Какво представляват личните данни?

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано.

Примери за вида информация, която може да позволи пряка или непряка идентификация на дадено физическо лице и следователно да се квалифицира като лични данни, са:

  • име, фамилия, телефонни номера на клиенти, заинтересовани страни, служители, доставчици;
  • идентификационни номера, като например клиентски номер на физическо лице, номер на служител на дадено лице,
  • референтен номер на резервацията;
  • имейл адреси, данни за местоположението;
  • историята на сърфирането на дадено лице;
  • история на покупките и разписки на дадено лице;
  • снимки, видеоклипове и аудиозаписи, съдържащи изображения или звуци на отделни лица.

С тези лични данни дадено лице може да бъде идентифицирано пряко или косвено:

  • ако Вашата организация обработва, например, името или фамилията на дадено лице, тези лични данни позволяват пряка идентификация на това физическо лице;
  • ако Вашата организация обработва, например, клиентски номер на физическо лице или референтен номер на резервацията, тези лични данни могат да позволят непряка идентификация на това физическо лице.
  • Всеки вид информация, обработвана във връзка с пряко или непряко идентифицираното лице (т.е. предпочитания, навици), също ще се счита за лични данни.

Специални категории лични данни

Някои видове лични данни, обикновено наричани чувствителни данни, принадлежат към специални категории, които заслужават по-голяма защита. Съгласно член 9 от ОРЗД чувствителните данни включват данни, които разкриват информация за:

  • здравословното състояние на индивида;
  • сексуалния живот или сексуалната ориентация на физическото лице;
  • расов или етнически произход на физическото лице;
  • политически възгледи, религиозни или философски убеждения на физическото лице;
  • биометричните и генетичните данни на физическото лице;
  • членство в синдикални организации.

Обработването на чувствителни данни на дадено физическо лице по принцип е забранено, освен при специфични обстоятелства, които оправдават обработването им (като например изрично съгласие).

За повече подробности относно обстоятелствата, при които могат да бъдат обработвани чувствителни данни, проверете Обработвайте личните данни законосъобразно

 

Лични данни във връзка с присъди и престъпления

Обработването на лични данни, свързани с присъди и престъпления, подлежи на строги правни изисквания. Тези лични данни могат да бъдат обработвани само от официален орган, като например полицията, под контрола на официален орган или когато това е разрешено от националното законодателство.

Списък с добри практики в областта на ОРЗД

  • Запитайте се дали целта, за която могат да бъдат събирани лични данни, е оправдана.
  • Събирайте само лични данни, които са необходими за конкретната(ите) цел(и).
  • Информирайте физическите лица за това как и за какви цели могат да бъдат обработвани личните им данни.
  • Проверете дали имате подходящо правно основание за обработването на лични данни. В случай, че възнамерявате да разчитате на съгласието на физическите лица, поискайте съгласието им, преди да обработите личните им данни.
  • Уверете се, че личните данни на физическите лица се обработват по сигурен начин.
  • Поддържайте личните данни на физическите лица точни и актуални.
  • Изтривайте личните данни на физическите лица, когато вече не са необходими. Моля, имайте предвид, че националното законодателство може да Ви задължи да съхранявате определени данни (т.е. по данъчни причини).

Какво означава обработване на лични данни?

Обработването на лични данни на физическите лица включва всякакъв вид дейност (операция по обработване), извършвана чрез автоматизирани средства върху или с лични данни на физическите лица.

Примери за операции по обработване включват събиране, записване, организиране, използване, модифициране, съхраняване, разкриване на лични данни на физически лица.

Дори и ОРЗД да се отнася основно до автоматизираното обработване на лични данни, операциите по обработване, извършвани ръчно, също ще бъдат предмет на ОРЗД от момента, в който досиетата на хартиен носител са организирани по систематичен начин, например по азбучен ред в шкаф за архивиране.

ОРЗД важи ли за Вашата организация?

ОРЗД може да се прилага за всички частни и публични организации, ако:

  • въпросната организация е установена в ЕС или в Европейското икономическо пространство (ЕИП — държави от ЕС + Исландия, Лихтенщайн и Норвегия); или
  • организацията не е установена в ЕИП, но нейните продукти или услуги се предлагат на физически лица, които са в ЕИП, или организацията наблюдава поведението на физически лица, които са в ЕИП.

ОРЗД се прилага по същия начин и за всеки подизпълнител, който може да обработва лични данни на физически лица от името на частна или публична организация.

In practice, GDPR applies to you if one of the following conditions apply

  • Вие сте дружество, установено в държава от ЕИП;
  • Вие сте организация, базирана в държава извън ЕИП, продаваща стоки или предлагаща услуги, дори безплатно, насочена към физически лица в държава от ЕИП;
  • Вие сте ИТ дружество, установено в държава извън ЕИП, на което е възложено подизпълнение от частна организация със седалище в ЕИП за управление на техните информационни бази данни, като например база данни на клиента;
  • Вие сте доставчик на услуги, базиран в ЕИП и обработващ лични данни от името на друго дружество.

Основните принципи на ОРЗД

Когато обработва лични данни на физически лица, Вашата организация трябва да спазва следните 6 основни принципа на ОРЗД. Освен това Вашата организация трябва да е в състояние да докаже, че спазва тези принципи.

 

Законосъобразност, добросъвестност и прозрачност

 

Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно.

Вашата организация може да обработва личните данни на дадено физическо лице само ако предвидената операция по обработване е законосъобразна; т.е. въз основа на съгласието на физическото лице, необходимо за изпълнението на договор, или въз основа на едно от другите правни основания за обработване на данни, посочени в член 6 от ОРЗД.

Ако обработването се основава на съгласие, Вашата организация трябва да гарантира, че това съгласие е свободно изразено, информирано, конкретно и недвусмислено. С други думи, не трябва да има съмнение, че физическите лица са наясно с какво са съгласни, за какви цели се извършва обработването и че това съгласие е било активно дадено преди започване на обработването. Освен това физическите лица следва да могат свободно да оттеглят съгласието си. Ако прецените, че обработването на личните данни на лицата ще бъде необходимо независимо от тяхното съгласие (т.е. в рамкитена договор), това означава, че съгласието не е подходящото правно основание.

Ограничение на целите

Вашата организация може да събира лични данни само за конкретни, изрично указани и легитимни цели. Обработването на данните на дадено физическо лице трябва да бъде строго ограничено до първоначално установената(ите) цел(и) и следователно да не се обработва за последващи или други цели, които са несъвместими с първоначалните цели.

 

Свеждане на данните до минимум

Вашата организация може да обработва само лични данни, които са необходими и пропорционални с оглед на предвидената цел.

 

Точност

Личните данни на физическите лица, които Вашата организация обработва, трябва да бъдат точни и актуализирани. Неточните лични данни трябва да бъдат коригирани или изтрити.

 

Ограничение на съхранението

Съхранението на личните данни на физическите лица трябва да бъде ограничено във времето с оглед на целта, за която тези данни са били събрани и обработени. Личните данни на физическите лица трябва да бъдат изтрити или анонимизирани, след като вече не са необходими. На практика това означава, че Вашата организация трябва да има вътрешна политика по отношение на периодите на съхранение на данни за различни цели, както и процедура за изтриване на данни.

 

Сигурност

Обработването на данните на физическите лица трябва да се извършва по сигурен начин. В този смисъл трябва да бъдат въведени надеждни гаранции за защита на данните, като например подходящи мерки за киберсигурност, за да се гарантира, че данните на физическите лица са адекватно защитени. Тези мерки трябва да предотвратяват случайно, неразрешено или незаконосъобразно разкриване, загуба, унищожаване или повреждане на личните данни на физическите лица.