Общ регламент за защита на данните (ОРЗД)

 

РЕЗЮМЕ НА:

Регламент (EС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни

КАКВА Е ЦЕЛТА НА РЕГЛАМЕНТА?

• Общият регламент за защита на данните (ОРЗД) защитава лицата, когато техните данни се обработват от частния и от по-голямата част от публичния сектор. Обработването на данни от съответните органи за целите на правоприлагането е предмет на Директивата относно правоприлагането в областта на защитата на данните (LED) (вж. резюмето).
• Той позволява физическите лица да контролират по-добре личните си данни. Също така с него се модернизират и унифицират правилата, позволявайки на предприятията да намалят бюрокрацията и да се възползват от по-голямото доверие на потребителите.
• Той създава система от напълно независими надзорни органи, отговарящи за наблюдението и прилагането на съответствието.
• Той е част от реформата на Европейския съюз (ЕС) за защита на данните, заедно с Директивата относно правоприлагането в областта на защитата на данните и Регламент (EС) 2018/1725 относно защитата на физическите лица във връзка с обработването на лични данни от институции, органи, служби и агенции на ЕС (вж. резюмето).

ОСНОВНИ АСПЕКТИ

Права на физическите лица

ОРЗД засилва съществуващите права, предвижда нови права и осигурява по-голям контрол на физическите лица върху техните лични данни. Той включва следното:

• По-лесен достъп до личните данни на физическото лице. Това включва предоставяне на повече информация за начина на обработване на данните и гарантиране, че тази информация е налична по ясен и разбираем начин.
• Ново право за преносимост на данните. То улеснява преноса на лични данни между доставчиците на услуги.
• По-ясно правило за заличаване (правото „да бъдеш забравен“). Когато дадено физическо лице вече не желае данните му да се обработват и не съществува законна причина те да се съхраняват, данните ще бъдат изтрити.
• Правото да знаят кога сигурността на личните им данни е била нарушена. Дружествата и организациите трябва да уведомят съответния надзорен орган за защита на данните, а в случаите на сериозни нарушения на сигурността на данните — и засегнатите лица.

Правила за предприятия

ОРЗД създава равни условия за всички дружества, опериращи на вътрешния пазар на ЕС, възприема технологично неутрален подход и стимулира иновациите чрез редица стъпки, които включват както следва:

• Единен набор от правила за целия ЕС. Наличието на единен общоевропейски закон за защита на данните повишава правната сигурност и намалява административната тежест.
• Длъжностно лице по защита на личните данни. Публичните органи и предприятията, които обработват данни в голям мащаб или чиято основна дейност е обработката на специални категории данни, като данни, свързани със здравните услуги, трябва да назначат лице, което да отговаря за защитата на данните.
• Обслужване на едно гише. Предприятията трябва да работят само с един-единствен надзорен орган (в държавата — членка на ЕС, в която е основното им седалище); съответните надзорни органи си сътрудничат в рамките на Европейския комитет по защита на данните за трансгранични случаи.
• Правила на ЕС за дружества извън ЕС. Дружествата, които са установени извън ЕС, трябва да прилагат едни и същи правила, когато предлагат услуги или стоки, или когато наблюдават поведението на физически лица в рамките на ЕС.
• Правила за насърчаване на иновациите. Гаранция, че предпазните мерки за защита на данните се вграждат в продукти и услуги от най-ранния етап на разработването им (защита на данните на етапа на проектирането и по подразбиране).
• Благоприятни за поверителността техники. Например псевдонимизацията (когато идентифициращите полета в записа с данни се заменят с един или повече изкуствени идентификатори) и криптирането (когато данните са кодирани по такъв начин, че само упълномощени страни могат да ги четат) се насърчават, за да се ограничи намесата в личния живот при обработването на данните.
• Премахване на уведомленията. С ОРЗД отпаднаха повечето задължения за уведомяване и свързаните с тях разходи. Една от целите му е да премахне пречките, които засягат свободното движение на лични данни в рамките на ЕС. Това ще улесни разширяването на дейността на предприятията на единния цифров пазар.
• Оценки на въздействието върху защитата на личните данни. Организациите ще трябва да извършват оценки на въздействието, когато обработването на данни може да доведе до висок риск за правата и свободите на физическите лица.
• Водене на отчетност. От малките и средните предприятия не се изисква да водят отчет на дейностите за обработване, освен ако обработването не е редовно или няма вероятност да доведе до риск за правата и свободите на лицето, чиито данни се обработват, или е на чувствителни категории данни.
• Съвременен инструментариум за международно предаване на данни. ОРЗД предлага различни инструменти за предаване на данни извън ЕС, включително решения за адекватност, приети от Европейската комисия, където държавата извън ЕС предлага адекватно ниво на защита, предварително одобрени (стандартни) договорни клаузи, обвързващи корпоративни правила, кодекси за поведение и сертифициране.

Преразглеждане

Комисията представи доклад за оценка и преразглеждане на регламента през юни 2020 г. Следващата оценка трябва да се представи през 2024 г.

ОТКОГА СЕ ПРИЛАГА РЕГЛАМЕНТЪТ?

ОРЗД се прилага от 25 май 2018 г.

ОБЩА ИНФОРМАЦИЯ

За допълнителна информация вж.:

• Реформа на правилата на ЕС за защита на данните (Европейска комисия)
• Правила на ЕС за защита на данните (Европейска комисия)
• Доклад на Комисията: Правилата на ЕС за защита на данните предоставят възможности на гражданите и са адаптирани за цифровата ера — съобщение за медиите (Европейска комисия)
• Реформа на защитата на данните — съобщение за медиите (Европейска комисия)
• Защита на личните данни (Европейска комисия).

След избухването на епидемията от COVID-19 и въвеждането на мерки за справяне с въздействието на кризата, Комисията прие:

• Препоръка (ЕС) 2020/518 на Комисията от 8 април 2020 година относно общ инструментариум на Съюза за използване на технологии и данни за борба с кризата, породена от COVID-19, и за нейното преодоляване, и по-специално относно мобилните приложения и използването на анонимизирани данни за мобилността.

ОСНОВЕН ДОКУМЕНТ

Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1—88).

Последващите изменения на Регламент (ЕС) 2016/679 са включени в основния текст. Тази консолидирана версия е само за документална справка.

СВЪРЗАНИ ДОКУМЕНТИ

Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89—131).

Вж. консолидираната версия.

Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39—98).

Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37—47).

Вж. консолидираната версия.

последно актуализация 07.01.2022