Ключови задължения за бизнеса

1. Какво означава да си администратор на лични данни?

Следователно, ако Вие решавате какви данни да се събират, защо се събират и как ще се използват – вие сте администратор.

Пример: онлайн магазин, който събира данни за доставка (име, телефон, адрес), за да изпълни поръчките си, е администратор на тези данни.

Основните задължения на администратора включват:

• да обработва данните законосъобразно, добросъвестно и прозрачно;
• да спазва принципите на Общия регламент относно защитата на данните (GDPR) – минимизиране, точност, сигурност и др.;
• да информира лицата за обработването на данните им;
• да осигури подходящи мерки за сигурност;
• да зачита правата на субектите на данни;
• да води необходимата документация (напр. регистър на дейностите по обработване);
• да уведоми КЗЛД при инцидент в срок до 72 часа.

Ясното разбиране на ролята на администратора помага да се избегнат глоби, да се изгради доверие у клиентите и да се осигури прозрачна и сигурно обработване на личните данни в рамките на закона.

1. Какво означава да си обработващ лични данни?

Обработващ лични данни не решава самостоятелно защо и как да се обработват личните данни, тъй като ги обработва от името на друго лице, а именно от името на администратора. Обработващият следва инструкции и няма право да използва данните за собствени цели, както и да ги споделя с трети лица без изричното разрешение на администратора.

Пример: счетоводна къща, която обработва заплатите на служителите на клиентска фирма. Клиентът е администратор, счетоводителят е обработващ; куриерска фирма, на която онлайн магазин изпраща списък с клиенти и адреси за доставка. Магазинът е администратор, а куриерът – обработващ.

Основните задължения на обработващия включват:

• да действа само по инструкции на администратора;
• да гарантира сигурността на данните;
• да сключи договор с администратора, съгласно чл. 28 GDPR;
• да уведоми администратора при инцидент с данни;
• да не наема подизпълнители без предварително одобрение.

Знаейки кога действа като обработващ, едно търговско дружество може да определи ясно отговорностите си, да изгради доверие с партньорите си и да избегне нарушения, които могат да доведат до санкции.

• Какви права имат клиентите Ви по GDPR?

Клиентите Ви, като субекти на данни, имат редица права съгласно гл. III GDPR. Всеки бизнес, който обработва лични данни, трябва да съблюдава тези права:

1. Право на информация (чл. 13 и чл. 14 GDPR)

Субектът на данни има право да бъде информиран ясно и навреме относно:

• данни, които идентифицират администратора и негови контакти;
• когато за обработването на данни отговаря длъжностно лице по защита на данните, се предоставят и негови контакти;
• какви лични данни се обработват;
• за какви цели личните данни се обработват;
• когато данните се обработват на основание легитимен интерес, субектите на данни имат право да получат информация какви са тези интереси;
• дали данните ще бъдат споделяни с трети страни;
• за какъв срок ще се съхраняват личните данни;
• че съществува негово право на достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, право да се направи възражение срещу обработването, както и правото на преносимост на данните;
• когато данните се обработват на основание съгласие, администраторът следва да уведоми субектите на данни, че имат право на оттегляне на съгласието по всяко време;
• право на жалба до надзорен орган;
• дали предоставянето на лични данни е задължително или договорно изискване;
• съществуването на автоматизирано вземане на решения, включително профилирането
• ако администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, следва да уведоми субекта на данни за тази друга цел и да му предостави цялата необходима информация.

2. Право на достъп (чл. 15 GDPR)

Субектът на данни има право да получи потвърждение дали се обработват негови данни, какви точно са те, за какво се използват, на кого се разкриват и за колко време ще се съхраняват. Има право да получи и копие в разбираем формат, което съдържа всички лични данни, които са в процес на обработване. Следователно администраторът е длъжен да предприеме подходящи мерки, за да предостави на субекта на данните цялата информация в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.  Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства, освен ако субектът на данните не поиска тя да бъде предоставена устно.

Следва обаче да се отбележи, че  правото на получаване на копие, не следва да влияе неблагоприятно върху правата и свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера (Решение на Съда на Европейския съюз от 4 май 2023 г., F.F. срещу Österreichische Datenschutzbehörde, дело C‑487/21).

3. Право на коригиране (чл. 16 GDPR)

Ако данните са неточни или непълни, лицето може да поиска тяхната корекция или допълване без ненужно забавяне.

4. Право на изтриване или „право да бъдеш забравен“ (чл. 17 GDPR)

Субектът на данни може да поиска данните му да бъдат изтрити, ако вече не са необходими за целта, за която са събрани, ако е оттеглил съгласието си, ако обработването е било незаконосъобразно и т.н. Това право не е абсолютно – има изключения, напр. при законово задължение за съхранение. Напр. правото на изтриване не може да бъде упражнено, ако субектът на данни иска да бъдат изтрити всички негови данни от дружество, което предоставя счетоводни услуги, след като е прекратил договора си, тъй като дружеството има задължение по закон да съхранява данните за определен период от време.

5. Право на ограничаване на обработването (чл. 18 GDPR)

В определени случаи субектът на данни има право да изиска от администратора ограничаване на обработването:

• Оспорване на точността на данните – обработването се спира временно, докато се провери дали данните са верни.
• Незаконна обработването, но без искане за изтриване – субектът не иска данните да бъдат изтрити, а само да не се използват.
• Данните не са нужни на администратора, но все още са нужни на субекта – например за защита на правни претенции.
• Подадено възражение срещу обработването – ограничение, докато се установи дали интересите на администратора имат преимущество.

При ограничаване на обработването, данните могат да се обработват само със съгласие на лицето, за правни претенции, за защита на други лица или по важни обществени причини.

6. Право на преносимост на данните (чл. 20 GDPR)

Когато обработването се основава на съгласие или договор и се извършва автоматизирано, лицето има право да получи личните си данни в структуриран, широко използван и машинно четим формат и да ги прехвърли към друг администратор. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

7. Право на възражение (чл. 21 GDPR)

Субектът може да възрази срещу обработването на личните си данни, ако то се извършва на основание „легитимен интерес“, задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора или за целите на директен маркетинг. В такъв случай обработването трябва да бъде прекратено, освен ако не съществуват законови основания, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

8. Право да не бъде обект на автоматизирано вземане на решения, включително профилиране (чл. 22 GDPR)

Субектът на данни има право да не бъде подлаган на изцяло автоматизирани решения, които имат правно или съществено отражение върху него, освен ако има изрично съгласие или това е разрешено по закон.

1. Какви права имат служителите Ви по GDPR?

Служителите имат същите основни права по GDPR, както и всеки друг субект на данни. Това включва всички изброени в т. „III. Какви права имат клиентите Ви по GDPR?”. Работодателят е длъжен да обработва личните им данни законосъобразно, прозрачно и пропорционално спрямо целите, свързани с трудовото правоотношение.

Работодателят има право да обработва част от данните на служителите без тяхно съгласие, когато обработването се основава на трудов договор или за спазване на законови задължения. Въпреки това, всяко обработване трябва да е пропорционална и добре обоснована.

Служителите следва да бъдат информирани по разбираем и достъпен начин за начина, по който техните лични данни се обработват. Политиките за поверителност и вътрешните правила относно защитата на данните трябва да бъдат разположени на видими и леснодостъпни места. Работодателят следва да гарантира, че служителите са запознати със съдържанието им и при възможност да удостовери това.

1. Какви са основанията за обработване на лични данни?

Обработването на лични данни е допустимо само ако е налице основание, посочено в чл. 6, пар. 1 от GDPR. Администраторът не може да събира или използва лични данни произволно – необходимо е ясно да бъде определено на кое от изброените основания се основава всяка конкретна дейност по обработване:

1. Съгласие на субекта на данни

Обработването на това основание е допустимо, когато лицето е дало съглсие. Това основание е подходящо, когато няма друг правен начин за събиране на данните. Съгласието трябва да отговаря на няколко условия (Решение на Съда на Европейския съюз от 1 октомври 2019 г., Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV срещу Planet49 GmbH, дело C‑673/17):

• Да е дадено с активно действие – Съгласието трябва да бъде дадено чрез ясно и активно действие от страна на субекта на данните. Предварително отметнати полета, полета, които насочват към отметката за съгласие (напр. означени в различен цвят, подчертан или удебелен текст и т.н.) или мълчание не се считат за валидно съгласие.
• Да е свободно изразено – Съгласието трябва да бъде дадено свободно, без принуда или неблагоприятни последици при отказ. Обвързването на участие в промоция с даване на съгласие за обработване на данни може да се счита за принуда.
• Да е информирано – Субектът на данните трябва да бъде ясно информиран за целите на обработването, видовете данни, които ще се обработват, и дали данните ще бъдат споделяни с трети страни.
• Недвусмислено – Съгласието трябва да бъде дадено за конкретни цели и да бъде ясно разграничено от други въпроси. Общото съгласие за множество цели не е допустимо.

Пример: клиент се записва за бюлетин чрез уебсайт, като изрично маркира, че иска да получава маркетинг съобщения.
👉 Съгласието трябва да може да бъде оттеглено по всяко време.

2. Изпълнение на договор

Обработването е необходимо, за да се изпълни договор, по който субектът е страна, или за предприемане на стъпки по негово искане преди сключване на договор.

Пример: онлайн магазин обработва име, адрес и телефон на клиент, за да достави направена поръчка.
👉 При обработвне на данни на това основание (както и на всяко друго, извън съгласие) не е нужно съгласие – договорът е основание.

3. Законово задължение

Данните се обработват, защото това се изисква от приложим закон.

Пример: търговско дружество е длъжно да съхранява счетоводна информация (вкл. лични данни от фактури) за определен законоустановен срок.
👉 Обработванео на данни в тези случаи е задължително, независимо от съгласието на лицето.

4. Защита на жизненоважни интереси

Използва се в извънредни случаи – когато е необходимо да се защити животът или здравето на дадено лице.

Пример: служител получава тежка травма на работното място, а работодателят предава личните му данни на спешна помощ.
👉 Това е изключение и не е приложимо в стандартна бизнес дейност.

5. Изпълнение на задача от обществен интерес или упражняване на официални правомощия

Обикновено се прилага от публични органи и институции, когато изпълняват правно възложени функции.

Пример: училище обработва личните данни на ученици и родители във връзка с държавно финансиране.
👉 Рядко приложимо за частни фирми.

6. Легитимен интерес на администратора или трета страна

Може да се използва, когато обработването е необходимо за законните интереси на администратора, освен ако не надделяват интересите или основните права и свободи на субекта на данните.

Пример: видеонаблюдение в търговски обект с цел предотвратяване на кражби.

👉 Тук е важно да се направи тест за баланс на интересите – да се прецени дали обработването е разумно и не засяга прекомерно правата на лицата.

Не може да се разчита едновременно на всички основания – за всяка дейност по обработване трябва да се избере едно правно основание, което е подходящо спрямо целта на обработването. Това основание трябва да бъде ясно посочено.

Пример: Онлайн магазин събира имена, адреси и телефони на клиентите, за да достави техните поръчки. В този случай правното основание е „изпълнение на договор“ (чл. 6, пар. 1, б. „б“ от GDPR), защото обработването е необходимо за изпълнение на покупката. За същата дейност не може да се изисква и „съгласие“. Затова е важно да се избере само едно основно основание, което най-добре отразява реалната цел на обработването.

1. Какви записи трябва да водят администраторите и технитe представители? (чл. 30 GDPR)

1. Регистър нa дейностите по обработване (за администратори на лични данни)

Всеки администратор на лични данни трябва да води регистър на дейностите по обработване. Това е вътрешен документ, който описва какви лични данни се събират, за какви цели, на какво основание, за колко време се съхраняват, кой има достъп до тях и на кого могат да бъдат разкрити. Това задължение не се отнася до дружества с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни или лични данни, свързани с присъди и нарушения.

Регистърът трябва да съдържа най-малко следното:

• името и координатите на администратора/обработващия и длъжностното лице по защита на данните (ако има такова);
• целите на обработването;
• описание на категориите субекти на данни и категории лични данни;
• категории получатели (включително в трети страни или международни организации);
• сроковете за съхранение на различните видове данни;
• описание на техническите и организационни мерки за сигурност.

2. Регистър на категориите дейности по обработване (за обработващи лични данни)

Когато дадена организация действа като обработващ лични данни (т.е. обработва данните по указание на администратор), тя също има задължение да води регистър на всички категории дейности по обработване, които извършва от името на всеки администратор. Това задължение е уредено в чл. 30, пар. 2 от GDPR и има за цел да осигури прозрачност и проследимост в отношенията между обработващия и администратора.

Регистърът трябва да съдържа най-малко следното:

• Името и координатите на обработващия, както и на всеки администратор, от чието име действа;
• Категориите дейности по обработване, извършвани за всеки администратор (напр. съхранение на клиентски данни, техническа поддръжка, издаване на фактури);
• Прехвърляния на данни към трети държави или международни организации, ако има такива;
• Описание на техническите и организационните мерки за сигурност, които се прилагат за защита на данните (съгласно чл. 32 GDPR).

Важно: Тези регистри не са публични, но трябва да бъдат предоставени при поискване от надзорния орган. Регисрите не трябва да бъдат достъпни за всички служители или външни лица, освен ако това не е необходимо за конкретна проверка, оценка на риска или изпълнение на задължения по регламента. Достъп до регистрите могат да имат, например:

• отговорното длъжностно лице (ако има такова),
• ръководството или определено лице/екип, отговарящ за защитата на данните,
• юрисконсулт или DPO (ако има назначен),
• при нужда – външни консултанти, които подпомагат спазването на GDPR.

Следователно достъп до регистрите следва да имат само оторизирани лица, които са ангажирани с обработването на лични данни или контрола върху тази дейност.