Приложно поле на Регламент (ЕС) 2016/679
Прилага се за обработване с автоматични или други средства на лични данни, които са част или са предназначени да бъдат част от регистър с лични данни.
Не се прилага за обработване на лични данни, което:
- е извън приложното поле на правото на ЕС (националната сигурност);
- е свързано с дейности на държавите членки в общата външна политика или политика за сигурност на ЕС;
- се извършва от физическо лице в хода на чисто лични или домашни занимания;
- се извършва от компетентните органи в полицейската и наказателната дейност (урежда се от Директива (ЕС) 2016/680, транспонирана в ЗЗЛД);
- се извършва от институциите на ЕС (прилага се Регламент (ЕС) 2018/1725).
Признаци в легалната дефиниция на чл. 4, т. 1 ОРЗД:
- „всяка информация“
- „свързана с“
- „физическо лице“
- „идентифицирано или може да бъде идентифицирано“
Примери: име, адрес, имейл адрес (име.фамилия@дружество.com),
номер на документ за самоличност, данни за местоположение, адрес на интернет протокол,
идентификационен номер на “бисквитка”, рекламен идентификатор на телефон, етикети за радиочестотна идентификация (Съображение 30 от ОРЗД, https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_bg)
Данни, които не са в приложното поле на Регламент (ЕС) 2016/679 за защита на лични данни
- „Настоящият регламент не обхваща обработването на лични данни, които засягат юридически лица, и по-специално предприятията, установени като юридически лица. Това включва наименованието и правната форма на юридическото лице; данните за връзка на юридическото лице“ (Съображение 14 от ОРЗД) (данните не се отнасят до физически лица)
- „Настоящият регламент не се отнася за обработването на анонимна информация. Това се отнася и когато става въпрос за статистически или изследователски цели“ . (Съображение 26 от ОРЗД) (данните не се отнасят до идентифицирани или подлежащи на идентифициране физически лица)
„Настоящият регламент не следва да се прилага за личните данни на починали лица. Държавите членки могат да предвидят правила във връзка с обработването на данни на починали лица“ (Съображение 27 от ОРЗД) .(чл. 25е от ЗЗЛД урежда обработването на лични данни на починали лица само при наличие на правно основание за това; при предприемане на подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществения интерес; и при поискване осигурява достъп на наследниците или на други лица с правен интерес)
Специални категории лични данни
Забранява се обработването на лични данни, разкриващи:
- расов или етнически произход;
- политически възгледи, религиозни или философски убеждения;
- членство в синдикални организации;
- генетични данни;
- биометрични данни за целите единствено на идентифицирането на физическо лице;
- данни за здравословното състояние;
- данни за сексуалния живот или сексуалната ориентация на физическото лице.
„Контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи“ (съображение 51).
Обработването им е възможно при наличие на някое от основанията по чл. 9, пар. 2-4 от Регламент (ЕС) 2016/679.
Обработване на лични данни
- Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства.
- Обработване на лични данни са операции като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
- Съхраняването е дейност по обработване с най-дълъг период от време.
Регистър с лични данни
- Понятието „регистър с лични данни“ е определящо за материалния обхват на Регламент (ЕС) 2016/679.
- Администраторът определя какви регистри с лични данни ще обработва и на какъв принцип ще са разпределени (централизиран, децентрализиран, функционален или географски).
- Разграничение на понятието „регистър с лични данни“ от регистъра на дейностите по обработване на лични данни, предвиден като способ за отчетност в чл. 30 от Регламента.
Примери: регистър „Персонал“, регистър „Жалби и молби“, регистър „Инициативи“, регистър „Контрагенти“ и други
Администратор на лични данни
- Администраторът е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. (администратор, чийто статут произтича от извършваната от него дейност)
- Когато целите и средствата за обработване са нормативно определени, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или на държавата-членка. (администратор, чийто статут произтича от закона)
- Съвместно администриране – когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори.
Обработващ лични данни
Обработващ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
Признаци за определяне на обработващия:
- отделно, външно за структурата на администратора лице (служителите на администратора не са негови обработващи, а лица по чл. 29 от ОРЗД)
- обработва личните данни от името на администратора. (обработващият не определя целите на обработването, а действа само по документираните нареждания на администратора)
Примери за обработващи: IT компания поддържаща информационната система, служба по трудова медицина
Трета страна
- Трета страна означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.
- Не са трета страна: субектът на данни, администраторът и неговият/ите обработващи, служителите на администратора и обработващия.
- Третата страна може да бъде друг администратор, публичен орган, физическо лице, което има основание да получи достъп до определени лични данни.
Получател
- Получател на лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.
- Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Европейския съюз или правото на държава членка, не се считат за „получатели“.
- Администраторът е длъжен да информира субекта на данни за получателите или категориите получатели на личните данни, ако има такива.
Съдържание на принципите на Регламент (ЕС) 2016/679
- Законосъобразност, добросъвестност и прозрачност. Обработване при наличие на законово основание, при полагане на дължимата грижа и при информиране на субекта на данни;
- Ограничение на целите – събиране на данни за конкретни, изрично указани и легитимни цели; забрана за по-нататъшно обработване по начин, несъвместим с тези цели; (обработване за целите на архивирането в обществен интерес, за научни и исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели);
- Свеждане на данните до минимум; данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите на обработването;
- Точност – поддържане в актуален вид и предприемане на всички разумни мерки за гарантиране на своевременно изтриване или коригиране на неточни данни, при отчитане на целите на обработването;
- Ограничение на съхранението – данните да се обработват за период с минимална продължителност съгласно целите. Съхраняване за по-дълги срокове е допустимо за целите на архивирането в обществен интерес; за научни или исторически изследвания или статистически цели, но при условие, че са приложени подходящи технически и организационни мерки;
- Цялостност и поверителност; обработване по начин, който гарантира подходящо ниво на сигурност на личните данни, като се прилагат подходящи технически или организационни мерки;
- Отчетност . Администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички принципи, свързани с обработването на лични данни; (поддържане на регистър на дейностите по обработване на лични данни, приемане на вътрешни правила/процедури/политика за защита на личните данни, актуализиране на формите за документиране на съгласие, актуализиране на договореностите с обработващите лични данни и други, приложими към дейността)
Правни основания/условия за обработване на ” обикновени” лични данни
Алтернативно посочени в чл. 6 от Регламент (ЕС) 2016/679:
- Съгласие на субекта на данни
- Изпълнение на договор, по който субектът на данни е страна, или в преддоговорните отношения по искане на субекта на данни
- Спазване на законово задължение, което се прилага спрямо администратора
- Защита на жизненоважни интереси на субекта на данните или друго физическо лице
- Изпълнение на задача от обществен интерес или упражняване на официални правомощия, които са предоставени на администратора
- Легитимни интереси на администратора или трета страна, които имат преимущество пред интересите или основните права и свободи на субекта на данни.
Съгласие на субекта на данни
Недопустимо е съгласието да бъде обвързано с предварителни условия от страна на администратора или да води до неблагоприятни последици за лицето при отказ да го предостави или ако впоследствие го оттегли.
Съгласието може да не бъде счетено за валидно, ако съществува зависимост или неравнопоставеност между субекта на данни и администратора, напр. в отношенията между гражданин и публичен орган или между работник и работодател.
В съответствие с принципа за отчетност съгласието следва да бъде документирано с цел доказване на неговото наличие.
Лицето има право да оттегли своето съгласие по всяко време, също толкова лесно, колкото е дадено.
В случай на пряко предлагане на услуги на информационното общество на дете под 14 години администраторът следва да изисква съгласие от носещия родителска отговорност за детето.
Договор и преддоговорни отношения
Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор
а) обработване, необходимо за изпълнение на договор, по който физическото лице е страна
б) обработване преди сключване на договор, предприето по инициатива на самото физическо лице
Спазване на законово задължение
- Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.
- Задължение трябва да има основание в правото на ЕС или на държавата членка.
- Държавите членки могат да установят специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване.
Жизненоважен интерес
Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
Без значение е дали заплахата е непосредствена, тя трябва да се отнася към живота и здравето на субекта на данните или на друго физическо лице.
Съображение 46. … Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.
Задача от обществен интерес или упражняване на официални правомощия на администратора
Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора
а) обработване, необходимо за задача от обществен интерес – няма легална дефиниция на понятието “обществен интерес”, но интересът трябва да бъде: законен, ясно формулиран, реален и да се направи преценка във всеки конкретен случай относно очакванията/ползите за обществото от обработването на данните на дадено физическо лице.
б) упражняване на официални правомощия, предоставени на администратора – основанието им трябва да произтича от правото на ЕС или на държавата членка.
Легитимен/законен интерес
Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Това основание не се прилага за обработване, което се извършва от публични органи при изпълнение на техните задачи.
Позоваването на него предполага баланс между законния интерес на администратора или на третата страна и интереса на физическото лице, за което се отнасят данните. За всеки конкретен случай трябва да се отчетат:
- характерът и източникът на законния интерес;
- въздействието върху физическото лице, за което се отнасят данните (характера на данните, начина на обработването на данните, връзката между администратора/третото лице и физическото лице);
- мерките за предотвратяване на неблагоприятното въздействие върху физическото лице.
Условия за обработване на специални категории лични данни
- Изрично съгласие на субекта на данни
- Изпълнение на права и задължения по силата на трудовото право и правото в областта на социалната сигурност
- Жизненоважни интереси на субекта на данни или друго физическо лице, когато субектът е неспособен да даде съгласие
- Законосъобразна дейност на юридическо лице с нестопанска цел
- Лични данни, явно направени обществено достояние от субекта
- Установяване, упражняване или защита на правни претенции
- Важен обществен интерес на нормативно основание
- Превантивна или трудова медицина, оценка на трудоспособността, медицинска диагноза, осигуряване на здравни или социални грижи
- Обществен интерес в областта на общественото здраве
- Архивиране в обществен интерес, научни, исторически и статистически цели
Особени случаи на обработване на лични данни
- Обработване на лични данни в контекста на трудово и служебно правоотношение
- Обработване на националния идентификационен номер
- Обработване и свобода на изразяване и информация
- Обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели
- Обработване на лични данни, свързани с присъди и нарушения
- Обработване, за което не се изисква идентифициране
- Други случаи
Обработване на лични данни в контекста на трудово или служебно правоотношение
- Качество на страните по трудовото или служебното правоотношение
- Обработвани лични данни от работодателя/органа по назначаването
- Приложими условия за законосъобразност на обработването на лични данни в трудовото или служебното правоотношение
- Задължения, произтичащи от ЗЗЛД във връзка с чл. 88 от Регламент (ЕС) 2016/679:
- връщане или унищожаване/изтриване (ако връщането е невъзможно или изисква несъразмерни усилия) на лични данни, предоставени от субекта на данни на администратор или обработващ без правно основание или в противоречие с принципите на Регламент (ЕС) 2016/679 (чл. 25а от ЗЗЛД);
- копиране на документ за самоличност, свидетелство за управление на МПС или документ за пребиваване само ако това е предвидено със закон (чл. 25г от ЗЗЛД);
- при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, администраторът или обработващият приема и прилага правила, с които въвежда подходящи технически и организационни мерки за правата и свободите на субекта на данни. Комисията за защита на личните данни дава насоки при изпълнение на това задължение (чл. 25д от ЗЗЛД);
- администраторът – работодател или орган по назначаването, приема правила и процедури при: 1. използване на система за докладване на нарушения; 2. ограничения при използване на вътрешнофирмени ресурси; 3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина. Правилата и процедурите съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. Работниците и служителите се уведомяват за тях (чл. 25и от ЗЗЛД).
- администраторът – работодател или орган по назначаването, определя срок за съхранение на лични данни на участници в процедури по набиране на персонала, който не може да бъде по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение в по-дълъг срок (чл. 25к, ал. 1 от ЗЗЛД).
- когато в процедурата по набиране на персонал работодателят/органът по назначаването/ е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа или психическа годност на кандидата; необходимата квалификационна степен и стаж за заеманата длъжност; той връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго (чл. 25к, ал. 2 от ЗЗЛД).
Обработване на ЕГН
- Държавите членки могат да определят и специалните условия за обработване на национален идентификационен номер или на всякакъв друг идентификатор с общо приложение.
- Свободен публичен достъп до информация, съдържаща ЕГН или личен номер на чужденец, не се допуска, освен ако закон предвижда друго. /Чл. 25ж, ал. 1 от ЗЗЛД/
- Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват ЕГН или ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга. /Чл. 25ж, ал. 2 от ЗЗЛД/
- За целите на предоставяне на административни услуги по електронен път при условията на Закона за електронното управление администраторът осигурява възможност на субекта на данни да се идентифицира по ред, предвиден със закон. /Чл. 25ж, ал. 3 от ЗЗЛД/
Обработване, за което не се изисква идентифициране
- Ако целите, за които администратор обработва лични данни, не изискват или вече не изискват идентифициране на субекта на данните от администратора, той не е задължен да поддържа, да се сдобие или да обработи допълнителна информация, за да идентифицира субекта на данни с единствената цел да бъде спазен Регламентът.
- Когато администраторът може да докаже, че не е в състояние да идентифицира субекта на данни, той го уведомява при възможност. В тези случаи не се прилагат правилата относно правата на субектите на данни, освен когато с цел да ги упражни, субектът на данни представи допълнителна информация, позволяваща неговото идентифициране.
За първоначална консултация или ако имате някакви въпроси, може да се свържете с нас чрез формата за контакт.