Кои са принципите, които трябва да се спазват при обработка на лични данни

КОИ СА ПРИНЦИПИТЕ, КОИТО ТРЯБВА ДА СЕ СПАЗВАТ ПРИ ОБРАБОТКА НА ЛИЧНИ ДАННИ

При обработка на лични данни в качеството Ви на администратор или обработващ, Вие трябва да спазвате принципите, залегнали в Общия регламент относно защитата на данните.

В чл. 5 от Регламент (ЕС) 2016/679 – ОРЗД  са изброени основните начала, които трябва да се следват, а именно:

  • „законосъобразност, добросъвестност и прозрачност“;
  • „ограничение на целите“;
  • „свеждане на данните до минимум“;
  • „точност“;
  • „ограничение на съхранението“;
  • „цялостност и поверителност“;
  • „отчетност“.

В настоящото изложение ще обсъдим законосъобразността, добросъвестността и прозрачността.

Законосъобразност

За да бъде законосъобразна обработката на лични данни, трябва да определите валидна правна основа за събирането им. В чл. 6 от ОРЗД са  изброени изчерпателно шест законни условия за събирането и обработването на лични данни.

Но когато се обработват специални категории лични данни (пр. раса, етнически произход, политически възгледи и др. ) съществуват по-строги условия за обработването им, залегнали в чл. 9 от Регламента.

Ако няма законова основа, въз основа на която се обработват личните данни, съответната обработка ще бъде незаконосъобразна и в разрез с принципа за законосъобразност.

Шестте условия съгласно чл. 6 от Регламента за законосъобразност на обработването на лични данни са, както следва:

  • Съгласие;
  • Договор;
  • Законово задължение;
  • Жизненоважни интереси;
  • Обществен интерес;
  • Легитимни (законни) интереси.

Съгласие –  при обработка на лични данни въз основа на съгласие, субектът на данни  дава ясно съгласие личните му данни да бъдат обработвани за една или повече конкретни цели. Съгласието може да се определи като възможност за реален избор и контрол, която се предоставя от администратора на субекта. То включва ясно потвърдително действие и в тази връзка е невалидно съгласието, което е дадено въз основа на предварително маркирани полета от страна на администратора. Нещо повече, съгласието не може да е условие за използването на дадена услуга. Пример за незаконосъобразно поискано съгласие може да се намери в редица уеб сайтове, където е поставено следното поле:

Този сайт използва бисквитки. Използвайки уеб сайта, Вие се съгласявате с използването на следните бисквитки:

Необходими  Предпочитания Статистика  Маркетинг  „

Имайте предвид, че с оглед на изискването за отчетност, следва да се запази доказателство за даденото съгласие. Също, ако сте получили съгласие за обработката на лични данни преди влизане на Регламента в сила и това съгласие е законосъобразно съгласно регламента, не е необходимо ново съгласие.

Следва да се създадат и механизми за оттегляне на съгласието, така че субектът да може да го оттегли толкова лесно, колкото го е предоставил. Имайте предвид, че ако разчитате на незаконосъобразно дадено съгласие, това може да повлияе както на репутацията Ви, така и да доведе до строги санкции от страна на Комисията за защита на личните данни.

Договор – обработката на лични данни въз основа на договор е законосъобразна, когато се сключва договор със субекта на данните и личните данни са необходими за изпълнение на задълженията, залегнали в договора или когато субектът поеме инициативата за сключване на договор като предостави личните си данни. Пример за незаконосъобразна обработка на лични данни въз основа на договор е когато се сключва трудов договор и в договора са описани номер, дата на издаване и издател на лична карта. Тези данни не са необходими за осъществяване на трудовоправното правоотношение и не са сред необходимите реквизити за сключване на трудов договор, залегнали в чл. 66 от КТ във връзка с пар. 1, т. 10 от допълнителните разпоредби на КТ.

Пример за законосъобразна обработка въз основа на договор е, когато клиент поръча стока от даден уеб сайт и предоставя адрес за доставка. Адресът е необходим за изпълнение на договора за покупко-продажба. (имайте предвид, че освен ако в закон или друг нормативен акт се изисква определена форма, договорът може да бъде в устна форма).

Законово задължение – личните данни се обработват законосъобразно, ако обработването е извършено в съответствие със законово задължение на администратора. Законовите задължения могат да бъдат както спазване на съществуващ закон, така и на съдебно решение. Имайте предвид, че при обработка на лични данни въз основа на законово задължение за това, правата на субектите са ограничени. Те нямат право на изтриване, преносимост или възражение срещу обработването.   Пример за обработка на лични данни въз основа на законово задължение е обработката на лични данни на деца и родители от училищата в изпълнение на Наредба № 8 от 11.08.2016г. за информацията и документите за системата на предучилищното и училищното образование.

Жизненоважни интереси – обработването на лични данни е законосъобразно и когато се отнася до защита на жизненоважни интереси на субекта на данни или на трето лице. Не е законосъобразна обработката на данни относно медицинското състояние на лице, когато то е способно да даде съгласие за тази обработка. Но когато лицето е в безпомощно състояние и обработката е необходима за защита на живота му, това основание може да се приложи.

Обществен интерес –  обработването въз основа на обществен интерес е законосъобразно, когато:

  • e необходимо за изпълнение на задача от обществен интерес; или
  • е необходимо за упражняване на официални правомощия, които са предоставени на администратора.

Легитимен интерес – това е най-гъвкавата от законовите основи и най-подлежащата на тълкуване такава. За да  се разчита на нея, е необходимо:

  • идентифициране на конкретен легитимен интерес, който обуславя събиране и обработка на лични данни;
  • събирането и обработването трябва да е необходимо за постигането на легитимния интерес;
  • да се вземат предвид интересите и въздействието върху отделните лица;
  • да бъде документиран процесът по вземане на решение за разчитане на легитимен интерес.

При обработване на лични данни въз основа на което и да е от горепосочените основания, трябва да сте в състояние във всеки един момент да докажете  съответното основание. Заради това е препоръчително да се води документация относно обработваните лични данни ведно с условията, въз основа на които се обработват.

Законосъобразната обработка също включва обработване на лични данни в синхрон с националното и европейското законодателство. Обработването може да е незаконосъобразно, ако:

  • настъпи пробив в сигурността;
  • Вашата организация превишава правата си по закон във връзка с обработката на лични данни;
  • обработване на лични данни в разрез със Закона за авторското право и сродните му права;
  • нарушение на договорно задължение във връзка с обработката на лични данни;
  • Нарушение на Европейската конвенция за правата на човека и основните свободи.

Посоченият по-горе списък е неизчерпателен.

Добросъвестност

В чл. 5 от регламента е залегнало разбирането, че личните данни трябва да се обработват добросъвестно. Добросъвестността се състои в способността на администратора или обработващия да оправдае всяка една обработка като необходима за изпълнение на определени цели. Добросъвестността се състои и в обработването на лични данни по начин, по който субектите очакват да се осъществи съответната обработка, като същите не бива да бъдат заблуждавани или подвеждани. Може да бъде определено като недобросъвестно обработването, когато едно физическото лице е информирано, че данни за неговият пол се събират само за целта на регистриране на „профил“ в даден сайт, но не е информирано, че същата тази информация ще се използва като параметър на алгоритъма за съвпадение на профили или с цел маркетинг.

Прозрачност

Принципът за прозрачност създава задължение за администратора да предприеме всички подходящи мерки за информиране на субектите на данни относно начина, по който се обработват техните лични данни. Прозрачността се състои както в задължението за предоставяне на информация на субектите преди осъществяване на процеса по обработка, така и в информацията, която следва да бъде достъпна до субектите в процеса на самата обработка. Администраторът е задължен да обясни на субектите по разбираем и лесно достъпен начин целта, рисковете, правилата, мерките за сигурност и правата на субектите по отношение на обработваните техни лични данни. Дълги, сложни обяснения, предназначени да объркват или разсейват субекта, не са приемливи съгласно ОРЗД.

В заключение, първият принцип на ОРЗД – законосъобразност, добросъвестност и прозрачност, се съсредоточава главно върху основните причини за събирането и обработката на лични данни и как те ще бъдат използвани. Той се състои в  необходимостта от законова основа за обработка. Спазването на принципа гарантира, че данните се събират справедливо и че обработването  не представлява несправедливо ощетяване на субектите на данни – физически лица. Той задължава администраторите и обработващите да бъдат прозрачни за вида на събираната информация и начина, по който тя ще бъде обработена и използвана. Лицата, които обработват лични данни, носят  отговорност за документиране на предприетите действия за спазване на принципите на ОРЗД.

 

 

Close Menu