Общият регламент за защита на данните (GDPR), въведен от Европейския съюз през 2018 г., цели да осигури по-висока степен на защита на личната информация на гражданите. Но какво точно се разбира под „лична информация“? Тази статия ще разгледа определението за лични данни, различните видове информация, които попадат в тази категория, както и законовите изисквания за тяхната обработка според GDPR.
Какво представлява личната информация?
Според член 4, параграф 1 от GDPR, лични данни са „всяка информация, която се отнася до идентифицирано или подлежащо на идентифициране физическо лице“. Това означава, че всяка информация, която може директно или индиректно да идентифицира дадено лице, попада в обхвата на личните данни. Примери за такава информация включват:
- Имена (напр. Иван Иванов)
- Адреси (пощенски или електронни)
- Телефонни номера
- Идентификатори в интернет като IP адреси или „бисквитки“
- Данни за здравословното състояние
- Финансова информация (като банкови сметки)
- Биометрични данни (напр. отпечатъци или сканиране на ириса)
Видове лични данни
Обикновени лични данни
Обикновените лични данни включват информация като име, адрес и идентификационен номер. Те са подложени на основните изисквания за защита, предвидени в GDPR.
Чувствителни лични данни
Член 9 от GDPR определя „специални категории лични данни“, които изискват по-строга защита. Те включват информация, разкриваща:
- Расов или етнически произход
- Политически възгледи
- Религиозни или философски убеждения
- Членство в синдикални организации
- Генетични и биометрични данни, използвани за идентификация
- Данни за здравето
- Сексуална ориентация или живот
Обработката на такива данни е разрешена само при наличието на изрично съгласие от субекта или при наличие на специфична законова основа.
Основни принципи при обработката на лични данни
GDPR задава няколко ключови принципа за защита на личната информация, които са описани в член 5 от регламента:
- Законосъобразност, добросъвестност и прозрачност
Личните данни трябва да бъдат обработвани по законен, прозрачен и добросъвестен начин. - Ограничаване на целите
Данните могат да се събират само за конкретни, изрично упоменати и легитимни цели. - Минимизиране на данните
Събират се само данни, които са необходими за постигане на целите. - Точност
Личните данни трябва да бъдат точни и, при необходимост, актуализирани. - Ограничение на съхранението
Данните не трябва да се съхраняват за по-дълъг период от необходимото. - Цялостност и поверителност
Данните трябва да се обработват по начин, който осигурява тяхната сигурност.
Кой носи отговорност за защитата на личните данни?
GDPR определя няколко ключови роли, свързани с обработката на данни:
- Администратор на лични данни
Това е лице или организация, която определя целите и средствата за обработка на данните (член 4, параграф 7). Пример: компания, която събира данни за своите клиенти. - Обработващ данните
Лице или организация, което обработва данните от името на администратора (член 4, параграф 8). Пример: доставчик на облачни услуги. - Субект на данните
Това е физическото лице, чиито лични данни се обработват.
Права на субектите на данни
GDPR предоставя редица права на гражданите, за да гарантира, че личната им информация е защитена. Сред тях са:
- Право на достъп (член 15): Субектът има право да знае какви данни се обработват и с каква цел.
- Право на поправка (член 16): Гражданите могат да поискат коригиране на неточни или непълни данни.
- Право на изтриване („правото да бъдеш забравен“, член 17): Данните могат да бъдат изтрити при определени условия.
- Право на преносимост на данни (член 20): Лицата могат да получат своите данни в машинночетим формат.
- Право на възражение (член 21): Субектът може да се противопостави на обработката на данни, например за маркетингови цели.
Какво се случва при нарушение на GDPR?
Нарушенията на GDPR могат да доведат до значителни глоби. Член 83 предвижда, че глобите могат да достигнат до 20 милиона евро или 4% от глобалния годишен оборот на организацията, в зависимост от това кое е по-голямо.
В заключение личната информация е в основата на GDPR, който цели да гарантира, че данните на гражданите са защитени и обработвани по прозрачен и законен начин. Разбирането на видовете данни, принципите на обработка и правата на субектите е от решаващо значение за всички организации и физически лица, които се занимават с лична информация. Спазването на GDPR не е само законово изискване, но и начин да се изгради доверие и да се покаже уважение към поверителността на гражданите.