Какво представлява GDPR и защо е важен?

Какво представлява GDPR и защо е важен?

В днешния дигитален свят, личните ни данни са навсякъде – от профилите ни в социалните мрежи до електронните магазини и институциите, с които комуникираме. Затова Европейският съюз въведе Общ регламент относно защитата на личните данни (GDPR), за да осигури по-добра защита на личността и правата на всеки гражданин.

Какво е GDPR?

GDPR (на английски: General Data Protection Regulation) е законодателен акт на Европейския съюз – Регламент (ЕС) 2016/679, който определя как се събират, използват, съхраняват и защитават личните данни на физическите лица.
Той се прилага във всички държави членки на ЕС от 25 май 2018 г., като има пряко действие – това означава, че важи автоматично във всяка страна от ЕС, без нужда да се въвежда чрез отделен национален закон.

Какво представляват личните данни?

Лични данни са всякаква информация, която може пряко или непряко да идентифицира дадено физическо лице (наречено "субект на данни"). Такава информация може да бъде:

  • Име и фамилия
  • ЕГН или ЛНЧ
  • Имейл адрес
  • Телефонен номер
  • Домашен адрес
  • IP адрес
  • Местоположение чрез GPS
  • Информация за здравословно състояние
  • Биометрични данни (например пръстов отпечатък, разпознаване на лице)
  • Данни, разкриващи религиозни убеждения, сексуална ориентация, политически възгледи и др.

Кои са основните участници в обработката на лични данни?

  1. Администратор на лични данни – лицето или организацията, която определя целта и начина на обработка на личните данни (например работодател, училище, банка, болница и др.).
  2. Обработващ лични данни – лице или организация, което обработва лични данни от името на администратора (например IT компания, която съхранява база данни на друга фирма).

Кога се прилага GDPR?

GDPR важи, когато:

  • Лични данни се обработват чрез автоматични средства (например компютри, телефони, софтуер);
  • Данните са част от регистър или подредена система, дори и на хартиен носител;
  • Администраторът е установен в ЕС;
  • Обработват се данни на физически лица, намиращи се в ЕС – дори ако фирмата е извън ЕС (например Facebook, Google, Amazon).

Основни принципи на обработка на личните данни

GDPR въвежда 7 основни принципа, които администраторите трябва да спазват:

  1. Законосъобразност, добросъвестност и прозрачност
    Данните трябва да се обработват честно, с основание и яснота към лицето.
  2. Ограничение на целите
    Данните се събират само за конкретни, изрично посочени цели и не трябва да се използват за нещо друго.
  3. Минимизиране на данните
    Само нужните данни за постигане на целта могат да се събират.
  4. Точност
    Данните трябва да бъдат актуални и коректни. Неточни данни трябва да се поправят или изтрият.
  5. Ограничение на съхранението
    Данните не се пазят по-дълго от необходимото.
  6. Цялостност и поверителност (сигурност)
    Данните трябва да бъдат защитени от неразрешен достъп, загуба, унищожаване или промяна.
  7. Отчетност
    Администраторът трябва да може да докаже, че спазва всички тези принципи.

Кога обработката на лични данни е допустима?

Обработването на лични данни е законно само ако е изпълнено поне едно от следните условия:

  1. Съгласие – Лицето е дало ясно, информирано и свободно съгласие.
  2. Договор – Обработката е необходима за изпълнение на договор (напр. заем, работа).
  3. Законово задължение – Има изискване по закон (напр. предоставяне на данни на НАП).
  4. Жизненоважен интерес – Обработката е необходима за защита на живота или здравето на лице.
  5. Задача от обществен интерес – Обработката е свързана с изпълнение на официална функция.
  6. Легитимен интерес – Има интерес от страна на администратора, който не нарушава правата на лицето.

Какво представлява съгласието?

Съгласието трябва да бъде:

  • Дадено свободно, без натиск;
  • Конкретно – не може да се използва за общи цели;
  • Информирано – лицето трябва да знае защо и как се използват данните му;
  • Недвусмислено – чрез активно действие (например поставяне на отметка);
  • Лесно за оттегляне – лицето може да го оттегли по всяко време, без обяснение.

При деца под 16 години (или по-малко, според държавата) съгласието трябва да бъде дадено от родител или настойник.

Какви данни са „чувствителни“ и кога могат да се обработват?

GDPR определя специални категории лични данни, които заслужават по-висока защита. Това са:

  • расов или етнически произход;
  • политически убеждения;
  • религиозни или философски вярвания;
  • членство в синдикат;
  • генетични или биометрични данни;
  • здравословно състояние;
  • сексуална ориентация.

Тези данни се обработват само при изрични основания, като например:

  • има дадено изрично съгласие;
  • необходимо е за защита на живота/здравето;
  • има законово основание (например трудово законодателство, обществено здраве);
  • данните се обработват от организация с нестопанска цел за законна вътрешна цел.

Какви права имат хората според GDPR?

GDPR дава на гражданите силен контрол върху собствените им данни, включително следните права:

  1. Право на информация – да знаеш кой, защо и как обработва данните ти.
  2. Право на достъп – да получиш копие от личните си данни.
  3. Право на корекция – да искаш поправяне на грешни или непълни данни.
  4. Право „да бъдеш забравен“ – да искаш данните ти да бъдат изтрити, ако няма правно основание да се пазят.
  5. Право на ограничаване на обработката – временно блокиране на обработката при спор.
  6. Право на преносимост на данните – да получиш данните си в удобен формат или да ги прехвърлиш към друг доставчик.
  7. Право на възражение – да се противопоставиш на обработката в определени случаи.
  8. Право да не бъдеш подложен на автоматизирано решение, включително профилиране, което значително те засяга.

Какво става при нарушение?

Ако организация не спазва GDPR, може да бъде глобена със:

  • до 20 милиона евро или
  • 4% от годишния ѝ глобален оборот (което е по-голямо).

Защо GDPR е толкова важен?

GDPR е от ключово значение, защото:

  • Поставя човека в центъра на защитата на личните данни;
  • Засилва отговорността на институциите и фирмите;
  • Повишава доверието в дигиталната среда;
  • Създава еднакви правила в целия Европейски съюз.

 

Информацията, съдържаща се в настоящата статия, има единствено информативен характер и не може да бъде разглеждана като правна консултация. В случай че имате нужда от правна помощ или консултация по конкретен казус, препоръчваме да се консултирате с адвокат специалист в съответната област.

Намери адвокат

Препоръчани статии:

Недействителност на завещанието – нищожност и унищожаемост

Недействителност на завещанието – нищожност и унищожаемост

Научи кога едно завещание е валидно, каква е разликата между нищожно и унищожаемо завещание, както и сроковете за оспорване и защитата на наследствените права.

Прочети повече
Дисциплинарно уволнение – правна същност, основания и последици

Дисциплинарно уволнение – правна същност, основания и последици

Дисциплинарното уволнение е най-тежкото наказание в трудовото право. В статията разглеждаме правната рамка, основанията, процедурата и правата на работника при налагането и оспорването му.

Прочети повече
Дисциплинарна отговорност и дисциплинарни наказания по Кодекса на труда

Дисциплинарна отговорност и дисциплинарни наказания по Кодекса на труда

Дисциплинарна отговорност в трудовото право – основания, видове дисциплинарни наказания, процедура за налагане и оспорване на дисциплинарни заповеди според Кодекса на труда. Защита на трудовите права при нарушение на трудовата дисциплина.

Прочети повече
Отказ от наследство – процедура, документи, срокове и последици

Отказ от наследство – процедура, документи, срокове и последици

Научи как да приемеш или откажеш наследство, изрично или мълчаливо, документи, срокове, последствия за дяловете и защита на правата.

Прочети повече