Обработване на лични данни и техния обхват

Във връзка с нарасналото значение на процеса за обработване на лични данни от търговски дружества процедурите в това отношение придобиват особена важност, особено за банки, телекомуникационни компании и др.

"Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване на данните.

На практика, почти няма реално функциониращо юридическо лице, държавен орган или физическо лице - търговец, самоосигуряващо се лице, които в дейността си да не обработват лични данни за физически лица - било за лица, наети по трудово или гражданско правоотношение към тези стопански или нестопански субекти, било за лица, с които посочените субекти встъпват в договорни, административни или друг вид взаимоотношения.

Законът за защита на личните данни (ЗАКОНА ЗА ЗЛД) се прилага за обработката на лични данни:

а) с автоматични средства;

б) с неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър;

в) когато администраторът на лични данни е установен на територията на Република България и обработва лични данни във връзка със своята дейност;

г) който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;

д) който не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели. В този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност (чл. 1, ал. 4, т. 3 от ЗАКОНА ЗА ЗЛД).

"Регистър на лични данни" по смисъла на Закона за ЗЛД е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.
 

ПРОЦЕСИ НА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ И ТЕХНИТЕ СУБЕКТИ

В процесите на обработване на лични данни ежедневно участват администратори на лични данни, от една страна, и физически лица, които предоставят такива по един или друг повод.
 

РЕГИСТРАЦИЯ КАТО АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ

На регистрация като "администратор на лични данни" подлежи:

а) физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни;

б) физическо или юридическо лице, както и орган на държавна власт или местно самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. Самостоятелно обработват лични данни администраторите - физически лица или тези, които съобразно спецификата на своята дейност нямат наети за целта длъжностни лица.

В работата си администраторът на лични данни осигурява спазването на изискванията на чл. 2, ал. 2 от ЗАКОНА ЗА ЗЛД, а именно личните данни:

- да се обработват законосъобразно и добросъвестно;

- да се събират за конкретни, точно определени от и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на данните за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;

- да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

- да бъдат точни и при необходимост да се актуализират;

- да се заличават или коригират, когато се установи, че са неточни или непропорционални на целите, за които се обработват;

- да се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

Администраторът обработва личните данни със съгласието на лицето, освен при изключенията, предвидени в чл. 5, ал. 2 от Закона за ЗЛД:

а) когато обработването е необходимо, за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство

б) физическото лице, за което се отнасят тези данни е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;

в) обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

г) обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие, че:

- обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

- данните не се разкриват на трети лица без съгласието на физическото лице, за което се отнасят. По смисъла на § 1, т. 11 от ДР на ЗАКОНА ЗА ЗЛД "трето лице" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора имат право да обработват лични данни.

д) обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на правата по съдебен ред

е) обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

ж) обработването се извършва единствено за целите на журналистическата дейност, литературното или художествено изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.

В случаите когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя:

а) данните, които идентифицират администратора и неговия представител

б) целите на обработването на личните данни;

в) получателите или категориите получатели, на които могат да бъдат разкрити данните. По смисъла на § 1, т. 12 "получател" е физическо или юридическо лице, орган на държавна власт или местно самоуправление, на когото се разкриват лични данни, независимо дали е трето лице или не. Органите, които могат да получават данни в рамките на конкретно проучване, не се смятат за получатели;

г) данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ от предоставянето им;

д) информация за правото на достъп и правото на коригиране на събраните данни.

Посочените данни не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях, или в закон съществува изрична забрана за предоставянето им.

Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител му предоставя:

а) данните, които идентифицират администратора и неговия представител;

б) целите на обработването на личните данни;

в) категориите лични данни, отнасящи се до съответното физическо лице;

г) получателите или категориите получатели, на които могат да бъдат разкрити данните;

д) информация за правото на достъп и правото на коригиране на събраните данни.

Посочените в чл. 20, ал. 1 от ЗАКОНА ЗА ЗЛД данни се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.

Без да е изчерпателен относно вида на личните данни, Законът за защита на личните данни очертава рамките на понятието "лични данни" като информация за физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. По смисъла на § 1, т.16 от Закона за ЗЛД за защита на личните данни "специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

а) физическа идентичност - това са данните, очертаващи гражданскоправния статус на физическото лице - име, ЕГН, дата и място на раждане, постоянен и настоящ адрес, паспортни данни (изброяването на посочените данни е примерно, обичайно и в този минимален обем и вид, се използват от физическите лица в ежедневния им живот, например: при подаване на различни видове документи - за постъпване на работа, в учебно заведение, за издаване на документи, при сключване на различни видове договори, при прегледи относно здравословното състояние на физическото лице и др. под.); обработването на тези данни обикновено се извършва на основание нормативно задължение на администратора и лицето, поради което не се изисква съгласие на лицето;

б) физиологична идентичност - съвкупност от данни относно външните и вътрешни физиологични белези на физическото лице, представляващи елементи на здравния статус, които обичайно се предоставят на медицински лица (лекари и сестри) при извършване на преглед, манипулации и медицински изследвания във връзка с проверка на здравословното състояние;

в) генетична идентичност - уникални лични данни относно генома на дадено физическо лице. Съгласно § 1, т. 10 от Допълнителна разпоредба на Закона за ЗЛД "човешки геном" е съвкупността от всички гени в единичен (диплоиден) набор хромозоми на дадено лице. Обикновено съгласие за обработване на подобни данни физическите лица предоставят доброволно и само в определени от Закона за ЗЛД случаи;

г) психическа идентичност - съвкупност от белези, отнасящи се до психическото състояние на дадено физическо лице, способността му да разбира свойството и значението на фактите и обстоятелствата, на действията си и резултатите от тях (вменяемост);

д) психологическа идентичност - съвкупност от белези, отнасящи се до способността на дадено физическо лице да анализира фактите и обстоятелствата, своите и на околните физически лица действия, и да им дава оценка.

Обобщените резултати относно физиологичното, психическото, психологическото състояние на физическото лице, отразени в удостоверителен документ за съответното физическо лице (медицинско свидетелство), са необходими в неговата професионална и житейска реализация, доколкото вменяемостта на лицето е белег за неговата дееспособност да встъпва в различни правоотношения;

е) икономическа идентичност - това са данните, разкриващи имотното и финансово състояние на лицата, участието и/или притежаването на дялове или ценни книжа на дружества и др. В масовите случаи тези данни се предоставят от физическото лице на администратора с оглед изпълнение на съответните данъчни и задължения към осигурителни органи, покриване на изисквания при заемане на изборни постове и др. под., при което основанието за обработване на тези данни е посочено в нормативен акт;

ж) културна идентичност - интереси;

з) социална идентичност:

- данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години - данните са необходими при установяване правата на лицата за получаване на семейни добавки за деца до 18 години, за начисляване на съответни удръжки от трудовото възнаграждение на дадено лице на основание присъдена издръжка, като критерий при подбор на служителите и др. под.);

- данни относно социалната принадлежност на физическото лице според притежаваното образование;

- данни относно образованието на физическото лице - (вид на образованието, място, номер и дата на издаване на дипломата) - данните са необходими с оглед спазване нормативни или установени със щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

- допълнителна квалификация - данните са необходими с оглед спазване нормативни или установени със щатното разписание на длъжностите изисквания за заемане, респ. за освобождаване на длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

- трудова дейност - професионална биография - данните са от значение при избора на подходящо за съответната длъжност лице. Предоставят се на основание нормативно задължение във всички случаи, когато е необходимо.

            ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ ОТ АДМИНИСТРАТОР НА ТРЕТИ ЛИЦА

 1. Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва свободно при спазване изискванията на Закона за ЗЛД;

2. Предоставянето на лични данни в трета държава се допуска:

а) само ако тя осигурява адекватно ниво на защита на личните данни на своя територия по преценка за адекватността на нивото на защита на личните данни в тази трета държава от Комисията за защита на личните данни. Преценката се извършва на база всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната уредба и мерките за сигурност, осигурени в третата държава;

Комисията за защита на личните данни не извършва преценка по чл. 36, ал. 3 от ЗАКОНА ЗА ЗЛД, в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:

- третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;

- определени стандартни договорни клаузи осигуряват адекватно ниво на защита. В такива случаи администраторът използва стандартните договорни клаузи при предоставяне на данни в трета държава.

б) в случаите по чл. 36а, ал. 6 от ЗАКОНА ЗА ЗЛД - администраторът може да предоставя лични данни, ако:

- лицето, за което се отнасят данните, е дало изрично съгласие за това;

- предоставянето е необходимо за изпълнението на задължения по договор между физическото лице и администратора, както и за действията, предхождащи сключването на договор и предприети по искане на физическото лице;

- предоставянето е необходимо за сключването и изпълнението на задължения по договор, сключен в интерес на физическото лице между администратора на лични данни и друг субект;

- предоставянето е необходимо или се изисква от Закона за ЗЛД поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;

- предоставянето е необходимо, за да се защитят животът и здравето на лицето, за което се отнасят данните;

- източник на данните е публичен регистър, достъпът до който се осъществява при условия и ред, предвидени в закон.

в) във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художествено изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.

3. Извън случаите по чл. 36а от ЗАКОНА ЗА ЗЛД, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им. Комисията уведомява Европейската комисия и компетентните органи на другите държави - членки за разрешенията, предоставени по чл. 36б, ал. 1 от ЗАКОНА ЗА ЗЛД, както и за отказите за предоставяне на такива разрешения.

4. За предоставяне на лични данни в трета държава при условията на чл. 36а, ал. 2 от ЗАКОНА ЗА ЗЛД и чл. 36б, ал. 1 от ЗАКОНА ЗА ЗЛД администраторът налични данни трябва да подаде искане за издаване на разрешение по реда на чл. 19, ал. 2 и 3 от Правилника. В 14-дневен срок от постъпване на искането по чл. 36а, ал. 2 от ЗАКОНА ЗА ЗЛД и чл. 36б, ал. 1 от ЗАКОНА ЗА ЗЛД директорът на посочената дирекция представя мотивирано становище пред комисията, която се произнася с решение за допускани или отказ за предоставяне на данните. В случаите, когато искането е за предоставяне на данни по чл. 36б, ал. 1 от ЗАКОНА ЗА ЗЛД, становището съдържа анализ на гаранциите за защита на предоставяните данни от страна на администратора, предоставящ данните, и администратора, който ги получава.

 

 

Коментирай
Моля, пишете на кирилица! Коментари, написани на латиница, ще бъдат изтривани.
Предложи
корпоративна публикация
Резултати | Архив