Съдържание
Речник на термините
Лични данни
Всяка информация, чрез която даден човек може да бъде идентифициран: имена, домашен адрес, личен имейл адрес, номер на лична карта, телефонен номер, номер на кредитна карта, снимка на лице, данни за местоположение, IP адрес, Интернет идентификация - „бисквитка“, данни за здравословно състояние, статуси от социални мрежи и т.н. Отделни данни, които когато се съберат заедно, могат да доведат до идентифициране на конкретно лице, също представляват лични данни.
Данни, които не са лични
Информация, чрез която не може да бъде идентифицирано конкретно лице: регистрационен номер на фирма, общ имейл адрес от типа инфо@компания.ком, анонимна информация.
Чувствителни лични данни
Информация за расов или етнически произход, религиозни убеждения, принадлежност към професионална организация, генетични или биометрични данни, здравен статус, данни за сексуалния живот или сексуалната ориентация. Този тип данни подлежат на специфични условия за обработване.
Псевдонимизация на данните
Инструмент за защита на данните, който добавя допълнителна стъпка - псевдоним, между лицето и информацията за него. Този процес е обратим, т.е. информацията и държащия я (оператора) може да бъде проследена обратно до човека. Най-близкия и разпространен случай е на пресконференции на правоохранителните органи, които обявяват че за заловили предполагам престъпник с инициалите му, например М.Р. на 32г. Псевдонимизираните данни са обект на GDPR.
Анонимизация на данните
Инструмент за защита на данните, чрез който личната информация се отделя от конкретното лице, за което се отнася. Използва в при статистически анализи на големи масиви данни за научни или други цели. Процесът е необратим (от анонимния код не може да се възстанови първоначалната идентичност). Този тип данни не са обект на GDPR.
Обработка на данни
Автоматични или ръчни операции, които дадено дружество или институция извършва с информация за физически лица. Това включва събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване на личните данни.
Ограничаване на обработката на данни
Според GDPR фирмите и институциите (оператори на ЛД) имат право да обработват само данни, които са свързани с техния бизнес (легитимен интерес). Например ако предлагате услуга за споделени автомобили, може да поискате име, адрес, номер на кредитна карта и евентуално информация за здравословно състояние на физическо лице, правоспособност да управлява МПС, но не и информация за расовия произход или сексуалната му ориентация.
Администратор на данни
Фирмата или институцията, която определя защо и как се обработват лични данни.
Обработващ лични данни
Трета страна, външна за фирмата или институцията, която обработва лични данни от нейно име и по определен от нея начин. Задълженията на обработващия към администратора трябва да бъдат определени в договор.
Съвместни администратори
Дружества, които предлагат съвместни продукти или услуги и споделят бази данни с информация за физически лица. В рамките на сектор здравеопазване, съвместни администратори биха били различни лечебни заведения, които пренасят медицинската история на заболяването от едно на друга. Доста често обае, такива договори е трудно да бъдат администрирани, не на последно място по съображения за спешност и в условията на висок риск от забава на лечение в полза на административната изрядност.
Легитимен интерес
Условие за обработка на лични данни, при което фирмата или институцията използва данните по начин, който физическите лица биха очаквали, който има минимален ефект върху неприкосновеността на личния им живот, или има непреодолима обосновка за обработката. Пример за това откриване на банкова сметка (в България анонимните такива са забранени), ползването на здравни услуги, платими от обществени фондове (НЗОК и МЗ). Мобилния Ви оператори също е задължен да събере Ваши идентификационни лични данни по закон за забрана на анонимните карти за мобилна телефония.
Профилиране
Всяка форма на автоматизирано взимане на решения, при която компютърна система използва информация за физически лица, за да анализира, оцени и предвиди лични характеристики за човека. Това може да са изпълнение на служебните задължения, икономическа ситуация, здравно състояние, лични интереси, поведение, местонахождение. Профилиране се използва например при оценка/отказ за издаване на кредитни карти или при подбор на кадри.
ДЛЗД (DPO)
Според ОРЗД някои администратори и обработващи лични данни са задължени да определят Длъжностно лице по зашита на данните (ДЛЗД / Data Protection Officer - DPO). Такъв е случаят с всички публични органи и структури (независимо какви данни обработват), както и за други организации, чиято основна дейност включва систематично и мащабно наблюдение на физически лица или които обработват мащабно специални категории лични данни