Планирам да започна да извършвам дейност, която включва събиране и обработване на лични данни. Какви са задълженията ми като администратор на лични данни по действащото законодателство?
Внимание! От 25 май 2018 г. е в сила Общият регламент за защита на личните данни (GDPR - Регламент (ЕС) 2016/679), който отмени старата система за задължителна регистрация на администраторите. Задължението за предварителна регистрация пред КЗЛД отпадна от 25.05.2018 г. Актуална информация за задълженията на администраторите по GDPR е налична в тази статия. Адекватно съдействие от специалисти на тема лични данни и GDPR - на тази страница.
Лични данни представлява всяка информация за физическо лице, което е или предварително установено, или може да се идентифицира пряко или косвено посредством тази информация. Според законодателството администратор на лични данни може да бъде физическо лице или юридическо лице (или държавен орган), което самò или съвместно с друго лице определя средствата и целите за събирането на личните данни.
Качеството „администратор" за определено лице възниква по силата на GDPR автоматично (ex lege) - не е необходима предварителна регистрация. Администраторът е длъжен да спазва принципите и задълженията, установени в Регламента.
На първо място като администратор на лични данни аз съм задължен да ги обработвам законосъобразно и добросъвестно. Освен това мога да събирам лични данни само за предварително установени, конкретни и законни цели. Имам право да обработвам данните за статистически или други цели, само ако им осигуря подходяща защита. Данните трябва да са точни, както и да съм предвидил начини за тяхното коригиране.
В допълнение, като администратор, съм длъжен да предприема необходимите технически и организационни мерки, за да защитя данните от случайно или незаконно унищожаване или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. След постигане на целта на обработването на личните данни, съм задължен да ги унищожа или да ги прехвърля на друг администратор.
NB! По закон ми е забранено да обработвам специални категории лични данни, като такива, които разкриват расов или етнически произход, политически, религиозни и философски убеждения, или данни, свързани с биометрия, здраве, сексуален живот или сексуална ориентация, освен при строго определени случаи (например при изрично съгласие на лицето, при необходимост в контекста на трудовото право, при жизненоважен интерес и др.).
Важно! При нарушение на правилата за защита на личните данни по GDPR се прилагат значителни административни глоби - до 20 000 000 евро или до 4% от общия годишен световен оборот на предприятието, в зависимост от това кое е по-голямо.
Комисията за защита на личните данни (КЗЛД) е държавният орган, който осъществява цялостния контрол върху спазването на законите в областта на личните данни. КЗЛД прилага Общия регламент за защита на личните данни (GDPR) и Закона за защита на личните данни.
Ако наруша някое от задълженията си на администратор подлежа на глоба или имуществена санкция. При нарушения на GDPR санкциите могат да достигнат до 20 милиона евро или до 4% от годишния оборот. Актовете за установяване на административното нарушение се съставят от член на Комисията или от упълномощени от Комисията лица.
Вместо старата система за регистрация, по GDPR съм длъжен да водя вътрешен регистър на дейностите по обработване на лични данни. В регистъра описвам целите на обработването, категориите субекти на данни и лични данни, получателите, сроковете за съхранение и прилаганите технически и организационни мерки за сигурност. Задължението за регистър важи за организации с над 250 служители, а при по-малки - само когато обработването е редовно и систематично или засяга специални категории данни.
[toggles][toggle title="Източници"]
§ Регламент (ЕС) 2016/679 (GDPR):
чл. 4, т. 7 - относно определението за администратор на лични данни;
чл. 5 - относно принципите за обработване на лични данни;
чл. 9 - относно забраната за обработване на специални категории данни;
чл. 24 - относно отговорността на администратора;
чл. 30 - относно задължението за водене на регистър на дейностите по обработване;
чл. 83 - относно общите условия за налагане на административни глоби;
§ Закон за защита на личните данни (ЗЗЛД) (актуализиран 2019 г.):
чл. 2, ал. 1 - относно определението за лични данни;
чл. 10, ал. 1, т. 1 и 2 - относно някои от задълженията и правомощията на Комисията за защита на личните данни (КЗЛД).
[/toggle][/toggles]
Автор и дата на последна актуализация на текста спрямо законодателството:
Праватами
.бг
27.2.2026
