GDRP (Общ регламент за защита на данните), разбираме ли го всъщност?
GDPR (General Data Protection Regulation – Общ регламент за защита на личните данни) е Регламент 2016/679, приет от Европейския съюз, който се прилага пряко в България. Той утвърждава единни правила за целия ЕС, който в някои области може да се допълва от националното законодателство. Правилата се прилагат, когато данните се събират, използват и съхраняват в цифров вид или в структуриран регистър с лични данни на хартиен носител. Регламентът засяга всички организации, които имат достъп до личните данни на клиенти, служители, доставчици и др.
Освен единен набор от правила Регламента утвърждава един надзорен орган и единно тълкуване в целия EC. Контролът върху защитата на личните данни ще се извършва от Комисията за защита на личните данни и органи на европейско ниво. Регламентът започва да се прилага в България от 25 май 2018 г. и всеки ще бъде длъжен да отговаря на неговите изисквания. Неспазването на изискванията на Регламента могат да доведат до огромни загуби за бизнеса под формата на глоби и/или загуба на доверието на потребителите.
От гледна точка на гражданите Регламента определя правата, с които разполага всяко лице, с които осъществавя по-голям контрол над лични си данни. Правата включват:
- право на информираност, относно кой какво обработва и защо
- право на достъп до данните им
- право на възражение
- право на коригиране на данните им
- право на изтриване на данните и на това „да бъдеш забравен“
- право на изразяване на мнение, когато решенията са автоматизирани
- право на преместване на данните им от един доставчик на услуги при друг.
Кои данни са лични и попадат в обхвата на GDRP?
Всички данни, чрез които едно физическо лице може да бъде идентифицирано попадат в обхвата на GDRP: име, пол, възраст, ЕГН, домашен адрес, номер на лична карта, e-mail, банкови данни, IP адрес, информация за здравословно състояние и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.
Част от данните са класифицирани като чувствителни и имат специална защита. Това е информация за здравословно състояние, етнически произход, политически възгледи, сексуална ориентация. Те се събират и използват само при определени условия, например получено е изрично съгласие от субекта на данните или е законово обосновано действията с тях.
Как да се подготвим за новия регламент от гледна точка на бизнеса?
- Запознаване с нормативните изисквания в областта на защита на личните данни: GDRP (Регламент 2016/679), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29.
- Трябва да се анализират данните, които се обработват към момента:
- какви категории лични данни се обработват: обикновенни (имена, ЕГН, адрес и др.) и/или чувствителни (здравословно състояние, политически възгледи, расов или етнически произход и т.н.).
- с каква цел се събират, съхраняват, обработват: трудови отношения, търговска дейност, счетоводство, реклама, законово определени цели и т.н
- на кого извън организацията се предоставят лични данни: на публични органи (НАП, НЗОК, НОИ), на бизнес партньори, на трети страни.
- колко време се съхраняват.
- какви мерки за сигурност се прилагат.
- Трябва ли ни длъжностно лице по защита на личните данни:
- задължително е определянето му за публичен орган или орган на местно самоуправление;
- администратори, които извършват системно и мащабно наблюдение на субектите на данните;
- администратори, които извършват мащабно обработване на специални (чувствителни) лични данни;
- или в други, предвидени в закон случаи.
- Трябва да се анализират правни основания за обработване на личните данни: съгласие, сключване или изпълнение на договори, законово задължение на админостратора и др.
Трябва да се оформят документите при използване на съгласие.
Трябва да се осигури техническа възможност за редакция, прехвърляне, забравяне на данните придобити чрез съгласие.
Трябва да се подготви и предостави информация на субектите на данни относно: дружеството и контактите ни; категории лични данни, които се събират и за какви цели се обработват; категориите получатели на лични данни извън дружеството; срока за съхранение на данните; съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им; правото на субектите на данни да подадат жалба до КЗЛД или до съда; дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени.
- Добрата практика след анализа е приемане на вътрешни правила за защита на личните данни в дружеството.
Правилата включват: създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в дружеството с информацията от анализа.
Избират се подходящи технически и организационни мерки, за да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД. Възможни мерки са:
- псевдонимизация на личните данни;
- криптиране на личните данни;
- гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване;
- обучение на служители и др.
Определят се и се прилагат технически и организационни мерки за защита на данните още на етап проектиране и по подразбиране.
Разписване на вътрешни правила за приемане, разглеждане и отговаряне на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика.
Разписване на правила в случай на нарушение на сигурността на личните данни и уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.