Актуални новини

    • 28.05.2018
      Фирмите не обърнаха внимание на GDPR и затова не са готови
      • Според него Комисията е направила достатъчно да информира бизнеса за новия европейски регламент
      • Българските фирми не са готови да работят в съответствие с новия Европейски регламент за защита на личните данни (GDPR). Причината е, че въпреки не малкото разяснения от страна на Комисията за защита на личните данни, бизнесът не е обърнал необходимото внимание. Това каза в сутрешния блок на БНТ председателят на Комисията Венцислав Караджов.
      • „Повече от година и половина Комисията използва своята интернет страница за разяснения, а от началото на годината разяснява правилата на място. Въпросът е, че бизнесът не се интересуваше, тъй като за него регламентът не беше акт, който ще се прилага веднага, не обърна необходимото внимание навреме и затова не е подготвен в момента”, каза Караджов.
      • GDPR влезе в сила на 25 май. Новият регламент е част от пакета за реформи за защита на личните данни на ЕС, включващ още директивата за защита на данните за полицията и органите на наказателноправната система. Регламентът предвижда потребителите да имат улеснен достъп до своите данни, включително повече информация за какво се използват въпросните данни.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Как GDPR ще се отрази на работата на лечебните заведения
      • Едва ли някой читател е пропуснал новината, че от 25 май тази година влиза в сила Регламент (ЕС) 2016/679 от 27.04.2016 г., по-известен като General Data Protection Regulation (GDPR). Комисията за личните данни публикува на страницата си 10 практически стъпки за прилагане на регламента, но до този момент няма указания към отделните сектори по отношение на прилагането му.
      • Влизането в сила на този акт ще има сериозно отражение върху работата на лечебните заведения, поради което липсата на конкретни указания за прилагането му в областта на здравеопазването е сериозен дефицит. Още през 2016 г. European Hospital and Healthcare Federation излезе със серия от препоръки към държавите членки във връзка с прилагането на регламента, най-важната от които е "да се осигурят за болниците и другите лечебни заведения и организации в областта на здравеопазването специфични за сектора съвети и указания, както и обучения от националния контролен орган, които са необходими, за да се демонстрира съответствие с изискванията на регламента".
      • Заедно с "Капитал Здраве" ви представяме някои от най-важните аспекти на GDPR, които могат да ви помогнат да придобиете представа за ролята на GDPR в работата на лечебните заведения и необходимите действия, които трябва да бъдат предприети. Няма да се спираме на общата информация за GDPR, а само на специфичните за сектора отражения.
      • Лечебните заведения обработват специална категория данни, които според регламента се възприемат като чувствителни лични данни, поради което обработването е разрешено при спазването на следните правила: необходимо е да е налице едно от условията за законосъобразно обработване, посочени в чл. 6 от Регламента, едновременно с наличието на поне едно специално условие за обработване, посочено в чл. 9, пар. 2.
      • Кои са специалните условия за обработване на чувствителни лични данни?
        Наличие на изрично информирано съгласие:
        За разлика от директивата, уреждаща регулацията на личните данни преди влизане в сила на GDPR, последният въвежда по-строги изисквания за информираното съгласие. То трябва да отговаря на няколко важни условия:
        Да бъде недвусмислено, свободно и ясно изразено, а условията му да бъдат разбираемо и конкретно отделени от друга информация. Например, ако условията на информираното съгласие за обработване на лични данни представляват част от информираното съгласие за предоставяне на медицинската помощ, неговите клаузи трябва да са ясно отграничени от останалите.
      • Задължително следва да се избягват предварително маркирани съгласия, опции за мълчаливо съгласие и други подобни. Информираното съгласие трябва да предоставя конкретна информация и възможност да бъде оттеглено по всяко време. Освен това от съдържанието му или от условията, при които е предоставено, трябва да става ясно, че е дадено напълно свободно. Предоставянето му не трябва да бъде предпоставено от някакви условия (например, че няма да бъде предоставена спешна медицинска помощ, ако липсва изразено информирано съгласие за обработване на лични данни).
      • Необходимо е във всяко информирано съгласие да бъдат посочени целите, за които се обработва информацията, а в случай че са посочени различни цели, е препоръчително да се предостави възможност на субекта да изрази отделно съгласие за всяка от тях. Липсата на адекватно информирано съгласие или непредоставянето му в предвидения в регламента ред отваря вратата за сериозни санкции и уврежда доверието и репутацията на лечебното заведение. Необходимо е да се приемат адекватни механизми за съхраняването на този важен документ. В заключение следва да се отбележи, че, в случай че администраторът не може да изпълни някое от тези изисквания, е необходимо да се позове на някое от другите алтернативни специални основания. По-важните от тях и относими за дейностите на лечебните заведения са следните:
      • - Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила. Такива ще са случаите, когато данните се обработват за целите на осъществяване на правото на пациента на трансгранично здравно обслужване или за спазване на здравословни и безопасни условия на труд.
      • - За защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие. Например, когато пациентът се намира в спешно състояние и не може да изрази своето съгласие, защото е в безсъзнание.
      • - Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи. Такива ще са случаите, когато с конкретен съдебен акт се изисква информация за здравословното състояние на пациент от съда.
      • - Обработването е необходимо по причини от важен обществен интерес на основание правото на съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните. Все още липсват указания за прилагането на тази разпоредба и разбирането на понятието за обществен интерес. Препоръчвам да се избягва прилагането на тази клауза заради неясната й формулировка и споровете, които може да се породят от това обстоятелство.
      • - Обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на съюза или правото на държава членка, или съгласно договор с медицинско лице и при условие че въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на съюза или правото на държавата членка или правилата, установени от националните компетентни органи, или от друго лице, също обвързано от задължение за тайна по силата на правото на съюза или правото на държавата членка, или правилата, установени от националните компетентни органи.
      • Тази клауза ще бъде най-често приложимата в работата на лечебните заведения, тъй като дава възможност при наличие на предпоставките, посочени в чл. 6, да бъде включена като специално условие за обработване на лични данни, без да е нужно информирано съгласие. Всяка информация, която е необходима за целите на отчитането пред НЗОК, документирането на данни за здравословното състояние, необходими за провеждане на диагностично-лечебния процес и осигуряване на здравни грижи, може да бъде обработвана на това основание. Това обаче следва да се осъществява само от лица, които са задължени да спазват професионална тайна (например лекари и медицински сестри по силата на съответните кодекси за професионална етика), както и при спазване на принципа за пропорционалност при обработването.
      • - Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна. Това основание ще бъде налице в случаи на епидемии или други сериозни общественоздравни проблеми.
      • Каква документация следва да поддържа лечебното заведение?
        Регламентът задължава всеки, който обработва лични данни, да поддържа регистър със съдържание, подробно описано в чл. 30 от регламента. Изискването за наличие на регистър се отнася дори за лечебните заведения с по-малко от 250 служители, защото обработват специална категория данни.
      • Имат ли нужда лечебните заведения от длъжностно лице по защита на личните данни (Data Protection Officer)?
        Малките лечебни заведения (амбулатории за извъболнична медицинска/дентална помощ, ДКЦ и други) няма да бъдат задължени да назначават DPO. Изискването за назначаването му важи за всички публични органи или когато се извършва мащабно обработване на специална категория лични данни, сред които са и тези за здравословното състояние. По-големите структури, осъществяващи дейности в здравеопазването, е необходимо да анализират дейността си и да преценят дали не е налице условието за мащабно обработване на чувствителни лични данни, защото тогава назначаването на DPO ще бъде задължително.
      • Какви права имат пациентите при обработване на личните им данни?
        Пациентите имат право на информация относно дейността на обработващите личните данни: данните, които ги идентифицират и координатите за връзка с тях, координатите за връзка с длъжностното лице по защита на данните (ако е приложимо), целите на обработването, за което личните данни са предназначени, както и правното основание за обработването; ако обработването се извършва при наличие на законен интерес (legitimate interest), е редно същият да се посочи; предоставя се информация и за получателите или категориите получатели на личните данни, ако има такива и други важни обстоятелства. Необходимо е субектите да бъдат информирани и за начина на реализиране на отделни техни права: например по какъв начин могат да поискат личните им данни да бъдат коригирани или изтрити; как може да се оттегли информираното съгласие и възможностите за подаване на жалби.
      • За разлика от някои други сектори, в които правото да бъдеш забравен ще бъде често приложимо, в здравеопазването пациентът трудно ще има подобна възможност. Налице е сериозна заблуда, че пациентите могат да заявят пред лечебното заведение желание за изтриване на данните им и това да бъде осъществено. Правото е приложимо само доколкото същото не влиза в конфликт с някое от ограниченията в чл. 17, пар. 3 от регламента и само доколкото отговаря на изискванията в пар. 1. Например, ако личните данни са необходими за целите, за които са били събрани или обработвани по друг начин, изтриването е недопустимо. Така, ако пациентът е диспансеризиран и е необходимо непрекъснато проследяване на състоянието му, личните му данни не могат просто да бъдат изтрити.
      • Освен това обработването на лични данни в здравеопазването е свързано със спазването на редица нормативни актове, които задължават лечебните заведения да съхраняват конкретна информация за определен период от време. В този случай правото на пациента да бъде забравен няма да може да се реализира, защото обработването на тези данни е необходимо за спазване на правно задължение, което изисква обработване, предвидено в правото на съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Например такова ще бъде задължението на Главния изследовател да съхранява документацията от дадено клинично изпитване по силата на Регламент (ЕС) 536/2014 г. за срок от 25 г.
      • Правото да бъдеш забравен няма да е приложимо и в случаите, когато информацията следва да се обработва по причини от обществен интерес в областта на общественото здраве. Такива са например данни за поставени имунизации на пациенти, обработвани от общопрактикуващия лекар, или данни за донори на кръв и съответните резултати от изследвания на дарената кръв.
      • В заключение следва да се отбележи, че се очаква лечебните заведения да срещнат затруднения при изпълнение на новите регулации в областта на защита на личните данни. Това най-вече се отнася за големите лечебни заведения, през които годишно преминават десетки хиляди пациенти. Действащото законодателство в страната не регламентира ясно и последователно видовете документи, които се съставят в хода на оказване на медицинска помощ на пациентите, сроковете за тяхното съхранение и конкретните отговорности. Уредбата е разпръсната в Националните рамкови договори и приложенията им, медицинските стандарти, Закона за здравето, Закона за здравното осигуряване и множество подзаконови нормативни актове. Липсата на електронно здравеопазване и поддържане на огромен брой хартиена документация създава допълнителни рискове за правилното й и законосъобразно обработване. Следва да се обърне внимание и на обстоятелството, че санкциите за нарушения на регламента са изключително високи, а повечето служители, които обработват лични данни по силата на договор или акт на администратора, отговарят ограничено по смисъла на Кодекса на труда.
      • Необходимо е да се предприемат своевременни организационни и технически мерки, които да демонстрират спазването на регламента, които включват обучение на персонала, вътрешни одити и преглед на вътрешните правила и стандарти, действащи до този момент. Една от най-важните мерки в областта на здравеопазването е разясняването на важността от защита на чувствителните лични данни и отговорното отношение към обработването им.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Приети са нови правила за обработване на лични данни от европейските институции
      • На 23 май 2018 г., представители на Съвета на ЕС и Европейския Парламент се споразумяха за нов Регламент относно боравенето с лични данни на ниво Европейски институции и от други органи на ЕС. Новите правила са съобразени с Общия регламент за защита на данните (GDPR), който се прилага от 25 май 2018 г.
      • Новите разпоредби ще се прилагат за обработването на данни от институциите, органите и службите на Съюза. Разпоредбите ще увеличават нивото на защита на личните данни и осигурят свободния поток на данни между институциите и други органи, доколкото това е необходимо.
      • „Новите правила за защита на данните за Европейските институции допълнително обновяват режима по защита на данните в Съюза. Това е важен сигнал за гражданите: по-строгите правила по защита на данните са за всички, включително и за самите Европейски институции. Щастлива съм, че успяхме да се споразумеем относно правилата няколко дена преди влизането в сила на Общия регламент за защита на данните на 25 май 2018 г.“

        Г-жа Цецка Цачева, Министър на правосъдието на Република България

      • Също като в ОРЗД, новият регламент предлага набор от принципи, които трябва да се следват при обработването на данни и редица правила, гарантирани на индивидите, чиито данни се събират. Те включват, например, правото на достъп, на редакция или правото да бъдеш забравен. Съобразно с ОРЗД, институциите и другите органи също трябва да гарантират, че предлагат прозрачна и лесно-достъпна информация за това как данните се използват, и да предвидят ясни механизми как индивидите да упражняват правата си.
      • Новият правен инструмент също потвърждава, разяснява и подчертава ролята на Длъжностното лице по защита на данните във всяка Европейска институция и на Европейския надзорен орган по защита на данните. Целта е да се опростят процедурите в тази област.
      • В съответствие със споразумението, достигнато от съзаконодателите днес, обработването на лични данни от агенциите на Съюза в сферата на правоприлагането и съдебното сътрудничество (напр. Евроюст) е обхванато от регламента чрез конкретна глава. Правилата в тази глава са подравнени с Директива (ЕС) 2016/680. По-конкретни правила могат също така да се определят в учредителните актове на тези агенции, за да се вземат предвид специфичните им обстоятелства. Европол и Европейската прокуратура са, към момента, изключени от обхвата на регламента. Следва да се извърши преразглеждане от Комисията през 2022 г.
      • „Беше предизвикателство да имаме тези нови правила редом със стартирането на ОРЗД“, по думите на г-н Венцислав Караджов, Председател на РГ DAPIX и Председател на Комисията за защита на личните данни. Той повтори, че „новата правна рамка не само ще позволи потока на данни, но и също ще допринесе за правната сигурност. Заедно с ОРЗД и с Директива (ЕС) 2016/680, Европа се превръща в модел за подражание за целия свят.“
      • Следващи стъпки


        След потвърждение на политическото споразумение, достигнато днес от представителите на Съвета на ЕС и Европейския Парламент, текстът ще премине през лингвистична редакция и впоследствие ще бъде официално приет от двете институции. Новите правила ще се прилагат от есента на 2018 г.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      КЗЛД получи още едно признание за усилията и работата си в защита правата на физическите лица
      • С Общия регламент за защита на личните данни (GDPR), който започва да се прилага от 25 май 2018 г. се създава Европейски комитет за защита на личните данни (EDPB). Комитетът е орган на ЕС и притежава правосубектност. Съставен е от ръководителя на всеки орган за защита на данните и на Европейския надзорен орган по защита на данните (EDPS), или от съответните им представители.
      • На първото заседание на Европейския комитет за защита на личните данни (EDPB), проведено днес, за негов заместник-председател беше предложен и избран единодушно г-н Венцислав Караджов – председател на българския надзорен орган за защита на личните данни.
      • От 2014 г. до влизането в сила на Общия регламент г-н Венцислав Караджов е избиран в рамките на два мандата за заместник-председател на Работна група по чл. 29 от Директива 95/46/ЕО.
      • Комитетът ще бъде в центъра на новата рамка за защита на данните в ЕС. Той ще помогне да се гарантира, че Общият регламент се прилага съгласувано в целия ЕС и ще работи за осигуряване на ефективно сътрудничество между органите по защита на данните.
      • Изборът на г-н Караджов е признание на Европейско ниво за активното участие на КЗЛД в изготвянето на новата европейска правна рамка по защита на личните данни и подготовката за нейното прилагане.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Започва прилагането на Общия регламент за защита на данните
      • От днес, 25 май 2018 г. в Европейския съюз започва прилагането на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
      • На 6 април 2016 г. ЕС постигна съгласие за осъществяването на голяма реформа в областта на защитата на данните, като прие пакета за реформа на защитата на данните, включващ Общия регламент за защитата на данните, който заменя двадесет годишната Директива 95/46/ЕО („Директива за защита на данните”) и Директивата за полицейското сътрудничество.
      • От 25 май 2018 Общият регламент за защита на данните започва да се прилага пряко, две години след неговото приемане и влизането му в сила. Като осигурява единен набор от правила, пряко приложими в държавите членки на ЕС, той ще гарантира свободното движение на лични данни между тези държави и ще укрепи доверието и сигурността на потребителите, два абсолютно необходими елемента за създаването на истински цифров единен пазар. По този начин регламентът ще открие нови възможности за бизнеса и предприятията, особено за по-малките от тях.
      • През последните две години всички заинтересовани страни − от националните администрации и националните органи по защита на данните до администраторите на данни и обработващите лични данни, участваха в редица дейности, за да се гарантира, че значението и мащабът на промените, въведени с новата рамка за защита на данните, са добре разбрани и всички участници са готови за нейното прилагане.
      • Новият регламент предвижда единен набор от правила, които ще се прилагат пряко във всички държави членки. Едновременно с това, държавите членки трябва на национално ниво да предприемат законодателни мерки в съответствие с Регламент (ЕС) 2016/679.
      • Новата правна рамка е възможност за ЕС да се превърне в световен лидер в тази област. В условията на бързоразвиваща се цифрова икономика, Европейският съюз, неговите граждани и предприятия, трябва да разполагат с всичко необходимо, за да извлекат ползите и да разбират потенциалните последици от икономиката, основана на данни. Предприятията, особено по-малките, ще могат да се възползват от благоприятен за иновациите единен набор от правила, да го използват като свое конкурентно предимство и да въведат ред в собствените си дела по отношение на личните данни с цел спечелване доверието на потребителите. Гражданите ще могат да се възползват от по-добра защита на личните им данни и да придобият по-добър контрол върху начина, по който дружествата боравят с тях.
      • Успешното прилагане на регламента изисква сътрудничество между всички участници в областта на защитата на личните данни. Ползите и възможностите, които предлагат новите правила, не се познават навсякъде в еднаква степен. Необходимо е да се повиши осведомеността и да се подпомогнат усилията, които полагат малките и средни предприятия, за да спазят изискванията.
      • От май 2018 г. нататък Европейската комисия ще следи как държавите членки прилагат новите правила и ще предприема съответни действия. Една година след влизането в сила на регламента (т.е. през 2019 г.) Европейската комисия ще обобщи натрупания в прилагането на регламента опит. Направените констатации ще бъдат включени в доклад за оценка и преглед на регламента, който Европейската комисия трябва да представи до май 2020 г.

      Виж източник

      Виж повече
      Сподели
    • 07.04.2018
      Подаване на жалби
      • ВАЖНО! За да подадете по електронен път жалба до КЗЛД (чрез сайта или на електронната поща на КЗЛД), жалбата трябва да бъде оформена като електронен документ, подписан с електронен подпис (моля, вижте указанията, дадени по-долу). КЗЛД не разглежда жалби, сканирани и подадени чрез сайта или на електронната поща на КЗЛД, които не са подписани с електронен подпис.
      • Вие можете да подадете жалба в Комисията за защита на личните данни по един от следните начини:

        • 1. Лично, на хартиен носител – в деловодството на КЗЛД на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
        • 2. С писмо на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, Комисия за защита на личните данни.
        • 3. По факс – 029153525.
        • 4. По електронен път на имейла на КЗЛД (kzld@cpdp.bg). В този случай жалбата Ви трябва да бъде оформена като електронен документ, подписан с електронен подпис (не сканирана!).
        • 5. Чрез сайта на КЗЛД – с помощта на приложената по-долу електронна бланка. В този случай жалбата Ви трябва да бъде оформена като електронен документ, подписан с електронен подпис. Този документ се прикачва по стандартния за това начин в полето „Прикачи документ” чрез натискане на бутона „Browse” и избор на документа. Файлът трябва да е не по-голям от 5 МВ. Задължително е да попълните полетата за връзка – име, адрес, електронен адрес.
      • Във всеки един от тези случаи жалбата следва да съдържа данни за жалбоподателя – имена, адрес, телефон за връзка, електронен адрес (при наличие); естество на жалбата; друга информация и документи, които считате за относими към жалбата; дата и подпис (за електронните документи – електронен, за хартиените документи – собственоръчен).
      • КЗЛД е разработила формуляр за жалба до Комисията (за подпомагане и ориентиране на гражданите) във връзка със злоупотреба при обработване на лични данни в списъците на избирателите, подкрепящи регистрацията на политически субекти.
      Виж повече
      Сподели
    • 07.04.2018
      Правителството одобри промени в Закона за защита на личните данни, които изменения синхронизират българското законодателство с европейския Общ регламент за защита на личните данни (GDPR).
      • Новият европейски регламент задава новата правна рамка на ЕС в областта на защитата на личните данни. На практика тази правна рамка установява:
        • общ режим за защитата на физическите лица във връзка с обработването на личните им данни и относно свободното движение на лични данни;
        • специален режим за защитата на физическите лица по отношение на обработването на лични данни от правоприлагащите и правораздавателните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.
      • От Министерския съвет обясняват, че промените в Закона за защита на личните данни целят да осигурят защита на физическите лица и обработването на личните им данни по GDPR, както и обработката на данните им от правоохранителните органи в България.
      • „За разлика от досегашната уредба, със законопроекта се унифицират разпоредбите за защита на личните данни на национално ниво и при международния обмен в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси. По този начин се осигурява хомогенно и високо ниво на защита на личните данни, и улесняване на обмена на информация с компетентните органи на другите държави-членки на ЕС, което има решаващо значение за ефективното осъществяване на това сътрудничество”, пишат от правителството.
      • В законопроекта с промените в Закона за защита на личните данни са разписани подробни дефиниции на ключовите понятия в областта на личните данни. Описани са също принципите, свързани с обработването на лични данни, правомощията на администратора и обработващия данните, условията за обработване на специални категории лични данни, условията за трансграничния обмен на данни, както на ниво ЕС, така и с трети страни или международни организации, правата на субекта на данни и средствата за правна защита на засегнато лице, мерките за сигурност на личните данни и др.
      • С оглед голямото разнообразие и хоризонталния характер на урежданата материя, в законопроекта е предвидена законова делегация за изработване и приемане на съответната подзаконова нормативна база.

      Виж източник

      Виж повече
      Сподели
    • 07.04.2018
      Практически насоки на КЗЛД в кои случаи не е необходимо съгласие за обработване на лични данни
      • Обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, параграф 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR):
      • a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
      • б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
      • в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
      • г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
      • д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
      • е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
      • Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернативни и равнопоставени, като същите не са подредени в йерархична зависимост. Наличието на което и да е от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.
      • В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване, като например законово задължение или договор, както и какви биха били последиците за съответната дейност при оттегляне на съгласието от лицето.
      • Някои от най-често срещаните ситуации, при които администраторът не следва да иска съгласие от лицето за обработване на личните му данни, са следните:
        • 1. Администратор – публичен или частен, събира определен обем лични данни в изпълнение на свое задължение по силата на закон, напр. по силата на Закона за здравето, Закона за счетоводството, Закона за административните нарушения и наказания, Кодекса на труда, Кодекса за социалното осигуряване, Закона за Министерството на вътрешните работи, Закона за гражданската регистрация, Закона за туризма, Закона за предучилищното и училищното образование и т.н.

          в тези хипотези законодателят не е оставил свобода на преценка на администратора или на субекта на данните, в резултат на което евентуалното съгласие на лицето няма да е свободно дадено, съответно няма да е валидно. това важи особено за публичните администратори, както и за секторите, в които е налице детайлна законова регламентация, като например здравеопазване, образование, банкова дейност и др.

        • 2. Личните данни се събират във връзка с предоставянето на различни административни услуги от държавни органи или органи на местното самоуправление.

          В тези случаи правното основание е изпълнение на задача от обществен интерес или упражняване на официални правомощия и изискването на съгласие от лицата е ненужно.

        • 3. Личните данни се събират и обработват за целите на трудово правоотношение.

          В тези случаи работникът или служителят няма истински свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до неблагоприятни последици за него, поради очевидната неравнопоставеност между двете страни. В допълнение, взаимоотношенията между субектите на данни и техните работодатели или органи по назначаване, включително и по отношение обработването на лични данни, изчерпателно се уреждат от трудовото законодателство,индивидуалните и/или колективните трудови договори. При тези обстоятелства условието за законосъобразност на обработването на лични данни е законово задължение и/или изпълнението на договор (в зависимост от хипотезата).

        • 4. Личните данни са необходими за сключване и изпълнение на договор, по който субектът на данните е страна

          Доколкото основният предмет и цел на договора обективно не могат да бъдат постигнати без предоставяне на определен обем лични данни, в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения и съответно не е нужно даване на отделно съгласие за обработване на лични данни.Това не изключва възможността съгласието да се използва като правно основание за обработване на лична информация (данни за контакт и др.) за допълнителни цели, като например маркетинг и реклама, освен ако в нормативен акт не е предвидено основание за това. В тези случаи, изискването за получаване на съгласие може да отпадне, ако са изпълнени изискванията, предвидени в съответния нормативен акт. Важно е да се знае, че администраторът няма право да обвърже изпълнението на даден договор, включително предоставянето на дадена услуга, с получаването на съгласие за обработване на лични данни, когато това не е необходимо за изпълнението на договора, като например получаване на рекламни съобщения. В тези случаи съгласието няма да е свободно дадено, тъй като лицето няма истински свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до неблагоприятни последици за него.

        • 5. Личните данни са необходими за защита на легитимните интереси на администратора или на трета страна, ако тези интереси имат преимущество над интересите и/или основните права и свободи на лицето.

          Такива хипотези в практиката са предприемането на мерки за сигурност и охрана, включително чрез видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др.Легитимен интерес е налице и при обработване на лични данни за защита на правата на администратора по съдебен или несъдебен ред, например за подаване на иск за неизпълнение на договор или за търсене на отговорност за причинени вреди.

        • 6. Личните данни се предават от един администратор на друг в резултат на прехвърляне на вземания (цесия).

          В тези случаи правното основание за обработване на личните данни е изпълнение на законовото задължение по чл. 99, ал.3 от Закона за задълженията и договорите. Законът задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането. Това обстоятелство обуславя и предаването на личните данни, доколкото същите се съдържат в съответните документи. След получаване на вземането новият кредитор може да обработва данните на основание своя легитимен интерес за събиране на дължимата сума, включително по реда на принудителното изпълнение. При цесията не бива да се забравя задължението на предишния кредитор да съобщи на длъжника за прехвърлянето, което кореспондира и на задължението за прозрачност и предоставяне на информация по смисъла на Общия регламент.

        • 7. Личните данни се предават от администратора на обработващ лични данни.

          Общият регламент позволява на администраторите да привличат „обработващ лични данни“ - физическо или юридическо лице, публичен орган, агенция или друга структура, който обработва личните данни от името на администратора. Едни от най-честите хипотези на обработващи лични данни са счетоводните къщи, службите по трудова медицина, колекторските фирми за събиране на вземания, IT компаниите, поддържащи информационните системи на фирми и ведомства и др.Във всички тези случаи Общият регламент не изисква съгласие на лицата, за които се отнасят данните, за привличането на обработващ лични данни, като преценката е оставена изцяло на администратора.

        • 8. Специфична хипотеза на обработване на лични данни без да се изисква съгласие на субекта на данните е фотографирането и видеозаснемането на лица на публично място.

          Ако то се извършва от физическо лице в хода на чисто лични занимания, тогава Общият регламент изобщо не се прилага. В случай, че заснемането е част от професионална дейност, тогава биха могли да се приложат изключенията и облекченията за академично, художествено или литературно изразяване по чл. 85 от ОРЗД. Тук следва да се отчита и разпоредбата на чл. 13 от Закона за авторското право и сродните му права, съгласно която фотографът (видеооператорът) не изисква съгласие от изобразеното лице, ако изображението е било направено в хода на обществената дейност на изобразеното лице или на публично или обществено място, изображението на лицето е само детайл в произведение, показващо събрание, шествие или пейзаж или изобразеното лице е получило възнаграждение, за да позира.

        • 9. В случаите, когато се обработват специални категории (чувствителни) лични данни, като например данни за етнически произход, политически възгледи, религиозни убеждения, синдикално членство, биометрични данни, данни за здравословното състояние, сексуална ориентация и др., основанията за законосъобразност са посочени в чл. 9, параграф 2 от ОРЗД.

          В тази връзка обработването на данни за здравословното състояние е законосъобразно, ако се извършва за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни и социални грижи, лечение, за управление на системите за здравеопазване или социални грижи, в областта на общественото здраве, за защита срещу сериозни трансгранични заплахи за здравето и др. Следователно, ако обработването е необходимо за някоя от тези цели, съответното болнично заведение, лаборатория или аптека няма нито задължение, нито право да иска допълнително изрично съгласие на лицето (пациента). Обратното би означавало, че болницата ще откаже лечение или аптеката - лекарство, ако лицето не даде своето съгласие. Подобно поведение би представлявало пряко нарушение на Общия регламент, което може да бъде санкционирано с глоба или имуществена санкция.

      Виж източник

      Виж повече
      Сподели
    • 07.04.2018
      КЗЛД изрази становище относно обработването на лични данни от Прокуратурата на Република България при публикуване на прессъобщения и предоставяне на информация за журналистически цели
      • На 22 юни 2018 г. КЗЛД прие становище в отговор на постъпило запитване от Главния прокурор на Република България, относно приложението на Регламент (ЕС) 2016/679 при публикуване на прессъобщения и предоставяне на информация за журналистически цели от Прокуратурата на Република България.
      • В своето становище КЗЛД прави анализ на поставените въпроси при прилагане на новите европейски правила за защита на данните, дефинирани в Регламент (ЕС)2016/679 (Общ регламент за защита на данните) и Директива (ЕС) 2016/680 за защита на личните данни в полицейската и наказателната дейност.

        • Публикуването на лични данни на обвиняеми лица в досъдебното производство на интернет страниците на прокуратурите, както и предоставянето им на медиите за журналистически цели е законосъобразно, когато има законово задължение или е налице надделяващ обществен интерес. В случаите, когато с оглед на общественополезната цел е невъзможно или нецелесъобразно информацията да бъде публикувана в анонимизиран или псевдонимизиран вид, тогава посочването на името, длъжността или местоработата на обвиняемия биха били достатъчни за постигане на обществена осведоменост, докато публикуването на ЕГН, адрес, връзки с трети лица извън процеса и пр. би било прекомерно.
        • По правило не бива да се публикуват или разкриват по друг начин лични данни на други участници в досъдебното производство, като свидетели, вещи лица или свързани с тези категории трети лица и др., доколкото по отношение на тях не е налице законово задължение или надделяващ обществен интерес. Изключение би могло да има по отношение на лица, заемащи висши публични длъжности по смисъла на чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество или друго лице, което поради естеството на своята дейност има влияние върху обществото, или когато публикуването на информацията защитава жизненоважни интереси на субекта на данните.
        • Във всички случаи на публикуване на лични данни на участници в досъдебното производство или предоставянето им на медиите следва да се спазват принципите за обработване на лични данни в чл. 5 на Регламент (ЕС) 2016/679, по-специално принципите на свеждане на данните до минимум с оглед постигане на целта, точност на данните и ограничение на времето на съхранение.
      • С последващо писмо на Главния прокурор е изразено задоволство от бързата реакция на КЗЛД по поставените въпроси, както и одобрението, с оглед на обществената значимост, становището да бъде публикувано на институционалните сайтове на Прокуратурата на Република България и Комисията за защита на личните данни.

      КЗЛД изрази становище относно обработването на лични данни от Прокуратурата на Република България при публикуване на прессъобщения и предоставяне на информация за журналистически цели

      • СТАНОВИЩЕ НА КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ Рег. № НДМСПО – 01-502/2018 г. гр. София, 26.06.2018 г.

      • ОТНОСНО: Обработване на лични данни от Прокуратурата на Република България при публикуване на прессъобщения и предоставяне на информация за журналистически цели
      • Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 22.06.2018 г., разгледа преписка с вх. № НДМСПО-01-502/07.06.2018 г. от Главния прокурор на Република България относно приложението на Регламент (ЕС) 2016/679 при публикуване на прессъобщения и предоставяне на информация за журналистически цели от Прокуратурата на Република България (ПРБ).
      • В писмото се посочва, че като администратор на лични данни ПРБ има задължение да спазва съответните нормативни актове, включително посочения регламент. В тази връзка разбирането на прокуратурата е, че правилното приложение на Регламент (ЕС) 2016/679 изисква да не бъдат оповестявани съвкупности от данни, чрез които пряко или непряко може да бъде извършена идентификация на физическо лице. Такива данни биха могли да бъдат две или три имена, длъжност и месторабота, родствени връзки, военни звания и др.
      • С оглед на горепосоченото, ПРБ отправя към КЗЛД по компетентност следните конкретни въпроси:
      • 1. Представлява ли нарушение на нормативните актове в областта на защитата на личните данни:
      • а) Публикуването на лични данни на участници в досъдебното производство (обвиняеми лица, свидетели и др.) на интернет страниците на прокуратурите?
      • б) Предоставянето на лични данни на участниците в досъдебното производство за журналистически цели? Ако да, в кои случаи? Как се съотнася обработването в тези случаи с презумпцията за невиновност?
      • 2. Ако не съществува пречка да бъдат предоставени лични данни, има ли ограничение и какъв е техният обем (съвкупност) така, че да бъдат защитени правата на гражданите? Ще бъде полезно, ако в отговора се посочат конкретни примери.
      • Правен анализ

        Новата правна рамка на Европейския съюз за защита на личните данни, приложима от май 2018 г., включва два основни нормативни акта – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) и Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (Директива).
      • Общият регламент има пряко действие и се прилага от 25 май 2018 г. Директивата предстои да бъде транспонирана в национално законодателство с изменение и допълнение на Закона за защита на личните данни (ЗЗЛД). По отношение приложното им поле те са взаимно изключващи се, т.е. по отношение на дадена форма и цел на обработване на лични данни следва да се приложи или Общият регламент, или Директивата, но не и двата акта едновременно.
      • Обработването на лични данни от прокуратурата в рамките на досъдебното производство за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления попада в обхвата на Директива (ЕС) 2016/680 и се подчинява на специфичните правила в нея.
      • За разлика от обработването на лични данни за целите на наказателния процес, публикуването на прессъобщения и предоставянето на информация на медиите, съдържаща лични данни на участници в досъдебното производство, представлява обработване за други цели, различни от нормативно установената роля на прокуратурата в наказателното производство, и при него се прилага Общият регламент (аргумент от чл. 9, параграф 1 от Директивата). При това положение, за да е законосъобразно обработването, администраторът, в случая ПРБ, следва да има самостоятелно правно основание по чл. 6 от Общия регламент, респективно по чл. 9 от регламента, ако се касае за специални категории (чувствителни) лични данни. В тези случаи следва да се има предвид и разпоредбата на чл. 85 от Общия регламент, по силата на която държавите членки на ЕС имат задължение да съгласуват правото на защита на личните данни с правото на свобода на изразяване и информация, включително обработването за журналистически цели. Въпросните права са равнопоставени и следователно при тяхното упражняване и защита следва да се търси правилен, разумен и пропорционален баланс.
      • В този контекст следва да се отчита фактът , че Прокуратурата и другите органи на съдебната система, с оглед законово определената им компетентност, не обработват лични данни за журналистически цели, съответно спрямо тях не важат особените правила, приложими за медиите.
      • Независимо от горното, публикуването на информация от досъдебните производства, включително лични данни, в определени случаи би могло да се разглежда като необходимо за изпълнението на задача от обществен интерес по смисъла на чл. 6, параграф 1, б. “д“ от Общия регламент. Общественият интерес би могъл да бъде обоснован от различни фактори, които следва да бъдат преценявани от ПРБ, в качеството ѝ на администратор на лични данни, във всеки отделен случай:
      • На първо място, принципът на публичност, прозрачност и отчетност на съдебната власт обезпечава обществения контрол върху органите на съдебната система с цел постигане на справедливост, законност и независимост, както и за засилване на общественото доверие в институциите. ПРБ, като част от съдебната система, също е обект на обществен контрол, една от формите на който е публикуването на сведения за дейността ѝ. В допълнение към общата статистическа информация, в отделни случаи общественият интерес по смисъла на чл. 6, параграф 1, б. “д“ от Общия регламент може да надделее над интереса на индивида, в резултат на което е допустимо и оправдано да се предоставят и лични данни, които обаче следва да са пропорционални на целта. Обществен интерес би могъл да е налице и на плоскостта на генералната превенция, като публикуването на данни за обвиняеми лица би могло да се разглежда като инструмент за постигане на възпитателен ефект за обществото като цяло.
      • В посочените хипотези ПРБ, като администратор на лични данни, следва всеки път да извърши преценка дали общественополезната цел, за която се публикува информацията на интернет страницата на ПРБ или в медиите, не може да бъде постигната чрез прилагане на подхода, разписан в чл. 64 от Закона за съдебната власт, а именно по начин, който не позволява идентифицирането на физическите лица, упоменати в тях (напр. замяна на имената с инициали и т.н.).
      • Ако с оглед на въпросните общественополезни цели е невъзможно или нецелесъобразно информацията да бъде публикувана в анонимизиран или псевдонимизиран вид, тогава посочването на името, длъжността или местоработата на обвиняемия биха били достатъчни за постигане на обществена осведоменост, докато публикуването на ЕГН, адрес, връзки с трети лица извън процеса и пр. би било прекомерно. ПРБ следва също така да предприеме конкретни мерки за недопускане погрешно идентифициране на друго лице при евентуално съвпадение на имената. За целта биха могли да се използват допълнителни признаци, включително псевдоними, възраст, населено място и други, стига допълнителната информация да не е прекомерна.
      • На второ място, по силата на чл. 204 от НПК органите на досъдебното производство следва да използват широко съдействието на обществеността за разкриване на престъпленията и изясняване на обстоятелствата по делото. Когато това е обосновано и пропорционално на обществената опасност на дееца или на престъпното деяние, ПРБ би могла да се обърне за съдействие към гражданите и чрез своята интернет страница и/или медиите, включително чрез публикуване на лични данни – снимки, имена, адрес или други данни за лицето.
      • Трета хипотеза, в която общественият интерес за информираност би могъл да надделее над защитата на личните данни, е участието в наказателния процес на лице, заемащо висша публична длъжност по смисъла на чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество или друго лице, което поради естеството на своята дейност има влияние върху обществото. По отношение на тези лица Конституционният съд на Република България ясно посочва, че „държавната власт като цяло, както и политическите фигури и държавните служители могат да бъдат подложени на обществена критика на ниво, по-високо от това, на което са подложени частните лица. (. . .) Поначало защитата на личните данни на тези лица е много по-занижена в сравнение със защитата на останалите граждани“. (вж. Решение № 7 от 4 юни 1996 г. по к.д. № 1/1996 г. и Решение № 4 от 26 март 2012 г. по к.д. № 14/2011 г.)
      • В запитването на ПРБ се обръща специално внимание на отношението между обработването на лични данни при публикуването на прессъобщения и предоставянето на информация за журналистически цели, от една страна, и презумпцията за невиновност като основно конституционно право на всеки гражданин, от друга.
      • Съгласно чл. 16 от НПК, обвиняемият се смята за невинен до установяване на противното с влязла в сила присъда. От разпоредбата става ясно, че единствено съдът може да определи дадено лице за виновно или невиновно. Прокуратурата е страна в процеса, която повдига и поддържа обвинението за престъпления от общ характер. В този смисъл КЗЛД счита, че публикуването на информация от ПРБ, когато това е оправдано от обществения интерес, не нарушава презумпцията за невиновност, а само дава информация за предприетите от прокуратурата действия по разкриване и разследване на престъпни деяния.
      • Важен елемент от преценката за пропорционалност на публикуването на лични данни от прокуратурата е разграничението между обвиняемите лица и останалите участници в досъдебното производство, като свидетели, вещи лица и др. По отношение на втората категория лица по правило не е налице надделяващ обществен интерес и техните лични данни не следва да стават обект на обществено достояние. Изключение би могло да има по отношение на лица, заемащи висши публични длъжности или когато публикуването на информацията защитава жизненоважни интереси на субекта на данните, напр. при издирване на изчезнало лице.
      • Не на последно място, администраторът следва да извърши преценка на базата на обективни критерии за какъв период от време е оправдано и необходимо личните данни на съответното обвиняемо лице да останат публикувани на интернет страницата на прокуратурата. Така например, при прекратяване на наказателното производство или влизане в сила на присъда, оневиняваща лицето, неговото право на лична неприкосновеност и защита на личните данни надделява над обществения интерес за информираност, съответно информацията за повдигнатото обвинение следва да бъде заличена като неточна или неактуална.
      • Във връзка с горното и на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното

        Становище

        • Публикуването на лични данни на обвиняеми лица в досъдебното производство на интернет страниците на прокуратурите, както и предоставянето им на медиите за журналистически цели е законосъобразно, когато има законово задължение или е налице надделяващ обществен интерес. В случаите, когато с оглед на общественополезната цел е невъзможно или нецелесъобразно информацията да бъде публикувана в анонимизиран или псевдонимизиран вид, тогава посочването на името, длъжността или местоработата на обвиняемия биха били достатъчни за постигане на обществена осведоменост, докато публикуването на ЕГН, адрес, връзки с трети лица извън процеса и пр. би било прекомерно.
        • По правило не бива да се публикуват или разкриват по друг начин лични данни на други участници в досъдебното производство, като свидетели, вещи лица или свързани с тези категории трети лица и др., доколкото по отношение на тях не е налице законово задължение или надделяващ обществен интерес. Изключение би могло да има по отношение на лица, заемащи висши публични длъжности по смисъла на чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество или друго лице, което поради естеството на своята дейност има влияние върху обществото, или когато публикуването на информацията защитава жизненоважни интереси на субекта на данните.
        • Във всички случаи на публикуване на лични данни на участници в досъдебното производство или предоставянето им на медиите следва да се спазват принципите за обработване на лични данни в чл. 5 на Регламент (ЕС) 2016/679, по-специално принципите на свеждане на данните до минимум с оглед постигане на целта, точност на данните и ограничение на времето на съхранение.

      Виж източник

      Виж повече
      Сподели

    Страница 2 от 2

    Запитай тук