Съдържание на статията:
Какво е GDPR?
Как ще повлияе той на бизнеса ми?
Какви стъпки трябва да предприема, за да съм законово изряден?
GDPR (General Data Protection Regulation) е регламент, приет от Европейския съюз, който ще влезе в сила в България от 25-ти май 2018 г.
Той засяга личните данни на физически лица, които (лични данни) могат пряко или непряко да го идентифицират – това включва дори email, Facebook профил, IP адрес и банкови сметки. Регламента важи за всички страни от Европейския съюз, както и извън него в случай, че се засягат права на граждани на ЕС.
Личните данни са ключови елементи за всеки бизнес.
Под лични данни разбираме всяка информация, свързана с идентифицирането на физическо лице.
Всяко лице може да бъде идентифицирано пряко или непряко, по-специално чрез: име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Чувствителните лични данни включват расова/етническа принадлежност, политически възгледи, генетични и биометрични данни, сексуална ориентация, данни за здравословното състояние на човека и др.
Контролът върху защитата на данни ще се извършва от КЗЛД – Комисия за защита на личните данни, както и от местни и чужди надзорни органи като Европейският комитет по защита на личните данни. Глобите за неспазване на изискванията от регламента ще бъдат 4% от годишния оборот на компанията.
При работата с личните данни говорим за термина „обработване“.
Обработване е всяко действие с личните данни, включително съхранение, изтриване и др.
Всяка компания трябва да определя за себе си:
- Администратор – който определя целите и средствата, за които ще се ползват личните данни.
- DPO (Data Protection Officer – длъжностно лице по защита на данните) – Контактното лице, познаващо добре бизнеса на организацията и е желателно да има опит в работата с личните данни. Добре е този човек да има правно образование или IT образование.
- Представител – който да бъде твоя DPO за страни извън Европейския съюз.
Фирмата е длъжна да информира хората за целите на обработването на личните им данни. Данните, които събираме са само тези, които ни е нужно да имаме за изпълнение на договора, не повече от това. Фирмата е длъжна да сигурява срок на съхранението им, който се определя от администратора, стига срокът да не противоречи на субекта. Унищожаването на събраните лични данни става с протокол и чрез шредер.
Личните карти вече няма да могат да се копират по GDPR – могат да се вземат и да се запишат на ръка, но не и да се копират. Свидетелствата за съдимост са в отделен регистър.
Правата на субекта са на първо място. Всеки от нас има право на:
- Информация за какво се използват данните ни, как те се съхраняват и обработват;
- Достъп до данните ни;
- Коригиране при неправилно въведени данни;
- Право на изтриване/ограничаване на обработването;
- Преносимост на данните;
- Възражение;
- Автоматично обработване;
- Конфиденциалност.
Всяко лице, обработващо данни, трябва да поддържа регистри, които да са в състояние да докажат даването на съгласие на лицето. Във фирмата трябва да се води регистър на съгласията с определен срок. Те могат да бъдат:
- Съгласие за обработване;
- Изпълнение на договор;
- Законово задължение;
- Законов интерес;
- Запазване на жизненоважни интереси;
- Изпълнение на задача от общ интерес.
GDPR поставя основи за прозрачност, законосъобразност и добросъвестност. Регламентът ограничава целите и съхранението на личните данни, свежда данните до минимум и държи на точността, поверителността и отчетността.
Обработването на лични данни е законосъобразно само ако и доколкото е приложимо поне едно от следните условия:
- Ако е дадено съгласие за обработване на личните му данни за една или повече конкретни цели.
- Ако се сключва договор за работа, субектите не е нужно да дават съгласието си, защото личните им данни така или иначе са нужни и договорът не може да се изпълни без тях.
- Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.
- Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
- Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
- Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна освен когато пред такива интереси преимущество имат интересите или основните права на субекта на данните, които изискват защита на личните данни. По-специално, когато субектът на данните е дете. Споменатото не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.
Как даваме съгласието си нашите лични данни да бъдат обработвани?
Съгласието според GDPR е ,,всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени‘‘.
GDPR определя висок стандарт за даване на съгласие за обработване на лични данни.
Регламентът дава и специално право то да се оттегли, като лицата трябва да бъдат уведомени за това тяхно право и да им се предостави лесен начин това да бъде направено по всяко време.
Всеки обработващ лични данни на физически лица ще трябва да преразгледа съществуващите съгласия и механизмите за получаване на съгласие, за да провери дали покриват изискванията на GDPR.
Съгласието е валидно, когато:
- Е дадено свободно, т.е. не е обвързано с предоставяната услуга;
- Обхваща конкретно името на администратора, целите на обработката и видовете обработка;
- Изискванията за съгласие са видни, необвързани с други условия, кратки, лесни за разбиране и лесни за ползване;
- Съгласието трябва да е очевидно и да изисква положително действие, за да се потвърди.
В този смисъл GDPR изрично забранява предварително маркирани полета, които често срещаме в Интернет към момента.
Всеки има право да изтрие личните си данни и да предотврати обработката при различни обстоятелства:
- Когато личните данни вече не са необходими във връзка с целта, за която са били първоначално събрани/обработени.
- Когато лицето оттегли съгласието си.
- Когато човекът възразява срещу обработката и няма преимуществен легитимен интерес за продължаване на обработката.
- Когато личните данни са били незаконно обработени (т.е. по друг начин са в нарушение на GDPR).
- Когато личните данни трябва да бъдат изтрити, за да се спази правно задължение.
- Когато личните данни се обработват във връзка с предлагането на услуги на информационното общество на дете.
Ако ние сме компания, можем да откажем искане за изтриване поради някоя от следните причини:
- При упражняване правото на свобода на изразяване.
- При изпълнение на законово задължение, както и за изпълнение на задача от обществен интерес или упражняване на официална власт.
- За целите на общественото здраве в обществен интерес.
- При архивиране на цели от обществен интерес, научно-изследователски исторически изследвания или статистически цели; или упражняването и защитата на правни искове.
Трансграничен пренос на данни.
Прехвърлянето на лични данни на получатели извън Европейското икономическо пространство обикновено е забранено. Това не важи за случаите, в които компетентността, в която се намира получателят, се счита, че осигурява подходящо ниво на защита на данните; или ако износителят на данни въвежда подходящи предпазни мерки; или се прилага дерогация или изключение.
Трансграничния пренос на данни може да се осъществи при някои от тези условия:
- Държавата, в която се намира получателят, се счита, че осигурява подходящо ниво на защита на данните;
- Има Privacy Sheild или т.нар. щит за защита на лични данни;
- Въз основа на разрешение на КЗЛД;
- Договорни клаузи и задължителни фирмени правила;
- Изрично съгласие на лицето.
Какви стъпки трябва да предприемат фирмите предвид GDPR?
#1 Запознаване с новите промени в законодателството
За нас е важно да имаме отговорен екип и нормативна база.
#2 Вътрешен анализ на фирмата
Какви категории лични данни обработваме, за какви цели ги използваме, на кого се предоставят, колко време се пазят, какви мерки за сигурност се прилагат.
#3 Избирането на DPO специалист е препоръчително
Как го избираме, какво обучение има той.
#4 Управление на риска
Оценка на риска и консултации с КЗЛД при висок риск.
#5 План на действие
Организационни и технически мерки, определяне на екип и срокове, определяне на човешки и финансов ресурс, който ще използваме.
#6 Отчетност
Създаване на вътрешен регистър на дейностите по обработка. Приемане на вътрешни политики и процедури за защита на личните данни, актуализиране на договорите, декларациите и други документи за получаване на съгласие.
#7 Правни основания
#8 Информираност на субектите
Субектите да бъдат информирани за вашите данни като администратор, цели, срокове, право на жалба и т.н. Служителите да бъдат информирани и тяхното съгласие да бъде поискано при видео наблюдение или следене на ел. комуникация.
Относно видео наблюдението: Записите се пазят до 30 дни. В стаи за отдих, тоалетни и религиозни стаи не може да има видео наблюдение и запис на звук.
#9 Права на субектите
Техните права да бъдат описани във вътрешните политики на фирмата.
#10 Уведомяване при нарушение
Осигуряване на политики и план за действие при нарушение на сигурността. Приемане на политика по своевременно уведомяване на КЗЛД – до 72 часа от разбирането за това.
Ще се радваме да споделиш в коментар дали ти е била полезна статията и твоите предложения за разширяването ѝ.