Защита на лични данни

Принципи при обработката на лични данни

Автор: Преслав Балджиев

Не е тайна за никого, че личните данни са един от най-важните и ключови ресурси, с които се работи в бизнес средите. Това наблюдение поставя няколко въпроса, като най-значимият и хвърлящ най-голяма неяснота е въпросът, свързан с начините за обработване на тези лични данни. Отговорите на този и редица други въпроси, могат да бъдат открити в разпоредбите на приетия през 2016 година Общ регламент за защита на личните данни (за напред наричан ОРЗД, GDPR, Регламентът или документът)

Какво са лични данни?

Личните данни са легално понятие, чиято дефиниция се съдържа в член 4 от Регламента. Според поместения в GDPR текст Личните данни представляват „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата физиологичната генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.“

Използваната дефиниция е дълга, но подробностите включени в нея позволяват точно да се определи кои категории данни могат да бъдат наречени лични. За да попадат в графата „лични данни“, предоставената информация трябва да отговаря на следните условия:

  • Да касае физическо лице – С други думи казано, личните данни не могат да се отнасят до търговски дружества. Това е съвсем разбираемо, като се има предвид, че досущ като Българския Търговски регистър към Агенцията по вписванията, така и Търговските регистри на останалите държави-членки на ЕС са публични и информацията, касаеща юридическите лица е общо достъпна;
  • Да е достатъчна да идентифицира физическото лице (било то пряко или непряко) – Значението на идентифицирането не бива да се стеснява само и единствено до смисъла на точното определяне на лицето (пр. данните да ни покажат, че се отнасят за Асен Асенов Асенов, роден на 01.01.1955 година). За информация, която може да идентифицира дадено лице, биха се сметнали данни, указващи само и единствено пол, цвят на очи, ръст, семейно положение или др. (достатъчно е само едно от изброените).

Какво означава обработване на лични данни?

Напълно безсмислено е да се събират лични данни, ако те не биват обработвани. Обработването на лични данни също е легален термин, чиято дефиниция се съдържа в член 4 от GDPR. Според посочения там текст обработването „означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.“

Както беше при понятието за лични данни, така и тук дефиницията е изключително широка и обемна. Имайки предвид че търговците използват личните данни и предоставянето на такава информация е еднопосочно, тоест само в посоката от физическото лице към търговеца, то е съвсем нормално да заключим, че се създава едно монополно положение в полза на бизнес средите. Затова широката дефиниция е подкрепена от изрично посочени в Регламента основания (подробно разгледани в друга статия) и принципи (които ще бъдат разгледани в следващия параграф) за обработване на лични данни.

Принципи на обработка на лични данни

Както вече беше споменато, принципите са изрично посочени в GDPR и по-специално в член 5 от Регламента. Принципите са 7 на брой, като те са:

  • Обработването да бъде законосъобразно, добросъвестно и да се извършва по прозрачен начин – Този принцип на обработка кореспондира директно с член 6 от ОРЗД, където са посочени основанията за обработване на лични данни (тоест обработването следва да стъпва на едно от посочените основания). Що се касае до прозрачността, намерила място във втората част на принципа, то тя гарантира, че физическото лице ще знае с каква цел се събират и обработват личните му данни. Точно затова субектът на лични данни има право да отправи запитвани какви лични данни се обработват от съответния Администратор (право на информация);
  • Ограничение на целите за обработване – Този принцип гарантира, че личните данни ще бъдат обработвани единствено за целите, за които са събрани. Или с други думи казано, ако вече събраните данни трябва да се обработват с някаква друга, различна от първоначалната цел, то тези данни следва да бъдат събрани повторно. Важно е да се уточни, че Администраторът трябва да определи целите за обработка преди да започне да събира личните данни;
  • Свеждане на данните до минимум – Администраторът следва да събира само тези лични данни, които са му необходими за целите на обработването. Ако трябва да се даде пример, то подходящ би бил примерът с електронната търговия (в случай, че физическото лице желае да закупи онлайн мобилно устройство, то то е необходимо да предостави три имена, телефонен номер и адрес за доставка, а всяка една друга лична информация би била необосновано събрана);
  • Точност и актуалност – Тъй като става въпрос за лични данни, те могат да подлежат на промяна през целия живот на субекта им (пр. промяна на телефонен номер) или с други думи казано, принципът установява правото на коригиране, което субектът на лични данни притежава. Този принцип е пряко свързан и със задължението на Администратора да уведоми субекта на лични данни, ако те бъдат откраднати или „изтекат“;
  • Ограничение на съхранението – Принципът на ограничение на съхранението гарантира сигурност за физическото лице, че неговите лични данни няма да бъдат обработвани безсрочно. Този период на обработка следва да бъде съобразен с целите, за които са събрани личните данни. По-дълги срокове за обработка са позволени единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания, както и за статистически цели;
  • Цялостност и поверителност – Личните данни представляват такава информация, която разкрива дребни детайли от живота на физическото лице. Точно затова, Администраторът има задължение да приложи необходимите технически и организационни мерки, които да не позволяват нерегламентирания достъп до събраните лични данни.
  • Отчетност – Това е единственият принцип, който е изнесен в отделен параграф. Благодарение на това основно начало, субектът на лични данни е максимално улеснен при констатиране на нарушение, тъй като Администраторът е този, който следва да докаже, че нарушението не е извършено. Имайки предвид положението в гражданското право (че всеки доказва фактите, които е заявил), то съвсем естествено е да се запитаме защо доказателствената тежест е разместена. Отчетността освен, че улеснява физическото лице, гарантира и че Търговецът осъзнава своите задължения в качеството си на Администратор на лични данни и че полага необходимите усилия да спазва законодателната рамка, която регламентира всички въпроси, свързани със събирането и обработването на лични данни.

Извод

Всичко изложено до тук затвърждава важността на личните данни и необходимостта от адекватни гаранции за тяхната обработка. Наличието и най-вече изричното утвърждаване на принципите и основанията в нормативен акт не е случаен ход на Европейското нормотворчество, а е предсказуема последица от дигитализацията и глобализацията на света. Колкото повече общество свиква с тези нови характеристика на заобикалящата го среда, то толкова по-големи заплахи и евентуални злоупотреби ще дебнат зад ъгъла. Въпреки обширността и всеобхватността на Регламента, физическите лица в качеството си на субекти на лични данни следва да полагат минимума от изискуеми усилия, с които да предотвратят нарушаването на някоя от разпоредбите в GDPR. А отвъд минимума се намесва Европейското законодателство.

Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно принципите при обработка на лични данни. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. От 2017 година Преслав Балджиев е студент по право в Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.

error: Content is protected !!