Иван Савов, председател на Европейския институт за риск политика
Всяка организация, която събира и обработва лични данни, трябва да разработи своя система за защитата им, като спазва 6-те основни принципа, залегнали в регламента. Те се отнасят до това какви данни, за какъв срок от време и на какво основание могат да се събират и обработват:
– За да обработва лични данни, компанията/организацията трябва да има законно основание за това, да ги е събрала за изпълнение на конкретна цел, като субектът да е информиран за това предварително и да е дал писмено съгласие.
– Данните, които се събират и обработват, трябва да са подходящи и ограничени до необходимото за изпълнението на целта, например email адрес. Не е разрешено да се събират данни отвъд минимално необходимите, например към email адреса да се добавят лично име и фамилия. Данните трябва да са актуални и точни, което изисква организациите периодично да влизат в контакт с лицата/субектите и да им се дава възможност да актуализират данните си.
– Данните не трябва да се поддържат и съхраняват повече от регламентирания срок или срока, обоснован от организацията. Когато за съхранението на данните има национално законово основание, то трябва да се спазва. Съхраняването на данни отвъд определения срок е нарушение на регламента и подлежи на санкция.
– И не на последно място, данните трябва да се събират, обработват и съхраняват по начин, който гарантира сигурност на информацията и я защитава от пробиви. За целта организацията трябва да е изградила ефективна система за сигурност, чието действие непрекъснато трябва да се следи.
Какви са правата на субектите на лични данни?
– Субектите имат право на достъп до своите лични данни, които са предоставили на съответната организация. Като служители или клиенти субектите могат да изискват от администратора да получат такъв достъп, а администраторът е длъжен да предостави безплатно пълната информация. В случай че се изискват архивирани данни например, администраторът може да поиска разумно заплащане на извънредните разходи за предоставянето на тази информация. Администраторът следва да предостави информацията в 30-дневен срок.
– Субектите имат право да коригират личните си данни и да поискат да бъдат забравени. Правото да бъдат забравени не е абсолютно, тъй като администраторът има законоопределени срокове на съхранение (например ведомости от заплати се пазят за срок от 50 години) или има легитимно основание за съхранение с цел извършване на основната си дейност (например не може да отидете в банката, където изплащате кредит, и да поискате да бъдете забравен...).
– Друго право на субектите е на преносимост на личните данни – да може да се предават директно между администратори. Това право даде възможност преди няколко години да можем да сменяме телеком операторите без ограничение. Подобни технически стандарти се разработват и за други сектори, за да гарантират преносимост и сигурност на информацията.
– Когато субектите идентифицират, че обработката на данните е незаконосъобразна, могат да се противопоставят на администратора и при липса на реакция да сезират КЗЛД.
– Субектите имат право и на лимитиране на обработката. Например, ако първоначално сме се съгласили на основна обработка на лични данни и на предаване за обработка от трети лица, имаме възможност впоследствие да се откажем от обработка от трети лица.
– С развитието на технологиите все повече се използва автоматичното профилиране на лични данни, за което администраторът трябва да уведоми субектите и да получи изрично съгласие или отказ. Това профилиране не трябва да е неразделна част от основната законова цел на обработката и не би трябвало в случай на отказ да е основание за отказ за предоставяне на продукти или услуги от администратора към субекта.
Организацията трябва да разработи процедура/и за комуникация със субектите – по отношение на исканията им за достъп до данните им, за коригиране, за това да бъдат забравени, да се противопоставят, да откажат автоматизирано профилиране, за преносимост. Организацията разработва и процес за информиране и съгласие, за да се гарантират и принципите на обработка и правата на субектите.
В следващата публикация ще разгледаме задълженията и отговорностите на администраторите и обработващите организации, както и ангажиментите на националните съдилища и европейския съд по отношение на дела и спорове, свързани със спазването на регламента.
Текстът е публикуван в брой 18/2018 г. на списание "Икономист", който може да купите в разпространителската мрежа в петък, 4 май. Вижте какво още можете да прочетете в броя. 
