗАЩО събираме данните, КОГА и КАК ще се ползват личните данни.
СЪГЛАСИЕ НА СУБЕКТА „означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;“
Когато информацията за лицето е получена от публичното пространство/ например за маркетинг целите на дадена компания: данните са взети от интернет, от онлайн или печатен каталог, или някъде другаде/ е нужно това да може да се докаже. Тоест, нужно е да пазим източника на информация за проверка, когато това се наложи.
УСЛОВИЯ ЗА ДАВАНЕ НА СЪГЛАСИЕ
1. Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.
2. Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език. Никоя част от такава декларация, която представлява нарушение на настоящия регламент не е обвързваща.
3. Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни бива информиран за това. Оттеглянето на съгласие е също толкова лесно, колкото и даването му.
4. Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.
В Регламент (ЕС) 2016/679 е записано следното:
„Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. Тази информация може да бъде представена в електронна форма, например чрез уебсайт, когато е адресирана до обществеността. Това важи в особена степен за ситуации, където нарастването на участниците и технологичната сложност на тази практика правят трудно за субекта на данни да узнае и разбере дали се събират свързани с него лични данни, от кого и с каква цел, като в случая на онлайн рекламите. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.“
Из Регламент (ЕС) 2016/679:
„Следва да бъдат предвидени ред и условия за улесняване на упражняването на правата на субектите на данни съгласно настоящия регламент, включително механизми за искане, и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и упражняване на правото на възражение. Администраторът следва да предостави и средства за подаване на искания по електронен път, особено когато личните данни се обработват електронно. Администраторът следва да бъде задължен да отговоря на исканията на субекта на данни без ненужно забавяне и най-късно в рамките на един месец, както и да посочи причините, ако не възнамерява да се съобрази с тези искания.“
Тоест, ако данните се събират по електронен път, вече не е достатъчно лицето да маркира чек бокса във вашия сайт!
Из Регламент (ЕС) 2016/679: „С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата, правото на изтриване следва да бъде разширено, като от администратора, който е направил личните данни обществено достъпни, следва да се изисква да уведоми администраторите, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел администраторът следва да предприеме разумни мерки, като вземе предвид наличните технологии и средствата на разположение на администратора, в това число технически мерки, за да информира администраторите, които обработват личните данни, за искането на субекта на данните.“
Из Регламент (ЕС) 2016/679: „Когато личните данни се обработват за целите на директния маркетинг, субектът на данни следва да има право безплатно и по всяко време да направи възражение срещу такова обработване, включително профилиране, доколкото то е свързано с директния маркетинг, независимо дали става въпрос за първоначално или по-нататъшно обработване. Субектът на данни изрично следва да бъде уведомен за съществуването на това право, което му се представя по ясен начин и отделно от всяка друга информация.“
Съгласно Регламента: Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
СЪБИРАНЕ НА ЛИЧНИ ДАННИ
Събирането на данни става:
- по силата на договор;
- по силата на закон /например НАП/;
- със съгласието на лицето – при сключване на трудов договор, провеждане на обучения и т.н.
ОБРАБОТКА НА ЛИЧНИ ДАННИ
Обработка на лични данни са действията, които извършваме с тях. Тези действия може да са на хартия, на ел.носител, различни форми, методи на извличане, коригиране, унищожаване и трансфер на лични данни. Трансфер на лични данни е дори действието на преминаването им от едно бюро на друго ако са, например, на хартиен носител.
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ „означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;“
Глобите и санкциите са строги и изключително високи.
Регламента влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз на 27 април 2016 година.
Прилага се от 25 май 2018 година.
Може да прочетете регламента тук:
