Тъй като новият
регламент за личните данни има огромен обхват, ще се опитам да бъда полезна с резюме на някои основни негови изисквания за фирми и организации.
КАКВО СЕ РАЗБИРА ПОД ЛИЧНИ ДАННИ
Всички данни, които могат да доведат до идентификация на лицето, се считат за лични данни и са обект на защита според регламента. Такива са например:
• Име и фамилия; трите имена
• Домашен адрес;
• Мейл адрес, образуван на принципа name.surname@company.com;
• Номер на лична карта;
• Местоположение (според данните от мобилния телефон);
• IP адрес;
• Рекламен идентификатор на телефона;
• ЕГН, осигурителен номер.
Вида и количеството лични данни, които фирмите/организациите могат да събират, зависи от причината за събирането им и от това, какво искат да правят с тях. Ако сте фирма/организация, трябва да знаете следните основни принципи:
• Данните трябва да се събират по законен, почтен и прозрачен начин, като лицето трябва да знае защо се събират и конкретно за какво ще бъдат използвани
• Ако сте фирма/организация, не можете да събирате лични данни, просто за да ги имате. Целите на събирането им трябва да са конкретни и ясно формулирани. Не е достатъчно само да обявите, че събирате лични данни, които ще бъдат използвани от вас за различни цели. Лицето, което ви ги предоставя, трябва да е информирано конкретно за какво ви трябват неговите данни.
• Трябва да събирате само онези лични данни, които отговарят на конкретната формулирана цел.
• Не можете да използвате събраните данни за други цели, несъвместими с конкретно формулираните
• Трябва да гарантирате, че след изпълнение на конкретната цел, за която са събрани, личните данни няма повече да се съхраняват и ще бъдат изтрити, а ако трябва да бъдат съхранени по-дълго за статистически или научни цели, ще се поддържат в максимално защитен вид и ще се актуализират.
• Трябва да инсталирате и внедрите подходящи технически и организационни механизми за защита на събраните лични данни – включително защита срещу хакване, неоторизиран достъп, незаконно използване, случайна загуба, повреждане.
Например, ако пътническа агенция събира имената и паспортните данни на свои клиенти за дадено пътуване, тя трябва да им обясни на ясен и достъпен език за какво са й тези данни, какво ще бъде направено с тях, на кого ще бъдат предоставени и колко дълго ще бъдат съхранявани.
МОЖЕ ЛИ ФИРМАТА/ОРГАНИЗАЦИЯТА ДА ИЗПОЛЗВА СЪБРАНИТЕ ДАННИ ЗА ЦЕЛИ, РАЗЛИЧНИ ОТ ПОСОЧЕНИТЕ?
Да, но само в ограничени случаи. Ако дадена фирма/организация е събрала данни въз основа легитимен интерес или договор, тя може да ги използва, но само за цели, съвместими с първоначалната цел. Например, банката, в която дадено лице има кредит или сметка, може да използва неговите данни, за да му предложи по-изгодни условия по кредита или нова нейна услуга, свързана със сметката, но не може да предостави данните му например на някоя застрахователна компания, която да му предлага свои услуги.
Дали събраните данни могат да се използват за друга цел, се установява с тест за съвместимост, съдържащ следните въпроси:
• Има ли реална връзка между първоначалната цел, за която са събрани данните, и новата?
• Новата цел в контекста на отношенията между фирмата/организацията и лицето ли е?
• Какъв е типът на събраните лични данни, с които фирмата разполага, те от чувствителен характер ли са? (по-долу ще опиша кои са чувствителните данни)
• Какви ще са последиците от използването на данните, как ще засегнат те лицето?
• Има ли подходяща защита на данните? (напр. криптиране или псевдонимизация)
Ако фирмата/организацията иска да използва данните за статистика или научно изследване, такъв тест за съвместимост не е нужен.
Ако фирмата/организацията е събрала данните въз основа на съгласие или законово изискване, е забранено да ги използва за цели извън тези, за които е дадено съгласието или е определено от закона. За всяка друга цел се изисква ново съгласие или ново законово основание.
КАКВИ И КОЛКО ЛИЧНИ ДАННИ МОГАТ ДА СЕ СЪБИРАТ И ЗА КОЛКО ВРЕМЕ
Лични данни трябва да се събират само при твърда необходимост от обработката им. Новата регулация препоръчва навсякъде, където е възможно, да се използват анонимни данни, а когато не е възможно, да се събира възможният минимум от лични данни. Фирмите/организациите носят отговорност за това, да не събират данни, нерелевантни към целта на събирането им. Например, фирма за отдаване на коли под наем може да изисква име, адрес, номер на кредитна карта и евентуално здравен статус (в случай на нужда от специализирано оборудване), но не и данни за пол и раса.
Данните трябва да се съхраняват за максимално кратко време, освен в случаите, когато има законови изисквания за сроковете на съхранение или данните са нужни за статистически или научни цели. Всяка фирма ще трябва да си разработи правила за сроковете за унищожаване или преглед на събрани лични данни и да поддържа актуализация на тези от тях, които ще съхранява по-дълго време. Например, CV-та на кандидати за работа, които не са били назначени, но са включени в кадровия резерв на фирмата, не могат просто да се съхраняват, ако периодично не се актуализират чрез връзка с тези кандидати.
КАКВА ИНФОРМАЦИЯ ТРЯБВА ДА СЕ ПРЕДОСТАВИ НА ЛИЦАТА, ЧИИТО ЛИЧНИ ДАННИ СЪБИРАМЕ
При искане на лични данни от дадено лице, то трябва да бъде информирано за следното:
1. Коя е фирмата/организацията, контактната й информация, както и тази на отговорника за личните данни в нея (препоръчително е да има такъв).
2. Защо й трябват тези данни (целите)
3. Категориите данни, които й трябват за изпълнение на тези цели
4. Правото на фирмата/организацията да събира лични данни и правното основание за обработката им
5. За колко време ще се съхраняват тези данни. Ако не е възможно да се посочи конкретен срок, се посочват критериите, по които се определя времето за съхранението им.
6. Кой друг освен фирмата би имал достъп до тях – трети страни или категории получатели, които биха имали достъп до тях.
7. Дали ще бъдат предоставяни на други организации/лица извън ЕС
8. Лицето трябва да бъде изрично информирано, че има право да получи копие от личните данни, които фирмата/организацията съхранява за него, както и за другите му основни права според Регламента (тях ще ги изброя по-долу)
9. Че може да оттегли съгласието си по всяко време, че може да отправя оплаквания към отговорника за личните данни
10. Дали предоставянето на исканите лични данни е задължително изискване за сключване на договор, участие в търг или друга правно обоснована цел, и до какви последици води отказът от предоставяне на личните данни от страна на лицето.
11. Лицето трябва да е информирано за наличието на автоматизирани процеси на обработка на личните данни, водещи до профилиране и оценяване на определени лични аспекти и вземане на решения на тяхна база. Това включва анализиране или прогнозиране на аспекти, отнасящи се до работата му, финансовото му състояние, хобитата му, здравето, личните предпочитания, поведението, местоположението или движението му. Лицата, чиито данни са обект на такава обработка, имат правото да откажат данните им да бъдат използвани за целите на директния маркетинг или дейности, свързани с директния маркетинг.
Изредената информация може да бъде предоставена на лицата или писмено, или устно по искане на лицето, когато идентичността му е установена по други начини, или по електронен път, където е приложимо. Изисква се информацията да е лесно достъпна, да е изложена на ясен и разбираем език и да е безплатна.
Когато фирмата/организацията ви е в ролята на трета страна, добила достъп до лични данни, тя е длъжна да информира лицето, до чиито лични данни има достъп, в срок от 1 месец след получаване на достъпа, освен в случаите, изредени в чл.14. Ако личните данни са добити с цел комуникация с лицето, информацията се предоставя при първата комуникация с него. Като трета страна, фирмата/организацията е длъжна да информира лицето до какви негови данни има достъп и от кого е добила данните му, включително когато са добити от публично достъпни източници. Изключенията от това задължения са описани в чл. 14 (5) от Регламента.
КОИ ЛИЧНИ ДАННИ СА ЧУВСТВИТЕЛНИ
• Лични данни за раса, етнически произход, политически възгледи, религиозни или философски вярвания
• Данни за членство в профсъюзи
• Генетични и биометрични данни, с които може да се идентифицира лицето
• Данни, засягащи здравния статус на лицето
• Данни за сексуалната му ориентация и сексуалния му живот
КАКВИ СА ОСНОВНИТЕ ПРАВА НА ЛИЦАТА, ЗА КОИТО ТЕ ТРЯБВА ДА БЪДАТ ИНФОРМИРАНИ
Право на информация за събирането и обработката на личните му данни;
Право на достъп до личните данни, които са събрани за него;
Право на коригиране на неправилни, неточни или непълни лични данни;
Право на искане за заличаване на лични данни, когато повече не са необходими или са събрани незаконно;
Право на възражение срещу обработването на личните му данни за маркетингови цели или за цели, свързани със специфична конкретна негова ситуация;
Право на искане за забрана на обработката на личните му данни в специфични случаи;
Право да получи личните си данни в подходящ формат, удобен за прехвърлянето им към друг администратор;
Право на искане, засягащите го решения, базирани на автоматизирани процеси на обработка на личните му данни, да бъдат вземани от истински хора, а не само от компютри, както и да оспорва такива решения.