От 25 май 2018 г. във всички държави-членки на Европейския съюз ще се прилагат нови правила за защита на личните данни. Те са уредени в т.нар. Общ регламент за защита на личните данни (GDPR). Новата правна рамка запазва редица основополагащи принципи и понятия от съществуващата към момента нормативна уредба, но в същото време въвежда по- високи стандарти за защита на данните, разширени права на физическите лица и нови задължения на администраторите на лични данни.
Длъжностно лице по защита на данните
Длъжностното лице по защита на данните играе ключова роля за осигуряване на законосъобразното обработване на лични данни в структурата на админи- стратора. То трябва да разполага с професионални качества и експертни позна- ния в областта на защитата на личните данни (законодателство и практика). Основната задача на длъжностното лице е да информира и съветва админи- стратора и неговите служители по всички въпроси, свързани с обработването и защитата на личните данни. Важно е да се знае, че то не определя целите и средствата за обработване на данни и съответно администраторът не може да прехвърли своята отговорност за неспазване на изискванията на Общия регла- мент върху него. Поради този причина длъжностното лице по правило не може да заема ръководни позиции, пряко свързани с обработването на лични данни в организацията на администратора, за да се избегне конфликт на интереси. В същото време длъжностното лице следва да разполага с висока степен на независимост, за да изпълнява ефективно своите консултативно-превантив- 8 ни функции. Администраторът няма право да дава указания или нареждания във връзка с изпълнението на задачите на длъжностното лице по защита на данните, което следва да се отчита директно на висшия мениджмънт в орга- низацията на администратора. Задължение да определят Длъжностно лице по защита на данните имат след- ните администратори на лични данни (физически и юридически лица): • публичен орган или орган на местно самоуправление; • администратори, които извършват системно и мащабно наблюдение на субектите на данните; • администратори, които извършват мащабно обработване на специални (чувствителни) лични данни; • в други, предвидени в закон случаи. Длъжностно лице по защита на данните може да изпълнява функциите си въз основа на един от следните алтернативни начини: • назначаване на служител в дружеството или организацията; • съвместяване с друга длъжност, стига да не се поражда конфликт на инте- реси; • по граждански договор/договор за услуга.
Отчетност
Отчетността е ново задължение на администраторите на лични данни и ос- новен инструмент за доказване изпълнението на изискванията на Общия регламент за защита на личните данни. Отчетност на практика е способността във всеки един момент администраторът на лични данни да удостовери и да докаже, че обработва личните данни законосъобразно, добросъвестно, про- 9 зрачно, за конкретни и пропорционални цели, с подходящо ниво на сигурност и защита. Основните средства за спазване на принципа на отчетност са: • поддържането на регистри на дейностите по обработване. • определяне на длъжностно лице по защита на личните данни, когато такова се изисква. • извършване на оценка на въздействието при наличие на висок риск за пра- вата и свободите на физическите лица. • своевременно уведомяване на Комисията за защита на личните данни и субекта на данните при нарушения на сигурността. • прилагане на доброволни механизми за сертифициране и/или спазването на кодекси на поведение
Оценка на въздействието
Оценката на въздействието е важен инструмент за отчетност, тъй като помага на администраторите не само да спазват изискванията на Общия регламент за защита на личните данни, но и да демонстрират, че са взети подходящи мер- ки, за да се гарантира спазването на регламента. Оценката на въздействието е процес, предназначен: • да опише обработването на лични данни, • да оцени необходимостта и пропорционалността на обработката и • да спомогне за избора на най-подходящите технически и организационни мерки за защита. Оценката на въздействието може да се отнася до единична операция за об- работване на данни или до многобройни повтарящи се или сходни операции. 10 В съответствие с подхода, основан на риска, въведен с Общия регламент за защита на личните данни, извършването на оценка на въздействието върху защитата на личните данни не е задължително за всяка операция по обра- ботване. Тя се изисква само когато обработването на лични данни има веро- ятност да доведе до висок риск за правата и свободите на физическите лица. Операции по обработване, които по правило пораждат висок риск, са напри- мер извършването на: • автоматично вземане на решения, включително профилиране; • мащабно обработване на данни, разкриващи расов или етнически произ- ход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични дан- ни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация, както и данни за предишни осъждания на лицето; • систематично мащабно наблюдение на публично достъпна зона. Оценка на въздействието може да бъде извършена от самия администратор, негов служител или от лице, външно за организацията, но отговорността за из- вършването й остава на самия администратор. Администраторът задължител- но трябва да потърси съвет от служителя по защита на данните, когато такъв е определен, а взетите решения следва да бъдат документирани. Общият регламент за защита на личните данни определя минималното съдър- жание на оценката на въздействието: • системен опис на предвидените операции по обработване и целите на обра- ботването, включително, ако е приложимо, преследвания от администрато- ра законен интерес; • оценка на необходимостта и пропорционалността на операциите по обра- ботване по отношение на целите; • оценка на рисковете за правата и свободите на субектите на данни, 11 • мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на лични- те данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица. Администраторът задължително провежда предварителна консултация с КЗЛД, ако оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако не се предприемат ефективни мерки за ограничаването му
Административно-наказателна отговорност по Общия регламент за защита на личните данни Един от основните механизми за гарантиране спазването на високите стандар- ти на регламента от всички администратори, които са задължени да прилагат Регламент 2016/679, е възможността надзорните органи по защита на лич- ните данни да налагат значителни по размер административни наказания – до 20 млн. евро или до 4% от общия годишен световен оборот, която от двете суми е по-висока. За осигуряване на ефективност, пропорционалност и възпиращ ефект регла- ментът въвежда следните критерии при определяне на вида административно наказание (парична санкция или друга корективна мярка) и неговия размер. Обстоятелствата, които се оценяват са следните: a) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, как- то и броят на засегнатите субекти на данни и степента на причинената им вреда; б) дали нарушението е извършено умишлено или по небрежност; в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни; г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях; д) евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни; е) степента на сътрудничество с КЗЛД с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него; 14 ж) категориите лични данни, засегнати от нарушението; з) начина, по който нарушението е станало известно на КЗЛД, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението; и) когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, във връзка със същия предмет на обработването, дали посочените мерки са спазени; й) придържането към одобрени кодекси на поведение или одобрени меха- низми за сертифициране; и к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението. При леки нарушения или ако глобата, която може да бъде наложена, предста- влява несъразмерна тежест за администратор-физическо лице, вместо глоба може да бъде приложена друга корективна мярка.
General Data Protection Regulation (или Общ регламент относно защитата на данните) ще засегне всяка организация в ЕС, която съхранява лични данни, както и всеки един бизнес в рамките на ЕС.
Изискванията на ЕС за съхранение на лични данни, въведени с GDPR, са свързани с организационни и технологични мерки, както и с мерки за съхранение на информацията, вкл. въвежда се изискването определени типове организации да назначат Служител по защита на данните (DPO – Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант. Служителят по защита на данните ще отговаря за съобразността с изискванията на регламента, ще консултира въвеждането на нови такива и ще консултира кога и как трябва да бъде осъществено оценяване на степента на важност на личните данни. Той ще бъде и лицето за контакт с националните органи за защита на личните данни.
КЛЮЧОВИ ПРОМЕНИ С GDPR
Прозрачни политики: Контрол и известяване: IT и обучения:
ЛИЧНИТЕ ДАННИ:
Какво са личните данни? Лични данни са данните, чрез които едно лице може да бъде идентифицирано, като име, пол, възраст, ЕГН, имейл, снимка, банкови данни, IP адрес и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.
Чувствителните лични данни: Има определени категории лични данни, които се ползват с по-високо ниво на защита. Такива са данните за здравето, биометрични данни, данни отнасящи се до расов или етнически произход, политически възгледи и др. Обработването и съхранението на посочените категории лични данни е забранено, но забраната може да се преодолее чрез получаване на изрично съгласие от субекта на данните.
ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРИТЕ:
- Използване на разбираем език: Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.
- Съгласие за обработване на личните данни: Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение. ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.
- Предоставяне на данните на 3-ти лица: Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.
ИЗИСКВАНИЯ КЪМ ОРГАНИЗАЦИИТЕ:
За да спазите всички изисквания на Регламента, трябва да подготвите твоя бизнес:
- От правна страна – обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.
- От техническа страна – трябва да се подготви фактическото спазване на предвиденото в изготвените правни документи. Това, например, може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.
Защитата на личните данни е процес, не е еднократна задача. За да обработвате правомерно личните данни, е необходимо:
- да изградите стройна и ясна система за обработка на личните данни
- да приемете вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
- периодично да ревизирате въведената система
- да познавате развитието на технологията и подходящите нива на защита на личните данни
Длъжностно лице по личните данни (Data Protection Officer – DPO)
- Това е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала.
- Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.
- Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.
Регистър на дейностите по обработване на чл.30 параграф от обшия регламент относно защитат на лични данни:
– Дейности по одобряване
– Цели на одобряването
– Категории лични данни
– Категории получатели
– Име на държавата или международната организация в случаи на предаване на лични данни
– Гаранции за прехвърляне на лични данни към 3-ти страни или международни организация
– Общи описания на техническите и организационни мерки за сигурност
– Законно основание з а обработването на лични данни съгласно чл.6 Общия регламент
– Основание за обработване на специфичните категории лични данни по чл.9 Общия регламент
– Възможност за вземане на автоматични решения , включително и профилиране
– Източник на лични данни
– Локация на личните данни
– Изисква ли се оценка за въздействието
График за събиране и унищожение на категориите лични данни:
- Наименование на записа/Вид
- Законово основание на срока на съхранение
- Срок на съхранение
- От кога тече срокът за съхранение
- Начин на записване
- Местоположение
- Метод за сигурно унищожаване (вкл. доказателства)
- Отдел
За повече информация и съдействие: 0894377977, office@ubclubs.eu