Защита на личните данни

Директива 95/46/ЕО е текстът за справка на европейско равнище в областта на защитата на личните данни. Тя въвежда подзаконова уредба, която цели да установи баланс между висока степен на защита на личния живот на физическите лица и свободното движение на лични данни в Европейския съюз (ЕС). За тази цел, директивата определя стриктни ограничения при събирането и използването на личните данни, и изисква във всяка държава-членка да бъде създаден независим национален орган, който да отговаря за надзора на всяка една дейност, свързана с обработването на лични данни.

АКТ

Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни [Виж актове за изменение].

ОБОБЩЕНИЕ

Настоящата директива се прилага към данните, обработвани чрез автоматизирани средства (напр. компютърна база данни на клиенти), както и към данните, които са включени или които ще бъдат включени в неавтоматизирано досие (традиционни хартиени досиета).

Директивата не се прилага към обработването на данни:

от физическо лице при упражняването на изключително лични или домашни дейности;
при упражняването на дейности, които не влизат в приложното поле на общностното право, като обществената сигурност, отбраната и държавната сигурност.

Директивата цели да защити правата и свободите на физическите лица що се отнася до обработването на личните данни, като установява основните критерии за законосъобразността на операциите по обработването и принципите за качество на данните.

Обработването на лични данни е законно само ако:

съответното физическо лице е дало недвусмислено своето съгласие за това; или
обработването е необходимо за изпълнението на договор, по който съответното физическо лице е страна; или
обработването е необходимо за спазването на правно задължение, чийто субект е администраторът; или
обработването е необходимо, за да бъдат защитени жизнено важни интереси на съответното физическо лице; или
обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес или при упражняване на официалните правомощия, които са предоставени на администратора или трето лице; или
обработването е необходимо за целите на законните интереси, преследвани от администратора или от трето лице, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице, които изискват защита.

Принцпите за качество на данните, които трябва да се прилагат при всички дейности за законно обработване на данни, са следните:

личните данни трябва да бъдат обработвани по справедлив и законосъобразен начин и да се събират за определени, ясни и законни цели. Освен това те трябва да бъдат достатъчни, релевантни и да не бъдат прекомерни, точни и ако е необходимо, да се актуализират, трябва да се съхраняват не по-дълго от необходимото и само за целите, за които са събрани;
специалните категории обработване: трябва да се забрани обработването на лични данни, разкриващи расов или етнически произход, политически идеи, религиозни или философски убеждения, членство в професионални съюзи, както и обработването на данни, свързани със здравословното състояние и половия живот. Тази разпоредба не се прилага, например когато обработването на данни е необходимо за защита на жизнените интереси на съответното физическо лице или за целите на профилактичната медицина и поставянето на медицинска диагноза.

Лицето, чийто данни се обработват, физическото лице, може да упражнява следните права:

правото за получаване на информация: администраторът трябва да предостави на физическото лице, от което той събира данните, някои видове сведения важни за него/нея (самоличността на администратора, целта на обработването, получателите на данни и пр.) ;
правото на достъп на тези лица до данните: всяко засегнато лице трябва да има право да получи от администратора:
правото на възражение при обработването на лични данни: съответното физическо лице трябва да има право на възражение въз основа на законови основания във връзка с обработването на личните му данни. То също така трябва да може да възрази, с молба или безплатно, срещу обработването на личните данни, когато се очаква да бъдат обработени за целите на директен маркетинг. Най-накрая то трябва да бъде уведомено, преди личните данни да бъдат разкрити на трети страни, както и изрично да ползва правото на възражение срещу подобно разкриване.

Други аспекти, свързани с обработването на данни:

изключения и ограничения на правата на физическото лице: принципите, отнасящи се до качеството на данните, до информирането на съответното физическо лице, до правото на достъп и до публичността на операциите по обработката, може да бъдат ограничено приложени, с цел защита на, inter alia, държавната сигурност, отбраната, обществената сигурност, наказателното преследване, важни икономически и финансови интереси на държава-членка или на ЕС или защитата на съответното физическо лице;
поверителен характер и надеждност на обработването: всяко лице, действащо под ръководството на администратора или на обработващия данни, включително самият обработващ данни, което има достъп до личните данни, може да ги обработва само по указание на администратора. От друга страна, администраторът трябва да прилага подходящи мерки за защита на личните данни срещу случайно или неправомерно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп;
уведомяването за обработването от надзорен орган: администраторът трябва да уведоми националния надзорен орган преди извършването на операция по обработка. Такива предварителни проверки на евентуалните рискове спрямо правата и свободите на съответните физически лица се извършват от надзорния орган след получаване на уведомлението. Публичността на операциите по обработката трябва да бъде гарантирана и надзорните органи трябва да водят регистър на съобщените операции.

Всяко лице трябва да разполага с правна защита при нарушение на правата, гарантирани от националното право, приложимо към въпросната обработка. Освен това, лицата, които са понесли вреди в резултат на неправомерна операция по обработка на личните им данни, имат право да получат обезщетение за понесените вреди.

Предаването на лични дани от държава-членка към трета държава е разрешено при подходяща степен на защита. Обаче, въпреки че предаването на данни не може да се извърши, когато подходящата степен на защита не е гарантирана, съществува определен брой изключения от това правило, посочени в Директивата, напр. когато самото физическо лице е съгласно с предаването на данни, при сключване на договор, необходимо е за обществен интерес, но също и ако обвързващи корпоративни правила или общи договорни клаузи са оторизирани от държвата членка.

Директивата предвижда разработването на национални и общностни кодекси за поведение, които имат за цел да допринесат за правилното прилагане на националните и общностните разпоредби.

Всяка държава-членка предвижда на нейната територия един или повече независими държавни органи да отговарят за контрола на прилагането на разпоредбите, приети от държавите-членки съгласно настоящата директива.

Учредява се работна група за защита на лицата при обработването на лични данни, съставена от представители на националните надзорни органи, представители на надзорните органи от общностните институции и организации, и от един представител на Комисията.

ПРЕПРАТКИ

Акт	Влизане в сила	Краен срок за транспониране в държавите-членки	Официален вестник
Директива 95/46/ЕО	13.12.1995 г.	24.10.1998 г.	ОВ L 281, 23.11.1995 г.

Акт(ове) за изменение	Влизане в сила	Краен срок за транспониране в държавите-членки	Официален вестник
Регламент (ЕО) № 1882/2003	20.11.2003 г.	-	ОВ L 28, 31.10.2003 г.

Последователните изменения и поправки на Директива 95/46/ЕО са включени в базовия текст. Тази консолидирана версия е само за справка.

СВЪРЗАНИ АКТОВЕ

ДОКЛАД ЗА ИЗПЪЛНЕНИЕ

Съобщение на Комисията до Европейския парламент и до Съвета от 7 март 2007 г., озаглавено „Oтносно последващите действия по отношение на работната програма за по-добро прилагане на Директивата за защита на данните“ [ COM(2007) 87 окончателен – непубликувано в Официален вестник].

Това съобщение разгледа извършената работа в рамките на последващите действия по отношение на работната програма за по-добро прилагане на Директивата за защита на данните, включена в първия доклад за прилагането на Директива 95/46/ЕО. Комисията изтъкна, че има подобрения след като всички държави-членки транспонираха директивата. Тя посочи, че директивата не трябва да се изменя.

Тя добави също, че:

ще продължи да си сътрудничи с държавите-членки и ако е необходимо, ще започне официални процедури за нарушение;
ще изготви тълкувателно съобщение относно някои разпоредби на директивата;
ще продължи прилагането на работната програма;
ще представи при сериозно технологично развитие в конкретна област секторно законодателство на равнището на ЕС;
ще продължи сътрудничеството си с външните си партньори, по-специално САЩ.

Доклад на Комисията от 15 май 2003 г., озаглавен „Първи доклад относно прилагането на директивата във връзка със защитата на личните данни (95/46/ЕО)“ [ COM(2003) 265 окончателен — Hепубликуван в Официален вестник].

Докладът изложи резултатите от проведените от Комисията консултации по оценяването на Директива 95/46/ЕО от правителствата, институциите, обединенията от предприятия, потребителските и гражданските асоциации. Резултатите от консултациите показаха, че малко от тези, които правят финансовите вноски, са искали директивата да бъде преразгледана. Освен това, след консултация на държавите-членки, Комисията е отбелязала факта, че повечето от тях, както и националните надзорни органи, не са смятали за необходимо в директивата да се внасят изменения към настоящия момент.

Въпреки закъсненията и установените пропуски при прилагането ѝ директивата е изпълнила главната си цел да премахне препятствията пред свободното движение на личните данни между държавите-членки. Комисията счита, от друга страна, че целта за гарантиране на висока степен на защита в Общността е била постигната, тъй като степента на защита на някои определени в директивата стандарти за защита на личните данни е от най-високите в света.

Въпреки това, други цели на политиката на вътрешния пазар не са така добре постигнати. Законодателството в областта на защитата на личните данни се различава в значителна степен между държавите-членки. Тези различия възпрепятстват многонационалните организации да определят паневропейски политики в областта на защитата на личните данни. Поради тази причина, Комисията съобщи, че тя ще направи необходимото, за да бъдат преодолени тези трудности, като се избягва максимално използването на официални действия.

По отношение на общото равнище на спазването на законодателството за защитата на личните данни в ЕС могат да бъдат изтъкнати три трудности:

липса на средства, предназначени за прилагането;
твърде непоследователно спазване от страна на администраторите;
видимо слабо равнище на познаване на правата им от съответните физически лица, което може да стои в основата на предходното явление.

За да гарантира подобрено прилагане на директивата за защитата на личните данни, Комисията е приела работна програма, която съдържа някои действия, които трябва да бъдат проведени между приемането на настоящия доклад и края на 2004 г. Тези действия включват следните инициативи:

дискусии с държавите-членки и органите, на които е възложена защитата на личните данни за промените, които трябва да бъдат внесени в националното им законодателство, така че да се постигне пълно съответствие с изискванията от директивата;
асоцииране на страните кандидатки към усилията, които целят по-качествено и уеднаквено прилагане на директивата;
подобряване на оповестяването на всички законови актове относно транспонирането на директивата;
опростяване на условията за международно прехвърляне на данни;
насърчаване на технологиите за засилване на защитата на личния живот;
насърчаване на саморегулирането и европейските кодекси за поведение.

ДИРЕКТИВА ЗА ПРАВОТО НА НЕПРИКОСНОВЕНОСТ НА ЛИЧНИЯ ЖИВОТ В СЕКТОРА НА ЕЛЕКТРОННИТЕ КОМУНИКАЦИИ

Директива 2002/58/EО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) [Официален вестник L 201, 31.7.2002 г.].

Тази директива е приета през 2002 г. заедно с нов законодателен инструмент, който обхваща сектора на електронните комуникации. Тя съдържа разпоредби по някои малко или повече чувствителни теми, като запазването на данни за връзка от държавите-членки с цел полицейски надзор (задържане на данни), изпращането на непоискани електронни съобщения, използването на така наречените кукита („cookies“) и включването на лични данни в публичните указатели.

Регламент (ЕС) № 611/2013 съдържа правила относно съобщаването на нарушения на сигурността на личните данни от доставчиците на общественодостъпни електронни съобщителни услуги в случай, че личните данни на клиентите са изгубени, откраднати или компрометирани по друг начин.

В случай на нарушения на сигурността на личните данни и компрометирани лични данни, съгласно Директива 2002/58/ЕО доставчиците са задължени да уведомят компетентните национални органи по защита на данни (ОЗД), а в определени случаи и засегнатите абонати и лица, за нарушенията на сигурността на личните данни. Регламент (ЕС) 611/2013 въвежда „технически мерки за изпълнение“, за да разясни как да се изпълнят тези задължения.

Освен това, доставчиците трябва:

да информират съответния ОЗД за инцидента не по-късно от 24 часа след откриване на нарушението на сигурността, с цел максимизиране на неговото ограничаване.
да вземат предвид типа на компрометирните данни, когато преценяват дали да уведомят абоната или лицето, например, когато данните се отнасят до финансова информация, данни за електронната поща, файлове със статистика за интернет връзките, история на посетените уебстраници и т.н.;
да предоставят на ОЗД и/или на съответните aбонати или лица детайлите за инцидента, типа на съответните данни и предприетите мерки за решаване на проблема.

ОБЩИ ДОГОВОРНИ КЛАУЗИ ЗА ПРЕХВЪРЛЯНЕ НА ДАННИ КЪМ ТРЕТИ СТРАНИ

Решение 2004/915/ЕО от 27 декември 2004 г. за изменение на Решение 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни в трети страни [Официален вестник L 385, 29.12.2004 г.].

Европейската комисия одобри нови общи договорни клаузи, които предприятията могат да използват, за да осигурят адекватни гаранции при прехвърлянето на лични данни от ЕС към трети страни. Тези нови клаузи ще бъдат добавени към вече съществуващите в решението на Комисията от юни 2001 г. (виж по-долу).

Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО [Официален вестник L 181, 4.7.2001 г.].

Това решение определя общите договорни клаузи, които ще осигурят адекватно равнище на защита на личните данни, прехвърляни от ЕС към трети страни. Решението задължава държавите-членки да признаят, че дружествата или организациите, които използват подобни общи клаузи в договорите, свързани с прехвърлянето на лични данни към трети страни, осигуряват „подходяща степен на защита“ на данните.

Решение на Комисията 2010/87/ЕС относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета [Официален вестник L 39 от 12.02.2010 г.]

Решения на Комисията относно подходящата степен на защита на личните данни в определен брой трети страни на базата на чл. 25 (6): Комисията досега е признала Андора, Аргентина, Австралия, Канада (търговски организации), Швейцария, Фарьорските острови, Гърнси, Израел, Остров Ман, Джърси, Нова Зеландия, Уругвай и принципите за неприкосновеност на личния живот на Министерството на търговията на САЩ, като предоставящи подходяща степен на защита.

ЗАЩИТА НА ДАННИТЕ ОТ ИНСТИТУЦИИТЕ И ОРГАНИТЕ НА ОБЩНОСТТА

Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни [Официален вестник L 8, 12.1.2001 г.].

Този регламент цели да осигури защитата на личните данни в институциите и органите на Европейския съюз. Текстът предвижда:

разпоредби, които гарантират висока степен на защита на личните данни, обработвани от институциите и органите на Общността;
създаването на независима надзорна инстанция, която да контролира прилагането на тези разпоредби.

последно актуализация 08.03.2014