ОРЗД (GDPR) Регламент за защита на личните данни в Европейския съюз
Общият регламент относно защитата на данните (ОРЗД) (Регламент (Европейски съюз) 2016/679) беше приет на 27 април 2016 г. Той влезе в сила на 25 май 2018 г.
Регламентът се одобрява от Европейския парламент, Съвета на Европейския съюз и Европейската комисия. Той защитава личните данни на хората в целия Европейски съюз (ЕС). Постановлението засяга и износа на данни от ЕС.
Цел и обхват
Целта на ОРЗД е да даде на гражданите по-голям контрол над техните лични данни и да хармонизира правилата за защита на данните в рамките на ЕС. Регламентът:
- регламентира правата на физическите лица („субекти на данни“);
- определя задълженията на администраторите и обработващите данни;
- урежда трансграничния пренос на лични данни извън ЕС.
ОРЗД има екстериториално действие: той се прилага и за организации извън ЕС, когато те предлагат стоки или услуги на лица в ЕС или наблюдават тяхното поведение.
Кои данни са защитени
„Лични данни“ са всяка информация, която се отнася до идентифицирано или идентифицируемо физическо лице (имена, адреси, имейли, IP адреси, данни за здраве и др.). Регламентът защитава и т.нар. „специални категории“ лични данни (чувствителни данни) като здравна информация, религиозни убеждения и биометрични данни — те изискват по-висока степен на защита.
Основни принципи при обработката
- Законност, справедливост и прозрачност — обработката трябва да бъде базирана на ясен правен фундамент и да е прозрачна за субекта на данните.
- Целова ограниченост — данните се събират за конкретни, изрично посочени цели и не се използват за несъвместими цели.
- Минимизиране на данните — обработват се само необходимите данни.
- Точност — данните трябва да бъдат точни и актуални.
- Съхранение — данните се пазят не по-дълго от необходимото.
- Интегритет и конфиденциалност — осигуряване на подходящи технически и организационни мерки (напр. криптиране, псевдонимизация).
Правни основания за обработка
Обработката на лични данни е допустима само ако е налице поне едно от следните основания:
- свободно дадено и информирано съгласие на субекта;
- изпълнение на договор;
- изпълнение на законово задължение;
- защитаване на жизненоважни интереси;
- изпълнение на задача от обществен интерес или упражняване на публични правомощия;
- законов или легитимен интерес на администратора (след баланс на интересите).
Права на засегнатите лица
ОРЗД дава редица конкретни права, включително:
- Достъп до данните, които организацията притежава за вас;
- Поправка (rectification) на невярна или непълна информация;
- Изтриване („право да бъдеш забравен“) при определени условия;
- Ограничаване на обработката (restriction);
- Възражение срещу обработката, включително при директен маркетинг;
- Портируемост на данните — право да получите личните си данни в структурираен, широко използван формат и да ги прехвърлите към друг администратор;
- право да оттеглите съгласие по всяко време (без да се наруши законността на обработката преди оттеглянето).
Задължения на администраторите и обработващите
- Водене на регистър на дейностите по обработка (Record of Processing Activities) при определени обстоятелства.
- Оценка на въздействието върху защитата на данните (DPIA) при висок риск за правата и свободите на лицата.
- Назначаване на длъжностно лице по защита на данните (DPO) в случаи, определени от регламента.
- Изискване за обвързващи договори с обработващите, когато те обработват данни от името на администратора.
- Уведомяване при нарушение на сигурността на личните данни — съгласно ОРЗД, надзорните органи трябва да бъдат уведомени в срок до 72 часа след установяване на нарушението, а засегнатите лица да бъдат информирани при висок риск.
Надзор и координация
Всяка държава членка има свой национален надзорен орган за защита на данните. Европейският съвет за защита на данните (EDPB) координира сътрудничеството между органите и прилага механизма „one‑stop‑shop“ за трансгранични случаи.
Санкции и отговорност
Неспазването на ОРЗД може да доведе до тежки санкции. Регламентът предвижда два основни „нива“ на глобите:
- до €20 000 000 или до 4% от годишния световен оборот на предходната финансова година — за по‑тежки нарушения (например нарушение на основните принципи на обработка, нарушения на правата на субектите);
- до €10 000 000 или до 2% от годишния световен оборот — за други нарушения (напр. непълно водене на регистри, неизпълнение на задължения на обработващите).
Освен глобите, кодовете за поведение и административни мерки като забрани за обработка също могат да бъдат приложени.
Трансграничен пренос на данни
Износът на лични данни извън ЕС е допустим само при условие на адекватна защита. Възможните инструменти включват:
- решение за адекватност на Европейската комисия за конкретна трета държава;
- стандартни договорни клаузи (SCCs);
- обвързващи корпоративни правила (BCR) за вътрешнокорпоративни трансфери;
- при специални обстоятелства — изричното съгласие на субекта, когато той/тя е информиран за рисковете.
Практически съвети за съвместимост
- Проведете инвентаризация на данните и картографирайте процесите на обработка.
- Осигурете ясни и достъпни уведомления за поверителност и форми за съгласие, когато е необходимо.
- Прилагайте принципа на минимизиране и задавайте срокове за съхранение.
- Внедрете технически мерки — криптиране, логване, контрол на достъпа и резервни копия.
- Обучавайте служителите за добри практики и рискове относно личните данни.
- Подгответе процедури за реакция при нарушения и механизъм за уведомяване в рамките на 72 часа.
Как да упражните правата си
Ако смятате, че вашите права по ОРЗД са нарушени, можете първо да се обърнете към администратора на данните (компанията или организацията). Ако въпросът не бъде разрешен, имате право да подадете жалба до националния надзорен орган за защита на данните във вашата държава членка.
ОРЗД е комплексен инструмент за защита на личните данни, който изисква от организациите да прилагат организационни, технически и правни мерки. Спазването му гарантира по‑високо ниво на защита за гражданите и повишава доверието в дигиталните услуги.
Прилагани правила
|
| Този раздел се нуждае от повече информация. |
![[icon]](https://www.alegsaonline.com/image/Wiki_letter_w_cropped.svg.png){kind=small}
С Общия регламент относно защитата на данните се налагат правила, които защитават хората срещу голямо разнообразие от проблеми, свързани с неприкосновеността на личния живот. С него се налага правото на хората да се съгласяват законно с компаниите да използват личната им информация. Той също така налага правото на хората да не получават повече достъп до личната си информация от дадено дружество. Той също така налага, че потребителите имат право да разрешат тяхната лична информация да стане публична или не. Регламентът също така гарантира, че никакви лични данни не се обработват, освен ако потребителят не е разрешил на обработващия лични данни да направи това.
Времева линия
- 25 януари 2012 г: Предложението за ОРЗД беше публикувано.
- 21 октомври 2013 г: Комисията по граждански свободи, правосъдие и вътрешни работи (LIBE) на Европейския парламент гласува дали GDPR да стане новият регламент за хората в Европа.
- 15 декември 2015 г: Европейският парламент, Съветът и Комисията (официална тристранна среща) обсъждат Общия регламент относно защитата на данните. На този ден Общият регламент за защита на данните се превърна в съвместно предложение.
- 17 декември 2015 г: Комисията по граждански свободи, правосъдие и вътрешни работи на Европейския парламент гласува за преговорите между трите страни.
- 8 април 2016 г: Общият регламент относно защитата на данните е приет от Европейския съюз. Единствената държава членка, която гласува против, беше Австрия, която заяви, че някои аспекти на новия регламент не са задоволителни в сравнение с Директивата за защита на данните.
- 14 април 2016 г: Европейският парламент прие Общия регламент относно защитата на данните, който замени досегашната Директива за защита на данните.
- 24 май 2016 г: Общият регламент за защита на данните започна да се използва по целия свят, но все още не се прилага изцяло. Това се случва 20 дни след публикуването на Общия регламент за защита на данните в Официален вестник на Европейския съюз.
- 25 май 2018 г: Общият регламент за защита на данните започва да се прилага изцяло в целия свят. Изминаха две години от създаването на регламента.
- юли/август 2018 г: GDPR ще започне да се прилага в Исландия, Лихтенщайн и Норвегия. Тези три държави се присъединиха към Съвместния комитет на ЕИП, тъй като всички те се съгласиха да следват регламента.
Въпроси и отговори
В: Какво представлява Общият регламент за защита на данните (GDPR)?
О: GDPR е регламент, приет от Европейския парламент, Съвета на Европейския съюз и Европейската комисия, който защитава личните данни на хората в целия ЕС.
В: Кога влиза в сила?
О: Той влезе в сила на 25 май 2018 г.
В: Какво цели GDPR?
О: Целта на GDPR е да предостави на гражданите контрол върху техните лични данни и да опрости разпоредбите за икономическите отношения с други държави, като стандартизира процедурите в ЕС.
Въпрос: Заменя ли той някакви съществуващи закони?
О: Да, той заменя Директивата за защита на данните от 1995 г.
Въпрос: Трябва ли да се променят местните закони, за да се съобразят с GDPR?
О: Не, не са необходими промени в местните закони в рамките на ЕС, тъй като този регламент е задължителен.
Въпрос: Какво се случва, ако някой или някое дружество не спазва закона за GDPR? О: Те могат да бъдат глобени с до 20 000 000 евро или с до 4 % от печалбата на компанията им за предходната година, в зависимост от това кое число е по-голямо.
