GDPR (ОБЩ РЕГЛАМЕНТ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ)
Описание на прoблема
На 25 май 2018 г. влиза в сила нов регламент на ЕС за защита на информацията (GDPR – General Data Protection Regulation).
Ако съхранявате каквито и да било данни за клиентите и партньорите си, трябва да се съобразите с изискванията на новия регламент.
General Data Protection Regulation (или Общ регламент относно защитата на данните) ще засегне всяка организация в ЕС, която съхранява лични данни, както и всеки един бизнес в рамките на ЕС. Изискванията са комплексни, а глобите за неспазването им – високи (до 4% от общия оборот на организацията или до 20 млн. евро).
Изискванията на ЕС за съхранение на лични данни, въведени с GDPR, са свързани с организационни и технологични мерки, както и с мерки за съхранение на информацията, вкл. въвежда се изискването определени типове организации да назначат Служител по защита на данните (DPO - Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант. Служителят по защита на данните ще отговаря за съобразността с изискванията на регламента, ще консултира въвеждането на нови такива и ще консултира кога и как трябва да бъде осъществено оценяване на степента на важност на личните данни. Той ще бъде и лицето за контакт с националните органи за защита на личните данни.
КЛЮЧОВИ ПРОМЕНИ С GDPR
Прозрачни политики:
- ясна информация за събирането на лични данни
- уточняване на целите за обработка на лични данни
- дефиниране на правилата за запазване и изтриване на лични данни
Контрол и известяване:
- използване на подходяща защита за съхранението на личните данни
- уведомяване на властите за нарушения във връзка с лични данни
- получаване на подходящо съгласие за обработка на данни
- съхраняване на записи с подробна обработка на данните
IT и обучения:
- обучения на служители, които обработват лични данни
- одит и актуализиране на политиките за лични данни
- назначаване на DPO – служител по защита на данните (ако е необходимо)
- сключване и управление на договори с доставчици в съответствие с GDPR
ПРИНЦИПИ НА GDPR:
- Личните данни трябва да са точни и да бъдат поддържани в актуален вид.
- Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват.
- Обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни.
ЛИЧНИТЕ ДАННИ:
Какво са личните данни? Лични данни са данните, чрез които едно лице може да бъде идентифицирано, като име, пол, възраст, ЕГН, имейл, снимка, банкови данни, IP адрес и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.
Чувствителните лични данни: Има определени категории лични данни, които се ползват с по-високо ниво на защита. Такива са данните за здравето, биометрични данни, данни отнасящи се до расов или етнически произход, политически възгледи и др. Обработването и съхранението на посочените категории лични данни е забранено, но забраната може да се преодолее чрез получаване на изрично съгласие от субекта на данните.
Лицата имат право:
- на достъп до личните си данни
- да поправят грешки в личните си данни
- да изтриват личните си данни
- научат за предмета на обработка на личните им данни
- да изтеглят личните си данни
ОЩЕ ЗА ПРАВАТА:
- Достъп до данните: Субектите на данните (потребителите) трябва да имат постоянен достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.
- Изтриване на данните: Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.
- Профилиране: Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.
Вижте още за правата на физическите лица ТУК!
ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРИТЕ:
- Използване на разбираем език: Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.
- Съгласие за обработване на личните данни: Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение. ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.
- Предоставяне на данните на 3-ти лица: Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.
Вижте още за задълженията на администраторите ТУК!
ИЗИСКВАНИЯ КЪМ ОРГАНИЗАЦИИТЕ:
За да спазите всички изисквания на Регламента, трябва да подготвите твоя бизнес:
- От правна страна - обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.
- От техническа страна - трябва да се подготви фактическото спазване на предвиденото в изготвените правни документи. Това, например, може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.
Защитата на личните данни е процес, не е еднократна задача. За да обработвате правомерно личните данни, е необходимо:
- да изградите стройна и ясна система за обработка на личните данни
- да приемете вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
- периодично да ревизирате въведената система
- да познавате развитието на технологията и подходящите нива на защита на личните данни
Длъжностно лице по личните данни (Data Protection Officer – DPO)
- Това е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала.
- Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.
- Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.
Вижте още за длъжностното лице по личните данни ТУК!
_____________________
Полезни документи:
Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
Повече информация за GDPR и насоките на ЕК може да намерите на следните адреси:
- НАРЪЧНИК за защита на данните
- Съобщение на Комисията до Европейския парламент и Съвета
- Реформа на правилата на ЕС за защита на данните през 2018 г.
Вижте още полезна информация в прикачените по-долу документи!
На 13 юни 2018 г., в НДК, ще се проведе делови форум, в рамките на Българското председателство на Съвета на ЕС, на тема "Готови ли сте за GDPR?". БСК е партньор на събитието. Вижте повече за събитието ТУК!
_____________________
ОБУЧЕНИЯ
Полезни връзки:
- РАЗЯСНИТЕЛНА ИНФОРМАЦИЯ от Комисията за защита на личните данни
- GDPR - Ръководство за съответствие
- Ускорете подготовката си за GDPR с Microsoft
- Регламентът GDPR за училищата
- 10 оперативни неща, които трябва да промените заради GDPR
- Как новият Общ европейски регламент за защита на личните данни ще промени дигиталният маркетинг?
- ДЕСЕТ ПРАКТИЧЕСКИ СТЪПКИ ЗА ПРИЛАГАНЕ НА GDPR (актуализиран и допълнен вариант)
- ДЕВЕТ НАЙ-ВАЖНИ ВЪПРОСА ОТНОСНО GDPR. Отговаря Биляна Димитрова, специалист по право на ЕС (видео)
- Как да не нарушаваме правилата за защита на личните данни? Отговаря адв. д-р Цветослав Митев (видео)
- Кои са основните моменти в подготовката за съответствие с GDPR?
- Председателят на КЗЛД Венцислав Караджов за новия регламент GDPR
- Какво представляват секторните проверки, провеждани от КЗЛД?
- Какво ще се промени с влизането в сила на Общия регламент за защита на личните данни?
- Необходимо ли ще е за работодателите да се сертифицират?
- Какви първи стъпки трябва да предприеме бизнесът във връзка с Регламента за защита на личните данни?
- Какви нови задължения за работодателите въвежда Регламентът за защита на личните данни?
- Какви лични данни имат право да обработват работодателите?
- Какво трябва да знаят работодателите за новата позиция Data Protection Officer?
- Какво представлява „Правото да бъдеш забравен“?
- Как GDPR ще повлияе на рекламната индустрия?
- Безплатен практически наръчник “Как да изпълним регламента и да въведем GDPR – стъпка по стъпка”