GDRP (Общ регламент за защита на данните), разбираме ли го всъщност?

GDPR (General Data Protection Regulation – Общ регламент за защита на личните данни) е Регламент 2016/679, приет от Европейския съюз, който се прилага пряко в България. Той утвърждава единни правила за целия ЕС, който в някои области може да се допълва от националното законодателство. Правилата се прилагат, когато данните се събират, използват и съхраняват в цифров вид или в структуриран регистър с лични данни на хартиен носител. Регламентът засяга всички организации, които имат достъп до личните данни на клиенти, служители, доставчици и др.

Освен единен набор от правила Регламента утвърждава един надзорен орган  и единно тълкуване в целия EC. Контролът върху защитата на личните данни ще се извършва от Комисията за защита на личните данни и органи на европейско ниво. Регламентът започва да се прилага в България от 25 май 2018 г. и всеки ще бъде длъжен да отговаря на неговите изисквания. Неспазването на изискванията на Регламента могат да доведат до огромни загуби за бизнеса под формата на глоби и/или загуба на доверието на потребителите.

От гледна точка на гражданите Регламента определя правата, с които разполага всяко лице, с които осъществавя по-голям контрол над лични си данни. Правата включват:

  • право на информираност, относно кой какво обработва и защо
  • право на достъп до данните им
  • право на възражение
  • право на коригиране на данните им
  • право на изтриване на данните и на това „да бъдеш забравен“
  • право на изразяване на мнение, когато решенията са автоматизирани
  • право на преместване на данните им от един доставчик на услуги при друг.

 

Кои данни са лични и попадат в обхвата на GDRP?

Всички данни, чрез които едно физическо лице може да бъде идентифицирано попадат в обхвата на GDRP: име, пол, възраст, ЕГН, домашен адрес, номер на лична карта, e-mail, банкови данни, IP адрес, информация за здравословно състояние и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.

Част от данните са класифицирани като чувствителни и имат специална защита. Това е информация за здравословно състояние, етнически произход, политически възгледи, сексуална ориентация. Те се събират и използват само при определени условия, например получено е изрично съгласие от субекта на данните или е законово обосновано действията с тях.

 

Как да се подготвим за новия регламент от гледна точка на бизнеса?

  • Запознаване с нормативните изисквания в областта на защита на личните данни: GDRP (Регламент 2016/679), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29.
  • Трябва да се анализират данните, които се обработват към момента:
    • какви категории лични данни се обработват: обикновенни (имена, ЕГН, адрес и др.) и/или чувствителни (здравословно състояние, политически възгледи, расов или етнически произход и т.н.).
    • с каква цел се събират, съхраняват, обработват: трудови отношения, търговска дейност, счетоводство, реклама, законово определени цели и т.н
    • на кого извън организацията се предоставят лични данни: на публични органи (НАП, НЗОК, НОИ), на бизнес партньори, на трети страни.
    • колко време се съхраняват.
    • какви мерки за сигурност се прилагат.
  • Трябва ли ни длъжностно лице по защита на личните данни:
    • задължително е определянето му за публичен орган или орган на местно самоуправление;
    • администратори, които извършват системно и мащабно наблюдение на субектите на данните;
    • администратори, които извършват мащабно обработване на специални (чувствителни) лични данни;
    • или в други, предвидени в закон случаи.
  • Трябва да се анализират правни основания за обработване на личните данни: съгласие, сключване или изпълнение на договори, законово задължение на админостратора и др.

Трябва да се оформят документите при използване на съгласие.

Трябва да се осигури техническа възможност за редакция, прехвърляне, забравяне на данните придобити чрез съгласие.

Трябва да се подготви и предостави информация на субектите на данни относно: дружеството и контактите ни; категории лични данни, които се събират и за какви цели се обработват; категориите получатели на лични данни извън дружеството; срока за съхранение на данните; съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им; правото на субектите на данни да подадат жалба до КЗЛД или до съда; дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени.

 

  • Добрата практика след анализа е приемане на вътрешни правила за защита на личните данни в дружеството.

Правилата включват: създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в дружеството с информацията от анализа.

Избират се подходящи технически и организационни мерки, за да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД. Възможни мерки са:

  • псевдонимизация на личните данни;
  • криптиране на личните данни;
  • гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  • водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване;
  • обучение на служители и др.

Определят се и се прилагат технически и организационни мерки за защита на данните още на етап проектиране и по подразбиране.

Разписване на вътрешни правила за приемане, разглеждане и отговаряне на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика.

Разписване на правила в случай на нарушение на сигурността на личните данни и уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.