Становище на КЗЛДЛ относно законосъобразността на обработването на биометрични данни с цел идентификация на клиенти при обажда по телефона (Voice Biometrics)

СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № НДМСПО-01-274/27.04.2018 г.
гр. София, 25.09.2019 г.
ОТНОСНО: Молба за становище от страна на г-жа Виолина Маринова – Главен изпълнителен директор и г-жа Диана Митева – Изпълнителен директор на банка „ДСК“ относно законосъобразността на обработването на биометрични данни на клиенти с цел идентификация при искания от тяхна страна за съдействие и информация посредством обаждане по телефона
 
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 25.07.2018 г., разгледа постъпили молби за становище от г-жа Виолина Маринова- Главен изпълнителен директор и г-жа Диана Митева – Изпълнителен директор на банка „ДСК“, с вх. № НДМСПО-01-274/27.04.2018 г.
В изпратеното писмо е отбелязано желанието на банка „ДСК“ да въведе система за идентифициране на клиентите чрез гласова биометрия “VoiceBiometrics”, която следва да бъде внедрена в Контактния център за идентификация при:
– нужда от подпомагане на клиентите на банката за продуктите и услугите, които ползват, като ще се използва и телефонното позвъняване в комбинация с разпознаването.
– получаване на информация за салдо и движение по сметката – ще се използва комбинация от три метода за идентификация на клиентите – телефон, Voicebiometrics и последните четири цифри на активна банкова карта.
За целите на изготвяне на становището е предоставена по-подробна информация относно:
1. Характеристиките на Voicebiometrics – проверка на самоличността на потребителя чрез предварително направен гласов отпечатък, който ще зависи от основната физическа конфигурация на устата и гърлото, диафрагмата, скоростта на говорене, паузите при дишане, интонация и т.н., които се изразяват като стойности чрез използвани математически методи.
2. Процесът на заявяване и регистрация по новата система:
2.1. Клиентът ще заявява метода в поделение на банката.
2.2. Клиентът подписва Искане за ползване на метода като възможност за идентификация, както и изрично съгласие за обработване на личните му данни, като банката предоставя информация относно метода на събиране на данни и целите на обработка.
2.3. Ще бъде извършен запис на три референтни съобщения, представляващи една и съща фраза, която клиентът произнася. Съобщенията се записват пред служител на банката, като текстът е един и същ за всички клиенти.
2.4. Записите ще бъдат свързвани със съответния клиентски номер.
2.5. Документът, подписан от клиента, ще се съхранява в банката в законоустановените срокове.
3. Процедурата за промяна и отказ от услугата – заложена е възможност за отказ и промяна чрез подписване на изготвен за целта документ в клон на банката. В случай на отказ събраните данни на клиентите чрез системата за гласово разпознаване ще бъдат изтрити.
4. Начинът за използване на услугата по идентификация чрез гласово разпознаване:
4.1. Идентификация на клиента по телефонен номер и дали той фигурира в базата данни на клиенти, които са регистрирани за услугата Voicebiometrics.
4.2. След разпознаване на клиента по телефон ще се извърши идентификация с глас чрез произнасяне на референтното съобщение. При успешно преминаване на разпознаването, лицето ще може да избере коя от двете опции за обслужване на клиентите да избере.
4.3. В случай, че избере възможността за следене на движение на средствата по неговата сметка, клиентът ще има възможност да въведе последните 4 цифри от номера на активна банкова карта, като се извършва последваща проверка с последните четири цифри на някоя от активните карти на клиента. След това лицето се насочва към получаване на информация за салдо и движение по сметката посредством автоматично меню на телефона на банката или чрез оператор.
5. Срокове за съхраняване на биометричните данни – определени са видовете данните за съхранение:
5.1. Записи на трите референтни съобщения, произнесени от клиента;
5.2. Записи на съобщенията, чрез които се идентифицира физическото лице през автоматичното меню.
5.3. Гласовите отпечатъци, които ще се използват за осъществяване на сравнителния анализ при осъществяване на идентификацията чрез глас.
Целта на съхранение е необходимостта от доказване идентификацията на клиента в случай на предявени претенции.
Съхранението на данните ще бъде в криптиран вид в защитена среда на сървър на банката, със строго ограничен достъп само при необходимост и за конкретен случай. Сроковете за съхранение са до 5 години от прекратяване на договорните взаимоотношения на клиента с банката.
6. Валидност на услуга – от подписването на Искането за ползване на услугата от клиента до нейното прекратяване чрез подписване на Искане за прекратяване на услугата или до прекратяване на договорните взаимоотношения на клиента с банката.
Правен анализ:
Правото на защита на лични данни е основно право, което се защитава от Регламент (ЕС) 2016/679 (Общ регламент за защита на данните). Той е нормативният акт, определящ правилата, свързани със защитата на личните данни на физическите лица при тяхното обработване. Общият регламент надгражда предишния режим за защита на данните, въведен от Директива 95/46, която бе транспонирана в българския Закон за защита на личните данни, като отчита динамиката на развитието на дейностите и технологиите за обработка на лични данни.
Използването на гласово разпознаване като система за идентификация на физически лица не е изрично регламентирано в българското законодателство. При липсата на специално законодателство, то следва да бъде анализирано в контекста на Регламент (ЕС) 2016/679, приложим от 25 май 2018 г. Полезни насоки се съдържат и в Становище 3/2012 относно развитието на биометричните технологии на вече бившата Работна група по чл. 29.
Предложеният от банката метод на идентификация включва използването на гласов отпечатък, който се явява цифрово представяне на уникалните характеристики на гласа на човек и следователно попада в определението за „биометрични данни“ по чл. 4, т. 14 от Регламент (ЕС) 2016/679. Доколкото в конкретния случай биометричните данни ще бъдат използвани от администратора за целите единствено на идентифицирането на физическо лице, тогава те се явяват специална категория лични данни по чл. 9 от Общия регламент и изискват засилена защита на правата и свободите на съответните субекти на данни.
Разпоредбата на чл. 9, пар. 2 от Общия регламент допуска законосъобразна обработка на специални категории лични данни при определени условия. Приложима в случая е хипотезата на чл. 9, пар. 2, б. „а“, а именно „субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели“. Видно от предоставената информация, банка „ДСК“ правилно е предвидила изричното съгласие като правно основание за обработването на данните.
В чл. 7 от Общия регламент са определени различните условия към съгласието, включително относно отчетността, правото да се оттегли съгласието, както и забраната изпълнението на договор, включително предоставянето на услуга, да е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на въпросния договор. Субектът на данните също така следва да бъде информиран за последиците при отказ да даде съгласие за обработване на отделни категории лични данни, в случая гласова биометрия.
За да бъдат спазени посочените по-горе изисквания, администраторът на лични данни следва да предостави на клиента на банката право на избор да се възползва от алтернативни методи за идентификация, които не включват обработване на биометрични данни, съответно възможност за последващ отказ, без това да поражда негативни последици за него. По този начин ще се избегне и евентуалния риск от дискриминация на потребители на банкови услуги, при които поради медицински или други причини не е удачно използването на гласова биометрия.
Друг важен принцип е изискването за добросъвестност и прозрачност, което следва да се реализира чрез предоставянето на кратка и разбираема информация в лесно достъпна форма и на ясен и прост език (аргумент от чл. 12 от Общия регламент). Информацията следва да включва елементите, посочени в чл. 13 от Общия регламент, вкл. сведения относно правата на лицата във връзка с обработката на техните лични данни, сроковете за съхранение на данните, получателите на информация от биометричната система, наличието на евентуално предаване (трансфер) на данните към трети страни и др.
С оглед на завишения риск за субектите на данни, администраторът следва да обърне специално внимание на задължителните изисквания, свързани с „ограничение на целите“, както и „ограничение на съхранението“ (чл. 5, пар. 1, б. „б“ и „д“ от Общия регламент). Опазването на банковата тайна и предотвратяването на опити за измами и други злоупотреби, пряко засягащи финансовите интереси на клиентите на банката, принципно представлява пропорционална цел, която оправдава използването на биометрични данни. Също така предложеният срок на съхранение на данните – до 5 години от прекратяване на договорните правоотношения на лицето с банката, не е прекомерен и е съобразен със срока на общата погасителна давност по чл. 110 от Закона за задълженията и договорите.
Не по-малко съществени в конкретната хипотеза са и принципите на „точност“ и „цялостност и поверителност“  (чл. 5, пар. 1, б. „г“ и „е“ от Общия регламент), доколкото гласовите биометрични данни ще бъдат използвани за сигурна и надеждна проверка на самоличността на физическото лице – потребител на услугите на банката.
Предвид гореспоменатото, администраторът на лични данни следва да предприеме необходимите мерки за спазването на изискванията на Общия регламент за защита на данните с оглед отговорността, който носи при използването на системата и задължението да докаже пред КЗЛД адекватността и ефективността на “Voice biometric”.
Ефективен начин за изпълнение на задълженията на администратора е прилагането на подходящи технически и организационни мерки за защита на данните на етапа на проектирането и по подразбиране по смисъла на чл. 25 от Регламент (ЕС) 2016/679.
Системата за идентифициране на клиентите чрез гласова биометрия “Voice Biometrics” представлява нова технология, която поради своето естество, обхват, контекст и цели на обработването може да породи висок риск за правата и свободите на физическите лица. Поради тази причина и на основание чл. 35 от Регламент (ЕС) 2016/679 администраторът банка „ДСК“ следва задължително да извърши оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.
С оглед на гореизложеното и на основание чл. 58, параграф 3, буква „б“ от Регламент (ЕС) 2016/679, Комисията за защита на лични данни прие следното:
СТАНОВИЩЕ:
1. Внедряването от банка „ДСК“ на системата за гласово разпознаване VoiceBiometrics с оглед обслужване по въпроси и проблеми, изискващи удостоверяване на самоличността на клиента във връзка с управление, използване или заявяване на банкови продукти, както и като възможност за получаване на информация относно салдото и движението по сметка, може да бъде осъществено при следните условия:
а) Наличие на изрично съгласие на клиентите на банката в писмена форма, след като същите са били подробно информирани за целите, начините и рисковете при обработката на личните им данните с въведената система;
б) Осигуряване на право на избор на алтернативни методи за идентификация, които не включват обработване на биометрични данни, съответно възможност за отказ от услугата, без това да поражда негативни последици за физическите лица – клиенти на банката.
2. Администраторът банка „ДСК“ следва задължително да извърши оценка на въздействието на предвидените операции по обработването върху защитата на личните данни по чл. 35 от Регламент (ЕС) 2016/679 при въвеждането на Системата за идентифициране на клиентите чрез гласова биометрия “Voice Biometrics”, доколкото същата представлява нова технология, която поради своето естество, обхват, контекст и цели на обработването може да породи висок риск за правата и свободите на физическите лица.
3. При внедряването на системата за гласово разпознаване “Voice biometrics”, банката следва да спазва изискванията на специалната нормативна и подзаконова уредба за извършване на банкова дейност.
Източник: https://www.cpdp.bg

Становище на КЗЛД относно постъпило искане от „Спиди” АД, по въпроси, касаещи прилагането на Регламент (ЕС) 2106/679

СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № НДМСПО-17-604/20.06.2018 г.
гр. София, 17.09.2018 г.
ОТНОСНО: Искане за становище по прилагането на Регламент (ЕС) 2016/679 от „Спиди” АД
 
Комисията за защита на личните данни (КЗЛД) в състав: Членове: Цанко Цолов, Цветелин Софрониев и Мария Матева на заседание, проведено на 12.09.2018 г., разгледа искане за становище с вх. № НДМСПО-17-604/20.06.2018 г. от г-н Валери Мектупчиян, изпълнителен директор на „Спиди” АД. Дружеството е пощенски оператор по смисъла на Закона за пощенските услуги, който извършва неуниверсални пощенски услуги, както и такива, попадащи в обхвата на универсалната пощенска услуга.
Във връзка с привеждането на дейността си в съответствие с Регламент (ЕС) 2016/679 (Общ регламент за защита на данните), дружеството се е сблъскало с противоречиво тълкуване от страна на своите клиенти по отношение на качеството на страните в отношенията, свързани с предоставянето на пощенската услуга – администратор и обработващ. Клиенти (предимно финансови институции и онлайн търговци) изискват подписването на споразумение, според което клиентът има качеството на администратор по отношение на данните, които предоставя на „Спиди”АД, докато дружеството има качеството обработващ данните. Основният им аргумент в тази насока е, че сключеният между страните рамков договор за предоставяне на пощенски услуги, по които клиентът има качеството „възложител”, а „Спиди” АД на „изпълнител”, обуславя и поставянето им в позиция „администратор” (клиент) и „обработващ” (дружеството).
От своя страна, дружеството не споделя това тълкуване на Общия регламент, като счита, че при осъществяването на дейността по предоставянето на пощенски услуги на физически и юридически лица, то притежава качеството и задълженията на „администратор” на собствено основание по отношение на събираните и обработваните данни. Сключването на рамков договор единствено договаря по-добри цени, срокове на фактуриране и плащане, размери на обезщетения, но не променя същността на предлаганата услуга. Подобен е случаят, когато физическо лице се свърже директно със „Спиди” АД или посети негов офис и иска да изпрати пратка. Аналогични са и отношенията, които се развиват при услугите „Наложен платеж” и „Пощенски паричен превод”, при които единствено дружеството събира и обработва и допълнителни лични данни, във връзка с получаване/плащане на пари в брой и съставянето на съответните счетоводни документи. В допълнение, по силата на специални закони, редица задължения са вменени на пощенските оператори, които са свързани със сигурността на пощенския трафик, които предполагат събиране и обработване на лични данни.
При преценката относно качеството „администратор”, „Спиди” АД е използвало разясненията, съдържащи се в Становище 1/2010 на Работната група по чл. 29 относно понятията „администратор” и „обработващ личните данни”, както и насоките на Службата на информационния комисар на Обединеното кралство (ICO) относно администратор и обработващ данните (Data controllers and data processors: what the difference is and what the governing implications are).
Във вързка с гореизложеното, както и с цел избягване на незаконосъобразно поведение и несигурност по отношение на относимите към страните по пощенската услуга задължения, „Спиди” АД моли за становище от страна на КЗЛД по въпроса дали пощенският оператор има качеството „администратор” на собствено основание по отношение на събираните и обработвани от него данни, необходими за изпълнението на пощенската услуга.
Правен анализ
Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага от 25 май 2018 г., е нормативният акт, определящ правилата, свързани със защитата на личните данни на физическите лица при тяхното обработване. Общият регламент надгражда предишния режим за защита на данните, въведен от Директива 95/46/ЕО, транспонирана в българския Закон за защита на личните данни от 2002 г., като в същото време отчита динамиката на развитието на новите технологии и на дейностите по обработка на лични данни.
Концепцията за администратор и обработващ лични данни е въведена с Директива 95/46/ЕО и е доразвита в новата европейска правна рамка за защита на личните данни.
Съгласно легалната дефиниция на чл. 4, т. 7 от Общия регламент, администратор е „физическо или юридическо лице, публичен орган, агенция или държавна структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни”.
Качеството администратор е пряко следствие от обстоятелството, че конкретно юридическо или физическо лице е избрало да обработва лични данни за свои цели или цели, които са регламентирани с нормативен акт. При това положение, извън случаите, когато това е законово определено, администраторът сам взема решение относно необходимостта от събиране на лични данни, категориите лични данни, дали те да бъдат променяни или модифицирани в хода на обработването, къде и как тези данни да бъдат използвани и с каква цел, дали данните да бъдат разкрити на трети страни и кои да бъдат те, както и за колко време те ще бъдат съхранявани и кога и по какъв начин да бъдат унищожени.
В допълнение, Общият регламент вменява на администратора определен кръг от задължения. Той трябва да предприеме подходящи технически и организационни мерки, свързани със сигурността на данните, като вземе предвид естеството, обхвата, контекста и целите на обработването на данните, както и съществуващите рискове за правата и свободите на субектите на данните. Освен това, съгласно разпоредбата на чл. 30, параграф 1 от Общия регламент, администраторът поддържа регистър на дейностите по обработване, за които отговаря. Този ангажимент произтича от принципа за отчетност и необходимостта администраторът във всеки един момент да бъде способен да докаже, че спазва изискванията, залегнали в регламента.
Обработващ лични данни е „физическо или юридическо лице, публичен орган, агенция или структура, която обработва лични данни от името на администратора” (чл. 4, т. 8 от Общия регламент).
Основната разлика между администратор и обработващ се състои в това, че вторият действа не самостоятелно, а от името на администратора на лични данни. Техните отношения се уреждат с договор, който регламентира предмета, срока на действията по обработването, естеството и целта на обработването, вида лични данни и задълженията и правата на администратора, вкл. да извършва проверки (одити).
Общият регламент въвежда и специфични задължения за обработващия данните, които не се ограничават само и единствено до осигуряване на сигурност на данните. Така например, той е длъжен да обработва лични данни само по документално нареждане от страна на администратора. В случаите, когато е необходимо назначаването на друг обработващ данните, това става само с изричното писмено разрешение на администратора. Подобно на администратора, съгласно чл. 30, параграф 2 от Общия регламент, обработващият също поддържа регистър на дейностите по обработване, за които отговаря.
В допълнение, с оглед още по-голяма яснота, разпоредбата на чл. 28, параграф 10 от Общия регламент изрично предвижда в случаите, когато обработващият започне сам да определя целите и средствата на обработване, той автоматично следва да се счита за администратор.
Разпределението на ролите и отговорностите между администратора и обработващия има една основна цел, а именно да гарантира, че обработването на лични данни протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и съответно осигурява защита на правата на физическите лица – субекти на данни.
Обществените отношения, свързани с извършването на пощенска дейност на територията на Република България, са изчерпателно уредени в Закона за пощенските услуги (ЗПУ) и съответните подзаконови нормативни актове. Пощенските услуги включват приемане, пренасяне и доставяне на пощенски пратки; приемане на съобщения, предадени във физическа или електронна форма от подателя, обработването и предаването им чрез електронни средства и доставяне на тези съобщения на получателя като пощенски пратки; пощенски парични преводи и куриерски услуги.
Пощенските оператори (какъвто е и „Спиди” АД) подлежат на лицензиране и контрол от Комисията по регулиране на съобщенията.
В допълнение, съгласно чл. 21 от ЗПУ, пощенските оператори са задължени да изготвят общи условия на договора с потребителите на услугите. В тях са уредени условията и реда за предоставянето на този вид услуги и се определят правата, задълженията и отговорностите на страните по договора. Горепосочената норма регламентира и задължителните елементи, които операторите на пощенски услуги трябва да включат в тях, като не е необходимо подписването на индивидуални договори с потребителите.
Принципът на отчетност по чл. 5, параграф 2 от Регламент (ЕС) 2016/679 изисква от участниците в търговския и гражданския оборот, вземайки предвид своята дейност, сами да определят какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ по смисъла на чл. 28 или съвместни администратори по чл. 26 от Общия регламент. Техният избор следва да гарантира не само формално, но и по същество съответствие с изпълнение на изискванията на Регламент (ЕС) 2016/679 и съответно ефективна защита на правата на субектите на данни. Също така, следва да се има предвид, че предоставянето на услуги, при които обичайно се обменят лични данни между възложителя и изпълнителя, не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл. 28.
Друг важен аспект, на който трябва да се обърне особено внимание, е високата степен на нормативно регулиране на дейността на пощенските оператори. На практика това означава, че както те самите, така и техните клиенти имат ограничена възможност да определят самостоятелно целите и средствата за обработване на лични данни при предоставяне на пощенски услуги. Това обстоятелство трябва да се отчита в пълна степен при сключване на договори с други администратори на лични данни, вкл. финансови институции и онлайн търговци, за да не се допусне нарушение на приложимата правна рамка.
Във връзка с изложените по-горе доводи, без да се извежда като абсолютно правило, може да се приеме, че дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, принципно не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Примери за такива администратори са пощенските оператори, банките, застрахователните дружества и др. В тези случаи възложителят по договор за услуга не би могъл да укаже на предоставящия услугата как точно да обработи предоставените от него лични данни, тъй като и двете страни са длъжни да спазват съответното специално законодателство, в т.ч. съдържащи те се в него разпоредби относно обработването на лични данни.
С оглед на гореизложеното и на основание чл. 58, параграф 3, буква „б” от Регламент (ЕС) 2016/679, Комисията за защита на лични данни прие следното
СТАНОВИЩЕ:
1. По принцип дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, принципно не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори. Примери за такива администратори са пощенските оператори, банките и застрахователните дружества.
2. Предвид многообразието от обществени отношения и в съответствие с принципа за отчетност, регламентиран в чл. 5, параграф 2 от Регламент (ЕС) 2016/679, участниците в търговския и гражданския оборот следва сами да определят във всеки отделен случай какви са техните правоотношения във връзка с обработваните от тях лични данни – самостоятелни администратори, администратор и обработващ или съвместни администратори. Техният избор не следва да е формален и трябва да гарантира в най-голяма степен съответствие с изискванията на Регламент (ЕС) 2016/679 и ефективна защита на правата на субектите на данни.

Какво е GDPR?

Регламент (EС) 2016/679 — защита на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

КАКВА Е ЦЕЛТА НА РЕГЛАМЕНТА?

Той позволява на гражданите на Европейския съюз (ЕС) да контролират по-добре своите лични данни. Освен това той модернизира и уеднаквява правилата, които позволяват на предприятията да намалят бюрокрацията и да се възползват от увеличаване на доверието на потребителите.

Общият регламент относно защитата на данните (ОРЗД) е част от пакета с реформи за защита на данните на ЕС, заедно с директивата за защита на данните за полицията и органите на наказателноправната система.

ОСНОВНИ АСПЕКТИ

Права на гражданите

  • ОРЗД засилва съществуващите права, предвижда нови права и осигурява по-голям контрол на гражданите върху техните лични данни. Това включва:
  • улеснен достъп до техните данни — включително предоставяне на повече информация за обработването на данните и гарантиране, че тази информация е налична по ясен и разбираем начин;
  • ново право за преносимост на данните — което улеснява преноса на лични данни между доставчици на услуги;
  • поясняване на правото на изтриване („право на забравяне“) — когато дадено лице вече не желае данните му да се обработват и не съществува законна причина те да се съхраняват, данните ще бъдат изтрити;
  • правото да се знае кога личните данни са били обект на външно проникване — дружествата и организациите ще трябва да информират индивидите своевременно за сериозни нарушения, свързани с данни. Те ще трябва също така да уведомят съответния надзорен орган за защита на данните.

Правила за предприятия

  • ОРЗД има за цел да създаде бизнес възможности и да стимулира иновациите чрез редица стъпки, включващи:
  • единен набор от общи за ЕС правила — прогнозира се, че единно, общо за ЕС законодателство за защита на данните би довело до спестяване на 2,3 млрд. EUR на година;
  • длъжностно лице за защита на данните, което отговаря за защитата на данните, ще бъде определено от публичните органи и предприятията, които обработват данни в големи мащаби;
  • обслужване на едно гише — предприятията ще контактуват само с един-единствен надзорен орган (в държавата от ЕС, в която те са установени основно);
  • правила на ЕС за дружества извън ЕС — дружествата, които са установени извън ЕС, трябва да прилагат едни и същи правила, когато предлагат услуги или стоки, или мониторинг на поведението на лица в рамките на ЕС;
  • правила за насърчаване на иновациите — гаранция, че предпазните мерки за защита на данните се вграждат в продукти и услуги от най-ранния етап на разработването им (защита на данните на етапа на проектирането и по подразбиране);
  • техники за насърчаване на поверителността, като например псевдонимизация (когато идентифициращи полета в рамките на даден запис на данни се заменят с един или няколко изкуствени идентификатора) и криптиране (когато данните се кодират по такъв начин, че само упълномощени субекти могат да ги четат);
  • премахване на уведомленията — новите правила за защита на данните ще отхвърлят повечето задължения за уведомления и разходите, свързани с тях. Една от целите на регламента за защита на данните е да се премахнат пречките пред свободното движение на лични данни в рамките на ЕС. Това ще улесни разширяването на предприятията;
  • оценки на въздействието — предприятията ще трябва да извършват оценки на въздействието, когато обработването на данни може да доведе до висок риск за правата и свободите на индивидите;
  • водене на отчетност — от МСП не се изисква да водят отчет на дейностите за обработване, освен ако обработването не е редовно или няма вероятност да доведе до риск за правата и свободите на лицето, чиито данни се обработват.

ОТКОГА СЕ ПРИЛАГА РЕГЛАМЕНТЪТ?

ОРЗД ще се прилага от 25 май 2018 г.

ОСНОВЕН ДОКУМЕНТ
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, pp. 1–88) Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (OВ L 119, 4.5.2016 г., стр. 1—88)
RELATED ACTS СВЪРЗАНИ АКТОВЕ
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, pp. 89–131) Директива (EС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (OВ L 119, 4.5.2016 г., стр. 89—131)
last update 21.11.2016 последно актуализация 21.11.2016