С Регламент (ЕС) 2016/679 На Европейския Парламент и на Съвета от 27 април 2016 година се унифицира правната рамка на защитата на личните данни в Европейския съюз, като целта на Регламента е да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, както и да се регламентира нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни.
I. Лични данни
В тази връзка следва да се обърне внимание на задълженията, които Регламентът възлага в тежест на лицата, които обработват лични данни. Преди това обаче трябва да бъде изяснено понятието „лични данни“. Съгласно чл. 4, т. 1 от Регламента „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. От определението за лични данни следва, че те представляват всяка информация, независимо от нейния източник, характер и пълнота, посредством която може да бъде идентифицирано физическо лице, като не е необходимо получената информация за цялата възможна за това лице.
Тъй като понятието за лични данни е широкообхватно, задължени да прилагат разпоредбите на Регламента могат да се окажат много лица, които събират информация за физическите лица, включително и информация единствено за целите на онлайн маркетинга – следене на трафик на интернет страница, събиране на информация относно местонахождението на посетител на интернет страница, сърфиране в интернет и т.н.
След изясняване на понятието лични данни следва да се обърне внимание на термина „обработване“ и какво може да бъде включено в неговия обхват: „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Целта на Регламента е да бъдат обхванати възможно най-голям брой както категории лични данни, така и действия, които водят до обработване на личните данни, за да може да бъде постигната максимална и широка по обем защита на правата и свободите на физическите лица.
II. Администратор и обработващ на лични данни
Според определението в чл. 4, т. 7 от Регламент (ЕС) 2016/679 „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
„Обработващ лични данни“ съгласно чл. 4, т. 8 означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. От тук следва, че администраторът и обработващия лични данни са различни лица, като последният е натоварен от администраторът на данни чрез някакъв вид споразумение, от негово име да извършва дейностите по обработване на личните данни. В тази връзка служителите на администратора, които извършват операции по обработване на лични данни, не са обработващи лични данни – чл. 29 от Регламента ги определя като „лица, действащи под ръководството на администратора“, които обработват данните по указание на администратора, като изпълняват произтичащите от длъжността си задължения или конкретно възложени им задачи.
Основната разлика между понятията „администратор“ и „обработващ“ лични данни е в правомощието да бъдат определяни целите и средствата за обработването. Това право е в компетентността единствено на администратора на лични данни.
Следва да се обърне внимание, че Регламентът се прилага както за администратори и обработващи лични данни в рамките на Европейския съюз, така и за лица, които макар да се намират извън териториалния обхват на Европейския съюз обработват данни на лица – граждани на държави членки на ЕС в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива физически лица, независимо дали това е свързано с плащане. За да се установи дали съответният администратор или обработващ лични данни предлага стоки или услуги лица, които се намират на територията на Европейския съюз се изследва, дали администраторът или обработващият данни възнамерява да предлага услуги в една или повече държави членки. Като следва да се обърне внимание, че съгласно Регламента само достъпността в рамките на ЕС на уебсайт на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, а фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в ЕС, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на територията на Европейския съюз.
III. Основни задължения при обработването на лични данни
Регламент (ЕС) 2016/679 въвежда редица задължения за администраторите и обработващите лични данни:
- Обработване на личните данни в съответствие с принципите за защита на личните данни, заложени в Регламента, а именно законосъобразност, добросъвестност и прозрачност; ограничение на целите; свеждане на данните до минимум, точност; ограничение на съхранението; цялостност и поверителност; отчетност;
- Осигуряване на защита на данните;
- Определяне на длъжностно лице по защита на личните данни в изрично посочените от регламента случаи, поддържане на регистър на дейностите по обработване, за които отговаря – Случаите, в които обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции; когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни или основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специални категории данни по чл. 9 от Регламента и на лични данни, свързани с присъди и нарушения;
- Уведомяване на надзорния орган и субекта на данни в случай на нарушение на сигурността на личните данни, включително описване и съхранение на информация за нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;
- Извършване на оценка на въздействието върху защитата на данните, когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, като в чл. 35, пар. 3 от Регламента са посочените случаите, при които администраторът и обработващият лични данни следва да изготвят и приемат оценка на въздействието на върху защитата на личните данни;
- Във връзка с оценката на въздействието върху защитата на личните данни (когато такава е необходима) и при наличие на висок риск, администраторът и обработващият лични данни следва да проведат предварителна консултация с надзорния орган преди обработването;
- Прилагане на подходящи технически и организационни мерки за осигуряване на сигурност на данните.