Регламент за защита на информацията
На 25 май 2018 г. влиза в сила нов регламент на ЕС за защита на информацията (GDPR – General Data Protection Regulation).
Ако съхранявате каквито и да било данни за клиентите и партньорите си, трябва да се съобразите с изискванията на новия регламент.
General Data Protection Regulation (или Общ регламент относно защитата на данните) ще засегне всяка организация в ЕС, която съхранява лични данни, както и всеки един бизнес в рамките на ЕС. Изискванията са комплексни, а глобите за неспазването им – високи (до 4% от общия оборот на организацията или до 20 млн. евро).
Изискванията на ЕС за съхранение на лични данни, въведени с GDPR, са свързани с организационни и технологични мерки, както и с мерки за съхранение на информацията, вкл. въвежда се изискването определени типове организации да назначат Служител по защита на данните (DPO - Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант. Служителят по защита на данните ще отговаря за съобразността с изискванията на регламента, ще консултира въвеждането на нови такива и ще консултира кога и как трябва да бъде осъществено оценяване на степента на важност на личните данни. Той ще бъде и лицето за контакт с националните органи за защита на личните данни.
КЛЮЧОВИ ПРОМЕНИ С GDPR
Прозрачни политики:
- ясна информация за събирането на лични данни
- уточняване на целите за обработка на лични данни
- дефиниране на правилата за запазване и изтриване на лични данни
Контрол и известяване:
- използване на подходяща защита за съхранението на личните данни
- уведомяване на властите за нарушения във връзка с лични данни
- получаване на подходящо съгласие за обработка на данни
- съхраняване на записи с подробна обработка на данните
IT и обучения:
- обучения на служители, които обработват лични данни
- одит и актуализиране на политиките за лични данни
- назначаване на DPO – служител по защита на данните (ако е необходимо)
- сключване и управление на договори с доставчици в съответствие с GDPR
ПРИНЦИПИ НА GDPR:
- Личните данни трябва да са точни и да бъдат поддържани в актуален вид.
- Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват.
- Обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни.
ЛИЧНИТЕ ДАННИ:
Какво са личните данни?
Лични данни са данните, чрез които едно лице може да бъде идентифицирано, като име, пол, възраст, ЕГН, имейл, снимка, банкови данни, IP адрес и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.
Чувствителните лични данни:
Има определени категории лични данни, които се ползват с по-високо ниво на защита. Такива са данните за здравето, биометрични данни, данни отнасящи се до расов или етнически произход, политически възгледи и др. Обработването и съхранението на посочените категории лични данни е забранено, но забраната може да се преодолее чрез получаване на изрично съгласие от субекта на данните.
Лицата имат право:
- на достъп до личните си данни
- да поправят грешки в личните си данни
- да изтриват личните си данни
- научат за предмета на обработка на личните им данни
- да изтеглят личните си данни
ОЩЕ ЗА ПРАВАТА:
Достъп до данните:
Субектите на данните (потребителите) трябва да имат постоянен достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.
Изтриване на данните:
Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.
Профилиране:
Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.
ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРИТЕ:
Използване на разбираем език:
Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.
Съгласие за обработване на личните данни:
Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение. ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.
Предоставяне на данните на 3-ти лица:
Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.
ИЗИСКВАНИЯ КЪМ ОРГАНИЗАЦИИТЕ:
За да спазите всички изисквания на Регламента, трябва да подготвите твоя бизнес:
От правна страна - обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.
От техническа страна - трябва да се подготви фактическото спазване на предвиденото в изготвените правни документи. Това, например, може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.
Защитата на личните данни е процес, не е еднократна задача. За да обработвате правомерно личните данни, е необходимо:
- да изградите стройна и ясна система за обработка на личните данни
- да приемете вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
- периодично да ревизирате въведената система
- да познавате развитието на технологията и подходящите нива на защита на личните данни
Длъжностно лице по личните данни (Data Protection Officer – DPO)
- Това е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала.
- Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.
- Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.