Често задавани въпроси
Какво представляват личните данни?
„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Идентифицируемо лице е всяко лице, което може да бъде идентифицирано, пряко или косвено. Различните елементи от информацията, които събрани заедно, биха могли да доведат до идентифицирането на конкретно лице, също представляват лични данни.
Примери за лични данни включват:
- име и фамилия;
- домашен адрес;
- електронен адрес;
- номер на лична карта;
- данни за местоположението;
- адрес на интернет протокол (IP);
- идентификационен номер на „бисквитката“;
- банкови сметки;
- данъчни отчети;
- биометрични данни (като пръстови отпечатъци);
- номер на социална осигуровка;
- номер на паспорта;
- резултати от изпитването;
- оценки в училище;
- история на сърфирането;
- снимка на физическо лице;
- регистрационен номер на превозното средство и т.н.
Повече информация:
Кой е администратор на данни и кой обработва данни?
В ОРЗД се прави разграничение между две основни роли: тези на администратора на данни и обработващия лични данни. Това разграничение е от решаващо значение, тъй като администраторът на данни носи по-голяма отговорност и трябва да изпълнява повече задължения от обработващия лични данни.
Администраторите и обработващите лични данни могат да бъдат физически или юридически лица, например: МСП, публичен орган, дружество, организация, държавен орган, сдружение и т.н.
Администраторът на данни определя целите и средствата на операцията по обработване. С други думи, администраторът решава как и защо се извършва операция по обработване. Докато обработващите лични данни обработват лични данни от името на администратора. Обработването, извършвано от обработващите, трябва да бъде уредено в договор с администратора на данни или в друг правен акт.
Примери за администратори на данни:
- дружества, които обработват личните данни на своите клиенти, за да извършат продажба;
- финансови институции, които обработват лични данни на своите клиенти;
- асоциации, които обработват данните на своите членове;
- училища или университети, които обработват лични данни на студенти и учители;
- болници, които обработват лични данни на своите пациенти;
- правителствени агенции, които обработват лични данни на граждани.
Примери за обработващи данни:
- МСП наема счетоводна служба, която да съхранява неговите счетоводни книги и регистри, МСП е администратор на данни, а счетоводната служба — обработващ данни;
- дружество за заплати обработва лични данни за МСП. Дружеството ще действа като обработващ лични данни, ако обработва единствено личните данни от името на МСП. МСП определя целите и средствата за обработването на данните и следователно е администратор на данни.
- МСП възлага на маркетингова компания да събира имейл адреси чрез уебсайтове на трети страни. Маркетинговото дружество прави това в съответствие с изричните указания на МСП и за изключителни цели на МСП. Маркетинговата компания действа като обработващ за това обработване на данни.
Повече информация:
Какво представлява ОРЗД?
С ОРЗД или Общия регламент относно защитата на данните се създава хармонизиран набор от правила, приложими за всяко обработване на лични данни от организации (публични или частни, независимо от техния размер), установени в Европейското икономическо пространство (ЕИП) или насочени към физически лица в ЕС. Основната цел на ОРЗД е да гарантира, че личните данни се ползват с един и същ висок стандарт на защита навсякъде в ЕИП, като повишава правната сигурност както за физическите лица, така и за организациите, които обработват данни, и предлага висока степен на защита на субектите на данни.
Регламентът влезе в сила на 24 май 2016 г. и се прилага от 25 май 2018 г.
Трябва ли да публикувам моят регистър на дейностите по обработване?
Не, не е необходимо да публикувате Вашият регистър на дейностите по обработване. При поискване, обаче, трябва да можете да го предоставите на органа за защита на данните.
Повече информация:
Как мога да се информирам и следя работата на ЕКЗД?
ЕКЗД редовно публикува съобщения за медиите, новини, блогове и друго съдържание на уебсайта на ЕКЗД и неговите канали в социалните медии (Туитър: @EU_EDPB; LinkedIn: Европейският комитет по защита на данните), за да информира редовнообщността за защита на данните и широката общественост.
На уебсайта на ЕКЗД има и два RSS канали, за които можете да се абонирате за да получавате автоматични актуализации на новините на ЕКЗД и неговите последните публикации.
Каква е разликата между псевдонимизирани и анонимизирани данни?
Псевдонимизацията се състои в преобразуване на лични данни, така че те вече да не могат да бъдат приписани на конкретно лице, без да се използва допълнителна информация, при условие че тази допълнителна информация се съхранява отделно и подлежи на технически и организационни мерки, за да се гарантира, че личните данни не се свързват с физическо лице. На практика това може да означава замяна на лични данни (име, собствено име, личен номер, телефонен номер и т.н.) в набор от данни с непряко идентифициращи данни (известен още като, пореден номер и т.н.). Псевдонимизираните данни все още са лични данни и са предмет на ОРЗД.
Анонимизирани данни са данни, които са направени анонимни по такъв начин, че физическото лице не може да бъде идентифицирано или вече не може да бъде идентифицирано чрез средства, за които може да се предположи, че ще бъдат използвани. Когато анонимизацията се прилага правилно, ОРЗД вече не се прилага за анонимизираните данни.
Повече информация:
Имам ли нужда от регистър на дейностите по обработване?
Най-общо казано, всяка организация трябва да води регистър на своите дейности по обработване. Това е списък на всички операции по обработване и може да ви помогне да направите правилни предположения за вашите отговорности съгласно ОРЗД и възможните рискове.
Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:
- целта на обработката (напр. лоялност на клиентите);
- категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
- кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, служителите, предоставящи ИТ услуги, ръководството, доставчиците на услуги, партньорите и т.н.);
- когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП),
- когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането).
- когато е възможно, общо описание на мерките за сигурност.
Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация.
Този запис трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако това бъде поискано.
Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своите регистри чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриване на магазин).
Повече информация:
Мога ли да споделя списък с лични данни на физически лица с моите бизнес партньори (трети страни)?
Да, можете, но ОРЗД поставя определени задължения на предприятията, които споделят лични данни. Вашата организация трябва да информира физическите лица, че ще споделите техните данни с трета страна. Трябва също така да ги информирате за Вашите цели, сигурност, достъп и мерки за съхранение, които ще се прилагат.
Имам ли нужда от съгласие, за да използвам бисквитки на уебсайта на моята организация?
ОРЗД се прилага за използването на бисквитки, когато те се използват за обработка на лични данни, но има и по-конкретни правила за бисквитките, включително в Директивата за правото на неприкосновеност на личния живот и електронни комуникации.
Съхраняването на „бисквитка„или получаването на достъп до вече съхранена „бисквитка“ в крайното оборудване на потребителя е разрешено само при условие, че съответният абонат или потребител е бил адекватно информиран (по-специално за целите на обработката) и е дал съгласието си.
Единственото изключение са технически необходимите бисквитки. Не е необходимо организациите да искат съгласие, когато използват технически необходими бисквитки на своите уебсайтове.
Повече информация:
Какви са основните принципи на обработка съгласно ОРЗД?
- Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно.
- Да се събират лични данни само за конкретни, изрично указани и легитимни цели. Обработването на данните на дадено физическо лице трябва да бъде строго ограничено до първоначално установената(ите) цел(и) и следователно да не се обработва за последващи или други цели, които са несъвместими с първоначалните.
- Да се обработват само лични данни, които са необходими и пропорционални с оглед на предвидената цел.
- Всички лични данни, които обработвате, трябва да бъдат точни и актуализирани. Неточните лични данни трябва да бъдат коригирани или изтрити.
- Личните данни на физическите лица трябва да се съхраняват ограничено във времето с оглед на целта, за която тези данни са били събрани и обработени. Личните данни трябва да бъдат изтрити или анонимизирани, след като вече не са необходими.
- Данните на физическите лица трябва да се обработват по сигурен начин. В този смисъл трябва да се въведат строги мерки за контрол на киберсигурността, за да се гарантира, че данните са адекватно защитени.
И накрая, администраторът носи отговорност. Това означава, че той има задължения и трябва да е в състояние да докаже спазването на горепосочените принципи.
Повече информация: