Уеб-базиран инструмент за самооценка на съответствие към ОРЗД (УБИС)
en

Принципи Общ регламент относно защитата на данните (ОРЗД)

7-те принципа са изложени в началото на регламента (Глава 2, член 5 - Принципи) и са в основата на GDPR. Те създават необходимия контекст, в който да се разглежда документа. В съответния член не се задават конкретни правила, а по-скоро рамка, която да напътства.
Спазването на духа на тези ключови принципи е основен градивен елемент на ефективната защита на данните. 7-те принципа са:

  • Законосъобразност, добросъвестност и прозрачност;
  • Ограничение на целите за обработка;
  • Свеждане на данните до минимум;
  • Точност на данните;
  • Ограничение на съхранението;
  • Цялостност и поверителност.
  • Принципът на отчетност

Неспазването на тези принципи може да предизвика налагането на значителни глоби за организациите, попадащи под обхвата на регулацията. Член 83, параграф 5, буква а) гласи, че нарушенията на основните принципи за обработка на лични данни подлежат на най-високата степен на административни глоби. Това може да означава глоба до 20 милиона евро или 4% от общия годишен оборот в световен мащаб на организацията, в зависимост кое от двете е по-високо. Чрез тези санкции GDPR определя важността, с която трябва да се третират принципите.
Законосъобразност, добросъвестност и прозрачност
Принципите на законност, добросъвестност и прозрачност се прилагат при всички случай на обработка на лични данни.
Съгласно GDPR законността изисква едно или повече от следните приложени практики:

  • Изричното съгласие получено от субекта на данните;
  • Двустранното съгласие и законова обоснована необходимост от сключване на договор;
  • Законовото задължение;
  • Доказуемата необходимост от защита на жизненоважните интереси на субекта на данни или на друго лице;
  • Доказуемата необходимост от изпълнение на задача в обществен интерес;
  • Законните интереси на администратора или трета страна, ако те не са изместени от интересите и правата на субекта на данните.

Обработката на лични данни трябва да се извършва по добросъвестен начин. Субектът на данните трябва да бъде информиран за потенциалния риск, произлизащ от обработката на личните му данни, за да се гарантира, че обработката няма непредвидими отрицателни ефекти.
Обработката на лични данни трябва да се извършва по прозрачен начин:

  • Съответните администратори на данни трябва да информират засегнатите субекти на данни, преди да обработят техните данни. Информацията предадена на субекта на данни трябва да включва целта на обработка, самоличността и адреса на администратора и друга приложима информация.
  • Информацията, предоставена на субектите на данни, описваща операциите по обработка, трябва да бъде ясена и разбираема, за да позволи на субектите на данни лесно да разберат свързаните правила, рискове, предпазни мерки и права.
  • Субектите на данни имат право на достъп до своите данни, независимо от начина и мястото където се извършва обработката.

Ограничение на целите за обработка
Целите за обработване на лични данни трябва да бъдат дефинирани преди съответната обработка да се извърши. Регулацията не позволява да се извършва обработка на данни по начин, който е несъвместим с вече определените цел. GDPR предвижда потенциални изключения от това правило свързани с действия по обработка, които са в обществен интерес, научни или исторически, изследователски цели и статистически цели.
Принципът за ограничение на целта за обработка определя, че всяка обработка на лични данните трябва да се извършва за точно определена цел или такава, която е съвместима с оригиналната цел.

Свеждане на данните до минимум
Обработката на лични данни трябва да бъде ограничена до минималния набор от данни, необходим за изпълнение на законна и предварително определена цел. Обработката на лични данни трябва да се извършва, само когато целта за обработването не може да бъде изпълнено по друг, съпоставим начин.

Точност на данните
Принципът на точност на данните трябва да се прилага от администратора при всяка операция по обработване. Неточните данни трябва да бъдат изтрити или коригирани незабавно. Може да се наложи данните да се проверяват редовно и да се актуализират, за да се гарантира точност.

Ограничение на съхранението
Принципът на ограничение на съхранението диктува, че личните данни трябва да бъдат изтрити или анонимизирани в момента, в който е ясно, че вече не са необходими за целите, за които са били събрани.

Цялостност и поверителност
Сигурността и поверителността на личните данни са от ключово значение за предотвратяване на неблагоприятни последици както за субекта на данни така и за администратора. Мерките за сигурност могат да имат технически и / или организационен характер. Например, псевдонимизацията е технически и организационен процес, който може да защити поверителността на личните данни. Уместността на мерките за сигурност трябва да се определят от контекста на данните за които се прилагат. Тези мерки трябва да се преглежда редовно, за да се гарантира тяхната приложимост и актуалност.

Принципът на отчетност
Принципът на отчетност изисква от всички лица свързани с обработката на лични данни активно и непрекъснато да прилагат необходимите мерки за защита на съответните данни. Администраторите и обработващите са отговорни за спазването на закона за защита на данните по време на изпълнение на техните задължения. Администраторите трябва да могат по всяко време да демонстрират спазването на разпоредбите за защита на данните пред надзорните органи и засегнатите лица. Обработващите лица също трябва да се съобразят с някои задължения, строго свързани с отчетността, като например водене на регистър на операциите по обработка и назначаване на служител по защита на данните.

Този сайт използва бисквитки (cookies), за да може да ви предостави възможно най-доброто потребителско изживяване. Продължавайки да разглеждате този сайт, вие се съгласявате с използването на бисквитки от него!