През Януари 2012 г., Европейската Комисия публикува дългоочакваните си предложения за реформа на Европейската правна рамка за защита на личните данни.
В центъра на тази реформа е Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, който заменя Директива 95/46/ЕО.
Състоящ се от 173 встъпителни съображения, 11 глави и 99 члена, това е най-мащабният законодателен акт в областта на защитата на личните данни, приеман в цялата история на Европейския съюз.
Регламентът цели да хармонизира правилата за защита на личните данни в рамките на Европейския съюз.
Поради своята правна форма, той става директно приложим спрямо администратори и обработващи лични данни във всички държави членки от 25 Май 2018 г. – датата, от която Регламентът влиза в сила.
Важно е да се отбележи, че дори и администраторите или обработващите лични данни да не са базирани в държава членка , те също ще трябва да спазват новите изисквания, ако предлагат стоки или услуги на граждани на Европейския съюз, или събират данни за тях.
Защо се въвежда Регламента?
С цел подобряване на управлението на данни;
С цел подобряването на оперирането с данни;
С цел подобряването на практиките за управление на доставчиците на данни;
С цел въвеждането на технически и организационни мерки за сигурност и защита на данните до нивата на риск, подходящи за индивида;
С цел въвеждането на защита на човешките права в механизмите за съответствие в технологиите за обработка на данни;
С цел определяне на независими длъжностни лица по защита на данните в организациите, контролиращи и обработващи данни;
За да има ДОВЕРИЕ между администратори, обработващи и субекти на данни.
КАКВО ПРЕДСТАВЛЯВАТ ЛИЧНИТЕ ДАННИ?
Име, фамилия, телефонен номер, и-мейл адрес или физически адрес
Номер и модел на автомобил, собственик на автомобила или застрахователни данни
Расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации
Банкова сметка, номер на кредитна карта, дата на валидност или номер на сметка за кредитна карта
Информация за здравето на човек, кръвна група, история на заболяването или сексуален живот
Фото и видео изображения, външен вид или биометрични данни
Паспорт или данни за самоличност: ЕГН, националност, място и дата на издаване или подпис
Информация за приходите, имуществото или финансовия поток на дадено лице
Информация за членовете на семейството - име и фамилия на децата или друга информация за членовете на семейството
Като физически лица ние очакваме нашите лични данни да бъдат третирани сигурно и с уважение от всички организации, които имат достъп до тях. В организационно отношение е важно да запомните, че личните данни, с които се занимаваме като организация, са свързани с конкретен човек, а това как ги събираме, обработваме и съхраняване, оказва влияние върху него.
Основните отговорности на организациите са изложени в шестте принципа на GDPR:
личните данни трябва да се обработват законосъобразно и по прозрачен начин, като се гарантира добросъвестност по отношение на физическите лица, чиито лични данни се обработват („законосъобразност, добросъвестност и прозрачност“);
трябва да бъдат налице и да са ясни конкретните цели за обработването на данните, като организацията трябва да посочи тези цели на физическите лица, когато се събират техните лични данни. Никой не може просто да събира лични данни за неопределени цели, както и не може да използва по-нататък събраните данни за други цели, които не са съвместими с първоначалната цел на събирането им („ограничение на целите“);
организацията трябва да събира и обработва само и единствено личните данни, които са необходими за постигането на описаните конкретни цели („свеждане на данните до минимум“);
организацията трябва да бъде сигурна, че личните данни са точни и актуални, като се имат предвид целите, за които те се обработват, а в случай че не е, да ги коригира („точност“);
организацията трябва да бъде сигурна, че личните данни се съхраняват не повече от необходимото за целите, за които те са били събрани („ограничение на съхранението“);
организацията трябва да въведе подходящи технически и организационни предпазни мерки, които да гарантират сигурността на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилага подходяща технология („цялостност и поверителност“).
В GDPR има шест правни основания за обработка на лични данни. Ще трябва да ги определите конкретно за Вашата организация, на базата на обработваните лични данни в нея, както и да ги документирате, за да изпълните принципа на законната обработка.
Шестте основания са:
Субектът на данни е дал съгласието си;
Обработването е необходимо за изпълнението на договор;
Обработването е необходимо за спазването на законово задължение;
Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субектите на данните или на друго физическо лице;
Обработването е необходимо за изпълнението на задача от обществен интерес;
Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.
Забранено е обработването на лични данни, които:
разкриват расов или етнически произход;
разкриват политически възгледи, религиозни или философски убеждения или членство в синдикални организации;
са генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице;
са за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
В Раздел 2, 3 и 4 – членове от 13 до 22 от Общия Регламент за защита на данните са определени правата на субектите на данни:
Това означава да сте прозрачни относно начина, по който използвате личните данни, като в много случаи тази информация може да бъде споделена чрез Политиката за поверителност на Вашата организация.
Лицата имат право да поискат потвърждение, че данните им се обработват и имат право да получат достъп до личните си данни, като при поискване организациите трябва да предоставят копие от информацията безплатно. Може да поискате разумна такса, ако искането е неоснователно, прекомерно или повтарящо се въз основа на административните разходи, свързани с предоставянето на информацията.
Организациите трябва да предприемат разумни стъпки, за да проверят самоличността на лицето, подало искането.
GDPR препоръчва, когато е възможно, организациите да осигуряват отдалечен достъп до сигурна система за самообслужване, която да предоставя на физическите лица пряк достъп до личните им данни.
Данните трябва да бъдат коригирани, ако са неточни или непълни.
Ако данните са били споделени с трети страни, Вие сте отговорни за информирането на тези страни за нуждата от коригирането им, като е необходимо и да информирате лицето (чиито данни използвате) за третите страни.
Трябва да отговорите на исканията за корекции в рамките на един месец, този срок може да се удължи до два месеца, ако искането е сложно.
Известно също като „право да бъдеш забравен“. Това означава, че дадено лице може да поиска личните му данни да бъдат премахнати или изтрити.
Има редица обстоятелства, при които може да откажете да изпълните искане за изтриване.
Те са:
За упражняване на правото на свобода на изразяване или правото на информация;
За спазването на Ваше законово (правно) задължение или за изпълнение на задача от обществен интерес, както и при упражняване на официални правомощия;
За целите на общественото здравеопазване в обществен интерес;
За целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
За установяването, упражняването или защитата на правни претенции.
В такъв случай можете да съхранявате достатъчно данни, за да гарантирате ограничението ще бъде спазено в бъдеще. Лицата могат да блокират обработката на личните им данни.
Физическите лица имат право да получат от Вашата организация личните данни, които са ви предоставили, в структуриран, машинночитаем формат и да ги предават на друга организация (право на преносимост на данните).
Правото може да се упражнява само когато личните данни са събрани в контекста на договор или въз основа на съгласие да се обработват с автоматични средства.
Физическите лица имат право да възразят срещу обработването на лични данни, но само ако посочат конкретни причини, които ги засягат.
Ако възникне такава особена ситуация, тя трябва да бъде разгледана индивидуално и може да бъде засегната от променени обстоятелства, промени в качеството на интервенцията или нова ситуация на опасност.
Физическите лица не трябва да са обект на решение, което е основано единствено на автоматизирано обработване (подчинено на алгоритми) и което е правно обвързващо или ги засяга значително.
Организацията Ви трябва да може да покаже, че спазва принципите на GDPR, за да отговори на изискванията за отговорност.
Мерките, които предприемате, трябва да бъдат изчерпателни, но и пропорционални на сложността на типовете лични данни, с които боравите. Политиките за защита на данните, обучението на персонала, вътрешните одити на процесите по обработка в областта на човешките ресурси могат да бъдат използвани за доказване на съответствието.
Внедряването на защитата на данните на етапа на проектиране и по подразбиране във Вашите процеси ще помогне да покажете предприетите мерки.
За всички организации с повече от 250 служители трябва да се съхраняват записи от дейностите по обработка. Организации с по-малко от 250 служители трябва да съхраняват записи за своите дейности по обработката в ситуации с по-висок риск, като например обработка, която може да застраши правата и свободите на физическите лица, ако обработката е свързана със специални присъди. Ако сте разследвани, много от вас трябва да предоставят тези записи на разположение на съответния надзорен орган.
Какво да бъде записвано?
Име и данни за Вашата организация;
Цел на обработката;
Описание на категориите лица и категориите лични данни;
Категории на получатели на лични данни;
Подробности за трансфера на данни към трети държави, включително документация за механизмите за трансфер, които са въведени;
Планове за съхранение;
Описание на техническите и организационни мерки за сигурност.
GDPR поставя ограничения за прехвърлянето на лични данни извън ЕС, за да поддържа необходимото ниво на защита.
Регламентът ограничава възможността на организацията да прехвърля лични данни извън ЕС, когато това се основава само на собствена преценка относно адекватността на защитата им.
Европейската комисия ще реши дали дадена трета страна или международна организация гарантира адекватно ниво на защита, съобразно с GDPR.
В други случаи, когато прехвърлянето на данни се извършва еднократно или рядко, то може да бъде разрешено, ако съществуват адекватни гаранции като право обвързващи споразумения между публични органи, обвързващи корпоративни правила, спазване на одобрен кодекс за поведение или сертификационна схема.
Това ще има много последствия, както за мултинационалните организации, така и за тези, които търгуват извън граница.
×
Длъжностно лице по защита на данните (ДЛЗД, DPO – Data Protection Officer) е независимо лице за защита на данните в рамките на организацията.
Всички организации трябва да се уверят, че разполагат с достатъчно умения и ресурси, за да изпълнят своите изисквания спрямо GDPR.
Няма ясно определение за това колко субекти на данни ще представляват „Мащабна обработка“.
В регламента се посочва, че: „Обработка на лични данни не следва да се счита за мащабна, ако обработката се отнася до лични данни от пациенти или клиенти на отделен лекар, друг медицински специалист или адвокат“.
От това може да се предположи, че ако имате специални категории лични данни за повече от няколко хиляди субекти на данни, тогава се изисква DPO, но докато се развие съдебната практика, може би няма да имаме окончателен отговор на това.
За DPO може да бъде назначен нов служител, да бъде определен някой настоящ служител в организацията, доколкото не съществува конфликт на интереси със съществуващата му роля, а така също и ролята на DPO може да бъде възложена на външни изпълнители.
Един DPO може да действа за група от компании или група от публични органи, но в зависимост от големината и сложността на групата, може да са необходими повече.
Няма конкретни изисквания за квалификации или пълномощия, за да бъдете DPO, но за това определено се нуждаете от професионален опит и познания в областта на защитата на данните.
DPO трябва да докладва на най-високото ниво на управление, трябва да разполага с необходимите ресурси, за да изпълни изискванията на GDPR, като не може да бъде управляван или санкциониран за изпълнението на своята роля – т.е. той е пряко подчинен на ръководството на организацията.
Минималните задачи на DPO са дефинирани в член 39 от GDPR:
Да информира и консултира организацията и нейните служители относно техните законови задължения за защита на данните;
Да следи за спазването на GDPR и други закони за защита на данните, включително повишаване на информираността и обучението на служителите, консултиране относно оценките на въздействие върху защита на данните и провеждане на вътрешни одити;
Да бъде основната точка на контакт за надзорните органи и субектите на данни по въпроси, свързани със защитата на данните и спазването им.
Съгласно GDPR, организациите са задължени да докладват нарушенията на сигурността на личните данни на съответния надзорен орган, когато нарушението е вероятно да доведе до висок риск за правата и свободите на лицата, като например дискриминация, загуба на поверителност или финансова загуба.
Организациите също така трябва да информират и засегнатите лица, когато нарушението е вероятно да доведе до висок риск за техните права и свободи.
Нарушенията трябва да бъдат докладвани в рамките на 72 часа от настъпването на инцидента, като информацията за него може да бъде предоставяна на етапи, в хода на разследването.
Липсата на уведомяване за нарушение в рамките на срока може да доведе до глоба от 10 милиона евро или 2% от общия оборот на организацията.
Уведомлението за нарушение на сигурността трябва да включва:
Описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
Данните за връзка със служителя по защита на данните или друга контактна точка, ако в организацията няма определен ДЛЗД (DPO);
Вероятните последици от нарушението на сигурността на данните и взетите или предложените мерки за справяне с нарушението за да се смекчи неговото въздействие;
Причини за забавянето, когато уведомлението не е подадено в срок от 72 часа.
Най-честата причина за нарушаване на сигурността на информацията е човешка грешка, така че е важно всеки от Вашата организация, който се занимава с лични данни, да разбере какво представлява нарушение на данните и каква е процедурата за докладване, при възникване на такова.
Надзорният орган (КЗЛД) може да налага предупреждения, порицания, временно спиране на обработката на данни, както и глоби за санкциониране на нарушенията на закона.
Нивото на наказанието ще зависи от:
Естеството, продължителността и тежестта на нарушението;
Дали е било умишлено или не;
Стъпките, предприети от организацията за намаляване на потенциалните щети;
Как регулаторът е разбрал за нарушението;
Придържала ли се е организацията към одобрени кодекси за поведение.
Първи вид нарушения
Предвижда се административно наказание „глоба“ или „имуществена санкция“ в размер на ОТ левовата равностойност на 5 000 EUR ДО левовата равностойност на 10 000 000 EUR или, в случай на предприятие — до 2% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при нарушенията на следните разпоредби:
Условия, приложими за съгласието на дете във връзка с услугите на информационното общество;
Обработване, за което не се изисква идентифициране;
Защита на данните на етапа на проектирането и по подразбиране;
Съвместни администратори;
Представители на администратори и обработващи лични данни, които не са установени в Съюза;
Обработващ личните данни;
Обработване под ръководството на администратора или обработващия лични данни;
Регистри на дейностите по обработване;
Сътрудничество с надзорния орган;
Изискванията в Раздел 2 -Сигурност на личните данни;
Изискванията в Раздел 4 - Длъжностно лице по защита на данните;
Когато нарушенията по Регламент (ЕС) 2016/679 и ЗЗЛД са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената, но не повече от максимално предвидените размери.
За неизпълнение на задължително предписание на КЗЛД се налага глоба или имуществена санкция в размер от 2 000 лева до 200 000 лева.
За други нарушения по Регламент (ЕС) 2016/679 се издава задължително предписание или се налага административно наказание, глоба или имуществена санкция, в размер от 2 000 лева до 200 000 лева.
Надзорните органи, а и потребителите, със сигурност няма да гледат благосклонно на организациите, които не са положили никакви усилия да се подготвят за GDPR.
Макар че основно огромните глоби са завладели водещите заглавия в медиите и пресата, всъщност GDPR предлага на организациите възможности да рационализират бизнес процесите си, да развиват своите служители и да изграждат доверие в потребителите.
Фокусът на GDPR върху отговорността и управлението означава по-голяма ангажираност на лидерите, за да се гарантира, че организацията разполага с ресурси и умения, достатъчни за изпълнението на изискванията на регламента.
Ако Вашата организация има служител по защита на данните, той трябва да докладва директно на най-високото ниво на управление.
GDPR предоставя възможност да се променят фирмената култура и бизнес процесите на Вашата организация, за да бъдат те рационализирани и по-ориентирани към клиентите.
Важно е промяната да се инициира и ръководи от най-високото ниво на управление, тогава тя ще доведе до създаването на „култура на неприкосновеност на личния живот“.
Всички организации се намират в една и съща изходна позиция по отношение на личните данни, така че ако се възползвате от проактивния подход, можете да получите предимство в началото на тези процеси и да популяризирате подхода като ясен сигнал, че спазвате личните права на Вашите клиенти.
Въпреки че отговорността за защита на данните е на цялата организация, IT дейностите/служителите играят една от най-важните роли за гарантиране на спазването на изискванията GDPR.
Ето няколко неща, които трябва да вземете предвид:
Къде и по какъв начин се съхраняват личните данни?
Дали някои от данните влизат в категорията за чувствителни лични данни?
Какви са Вашите процедури за прехвърляне на данни?
Възлагате ли на външни изпълнители обработката на данни?
Използвате ли услуги, базирани на облак?
Как може да покажете, че личните данни във Вашите системи са защитени?
Можете ли да проследите движението на личните данни?
Как ще управлявате изискванията за изтриване на данни, когато вече не са Ви необходими?
Как ще гарантирате, че данните са напълно премахнати от Вашите системи, ако субектът на данните се позове на правото си те да бъде изтрити?
Настройките за сигурност във Вашата база данни гарантират ли, че данните са достъпни само на лица или организации, които имат разрешение да използват тези данни?
Вашите системи съдържат ли дублирани данни, и ако да – можете ли да ги консолидирате?
Как ще управлявате и ще гарантирате, че всички лични данни, предмет на изолирани бази или файлове, се обработват в съответствие с разпоредбите? Например, ако даден субект на данни оттегли съгласието си – как ще гарантирате, че искането се спазва във всички системи?
Уважаеми клиенти,
От м.04.2018г. „БИЗНЕС СОФТУЕР КОНСУЛТ“ АД има удоволствието да Ви предложи новата си бизнес линия от продукти и услуги за Консултиране и внедряване на GDPR.
Те са разработени във връзка с необходимостта от осигуряване на актуална експертна информация, както и насоки за работа относно необходимите действия, които трябва да се предприемат съгласно новите регулации по Регламент 2016/679 (Общ регламент за защита на личните данни – GDPR), който влезе в сила от 25 май 2018 година.
Централен офис
Адрес: гр. София, бул. "Дондуков" №82-82А, ет.6, ап. 10
Телефон: (02) 944-60-97
e-mail: office@bsconsult.bg
Олина Добрева
Вашият личен консултант по защита на личните данни
Телефон: (+359) 888 2210 53
e-mail: olina.dobreva@bsconsult.bg
Офис Враца
Адрес: гр. Враца, ул. "Иванка Ботева", №22, ет.3, офиси 13 и 14