Общият регламент за защита на данните определя подробни изисквания към компаниите и организациите по отношение на събирането, съхранението и управлението на лични данни. Изискванията се отнасят за европейски организации, които обработват лични данни на лица в ЕС, и за организации извън ЕС, насочени към хората, живеещи в ЕС.

данни

Кога се прилага общия регламент за защита на данните?

Общият регламент за защита на данните се прилага, когато:

  • вашата компания обработва лични данни и е базирана в ЕС, независимо къде се извършва действителната обработка на данните,
  • вашата компания е установена извън ЕС, но обработва лични данни във връзка с предлагането на стоки или услуги на физически лица в ЕС или следи поведението на физически лица в рамките на ЕС.

Бизнес извън ЕС и обработват данни на граждани на ЕС, те трябва да назначат представител в ЕС.

Когато общият регламент за защита на данните не се прилага?

Общият регламент за защита на данните не се прилага, когато:

  • съответното лице е мъртво,
  • съответното лице е юридическо лице,
  • обработката се извършва от лице, действащо за цели, несвързани с неговата търговия, бизнес или професия.

Какво представлява личната информация?

Личните данни са цялата информация за идентифицирано или подлежащо на идентифициране лице, наричана още съответното лице. Личните данни включват информация като:

  • име,
  • адрес,
  • Номер на OP/паспорт,
  • доход,
  • културен профил,
  • адрес на интернет протокол (IP),
  • данни, съхранявани от болница или лекар (които индивидуално идентифицират лице за медицински цели).

Специални категории данни

Не можете да обработвате лична информация за:

  • расов или етнически произход,
  • сексуална ориентация,
  • Политически възгледи,
  • религиозни или философски вярвания,
  • членство в синдикати,
  • генетична, биометрична или здравна информация, с изключение на конкретни случаи (напр. ако сте получили изрично съгласие или е необходима обработка поради причини, които са от първостепенен обществен интерес съгласно законодателството на ЕС или националното законодателство),
  • виновен за престъпления и нарушения, освен ако това не е разрешено от законодателството на ЕС или националното законодателство.

Кой обработва лични данни?

По време на обработката личните данни могат да бъдат предадени чрез различни компании или организации. В рамките на този цикъл има два основни профила, които се занимават с обработката на лични данни:

  • Оператор - взема решение за целта и начина, по който се обработват личните данни.
  • Брокер - съхранява и обработва данни от името на администратора.

Кой следи как се обработват лични данни в рамките на компанията?

Той отговаря за наблюдението на обработката на лични данни и предоставя информация и съвети на служителите, които обработват лични данни във връзка със своите задължения. отговорно лице, което може да бъде определено от компанията. Отговорното лице си сътрудничи и с органа за защита на данните, като служи за контакт с органа за защита на данните и лицата.

Кога трябва да назначите отговорно лице?

Вашата компания е длъжна да назначи отговорно лице, ако:

  • редовно или систематично наблюдава лица или обработва специфични категории данни,
  • тази обработка е основната бизнес дейност,
  • обработва данни в голям мащаб.

Например, ако обработвате лична информация, за да насочите рекламата в мрежата за търсене въз основа на поведението на хората в Интернет, от вас се изисква да идентифицирате отговорно лице. Ако обаче изпращате рекламни материали на клиентите си само веднъж годишно, не е необходимо да имате отговорно лице. По същия начин, ако сте лекар и получавате здравна информация за пациента, вероятно не е необходимо да имате отговорно лице. Ако обаче обработвате лична генетика или здравни данни за болница, тогава трябва да имате отговорно лице.

Отговорното лице може да бъде служител на вашата организация или външно лице по договор за услуга. Отговорното лице може да бъде физическо лице или част от организация.

Обработка на данни за друга компания

Операторът може да използва само посредник, който предлага достатъчно гаранции, които трябва да бъдат част от писмен договор между участващите страни. Договорът трябва да съдържа и няколко задължителни клаузи, като напр че посредникът ще обработва лични данни само ако бъде инструктиран от администратора.

Пренос на данни извън ЕС

При прехвърляне на лични данни извън ЕС данните трябва да продължат да бъдат защитени от Общия регламент за защита на данните. Това означава, че ако експортирате данните си в чужбина, вашата компания трябва да гарантира спазването на една от следните мерки:

  • Защитата на данните, прилагана в държава извън ЕС, се счита за адекватна от гледна точка на ЕС.
  • Вашата компания ще предприеме необходимите мерки, за да осигури адекватни предпазни мерки, като например специални клаузи по договорен договор с юридическо лице извън ЕС, което внася лични данни.
  • Вашата компания посочва специални причини за прехвърлянето (отклонения), като съгласието на физическото лице.

Когато обработката на данни е разрешена?

Съгласно правилата на ЕС за защита на данните трябва да обработвате данни справедливо и законно за конкретни и законни цели и да обработвате само данни, необходими за постигането на тази цел. Обработката на лични данни изисква да отговаряте на едно от следните условия:

  • ти имаш съгласие съответното лице,
  • имате нужда от лични данни за изпълнение договорни задължения срещу заинтересованото лице,
  • лични данни, които трябва да спазвате законово задължение,
  • имате нужда от лични данни за защита жизненоважни интереси съответното лице,
  • обработвате лични данни с цел изпълнение задачи в обществен интерес,
  • действаш в законни интереси основните права и свободи на лицето, на което се обработват данните. Ако правата на субекта на данни надхвърлят интересите на вашата компания, не можете да обработвате въпросните лични данни.

Съгласие за обработка на данни

Съгласно Общия регламент за защита на данните се прилагат строги правила за обработката на данните за съгласие. Целта на тези правила е гарантира, че съответното лице разбира неговото съгласие. Това означава, че съгласието трябва да се дава по свободен, конкретен, информиран и недвусмислен начин въз основа на ясна и проста молба. Съгласието трябва да бъде дадено под формата на съгласие, например чрез поставяне на отметка в квадратче на уебсайта или чрез подписване на формуляр.

Ако някой даде съгласие за обработването на личните му данни, можете да обработвате тези данни само за целите, за които е дадено съгласието. Трябва също така да позволите да бъде отменено даденото съгласие.

Предоставяне на прозрачна информация

Трябва да предоставите на хората ясна информация за това кой обработва личните им данни и защо. Информацията трябва да включва най-малко следното:

  • кой си ти,
  • защо обработвате лични данни,
  • какво е правното основание,
  • (евентуално), който получава тези данни.

В някои случаи предоставената информация трябва да включва и:

  • данни за контакт на всяко отговорно лице,
  • какъв легитимен интерес преследва компанията, ако това е правна причина за обработка на данни,
  • мерки, прилагани за прехвърляне на данни към държава извън ЕС,
  • колко дълго ще се пазят данните,
  • индивидуални права за защита на данните (т.е. право на достъп, коригиране, изтриване, ограничение, възражение, преносимост и т.н.)
  • как съгласието може да бъде отменено (ако съгласието е законна причина за обработване),
  • дали има законово или договорно задължение за предоставяне на данните,
  • в случай на автоматизирано решение, информация за използваната процедура, значението и последиците за това решение.

Предоставената информация трябва да бъде формулирана ясно и просто.

Специални правила за деца

Ако получавате лични данни от дете с вашето съгласие, например във връзка с използването на акаунт в социална мрежа или акаунт за изтегляне, първо трябва да получите съгласието на родителите, напр. чрез изпращане на известие до родителя или настойника. Възрастта, на която човек се счита за дете, зависи от мястото на пребиваване, но варира от 13 до 16 години.

Право на достъп и право на преносимост на данни

Трябва да се уверите, че всички хора ги имат правото на безплатен достъп до личните ви данни. Ако получите такова искане, трябва:

  • кажете дали обработвате личните й данни,
  • предоставят подробности за обработката (целта на обработването, категориите лични данни, получатели на данните и др.),
  • предоставяне на копие на личните данни, които се обработват (в достъпен формат).

Ако обработката се основава на съгласие или договор, субектът на данни може да поиска връщане на личните му данни или прехвърлянето им на друга компания. Това се нарича право на преносимост на данни. Трябва да предоставите данните в често използван и машинно четим формат.

Право на коригиране и право на възражение

Ако някой е убеден, че личните му данни са неверни, непълни или неточни, той има такива правото да си осигурите ремонт без ненужно забавяне.

В този случай трябва да уведомите всички получатели на данните, на които са предоставени такива лични данни, за всякакви промени или изтривания. Ако някоя от личните данни, които сте предоставили по-долу, е невярна, може да се наложи да информирате всеки, който е влязъл в контакт с нея (освен ако не става въпрос за ненужни усилия).

Индивидуален той може по всяко време да възрази срещу обработването на личните му данни за конкретна цел, когато вашата компания ги обработва въз основа на вашия законен интерес или в контекста на задача от обществен интерес. Ако нямате законен интерес, който надвишава интереса на физическо лице, трябва да спрете обработването на личните данни.

По същия начин физическо лице може да поиска от вас да ограничите обработката на вашите лични данни, докато се установи дали законният ви интерес надвишава неговия интерес. Въпреки това, в случай на директен маркетинг, вие винаги сте длъжни да спрете обработването на лични данни, ако физическото лице поиска това.

Право на изтриване (право да бъдеш забравен)

При някои обстоятелства физическо лице може да поиска от администратора да изтрие личните му данни, например ако тези данни вече не са необходими за изпълнение на целта на обработката. Вашата компания обаче не е длъжна да го направи, ако:

  • обработката е необходима за целите на зачитането на свободата на изразяване и правото на информация,
  • трябва да запазите тези лични данни, за да се съобразите със законовите задължения,
  • има и други причини в обществен интерес да се запазят такива лични данни, като например общественото здраве или за целите на научни или исторически изследвания,
  • трябва да съхранявате тези лични данни с цел доказване на правна претенция.

Автоматизирано вземане на решения и профилиране

Физическите лица имат правото да не бъде предмет на решение, основаващо се единствено на автоматична обработка. Има обаче такива изключения от това правило, например, ако са дали изричното си съгласие за автоматизирано решение. Освен когато автоматизираното решение се основава на някакво законодателство, вашата компания трябва:

  • предоставят на индивида информация за автоматизираното вземане на решения,
  • дайте право на лицето да преразгледа това автоматизирано решение от лице,
  • дайте възможност на лицето да обжалва автоматично решение.

Например, ако банка автоматизира своето решение дали да отпусне заем на физическо лице, това лице трябва да бъде информирано, че решението е автоматизирано и да може да обжалва решението и да поиска човешка намеса.

Нарушения на данни - осигуряване на правилно уведомяване

Нарушаване на данни възниква, когато лични данни, за които носите отговорност, случайно или неправомерно, се предоставят на неоторизирани получатели., достъпът до тях ще бъде временно блокиран или променен.

Ако настъпи нарушение на данните и нарушението представлява риск за правата и свободите на физическите лица, трябва да уведомите органа за защита на данните в рамките на 72 часа след като сте узнали за нарушението.

В зависимост от това дали това нарушение на данните представлява висок риск за засегнатите, от вашата компания може да се наложи да информира всички засегнати лица.

Отговор на заявки

Ако вашата компания получи заявка от лице, което иска да упражни правата си, трябва да отговорите на искането без ненужно забавяне и във всеки случай в рамките на един месец от получаването на искането. Срокът за отговор може да бъде удължен с два месеца в случай на сложни или множество искания, при условие че лицето е информирано за това удължаване. Заявленията трябва да се разглеждат безплатно.

Ако заявлението бъде отхвърлено, трябва да информирате лицето за причините за отказа и за правото му да подаде жалба до Органа за защита на данните.

Оценки на въздействието

Извършването на оценка на въздействието върху защитата на данните е задължително, когато се планира обработка на данните представляваше висок риск за правата и свободите на физическите лица, напр. когато се използват нови технологии.

Такъв висок риск съществува, ако:

  • за оценка на индивидите се използват автоматизирани механизми за обработка на данни и профилиране,
  • публично достъпно място се наблюдава до голяма степен (напр. чрез система от камери),
  • в голям мащаб се обработват специални категории данни или лични данни, свързани с виновни престъпления и престъпления (например здравни данни).

Забележка: Органите за защита на личните данни могат да включват други категории обработка на данни като високорискови.

Ако мерките, идентифицирани въз основа на оценката на въздействието върху защитата на данните, не елиминират всички установени високи рискове, органът за защита на личните данни се консултира преди планираната обработка на данните.

Водене на отчетност

Трябва да можете да докажете, че вашата компания спазва общия регламент за защита на данните и изпълнява всички приложими задължения - по-специално при поискване или като част от проверка от страна на органа за защита на данните.

Един от начините да направите това е да поддържате подробни записи на въпроси като:

  • името и данните за контакт на вашата компания за обработка на данни,
  • причина (и) за обработване на лични данни,
  • описание на категориите лица, предоставящи лични данни,
  • категории организации, получаващи лични данни,
  • прехвърляне на лични данни в друга държава или организация,
  • период на съхранение на лични данни,
  • описание на мерките за сигурност, използвани при обработката на лични данни.

Вашата компания трябва да има писмени процедури и насоки, да ги актуализира редовно и да ги запознава със служителите.

Внимание

Ако вашата компания е МСП или микропредприятие, не е необходимо да водите записи на дейностите по обработка, освен ако:

  • не се извършват редовно,
  • не засягат правата или свободите на засегнатите лица,
  • те не се отнасят до чувствителни данни или записи, съхранявани в съдимостта.

Специално проектирана и стандартна защита на данните

Специално проектирана защита на данните Това означава, че вашата компания трябва да обмисли защитата на данните в ранните етапи на планирането на нов начин за обработка на лични данни. В съответствие с този принцип администраторът трябва да предприеме всички необходими технически и организационни стъпки за прилагане на принципите за защита на данните и защита на правата на физическите лица. Такива стъпки могат да включват например използването на псевдонимизация.

Стандартна защита на данните Това означава, че вашата компания винаги трябва да предоставя настройки по подразбиране, които отчитат поверителността, доколкото е възможно. Например, ако са възможни два типа настройки за поверителност, единият от които не позволява достъп до личните данни на останалите, това трябва да се използва като настройка по подразбиране.

Нарушения на правила и санкции

Неспазването на общия регламент за защита на данните може да доведе до висока глоба до 20 милиона евро или 4% от общия оборот на вашата компания за някои нарушения. Органът за защита на данните може да наложи допълнителни коригиращи мерки, като например да заповяда да спрете обработването на лични данни.