Какво е GDPR

  Като физически лица ние очакваме нашите лични данни да бъдат третирани сигурно и с уважение от всички организации, които имат достъп до тях. В организационно отношение е важно да запомните, че личните данни, с които се занимаваме като организация, са свързани с конкретен човек, а това как ги събираме, обработваме и съхраняване, оказва влияние върху него.

  Основните отговорности на организациите са изложени в шестте принципа на GDPR:

• личните данни трябва да се обработват законосъобразно и по прозрачен начин, като се гарантира добросъвестност по отношение на физическите лица, чиито лични данни се обработват („законосъобразност, добросъвестност и прозрачност“);
• трябва да бъдат налице и да са ясни конкретните цели за обработването на данните, като организацията трябва да посочи тези цели на физическите лица, когато се събират техните лични данни. Никой не може просто да събира лични данни за неопределени цели, както и не може да използва по-нататък събраните данни за други цели, които не са съвместими с първоначалната цел на събирането им („ограничение на целите“);
• организацията трябва да събира и обработва само и единствено личните данни, които са необходими за постигането на описаните конкретни цели („свеждане на данните до минимум“);
• организацията трябва да бъде сигурна, че личните данни са точни и актуални, като се имат предвид целите, за които те се обработват, а в случай че не е, да ги коригира („точност“);
• организацията трябва да бъде сигурна, че личните данни се съхраняват не повече от необходимото за целите, за които те са били събрани („ограничение на съхранението“);
• организацията трябва да въведе подходящи технически и организационни предпазни мерки, които да гарантират сигурността на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилага подходяща технология („цялостност и поверителност“).

  В GDPR има шест правни основания за обработка на лични данни. Ще трябва да ги определите конкретно за Вашата организация, на базата на обработваните лични данни в нея, както и да ги документирате, за да изпълните принципа на законната обработка.

  Шестте основания са:

• Субектът на данни е дал съгласието си;
• Обработването е необходимо за изпълнението на договор;
• Обработването е необходимо за спазването на законово задължение;
• Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субектите на данните или на друго физическо лице;
• Обработването е необходимо за изпълнението на задача от обществен интерес;
• Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.

  Забранено е обработването на лични данни, които:

• разкриват расов или етнически произход;
• разкриват политически възгледи, религиозни или философски убеждения или членство в синдикални организации;
• са генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице;
• са за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

 В Раздел 2, 3 и 4 – членове от 13 до 22 от Общия Регламент за защита на данните са определени правата на субектите на данни:

  Организацията Ви трябва да може да покаже, че спазва принципите на GDPR, за да отговори на изискванията за отговорност.

  Мерките, които предприемате, трябва да бъдат изчерпателни, но и пропорционални на сложността на типовете лични данни, с които боравите. Политиките за защита на данните, обучението на персонала, вътрешните одити на процесите по обработка в областта на човешките ресурси могат да бъдат използвани за доказване на съответствието.

  Внедряването на защитата на данните на етапа на проектиране и по подразбиране във Вашите процеси ще помогне да покажете предприетите мерки.

 За всички организации с повече от 250 служители трябва да се съхраняват записи от дейностите по обработка. Организации с по-малко от 250 служители трябва да съхраняват записи за своите дейности по обработката в ситуации с по-висок риск, като например обработка, която може да застраши правата и свободите на физическите лица, ако обработката е свързана със специални присъди. Ако сте разследвани, много от вас трябва да предоставят тези записи на разположение на съответния надзорен орган.

  Какво да бъде записвано?

• Име и данни за Вашата организация;
• Цел на обработката;
• Описание на категориите лица и категориите лични данни;
• Категории на получатели на лични данни;
• Подробности за трансфера на данни към трети държави, включително документация за механизмите за трансфер, които са въведени;
• Планове за съхранение;
• Описание на техническите и организационни мерки за сигурност.

 GDPR поставя ограничения за прехвърлянето на лични данни извън ЕС, за да поддържа необходимото ниво на защита. Регламентът ограничава възможността на организацията да прехвърля лични данни извън ЕС, когато това се основава само на собствена преценка относно адекватността на защитата им. Европейската комисия ще реши дали дадена трета страна или международна организация гарантира адекватно ниво на защита, съобразно с GDPR.

 В други случаи, когато прехвърлянето на данни се извършва еднократно или рядко, то може да бъде разрешено, ако съществуват адекватни гаранции като право обвързващи споразумения между публични органи, обвързващи корпоративни правила, спазване на одобрен кодекс за поведение или сертификационна схема. Това ще има много последствия, както за мултинационалните организации, така и за тези, които търгуват извън граница.

×

 Длъжностно лице по защита на данните (ДЛЗД, DPO – Data Protection Officer) е независимо лице за защита на данните в рамките на организацията. Всички организации трябва да се уверят, че разполагат с достатъчно умения и ресурси, за да изпълнят своите изисквания спрямо GDPR.

 Няма ясно определение за това колко субекти на данни ще представляват „Мащабна обработка“. В регламента се посочва, че: „Обработка на лични данни не следва да се счита за мащабна, ако обработката се отнася до лични данни от пациенти или клиенти на отделен лекар, друг медицински специалист или адвокат“.

 От това може да се предположи, че ако имате специални категории лични данни за повече от няколко хиляди субекти на данни, тогава се изисква DPO, но докато се развие съдебната практика, може би няма да имаме окончателен отговор на това.

 За DPO може да бъде назначен нов служител, да бъде определен някой настоящ служител в организацията, доколкото не съществува конфликт на интереси със съществуващата му роля, а така също и ролята на DPO може да бъде възложена на външни изпълнители. Един DPO може да действа за група от компании или група от публични органи, но в зависимост от големината и сложността на групата, може да са необходими повече. Няма конкретни изисквания за квалификации или пълномощия, за да бъдете DPO, но за това определено се нуждаете от професионален опит и познания в областта на защитата на данните.

 DPO трябва да докладва на най-високото ниво на управление, трябва да разполага с необходимите ресурси, за да изпълни изискванията на GDPR, като не може да бъде управляван или санкциониран за изпълнението на своята роля – т.е. той е пряко подчинен на ръководството на организацията.

 Минималните задачи на DPO са дефинирани в член 39 от GDPR:

• Да информира и консултира организацията и нейните служители относно техните законови задължения за защита на данните;
• Да следи за спазването на GDPR и други закони за защита на данните, включително повишаване на информираността и обучението на служителите, консултиране относно оценките на въздействие върху защита на данните и провеждане на вътрешни одити;
• Да бъде основната точка на контакт за надзорните органи и субектите на данни по въпроси, свързани със защитата на данните и спазването им.

  Съгласно GDPR, организациите са задължени да докладват нарушенията на сигурността на личните данни на съответния надзорен орган, когато нарушението е вероятно да доведе до висок риск за правата и свободите на лицата, като например дискриминация, загуба на поверителност или финансова загуба. Организациите също така трябва да информират и засегнатите лица, когато нарушението е вероятно да доведе до висок риск за техните права и свободи. Нарушенията трябва да бъдат докладвани в рамките на 72 часа от настъпването на инцидента, като информацията за него може да бъде предоставяна на етапи, в хода на разследването. Липсата на уведомяване за нарушение в рамките на срока може да доведе до глоба от 10 милиона евро или 2% от общия оборот на организацията.

  Уведомлението за нарушение на сигурността трябва да включва:

• Описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
• Данните за връзка със служителя по защита на данните или друга контактна точка, ако в организацията няма определен ДЛЗД (DPO);
• Вероятните последици от нарушението на сигурността на данните и взетите или предложените мерки за справяне с нарушението за да се смекчи неговото въздействие;
• Причини за забавянето, когато уведомлението не е подадено в срок от 72 часа.

  Най-честата причина за нарушаване на сигурността на информацията е човешка грешка, така че е важно всеки от Вашата организация, който се занимава с лични данни, да разбере какво представлява нарушение на данните и каква е процедурата за докладване, при възникване на такова.

 Надзорният орган (КЗЛД) може да налага предупреждения, порицания, временно спиране на обработката на данни, както и глоби за санкциониране на нарушенията на закона.

 Нивото на наказанието ще зависи от:

• Естеството, продължителността и тежестта на нарушението;
• Дали е било умишлено или не;
• Стъпките, предприети от организацията за намаляване на потенциалните щети;
• Как регулаторът е разбрал за нарушението;
• Придържала ли се е организацията към одобрени кодекси за поведение.

 Предвижда се административно наказание „глоба“ или „имуществена санкция“ в размер на ОТ левовата равностойност на 5 000 EUR ДО левовата равностойност на 10 000 000 EUR или, в случай на предприятие — до 2% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при нарушенията на следните разпоредби:

• Условия, приложими за съгласието на дете във връзка с услугите на информационното общество;
• Обработване, за което не се изисква идентифициране;
• Защита на данните на етапа на проектирането и по подразбиране;
• Съвместни администратори;
• Представители на администратори и обработващи лични данни, които не са установени в Съюза;
• Обработващ личните данни;
• Обработване под ръководството на администратора или обработващия лични данни;
• Регистри на дейностите по обработване;
• Сътрудничество с надзорния орган;
• Изискванията в Раздел 2 -Сигурност на личните данни;
• Изискванията в Раздел 4 - Длъжностно лице по защита на данните;

 Когато нарушенията по Регламент (ЕС) 2016/679 и ЗЗЛД са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената, но не повече от максимално предвидените размери.

 За неизпълнение на задължително предписание на КЗЛД се налага глоба или имуществена санкция в размер от 2 000 лева до 200 000 лева.

 За други нарушения по Регламент (ЕС) 2016/679 се издава задължително предписание или се налага административно наказание, глоба или имуществена санкция, в размер от 2 000 лева до 200 000 лева.

 Надзорните органи, а и потребителите, със сигурност няма да гледат благосклонно на организациите, които не са положили никакви усилия да се подготвят за GDPR.

 Макар че основно огромните глоби са завладели водещите заглавия в медиите и пресата, всъщност GDPR предлага на организациите възможности да рационализират бизнес процесите си, да развиват своите служители и да изграждат доверие в потребителите. Фокусът на GDPR върху отговорността и управлението означава по-голяма ангажираност на лидерите, за да се гарантира, че организацията разполага с ресурси и умения, достатъчни за изпълнението на изискванията на регламента. Ако Вашата организация има служител по защита на данните, той трябва да докладва директно на най-високото ниво на управление.

 GDPR предоставя възможност да се променят фирмената култура и бизнес процесите на Вашата организация, за да бъдат те рационализирани и по-ориентирани към клиентите. Важно е промяната да се инициира и ръководи от най-високото ниво на управление, тогава тя ще доведе до създаването на „култура на неприкосновеност на личния живот“. Всички организации се намират в една и съща изходна позиция по отношение на личните данни, така че ако се възползвате от проактивния подход, можете да получите предимство в началото на тези процеси и да популяризирате подхода като ясен сигнал, че спазвате личните права на Вашите клиенти. Въпреки че отговорността за защита на данните е на цялата организация, IT дейностите/служителите играят една от най-важните роли за гарантиране на спазването на изискванията GDPR.

 Ето няколко неща, които трябва да вземете предвид:

• Къде и по какъв начин се съхраняват личните данни?
• Дали някои от данните влизат в категорията за чувствителни лични данни?
• Какви са Вашите процедури за прехвърляне на данни?
• Възлагате ли на външни изпълнители обработката на данни?
• Използвате ли услуги, базирани на облак?
• Как може да покажете, че личните данни във Вашите системи са защитени?
• Можете ли да проследите движението на личните данни?
• Как ще управлявате изискванията за изтриване на данни, когато вече не са Ви необходими?
• Как ще гарантирате, че данните са напълно премахнати от Вашите системи, ако субектът на данните се позове на правото си те да бъде изтрити?
• Настройките за сигурност във Вашата база данни гарантират ли, че данните са достъпни само на лица или организации, които имат разрешение да използват тези данни?
• Вашите системи съдържат ли дублирани данни, и ако да – можете ли да ги консолидирате?
• Как ще управлявате и ще гарантирате, че всички лични данни, предмет на изолирани бази или файлове, се обработват в съответствие с разпоредбите? Например, ако даден субект на данни оттегли съгласието си – как ще гарантирате, че искането се спазва във всички системи?