С ОРЗД или Общия регламент относно защитата на данните се създава хармонизиран набор от правила, приложими за всяко обработване на лични данни от организации (публични или частни, независимо от техния размер), установени в Европейското икономическо пространство (ЕИП) или насочени към физически лица в ЕС. Основната цел на ОРЗД е да гарантира, че личните данни се ползват с един и същ висок стандарт на защита навсякъде в ЕИП, като повишава правната сигурност както за физическите лица, така и за организациите, които обработват данни, и предлага висока степен на защита на субектите на данни.

Регламентът влезе в сила на 24 май 2016 г. и се прилага от 25 май 2018 г.

„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Идентифицируемо лице е всяко лице, което може да бъде идентифицирано, пряко или косвено. Различните елементи от информацията, които събрани заедно, биха могли да доведат до идентифицирането на конкретно лице, също представляват лични данни.
Примери за лични данни включват:

• име и фамилия;
• домашен адрес;
• електронен адрес;
• номер на лична карта;
• данни за местоположението;
• адрес на интернет протокол (IP);
• идентификационен номер на „бисквитката“;
• банкови сметки;
• данъчни отчети;
• биометрични данни (като пръстови отпечатъци);
• номер на социална осигуровка;
• номер на паспорта;
• резултати от изпитването;
• оценки в училище;
• история на сърфирането;
• снимка на физическо лице;
• регистрационен номер на превозното средство и т.н.
   

Повече информация:

• Основи на защитата на данните
   

Някои видове лични данни принадлежат към специални категории лични данни, което означава, че заслужават по-голяма защита, т.нар. чувствителни данни. Чувствителните данни включват данни, които разкриват информация за:

• здравето на индивида;
• сексуалната ориентация на индивида;
• расов или етнически произход на дадено лице;
• политически възгледи, религиозни или философски убеждения на дадено лице; членство в синдикални организации на дадено лице;
• биометрични и генетични данни на физическото лице.

Обработването на чувствителни данни на дадено физическо лице по принцип е забранено, освен при специфични обстоятелства, които оправдават обработването им.
 

Повече информация:

• Основи на защитата на данните

Псевдонимизацията се състои в преобразуване на лични данни, така че те вече да не могат да бъдат приписани на конкретно лице, без да се използва допълнителна информация, при условие че тази допълнителна информация се съхранява отделно и подлежи на технически и организационни мерки, за да се гарантира, че личните данни не се свързват с физическо лице. На практика това може да означава замяна на лични данни (име, собствено име, личен номер, телефонен номер и т.н.) в набор от данни с непряко идентифициращи данни (известен още като, пореден номер и т.н.). Псевдонимизираните данни все още са лични данни и са предмет на ОРЗД.

Анонимизирани данни са данни, които са направени анонимни по такъв начин, че физическото лице не може да бъде идентифицирано или вече не може да бъде идентифицирано чрез средства, за които може да се предположи, че ще бъдат използвани. Когато анонимизацията се прилага правилно, ОРЗД вече не се прилага за анонимизираните данни.

Повече информация:

• Сигурни лични данни

Когато има двама или повече администратори на данни, които съвместно определят целта и средствата на обработването, те се считат за съвместни администратори. Те решават заедно да обработват лични данни за съвместна цел. Съвместното администриране може да бъде под много форми, а участието на различните администратори може да бъде неравномерно. Следователно, съвместните администратори трябва да определят своите  отговорности за спазване на ОРЗД.

Важно е да се отбележи, че съвместното администриране води до съвместна отговорност за дадена дейност по обработване.

• Пример за съвместно администриране: Компании А и Б са стартирали продукт с обща марка и желаят да организират събитие за популяризиране му. За тази цел те решават да споделят данни от своите бази данни с настоящи и потенциални клиенти и възоснова на тях да вземат решение относно включването в списъка на поканените на събитието. Те също така се споразумяват относно реда и условията за изпращане на поканите за събитието, как да се събират отзиви по време на мероприятието и последващи маркетингови действия. Дружества А и Б могат да се считат за съвместни администратори за обработването на лични данни, свързани с организирането на промоционалната проява, тъй като те вземат съвместно решение за съвместно определената цел и основните средства за обработка на данните.

Повече информация:

• Администратор на данни или обработващ лични данни

Организациите трябва, в случай на пряко събиране на лични данни от засегнатите лица, да предоставят информация за операциите по обработване по кратък и прозрачен начин, като използват разбираем, лесно достъпен, ясен и прост език. Това може да бъде направено в писмена форма (напр. на обратната страна на офертата) или по електронен път (напр. на уебсайт). Ако заинтересованото лице поиска, можете също да предоставите тази информация устно, но трябва да сте в състояние впоследствие да докажете това.

Дори когато данните са били събрани непряко, т.е. ако не събирате директно личните данни от физическо лице, а например чрез трета страна, трябва да предоставите същата подробна информация на субектите на данни.

Оценката на въздействието върху защитата на данните или ОВЗД е писмена оценка, която Вашата организация трябва да направи, за да оцени въздействието на планирана операция по обработване. Тя ви помага да определите подходящите мерки за справяне с рисковете и да демонстрирате съответствие.

Въпреки че винаги е за предпочитане да се предвиди въздействието на планираните операции по обработване на Вашата организация чрез извършване на ОВЗД, такава проверка е задължително да се извърши, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица.

По-конкретно, такъв е случаят, когато предвиденото обработване включва:

• мащабно обработване на чувствителни лични данни или данни, свързани с  присъди;  
• систематична и подробна оценка на личните аспекти на дадено лице, която се базира на автоматично  обработване, включително профилиране, и служи за основа на  решения, които имат  правни последици за въпросното лице или по подобен начин сериозно засягат физическите лица;
• систематично мащабно наблюдение на публично достъпна зона.

ЕКЗД е разработил насоки, в които са изброени критериите, които трябва да вземете предвид, когато преценявате дали ОВЗД е задължителна или не. Органите за защита на данните (ОЗД) също така публикуваха списъци на операциите по обработване, които подлежат на ОВЗД. Освен това няколко ОЗД са разработили ръководства, софтуер или инструменти за самооценка, които да ви помогнат с Вашата оценка.
 

Повече информация:

• Да бъдат в съответствие

ОРЗД дава на физическите лица контрол върху обработването на личните им данни. Прозрачността е от ключово значение, за да се постигне това. Това означава, че трябва да информирате лицата, чиито данни обработвате, за Вашите операции по обработване и за целите. С други думи, трябва да обясните кой обработва данните им, но и как, и защо. Само, ако използването на лични данни е „прозрачно“ за участниците, те могат да оценят възможните рискове и да вземат решения относно личните си данни.

Съгласно ОРЗД Вие сте длъжни да споделяте следната информация с физически лица:

• данните, които идентифицират администратора и координатите за връзка с него;
• целите на обработването;
• правното основание за обработването (ако има легитимен  интерес, конкретна информация за това кои законни интереси са свързани с конкретното обработване и  кой субект преследва всеки легитимен интерес).
• данните за връзка с администратора;
• коордиантите за връзка с  ДЛЗД (ако има ДЛЗД);
• получателите или категориите получатели на данните;
• информация за това дали данните ще бъдат предадени извън Европейското икономическо пространство (ЕИП) (когато е приложимо: наличието или липсата на решение относно адекватното ниво на защита или позоваване на подходящи гаранции и как тази информация може да бъде предоставена на субектите на данни);
• категориите обработвани лични данни, когато данните не са получени от физическото лице.

Освен това ОРЗД изисква от Вашата организация да предостави следната информация, за да се гарантира справедливо и прозрачно обработване:

• периодът на запазване или, когато това не е възможно, критериите, използвани за определяне на този период;
• правото да поискате достъп, изтриване, коригиране, ограничаване, възражение и преносимост на личните данни;
• правото на подаване на жалба до орган за защита на данните;
• ако правното основание за обработването е съгласие: правото да оттеглите съгласието си по всяко време;
• в случай на автоматизирано вземане на решения — съответната информация относно основната логика и очакваните последици от обработването за субекта на данните;
• източник на личните данни (ако не сте ги получили директно от засегнатото лице);
• дали физическото лице е длъжно да предостави личните данни (по закон или по договор, или да сключи договор) и какви са последиците от отказа за предоставяне на данните.

Повече информация:

• Зачитане на правата на физическите лица
   

ДЛЗД могат да изпълняват други задачи в рамките на организацията, но това не може да доведе до конфликт на интереси. Това означава, че ДЛЗД не може да има позиция, в която да определя целите и средствата на дейностите по обработване. Конфликтните функции включват главно ръководни длъжности (главен изпълнителен директор, главен оперативен директор, главен финансов директор, ръководител на човешките ресурси, ръководител на ИТ, управляващ директор), но могат да включват и други функции, ако те водят до определяне на целите и средствата за обработка.

ДЛЗД трябва да е в състояние да изпълнява своите задължения и задачи по независим начин. Това означава, че Вашата организация:

• не може да дава указания на ДЛЗД във връзка с изпълнението на задълженията му;
• не може да санкционира или освобождава ДЛЗД за изпълнението на неговите задачи.

Повече информация:

• Длъжностно лице по защита на данните

Съгласно ОРЗД е задължително да има валиден договор между администратора и обработващия лични данни. За нарушение може да бъде наложена административна глоба в размер до 10 млн. EUR или до 2 % от общия годишен оборот на дадено дружество, в зависимост от това коя от двете стойности е по-висока.

За да Ви помогнат при сключването на този вид договор между администратор и обработващ лични данни, Датския и Словенския орган за защита на данните, както и Европейската комисия, са разработили образци на договор.

Повече информация:

• Администратор на данни или обработващ лични данни