2018-09-17 GDPR и лични данни - какви са правата на потребителите? | pravatami.bg

GDPR и лични данни – какви са правата на потребителите?

gdpr-права на потребителите

Предвид бума в технологичния свят през последните няколко години и големия набор от информация, до които всички имат достъп, трябва да съм внимателен/на с личните си данни, с това на кого ги предоставям и за каква цел. Ето защо Общият регламент за защита на лични данни (GDPR), който официално  влезе в сила от 25 май 2018 г., въвежда редица права за мен като потребител, които ще разгледам тук.

NB! По-долу ще получа обща и полезна информация. Ако искам да защитя правата си адекватно и на добра цена – по-добре да се обърна към специалисти като пусна запитване на тази страница.

Имам право на достъп до личните си данни!

Като потребител имам право да получа информация, свързана с обработването на личните ми данни, както и достъп до тях. Тази информация включва:

  • данни за лицето, което обработва личните ми данни;
  • координати за връзка с него (вкл. и на длъжностното лице за защита на лични данни);
  • целта и правното основание за обработването (например предоставям ЕГН-то на шефа си, за да може да плаща той осигуровките ми);
  • получатели (например НАП, НОИ);
  • за какъв период от време ще се съхраняват личните ми данни;
  • информация за правата, които имам и др. 

След като отправя искането си, то администраторът има срок от 1 месец да ми предостави информацията (ако пък информацията, която искам е много или има много искания и от други, то той може да удължи срокът с още 2 месеца, като трябва да ми посочи какви са причините за забавянето).

N.B.! Информацията ми се предоставя безплатно, но ако исканията ми зачестят, то предвид разходите, които ще направи, администраторът може да поиска да му платя за това или да ми откаже.

Имам право на коригиране и право да “бъда забравен”

Ако видя, че има неточност и грешка в информацията относно личните ми данни, то имам право да поискам да се поправи това (вкл. да се попълнят лични данни, ако има непълни такива).

На следващо място, имам право да поискам личните ми данни да бъдат изтрити, когато е налице някое от следните условия:

  • личните ми данни не са повече необходими за целите, за които са били събрани или обработвани (не се водя вече на работа при някого);
  • оттегля съгласието си, което съм дал/а, и администраторът няма друго законно основание за обработването;
  • възразя срещу обработването и администраторът няма законни основание за обработването;
  • установя, че обработването е било незаконно (например не съм дал съгласието си или достъп до тях е имало лице, за което аз не знам) и др. 

В този случай администраторът трябва да предприеме необходимите действия да изтрие информацията, която има за мен, бързо и своевременно.  

N.B.! Има изключения от това да мога да поискам “да бъда забравен”, а именно когато администраторът на лични данни има законово задължение да съхранява информация за мен. Така например ако прекратя трудовия си договор и поискам да се изтрият всичките ми лични ми данни, то работодателят ми има право да възрази, защото има правно задължение да съхранява ведомости за заплати в продължение на 50 години.

Мога ли да ограничава обработването на личните ми данни?

Регламентът ми дава правото и да огранича обработването, но за това е необходимо да са налице конкретни условия, сред които:

  • да оспоря точността на личните ми данни (в този случай ограничаването е за определен срок, по време на който администраторът трябва да провери дали данни ми наистина са неточни);
  • да установя, че обработването е неправомерно, но да не искам данните ми да бъдат изтрити;
  • администраторът няма повече нужда от личните ми данни за целите на обработването;
  • ако съм възразил/а срещу обработването и чакам да се установи дали законното основание на администратора има по-голяма тежест от моите права и интереси (например Банката, която ме облужва, има право да съхранява информация за мен и да разкрива такава при съмнение, че я използвам, за да “пера” пари).

Администраторът е длъжен да ме уведоми преди отмяната на ограничаването на обработването. 

Какво е право на преносимост на данните?

Ново право, с което не съм разполагал/а до този момент и което до голяма степен ме улеснява, е т.нар. “право на преносимост”. То се изразява във възможността да получа личните си данни (в хартиен или електронен вариант) без противопоставяне или отказ от страна на лицето, което досега ги е обработвало (администратора) и да предам/прехвърля тези данни на друг администратор, който тепърва на свой ред ще обработва личните ми данни. 

Възразявам!

По всяко време и ако са налице основания имам право да възразя срещу обработването на личните ми данни (например шефът ми е поставил камери за видеонаблюдение в съблекалнята или помещението, обособено за почивка, но той няма правно основание да го прави или аз не съм дал/а своето съгласие за това, нямам подобна клауза в трудовия ми договор). Ако администраторът не успее да докаже, че има законово основание, което има предимство пред моите права и интереси, то той е длъжен да прекрати обработването. 

Важно! В случай че личните ми данни се обработват за целите на директния маркетинг (получавам седмичен бюлетин на имейла си) и възразя срещу това, то обработването трябва да се прекрати незабавно. 

Мога ли да се защитя по друг начин? Имам ли право на обезщетение?  

Регламентът ми дава възможност да подам жалба пред съответния надзорен орган в държава членка на ЕС в зависимост от това къде живея, къде работя или къде смятам, че може да е нарушено правото ми. Например, поръчал/а съм си стоки (дрехи и аксесоари) от италиански сайт, като съм се абонирала да получавам по имейл и всички новости за сайта. В един момент започвам да получавам имейли с реклами за онлайн курсове, обучения и др. Разбирам, че сайтът е предоставил информация за мен на маркетингова агенция, която изпраща съобщения на конвейер. Живея и работя в България следователно мога да подам жалба до КЗЛД, или до надзорния орган в Италия.   

Информация за компетентните надзорни органи мога да намеря тук). 

Ако жалбата ми не е била разгледана или никой не ме е информирал в продължение на 3 месеца дали има развитие по нея, то имам право да заведа дело срещу органа в държавата членка, където е установен (ако е в България, това е Комисията за защита на лични данни).

Разполагам и с възможността да заведа дело срещу лицето, което обработва личните ми данни. В този случай мога да го заведа пред съдилищата на държавата, където е седалището му (например сайт за онлайн курсове със седалище в Австрия, т.е. ще трябва да заведа иск пред австрийски съд), или където живея и съм през голямата част от годината. 

Като засегнато лице имам право да претендирам обезщетение както за парични загуби, така и за емоционални страдания вследствие на накърнен имидж и име например. Обезщетението може да се търси както от лицето, което е обработвало личните ми данни, така и от друго лице, на което му е възложено. Например ако съм I.T. специалист и работодателят ми е администратор на лични данни, но е възложил на консултантска къща да отговаря за заплатата и плащането на осигуровките ми. В този случай мога да търся отговорност от работодателя ми и/или от консултантската къща. 

  • Източници

    Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните или Регламента):

    чл. 12, пар. 3 и 5 – относно исканията за информация, които мога да отправям до администратор на лични данни;

    чл. 13, пар. 1, а), б), в), д); пар. 2, а), б), в), г) – относно правото на информираност;  

    чл. 16 – относно правото на коригиране;

    чл. 17, пар. 1 а), б), в), г) – относно правото на изтриване (правото “да бъдеш забравен”);

    чл. 18, пар. 1, а) – г), пар. 2 – относно правото на ограничаване обработването на лични данни;

    чл. 20, пар. 1 – относно правото на преносимост на данни;

    чл. 21, пар. 1 и 3 – относно правото на възражение;

    чл. 77, пар. 1; чл. 78, пар. 2 и 3  – относно правото на защита по административен ред;

    чл. 79, пар. 2 – относно правото на защита по съдебен ред;

    чл. 82, пар. 1 и 2 от Регламента – относно правото на обезщетение.

    https://www.cpdp.bg/index.php?p=element&aid=1103

    Закон за мерките срещу изпирането на пари:

    чл. 3, ал. 1, т. 5 и ал. 2, т. 1 – относно законовите основание на администратора на лични данни да събира лични данни.

    Закон за счетоводството (ЗСч):

    чл. 12, ал. 1, т. 1 – относно задължението на работодателя да съхранява ведомости за заплати на служителите си в продължение на 50 години.



Статията има за цел да очертае някои основни права и задължения, като няма претенции да бъде изчерпателна. Съветваме винаги да се консултирате с адвокат преди да предприемате правни действия.

Етикети

Правни курсове, които спестяват стотици левове.

Научи повече

Вземи -20% отстъпка за правни услуги, достъп до база данни с документи и персонален адвокат

Виж как



10 правни курса, които ти спестяват стотици левове