Защитата на личните данни става все по-актуална в световен мащаб, тъй като дигиталната технология прониква в различни аспекти на нашия живот. Важността на правилното съхранение и обработка на лични данни не може да бъде подценена, а нарушенията на правата, свързани с тези данни, могат да имат сериозни последици.
В тази статия ще разгледаме основните понятия свързани с материята за личните данни, каква е същността на нарушенията на правата, свързани с лични данни, и какви са дължимите обезщетения при такива нарушения.
КАКВО ПРЕДСТАВЛЯВАТ ЛИЧНИТЕ ДАННИ?
Личните данни са всякаква информация, която може да бъде използвана за идентификация на конкретно физическо лице или за свързване с определено физическо лице. Ето някои от основните видове лични данни:
Основна идентификационна информация: Това включва име, фамилия, снимка, рождена дата, адрес, телефонен номер и други данни, които могат да бъдат използвани за идентификация на лицето.
Лични номера и идентификационни данни: Това могат да бъдат социални осигурителни номера, номера на лични карти, номера на паспорти и други уникални идентификационни номера, издавани от властите.
Финансови данни: Това включва банкови сметки, данни за кредитни карти, данни за доходи и данъци.
Медицинска информация: Включва медицински досиета, информация за болести, лекарства и други данни, свързани с здравето.
Биометрични данни: Тези данни включват отпечатъци на пръсти, сканиране на лицето и други биометрични идентификационни данни.
Данни за местоположение: Това може да бъдат географски координати или информация за местоположение, която показва движението на лицето.
Електронни и онлайн идентификационни данни: Тук влизат имейл адреси, потребителски имена, IP адреси и други данни, свързани с онлайн идентификация.
Специални категории данни: Това са чувствителни данни, като например расов, етнически, религиозен или политически профил, здравни данни, сексуална ориентация и други.
Личните данни се ползват за различни цели, включително управление на бизнеса, предоставяне на обслужване на клиенти, научни изследвания, маркетинг, сигурност и други. За да се защитят личните данни, действат закони и регулации за защита на данните, които уреждат събирането, съхранението и обработката на лични данни.
В Република България материята е уредена от Общият регламент относно защитата на данните, (GDPR) и от Закона за защита на личните данни /ЗЗЛД/.
КАКВО Е GDPR?
GDPR (General Data Protection Regulation) или Общ регламент относно защита на личните данни (ОРЗД) е регламент на Европейския съюз, официално заведен като Регламент (ЕС) 2016/679), който регулира обработването, съхранението и използването на лични данни на физически лица от други лица, дружества или организации. Регламентът е в сила от 25 май 2018 г. и има за цел да уеднакви и актуализира съществуващите регулации за защита на личните данни в целия Европейски съюз, като се цели промяна в начина, по който компаниите боравят с тях. GDPR се прилага за всички организации и образувания, които съхраняват и обработват данни за лична информация на лица от ЕС. С други думи, всяка компания (независимо дали пребивава в или извън ЕС), която събира и обработва данни на жители на ЕС, трябва да бъде законово съобразена с GDPR.
Обработване на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства. Обработване на лични данни са операции като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
КОГА Е НАЛИЦЕ НАРУШЕНИЕ НА ПРАВА, СВЪРЗАНИ С ЛИЧНИ ДАННИ?
Нарушенията на правата, свързани с лични данни, могат да включват няколко сценария и ситуации. Главният фактор, който ги характеризира, е незаконното или неправомерно обработване на лични данни.
Примери за нарушение на правата на лични данни са:
Нелегално събиране на данни: Когато лице или организация събира лични данни без ясно информирано съгласие от засегнатите лица или без законно основание за това.
Недостатъчна защита на данните: Ако се открие, че лицето или организацията не предприема необходимите мерки за сигурност и защита на личните данни, които се събират и обработват.
Произволно споделяне на данни: Когато лични данни се споделят с трети лица /физически или юридически/ без изричното съгласие на засегнатите лица или без законната основа за това.
Неправомерна обработка на чувствителни данни: Чувствителни лични данни, като например медицинска информация или религиозни убеждения, могат да бъдат обработвани само при спазване на специални правила и съгласно изричното съгласие на засегнатите лица.
Липса на ясна информация за обработка: Засегнатите лица трябва да бъдат информирани за начина, по който техните данни ще бъдат обработвани и как може да бъдат използвани.
Недостатъчна корекция и изтриване: Ако лицата, чиито данни се обработват, нямат възможност да коригират или изтрият неточни или ненужни данни за тях.
Обработка на данни без срокове: Ако данни се съхраняват и обработват след изтичането на необходимостта от тях без законно основание.
Профилиране без изрично съгласие: В случаи, когато се изготвят профили на лицата, основани на техните лични данни, без предварително изразено съгласие или законно основание.
Трансгранично прехвърляне на данни: Ако данни се предават на трети страни или в други държави, които не предоставят адекватна защита на личните данни.
Нарушения на сигурността на данните: Когато има инцидент или нарушение на сигурността, което може да доведе до изтичане на лични данни.
КАК ДА СЕ ЗАЩИТИТЕ, АКО ПРАВАТА ВИ, СВЪРЗАНИ С ЛИЧНИ ДАННИ СА НАРУШЕНИ?
Ако установите, че са нарушени вашите права по отношение на личните ви данни, имате няколко възможни действия, които можете да предприемете за защита на вашите интереси и възстановяване на правата ви. Ето какво може да направите:
Свържете се с отговорната организация: Ако установите нарушение на правата си, първата стъпка е да се свържете с организацията или институцията, която обработва вашите лични данни. Изложете проблема и поискайте обяснение или корекция, ако е необходимо. В много случаи организацията е готова да реши проблема доброволно.
Използвайте правото си на достъп: По закон имате право на достъп до вашите лични данни, които са обработвани от организацията. Можете да поискате информация за това какви данни се събират, за какви цели и на кого се предоставят. Освен това, можете да поискате копие от данните си.
Поискайте корекция или изтриване: Ако установите, че данните ви са неточни или несъответни, имате право да поискате корекция или изтриване на тези данни. Организацията трябва да извърши корекциите в разумен срок или да ви обясни защо не може да направи това.
Подайте жалба до Комисия за защита на личните данни: Ако считате, че вашият случай е сериозен и организацията не е реагирала адекватно, можете да подадете жалба до Комисия за защита на личните данни.
Използвайте правата си срещу организацията в съда: Ако нарушението на правата ви не бъде разрешено извънсъдебно, можете да решите да подадете иск в съда срещу организацията или лицето, което е извършило нарушението. Това може да включва иск за компенсация за причинени вреди.
САНКЦИИ И ОБЕЗЩЕТЕНИЯ ПРИ НЕСПАЗВАНЕ НА GDPR И КОЙ СЛЕДИ ЗА ТОВА?
За извършени нарушения при обработване на лични данни администраторите и обработващите лични данни носят отговорност за вреди.
Съгласно чл. 82 от Общият регламент относно защитата на данните, (GDPR) всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламента има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.
Освен това при установено нарушение на администратора или обработващия лични данни, може да бъде наложена глоба или имуществена санкция до 20 милиона евро или 4% от годишния оборот на дружеството.
В България надзорният орган, който отговаря и следи за спазването на GDPR е Комисията за защита на лични данни /КЗЛД/. При нарушаване на правата му по Регламента физическото лице има право да сезира Комисията в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.
Лицето може да обжалва действия и актове на администратора и на обработващия лични данни и пред съда по реда на Административнопроцесуалния кодекс.
В заключение, представям конкретна житейска ситуация - пример за нарушение, свързано с лични данни и възможните действия за защита.
Сценарий: Васил е клиент на онлайн магазин за електроника "Е-Техно". За да направи покупка от сайта, Васил предоставя свои лични данни, включително име, адрес за доставка и информация за плащане. Съгласно политиката за поверителност на магазина, "Е-Техно" има право да използва тези данни само за обработка на поръчките и няма да ги споделя с трети страни без явното съгласие на клиента.
Нарушение: Няколко месеца след закупуването на нов смартфон от "Е-Техно", Васил забелязва, че започва да получава нежелана реклама от други компании за мобилни устройства и аксесоари. Рекламите съдържат точна информация за модела на смартфона, който той е закупил от "Е-Тех". Васил не е дал съгласие да споделят неговите данни с трети страни и е сигурен, че нарушението на неговата поверителност идва от "Е-Техно", което не се е съобразило с обещанието си за защита на данните.
Дължими обезщетения: В този случай Васил има основание да иска обезщетение от "Е-Техно" поради нарушение на правата му по отношение на личните данни. В случай, че компанията откаже да преустанови нарушението, Васил може да подаде жалба до Комисия за защита на личните данни или до съда.
Възможни дължими обезщетения включват:
Финансова компенсация за имуществени вреди: В случай на икономически загуби, като например загуба на време за премахване на нежеланата реклама или допълнителни разходи, Васил може да иска финансово обезщетение.
Обезщетение за неимуществени вреди: Нарушението може да е причинило стрес или неудобство и Васил може да иска компенсация за душевните страдания, причинени от нарушението.
Санкции: На компанията могат да бъдат наложени глоби или санкции в случай на сериозни нарушения на правата по защита на данните.
Нарушенията на правата по отношение на личните данни могат да бъдат сериозни и да имат реални последици за засегнатите лица. Обезщетенията се определят в зависимост от сериозността на нарушението и щетите, които са причинени на засегнатите лица.
Ако сте станали обект на нарушение по отношение на личните Ви данни, екипът на Адвокатско дружество "Колева и Белова" ще Ви помогне да защите правата си. Можете да ни намерите тук.