Политика за защита на лични данни съгласно GDPR

Защитата на лични данни е от особено важно значение както за потребителите, така и за собствениците на уеб сайтове. Операторите (по-нататък наричани „администратор“ или „администратори“) на сайтове следва да разбират съображенията на посетителите относно защитата на личните данни и да са ангажирани да защитят техните лични данни като прилагат всички стандарти съгласно действащото законодателство. Администраторите следва да зачитат неприкосновеността на личността на потребителите и да ги информират за каква цел се събират личните данни, категории лични данни, които се събират, дали личните данни се предоставят на трети страни, как са защитени данните срещу неправомерно обработване.

Настоящата публикация има за цел да очертае какво следва да съдържа една изчерпателно изготвена политика за защита на личните данни съгласно изискванията на чл.13 от Регламент 2016/679 (GDPR). Насоките за съставяне на политика за поверителност в тази статия са съобразени изцяло с изискванията на новия Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни (GDPR), който ще се прилага от 25 май 2018 година.

В политиката за защита на лични данни (или така наречената „политика за поверителност“), най-често в практиката, се съдържа цялата информация относно защитата на лични данни.

На първо място, преди да сме описали какво следва да съдържа една изчерпателна политика за защита на личните данни, е редно да дефинираме какво се разбира под понятията лични данни и обработване на лични данни. Лични данни са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“, като в настоящата публикация ще бъде наричан „потребител“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Обработване на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

Съдържание на политиката за защита на личните данни

  • Въведение:Като въведение в политиката за поверителност, е добре да посъветвате потребителите да прочетат внимателно политиката и в случай, че имат въпроси, е препоръчително осъществяване на контакт с администратора. Също така, ако потребителят не е съгласен с някои от условията, съдържащи се в политиката за защита на личните данни, не се препоръчва използването на уеб сайта и не трябва да предоставя личните си данни.
  • Предоставяне на информация за администратора:На следващо място, следва да предоставите информация относно администратора, която най-общо идентифицира администратора. Такава информация е име на администратор; постоянен адрес или седалище и адрес на управление; адрес, на който упражнява дейността си, ако е различен от адреса посочен в предходната точка; данни за кореспонденция, включително телефон и адрес на електронна поща; данни за вписване в търговски или друг публичен регистър; информация за органа, осъществяващ контрол върху дейността му, когато тази дейност подлежи на уведомителен, регистрационен или лицензионен режим.
  • Предоставяне на информация за надзорния орган: Препоръчително е да посочите кой е надзорният орган и да предоставите данни за контакт с надзорния орган: адрес, телефон и адрес на електронна поща.
  • Координатите за връзка с длъжностното лице по защита на данните: Следва да се посочат данните за контакт на длъжностното лице по защита на данните, когато администраторът има длъжностно лице по защита на данните, като името на лицето може и да не се посочва.
  • Цели и обхват на политиката за поверителност:В тази част от политиката за поверителност, администраторът следва да маркира, че поема сериозен ангажимент по отношение на поверителността на личните данни. Също така, е препоръчително да се изброи каква информация предоставя администраторът в политиката за поверителност, като например: информация относно целите на обработването на личните данни; информация относно получателите или категориите получатели, на които могат да бъдат разкрити данните; информация относно данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни.
  • Дефиниции:Необходимо е да се дефинират някои от термините, които ще се използват в политиката за защита на личните данни, като например какво представляват лични данни, обработване на лични данни, ограничаване на обработването, профилиране, псевдонимизация, администратор на лични данни, обработващ лични данни, получател на лични данни, трета страна, съгласие на субекта на данните, нарушение на сигурността на данните.
  • Принципи свързани с обработването на личните данни: Препоръчнително е администраторът да посочи какви принципи съблюдава при обработването на лични данни, като например законосъобразност; добросъвестност и прозрачност; съотносимост на обработката с целите; точност и актуалност; свеждане на данните до минимум; ограничение на съхранението; отчетност; цялостност и поверителност; съгласие на потребителите за обработка на данните.
  • Цели на обработване на лични данни:От съществено значение е да се изброят целите, за които се обработват личните данни, които се събират от потребителите. Обикновено целта за събиране на лични данни е предоставянето на услугата, която администраторът предлага. Допълнителните цели са например изпращане на бюлетини, оферти и др.
  • Правното основание за обработването на лични данни: Задължително трябва да бъде посочено на какво правно основание се събират и обработват личните данни: – дали потребителят е дал съгласие за обработване на личните му данни за една или повече конкретни цели; – дали обработването е необходимо за изпълнението на договор, по който потребителят е страна, или за предприемане на стъпки по искане на потребителя преди сключването на договор; – дали обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора; – дали обработването е необходимо, за да бъдат защитени жизненоважните интереси на потребителя или на друго физическо лице; – дали обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; – дали обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на потребителя, които изискват защита на личните данни, по-специално когато потребителят е дете.
  • Данни, които се събират и обработват:В политиката за поверителност задължително следва да се посочи дали се събират и обработват специални категории лични данни (т.нар. чувствителни лични данни), а също така дали се обработват лични данни на деца. Следва да бъдат изброени всички лични данни, които администраторът събира и обработва, в това число:
  1. Лични данни, които директно се събират от потребителите, като например какви лични данни се събират когато потребителят се свърже с оператора чрез имейл, по телефона, по пощата, а също и когато потребителят се абонира за получаване на бюлетин или извърши регистрация в уеб сайта или покупка чрез сайта.
  2. Лични данни, които са предоставени от трети страни.
  3. Лични данни събирани от публични регистри.
  • Указания за използване на бисквитки:Много често сайтовете използват бисквитки. Бисквитките са малки текстови файлове, които се изпращат от уеб сайтовете до компютъра или устройството на потребителя и се съхраняват във файловата директория на браузъра, който потребителят използва. Те събират информация за начина на използването на сайта с цел разпознаване на потребителя и подобряване на работата със сайта. При използване на бисквитки следва да бъде предоставена подробна информация относно целите на съхранението или достъпа до данните и целите на обработването им. Също така, на потребителя следва да бъде предоставена възможност да откаже съхраняването или достъпа до информацията. Често срещано в практиката е политиката относно използването на бисквитки да се съдържа в политиката за поверителност или в общите условия за ползване на уеб сайт. Препоръчително е да бъде описана в отделен документ, поради което тази тема ще бъде разгледана подробно в следващата публикация, която ще бъде посветена на указания относно използването на бисквитки.
  • За какъв срок се съхраняват личните данни:Следва да се посочи срокът за съхранение на личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок. Следва да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Важно е да бъде отбелязано, че администраторът е длъжен да унищожи данните, след като е била изпълнена целта, за която са били събрани.
  • Задължителен и доброволен характер на предоставяне на личните данни:Тук следва да бъде предоставена информация относно данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им.
  • Информация относно обработването на личните данни:В тази част е препоръчително да се опише по какъв начин се обработват личните данни, а също така да се посочи дали личните данни се обработват самостоятелно или чрез възлагане на обработващи данните от името на администратора.
  • Информация за защита на личните данни:Администраторът следва да посочи, че е предприел необходимите технически и организационни мерки, за да защити личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
  • Получатели, на които могат да бъдат разкрити личните данни:Посочват се получателите на, които администраторът има право да разкрива обработваните лични данни, като например: на потребителите, за които се отнасят данните; на лица, ако е предвидено в нормативен акт; на лица, обработващи личните данни. Когато е приложимо, се посочва и намерението на администратора да предаде личните данни на трета държава или на международна организация.
  • Права на потребителите и ред за упражняване на правата:Препоръчително е в отделен раздел да опишете какви права имат потребителите, чиито лични данни се обработват и ред за упражняване на правата. Например, сред най-важните права са:
  1. Право на достъп на потребителите до отнасящите се за тях данни;
  2. Право на коригиране;
  3. Право на изтриване (право „да бъдеш забравен“);
  4. Право на ограничаване на обработването;
  5. Право на преносимост на данните;
  6. Право на уведомяване за нарушение на сигурността на личните данни;
  7. Право на защита по съдебен и административен ред  (право на подаване на жалба до надзорен орган;  право на ефективна съдебна защита срещу надзорен орган; право на ефективна съдебна защита срещу администратор или обработващ лични данни);
  8. Право на обезщетение за претърпени вреди;
  9. Право на оттеглянето на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, което е дадено, преди то да бъде оттеглено.

Наред с тези права, потребителят има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, в случаите, в които обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на оператора или обработването е необходимо за целите на легитимните интереси на оператора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на потребителя, които изискват защита на личните данни, по-специално когато потребителят е дете.

Когато се обработват лични данни за целите на директния маркетинг, потребителят има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. Най-късно в момента на първото осъществяване на контакт с потребителя, той изрично се уведомява за съществуването на правото на възражение описано по-горе,  което му се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация.

  • Ред за упражняване на правата: Редът за упражняване на правото на достъп, правото на изтриване, коригиране или ограничаване на обработването е чрез подаването на писмено искане до оператора на уеб сайта. Администраторът предоставя на потребителя информация относно действията, предприети във връзка с искането, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира потребителя за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато потребителят подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако потребителят не е поискал друго. Ако администраторът не предприеме действия по искането на потребителя, администраторът уведомява потребителя без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.
  • Информация относно извършването на профилиране и за последствията от това профилиране: Следва да се посочи дали се извършва профилиране и за последствията от профилирането.
  • Промени в политиката за поверителност:Препоръчително е да бъде упоменато, че администраторът има право да актуализира като изменя и допълва политиката за защита на личните данни по всяко време в бъдеще когато обстоятелствата го налагат.

Накрая, препоръчваме ви при изготвянето на политика за защита на лични данни в съответствие с GDPR да използвате ясен и достъпен за потребителите на уеб сайта ви език. Поради множеството особености, коитo следва да бъдат съобразени при съставянето на политика за защита на лични данни, е препоръчително да бъде потърсено съдействие на специалист с опит в тази материя. Красимира Кадиева с удоволствие ще Ви съдейства при изготвянето на политиката за поверителност, тъй като в практиката си адв. Кадиева многократно е изготвяла документи за осъществяване на търговска дейност в интернет (общи условия, политика за защита на личните данни, политика относно бисквитките), както на български, така и на английски език. Във връзка новоприетия Регламент (ЕС) 2016/679, адвокат Кадиева съдейства на клиентите си да актуализират настоящите политики за защита на личните данни в съответствие с изискванията на GDPR.

Клиентите, които се довериха на адвокат Кадиева през изминалите месеци във връзка с оказване на съдействие относно подготовката на необходимите документи за съответствие с Регламент (ЕС) 2016/679 са доставчици на услуги, разработчици на софтуери, дигитални агенции, електронни магазини, фармацевтични дружества, строителни фирми, счетоводни къщи, транспортни фирми. Внедряването на Регламента от правна страна е двустранен процес, при който е необходимо съдействието на клиента чрез попълване на специално изготвен въпросник, а също така и предоставяне на необходимата информация за изготвяне на документите. Адвокат Кадиева помогна на клиентите си при изготвянето на необходимите документи, а също така и при внедряването на вътрешни процедури за осъществяване на задълженията на администратора както и процедури за проверка и контрол.

Този материал, изготвен от Красимира Кадиева, има за цел да предостави информация относно политиката за поверителност. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист с опит в тази материя. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с автора Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. Адвокат Красимира Кадиева съдейства при изготвянето на документи за осъществяване на търговска дейност в интернет (общи условия, политика за защита на личните данни, политика относно бисквитките), както на български, така и на английски език.