GDPR и защита на личните данни

1. Одит
2. Имплементиране
3. Контрол
До влизане на регламента в сила остават:

arrow-bellow

Какво представлява новия РЕГЛАМЕНТ?


През 21 век данните се превръщат в 1 от най- ценните активи на бизнеса. Дигитализацията доведе до превръщането им във валута, което от своя страна наложи да бъде въведен ефективен механизъм за регулиране на процесите по тяхната обработка, трансфер, защита. Именно в отговор на тази необходимост се появи и задължителния регламент ЕС 2016/679 или по известен като GDPR /GENERAL DATA PROTECTION OFFICER/, през месец май 2016 г. Регламентът ще се прилага ефективно след 25.05.2018 год., като времето до тогава е дадено на компаниите и публичните органи да имплементират новите изисквания, налагани от него. Същият покрива различни аспекти на боравенето с лични данни от страна на всички организации, които оперират с лични данни на граждани на ЕС.


Целта на Регламента е да улесни свободното движение на потоци от лични данни на ЕС и извън него, свързано с международна търговия и сътрудничество. Същевременно трябва са се осигурят и адекватните механизми за защита от нарушаване неприкосновеността на л.д. при използване на автоматизирани и други средства за обработката им.


Регламентът за разлика от старата директива има екстериториално действие. Той се прилага не само за компании, установени в Европа, но и към такива, които обработват л.д. на европейски граждани. Компании от трети страни, например САЩ, чиито дейности са насочени кум граждани на ЕС и които във връзка с тази дейност обработват техни л.д.ще са задължени лица по Регламента. Нещо повече – когато става въпрос за ЮЛ неустановени в Европа те ще имат и 1 допълнително задължение – за назначаване на представител за Европа, който да ги представлява във връзка със задълженията по Регламента.

КЪМ КОИ КОМПАНИИ СЕ ПРИЛАГА РЕГЛАМЕНТА?



На практика Регламентът ще се прилага към всички компании, защото всички компании имат служители, работници, обработват техните л.д. най- малкото. Голяма част от компаниите имат ФЛ – клиенти, редица индустрии – болници, банки, хотели, търговия са свързани пряко и тясно с ФЛ- клиенти. Така че там големия обем л.д. които обработват е на техните клиенти и поражда задължения по новия Регламент. Но от гледна точка на работодател всяка компания ще бъде АЛД. Организация, която съхранява каквито и да било лични данни – за служители, за клиенти и за партньори – трябва да спазва изискванията на GDPR за данните на всеки от тях. Поради това е силно препоръчително събирането на възможно най-малко по обем данни, необходими за извършването на работата. Така се намалява потенциалното вредно въздействие при евентуално поражение (изтичане) на личната информация и съответно риска от санкции за организациите.

КАК СЕ ИЗМЕНЯ ПРОЦЕДУРАТА, ПО КОЯТО
ЕДНА КОМПАНИЯ МОЖЕ ДА СТАНЕ АЛД?



Досегашния режим бе подчинен на ЗЗЛД и изискваше регистрация в КЗЛД. Той действа и към настоящия момент и ще продължи да действа до 25 май 2018 год., когато Регламентът влиза в сила. Това задължение отпада, но на негово място ще има редица други като това за отчетност например, които компаниите ще следват. Те ще трябва да поддържат специални регистри за обработка на Л.Д. Ще има нови хипотези, в които ще трябва да се иска одобрение от КЗЛД и да се отправят конкретни запитвания. Отделно както бе споменато по-горе ще има нови, по- сериозни задължения за отчетност на компаниите.

Изискването за отчетност по своята същност е изискване за документално обосноваване на обработката на л.д., т.е. трябва да има документално разписване на процесите и процедурите за обработка, съхранение, как и защо се предоставят на трети лица, кои са тези трети лица, какви са рисковете за ФЛ от обработката и какви са мерките за защита, които съответния АЛД или ОЛД ще предприеме, за да предотврати нарушенията/одитни следи/.Това със сигурност ще доведе до едно доста по- мащабно документиране и задължение за поддържане на писмена следа за видовете обработка. Поражда се необходимост от постоянен мониторинг на личните данни с яснота за тяхното състояние, мерки за защита, предприети действия – в това число кой има достъп, кога, как и защо, какви промени са направени по тях, как ще бъдат архивирани и унищожавани. За целта ще са необходими както технически мерки за проследяване на всяко действие, така и съответни процедури стъпка по стъпка.

КОИ ДРУЖЕСТВА /АЛД ЩЕ ИМАТ ЗАДЪЛЖЕНИЕ ЗА НАЗНАЧАВАНЕ НА ДПО?



Една от най-основните новости е задължението за администраторите и обработващите лични данни да назначат длъжностно лице по защита на личните данни (DPO).


Задължени да назначат длъжностни лица по защита на лични данни ще бъдат няколко категории администратори на лични данни, в случай че:

  • всички публични органи или структури с изключение на съдилищата при изпълнение на съдебните им функции.
  • обработват лични данни като част от дейността си, която включва редовно и систематично мащабно наблюдение на физически лица – такива са всички телекомуникационни оператори, доставчици на услуги, включващи проследяване на местоположението/GPS услуги, поведенческа реклама, CCTV услуги, всички банки, финансови институции и пр.

По данни преодставени от европейските и местните регулатори като обработващи редовно и систематично лични данни ще бъдат разгледани всички администратори, които имат назначени повече от 250 служители.

  • обработват специални, или т.нар. "чувствителни" лични данни в голям мащаб – такива са всички болници, здравни учреждения, пенсионно-осигурителни и застрахователни дружества

Отново по данни, предоставени от Комисията за защита на личните данни (КЗЛД), за изпълнение на GDPR в България ще бъдат необходими около 50 000 длъжностни лица по защита на личните данни. В това число са само администраторите, които имат нормативно задължение да назначат такива лица.

Макар за всички останали администратори да не съществува изрично задължение за назначаване на длъжностно лице, в практиката на европейските компании се утвърждава именно този подход.

ДПО-ТА



Това е друга новост в регламента. Фигурата на ДПО макар и позната в редица европейски държави е изключително нова за други, в това число и Р. България. Въвежда се задължение – да има лице във всеки един АЛД, което да изпълнява функцията на ДПО. Ролята му е да отговаря за съответствието на вътрешните писани и фактически правила с предписанията на Регламента, както и да отговаря за комуникацията с надзорния орган - КЗЛД и субектите на л.д., други заинтересовани органи. Представете си го като активна връзка между местен регулатор- субект на л.д. и АЛД. Дори и част от организацията, ДПО ще трябва да има една относителна независимост. Идеята е да се гарантират правата на всички страни. Възможно е както да е служител на компанията – АЛД, така и да е външно лице/ФЛ или ЮЛ/ – по договорно отношение. Към днешна дата на европейско или национално ниво няма регламентация относно специфични изисквания към позицията ДПО по отношение на опит, ценз, образование, сертификация и др. Регламента говори за необходимостта от добро познаване на законодателството и практиките в областта на защита на л.д. както и умения, лични качества. Но само толкова, може би с времето и натрупването на практика ще се избистрят и приемат по –конкретни правила и изисквания в тази връзка. Отношенията м/у АЛД и ДПО ще се уреждат с договор – както вътре в организацията, така и при аутсорсване на процеси. С договора ще се уреждат и въпросите относно отговорността.

ОБРАБОТВАЩ ЛИЧНИ ДАННИ



ОЛД е лице – ФЛ или ЮЛ /външно или в рамките на администратора/, което извършва техническите действия по събиране, подреждане, съхраняване. Типичен пример за ОЛД са изнесените счетоводители


АЛД, ОЛД и ДПО са три фигури, които МОГАТ да бъдат съчетани в една най –вече в малки компании и организации, които обработват малък обем лични данни. За по-големите такива, или за тези обработващи по- голям обем на л.д. този подход не би бил целесъобразен, а в дадени случай просто би бил невъзможен.

Отношения м/у ОЛД и АЛД е СОЛИДАРНА. Отношенията м/у ОЛД или АЛД и ДПО се уреждат с договор, където въпроса за отговорността е предварително ДОГОВОРЕН.

ПРАВА НА СУБЕКТИТЕ



Наред с всички останали нововъведения Регламентът въвежда нови ПРАВА на ФЛ при обработването на л.д. Те вкл.: достъп до собствените им лични данни, информираност; коригиране на данните ако са неточни; изтриване на л.д. или правото да бъдеш „забравен“; ограничаване на обработването от страна на администратора или ОЛД; преносимост на л.д. м/у отделните администратори; право на възражение спрямо обработването и др. С GDPR правата на индивидите да имат контрол над своите лични данни се увеличават. Всяка форма на събиране на лични данни изисква лицето да потвърди своето съгласие, при това не генерално, а за конкретния случай и за конкретната цел. Като следствие от това:


  • нарастват задълженията за поискване на съгласие от индивидите (с ясно указани цел, период на съхранение и време на унищожаване на личните данни)
  • нарастват правата на индивидите за контрол над съхраняваните техни данни и достъп до информация за това кога, как, за каква цел са били достъпвани и използвани
  • разгръща се индивидуалното право „да бъдеш забравен”, тоест личните данни да бъдат изтрити
  • за децата: нарастват задълженията за поискване на родителско съгласие
  • въвежда се задължение за „непреносимост” – ако лични данни се събират за дадена цел, те не могат да се използват за каквато и да е друга цел, освен изрично упоменатата.
ПРАВОТО ДА БЪДЕШ ЗАБРАВЕН

Всеки индивид може да поиска неговите лични данни, съхранявани в дадена организация, да бъдат заличени. Всяка организация следва да има установена процедура за „забравяне” на даден индивид. Правото „да бъдеш забравен” не е приложимо само в определени случаи, когато законът изисква дадени данни да бъдат съхранявани за определени периоди от време.

КОДЕКС НА ПОВЕДЕНИЕ



Всички организации следва да въведат в своята практика кодекс за защита на личните данни. Този кодекс предполага всички служители в организацията да са наясно що е то лични данни, как се пазят те, какво могат и какво не могат да правят в организацията с цел опазване неприкосновеността на съхраняваните лични данни и т.н.. Всички нови членове в дадена организация следва да преминават през обучение относно специфичните за организацията мерки за опазване на личните данни, това задължение съществува и за старите такива в случай, че те не притежават необходимите познания в областта. Обучението на членовете на една организация е жизнено важно за работата на същата в съответствие с изискванията на Регламента и оттам – за да бъдат избегнати санкциите и негативните последици за организацията. За да докаже спазването на регламента, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване. Администраторът въвежда подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.


Администраторите ще доказват, че покриват изискванията на Регламента чрез сертифициране, марки и печати и придържане към етични кодекси. Санкциите при неспазване на Регламента са разделени основно на две групи: при неизпълнение на задължението на администратор и при неспазване на правата на субектите.

САНКЦИИ



Чувствително се завишава размерът на санкциите за нарушения – до 20млн евро или до 4% от общия годишен световен оборот за предходната финансова година ако става дума за предприятие, която сума е по висока. Наред с финансовите санкции е предвидена възможност за налагане на санкция, изразяваща се в забрана за обработване на конкретен вид л.д.

партньори