Какво е GDPR и какво са лични данни на физическите лица
Адвокат Расташки и екипът му притежават солиден опит във връзка със защитата на личните данни. Ние работим в ход с най-новите европейски изисквания и можем да ви предоставим своевременна и актуална юридическа информация относно проблемите на GDPR.
В правния свят с понятието GDPR (General Data Protection Regulation) се означава Регламента (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
Регламентът представлява нормативен акт на ниво Европейски съюз, който има директно действие в държавите-членки и следва да се прилага задължително от тях, като те трябва да синхронизират своето местно законодателство с правните норми в него.
В посочения регламент са нормирани общите принципи и мерките за защита на личните данни на физическите лица, при тяхното събиране, съхранение и обработка от администраторите. В развитото общество на цивилизования свят, всеки субект на правото, представляващ физическо лице притежава своите лични данни, които служат за идентификацията му и различаването му от останалите субекти.
Именно поради това към личните данни спадат тези, които могат с точност да идентифицират определено лице. Това са имената, единните единтификационни кодове (ЕГН), номерата на лични документи и паспорти, имейл адреси, телефонни номера, физически адреси и други данни, с които може да се определи с точност правния субект.
Фирмените данни на юридическо лице – ЕИК, наименование, седалище и адрес на управление не са лични данни и не са обект на защита от законодателството. Тази сфера на правото в Република България се регулира от Закона за защита на личните данни и съответно се контролира от създадената към него Комисия за защита на личните данни.
Когато говорим за GDPR, администраторите, които събират, съхраняват и обработват лични данни, трябва да извършват тази дейност на някое от основанията описани в Регламента на ЕС. Именно поради това управителите на фирми – администратори на данни се нуждаят от „Политика на личните данни“ и „ Вътршни правила относно работата с лични данни“ за своите дружества. Много често в практиката тези понятия, както и цялостната документация, свързана със защитата на личните данни на клиентите се означава с общото понятие GDPR.
Какво трябва да съдържа Политиката за лични данни – GDPR statement
Подлежащи на проверка от Комисия за защита на личните данни могат да бъдат всички администратори на лични данни като най-често това са юридически лица – собственици на онлайн магазини или уебсайтове с възможност за регистрация, в които се събират и съхраняват лични данни на физически лица.
Когато се извършва проверка, административният орган преглежда наличието и съдържанието на вашата политика за поверителност. За да бъде законосъобразно обработването на лични данни, вашия GDPR текст трябва да съдържа всички реквизити, които са законоустановени в Регламента и в Закона за защита на личните данни.
На първо място в Политиката за личните данни трябва да бъде записано основанието, въз основа на което се събират и обработват личните данни на правните субекти. В най-общи случаи това може да е даденото съгласие от страна на клиента да му бъдат взети и обработени личните данни.
Единствено съгласието обаче не винаги е стабилно основание за тези действия. Поради това е задължително да се опише наличието на нужда от събиране на лични данни поради сключване на двустранен договор и евентуална доставка на стоки.
Освен наличието на основание, в политиките за личните данни на дружествата, трябва да бъдат изцяло описани всички права на физическите лица – субекти на обработка на данни. Те са изчерпателно изброени в Регламента на ЕС. Нужно е да бъде ясно записан срока на съхранение на личните данни на клиентите. Трябва точно да се опише, кои данни се събират и с каква цел.
Целта на събиране на лични данни и тяхния вид следва да са съобразени с прогласения в Регламента принцип за минимализация и да не се събират данни, които не са необходими за правоотношението, което ще възникне. Ако има предаване на лични данни на трети лица, които ще ги обработват е необходимо изричното съгласие на субектите. Когато се вземат тези съгласия, те трябва да са безусловно предоставени.
Как трябва да бъде внедрена политиката за лични данни при онлайн магазините
Политиката за лични данни трябва да е ясна и четливо предоставена на физическите лица. Веднъж след като притежавате текст с всички законови реквизити и в съответствие с нормативните актове, следва да вземете съгласието на клиентите – субекти на лични данни по законосъобразен и неоспорим начин.
За целта трябва да поставите вашия текст на всички места в уебсайта, на които се изиква въвеждане на лични данни, така че да е видим и да не може да бъде пропуснат от потребителите. Тоест ако имате полета за регистрация в сайта, в които се изискват лични данни, съгласието с вашата политика трябва да се получи там.
Ако може да се извърши поръчка без регистрация и съществуват полета за директно въвеждане на лични данни, то следва да се вземе съгласието и от нерегистрирания клиент. Тоест при регистрирани и нерегистрирани потребители вашата политика за лични данни следва да присъства и на двете места, съответно при регистрация и при поръчка.
По отношение на вземане на самото съгласие трябва да се спазват следните правила. На първо място потребителят трябва да има право на избор. Не е законосъобразно взетото съгласие на основание един клик на тикче – чек бокс „Да“ или „Съгласен съм“, при положение, че не съществува бутон или чек бокс с думите „Не“ и „Не съм съгласен“.
В зависимост от дизайна на вашия уебсайт, можете да изберете начина на потвърждение, но той следва да е ясен и да има право на избор между съгласие и несъгласие. Политиката на поверителност трябва да бъде изцяло прочетена и потребителя да съзнава с какво се съгласява.
Поради това е препоръчително да се избягват чек боксовете като метод за приемане на съгласие. Възможно е да се използва „pop up“ технологията и след “scroll” до дъното на текста да се валидизира съгласието с два бутона. При несъгласие естествено клиента не би могъл да продължи в уебсайта, а следва да бъде върнат в изходна позиция преди запознаването му с политиката на администратора.
Във всички случаи при необходимост от изготвяне на „Политика относно събиране и обработка на лични данни“, както и на „Вътрешни фирмени правила“ относно личните данни, следва да се свържете с опитен адвокат в София, запознат с Регламента на ЕС в тази област, както и със Закона за защита на личните данни и цялостната сфера на административното право.
Ние от адвокатска кантора Расташки можем да ви предоставим юридическа консултация, както и да изготвим всички необходими документи за вашия бизнес във връзка със защитата на личните данни на вашите клиенти.
