Защита на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на ЕС

 

РЕЗЮМЕ НА:

Регламент (ЕС) 2018/1725 относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни

КАКВА Е ЦЕЛТА НА РЕГЛАМЕНТА?

С регламента:

• се определят правила как институциите, органите, службите и агенциите на ЕС следва да обработват личните данни*, които те имат за лицата;
• защитава основните права и свободи на физическото лице, по-специално правото на защита на личните данни и правото на неприкосновеност на личния живот;
• съгласува правилата за институциите, органите, службите и агенциите на ЕС с тези на Общия регламент относно защитата на данните (ОРЗД) и Директива (EC) 2016/680, известна като Директива относно правоприлагането (LED), които се прилагат от май 2018 г.;
• отменя Регламент (ЕС) № 45/2001, който преди съдържаше правилата за обработването на личните данни от институциите, органите, службите и агенциите на ЕС, и гарантира че те съответстват на същите строги норми, определени в ОРЗД;
• отменя Решение № 1247/2002/ЕО относно Европейския надзорен орган по защита на данните (ЕНОЗД).

ОСНОВНИ АСПЕКТИ

Личните данни трябва да:

• бъдат обработвани по законен, честен и прозрачен начин;
• бъдат събирани за конкретни, ясни и законни цели;
• бъдат адекватни, подходящи и ограничени до това, което е необходимо;
• бъдат точни и, ако е необходимо, да бъдат актуализирани;
• бъдат съхранявани по такъв начин, че идентификацията на засегнатите физически лица да е възможна за не по-дълго, отколкото е необходимо;
• бъдат обработени с нужната поверителност.

Администраторът* отговаря за и трябва да бъде в състояние да покаже съответствие с всички гореспоменати принципи за обработка на данни.

Освен това личните данни:

• могат да бъдат предадени на получател в ЕС, който не е институция, орган, служба или агенция на ЕС, предмет само на допълнителни предпазни мерки;
• могат да бъдат предадени извън ЕС само при строги условия;
• разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в професионални съюзи, както и обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето не трябва да се обработват освен при специални обстоятелства;
• трябва да бъдат подходящо защитени, ако са архивирани с цел обществен интерес или за научни, исторически или статистически цели.

Исканията за съгласието на физическите лица за използването на техните данни трябва да бъдат в разбираема и лесно достъпна форма, като се използва разбираем и ясен език. Съгласието трябва да бъде ясно, положително действие от страна на лицето.

Физическите лица (наричани „субекти на данни“ в законодателството) имат правото да:

• оттеглят съгласието си по всяко време, което трябва да бъде толкова лесно, колкото и даването му;
• са осведомени дали техните лични данни са били обработени или не и да имат достъп до тях;
• получават поправката на всякакви неточни лични данни;
• премахват или ограничават обработването на всякакви лични данни, при условие че отговорят на определени условия;
• получават личните си данни, предоставени на администратора, в структуриран, широко използван и пригоден за машинно четене формат и да ги прехвърлят на друг администратор;
• възразяват срещу използването на личните им данни за цели от обществен интерес поради специфичното им положение;
• не са предмет на решение, основаващо се само на автоматично обработване, което ще има правни последствия за тях;
• подадат жалба до ЕНОЗД, ако смятат, че техните лични данни са били обработени по начин, който нарушава регламента;
• бъдат компенсирани за всяка материална или нематериална вреда, която са понесли, поради действията на дадена институция на ЕС, орган, служба или агенция;
• възлагат на организация с нестопанска цел да подаде жалба до ЕНОЗД.

Администраторите:

• трябва да информират субектите на данни на ясен език и с фактологическа информация, като например подробностите за контакт с администратора на данни и целта на обработването на личните данни, когато се събират такива данни;
• трябва да отговарят на всяка молба от субектите на данни, като например молби за достъп до техните лични данни или за коригирането им, веднага щом е възможно и не по-късно от 1 месец;
• прилагат подходящите технически и организационни мерки, включително псевдонимизация*, за да гарантират че обработването на лични данни съответства на регламента;
• трябва да използват само обработващи лични данни, които отговарят на изискванията на ЕС;
• пазят подробни записи с данни, обработвани на тяхна отговорност;
• си сътрудничат с ЕНОЗД;
• нотифицират ЕНОЗД и в някои случаи също и засегнатото физическо лице, колкото е възможно по-скоро за всякакви злоупотреби с личните данни;
• извършват оценка на въздействието върху защитата на данните за определени високорискови обработки на лични данни;
• гарантират поверителността и безопасността на своите електронни комуникационни мрежи;
• информират ЕНОЗД, когато изготвят административни мерки или вътрешни правила относно обработването на лични данни.

Със законодателството се създава позицията на ЕНОЗД, който се назначава за срок от 5 години, с право на едно подновяване. Намиращо се в Брюксел, назначеното на тази длъжност лице:

• действа с компетентна независимост;
• третира цялата поверителна информация с професионална тайна;
• наблюдава как институциите, органите, службите и агенциите на ЕС прилагат законодателството;
• насърчава публичното разбиране и осведоменост за обработването на личните данни;
• обработва жалби и провежда разследвания;
• предупреждава и санкционира администраторите на данни;
• довежда въпроси до знанието на Съда, който разрешава всякакви спорове относно законодателството;
• представя годишен доклад до Европейския парламент, Съвета и Европейската комисия;
• сътрудничи с националните надзорни органи за защита на личните данни.

Процедурен правилник на ЕНОЗД

С решение от 15 май 2020 г. се приема процедурният правилник на ЕНОЗД. В него подробно се определят:

• мисията, ръководни принципи и организацията на ЕНОЗД;
• начина, по който той ще наблюдава и ще гарантира прилагането на регламента;
• процедури за законодателни консултации, мониторинг на технологиите, изследователски проекти и съдебни производства; и
• процедури за сътрудничество с национални надзорни органи и международно сътрудничество.

Специални правила за органите, службите и агенциите на ЕС

Специални правила се прилагат за органите, службите и агенциите на ЕС, които обработват лични данни от оперативен характер* за целите на правоприлагането (напр. Евроюст). Те са обхваната в специфична глава в регламента. Правилата в тази глава са в съответствие с Директивата относно правоприлагането (LED). При все това, в учредителните актове на тези органи, служби и агенции, по-специфични правила могат да бъдат определени, за да се вземат предвид техните конкретни характеристики.

Обработването на лични данни от оперативен характер от страна на Европол и Европейската прокуратура е извън обхвата на регламента и вместо това се урежда от специфични разпоредби в правните актове, които ги установяват. Обаче извършваната от тях административна обработка на личните данни (например за управление на персонала) е предмет на регламента.

Длъжностно лице по защита на личните данни

Контролните органи назначават също така и длъжностно лице по защита на личните данни за период от 3 до 5 години, което да:

• дава независими съвети относно обработването на личните данни;
• наблюдава съответствието с правилата за защита на личните данни.

Доклади

Европейската комисия трябва да представи своя първи доклад за прилагането на регламента до 30 април 2022 г.

ОТКОГА СЕ ПРИЛАГА РЕГЛАМЕНТЪТ?

Той се прилага от 11 декември 2018 г., с изключение на обработването на личните данни от Евроюст, което се прилага от 12 декември 2019 г.

ОБЩА ИНФОРМАЦИЯ

Член 8 от Хартата на основните права постановява, че всеки има правото на защита на личните данни. Член 16 от Договора за функционирането на Европейския съюз развива допълнително това право. Този член е правното основание за всяко законодателство на ЕС относно защитата на личните данни.

За допълнителна информация вж.:

• Защита на личните данни в ЕС (Европейска комисия).

ОСНОВНИ ПОНЯТИЯ

ОСНОВЕН ДОКУМЕНТ

Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39—98).

СВЪРЗАНИ ДОКУМЕНТИ

Решение (ЕС) 2020/969 на Комисията от 3 юли 2020 година за установяване на правила за прилагане във връзка с длъжностното лице по защита на данните, ограниченията на правата на субектите на данни и прилагането на Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета и за отмяна на Решение 2008/597/ЕО на Комисията (OВ L 213, 6.7.2020 г., стр. 12—22).

Решение на Европейския надзорен орган по защита на данните от 15 май 2020 година за приемане на Процедурен правилник на ЕНОЗД (ОВ L 204, 26.6.2020 г., стр. 49—59).

Решение на Европейския надзорен орган по защита на данните от 2 април 2019 година относно вътрешните правила по отношение на ограничаването на някои права на субектите на данни във връзка с обработването на лични данни в рамките на дейностите, извършвани от Европейския надзорен орган по защита на данните (ОВ L 99I, 10.4.2019 г., стр. 1—7).

Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1—88).

Последващите изменения на Регламент (ЕС) 2016/679 са инкорпорирани в основния текст. Тази консолидирана версия е само за документална справка.

Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89—131).

Вж. консолидираната версия.

последно актуализация 14.01.2022