Tag Archives: лични данни

GDPR Регламент за Защита на Личните Данни – Промени. Изисквания. Прилагане.

SO Info Center 03/04/2018

Така нареченият GDPR (от английски General Data Protection Regulation) е нов регламент за защита на личните данни, който влиза в сила в България от 25 май 2018 г. Регламентът представлява интегриран механизъм за защита на личните данни на физическите лица.

След като регламентът влезе в сила той отменя досегашната директива за защита на личните данни. Приет от Европейския парламент и съвет през април 2016 г. регламентът е с отложено влизане в сила, но веднъж случило се той има директно приложение. Той е валиден за всяко дружество или институция, които работят с лични данни.

Какви промени налага новият регламент GDPR?

GDPR въвежда драстични промени в начина на обработване и администриране на личните данни. Основното при него е, че въвежда нов тип индивидуализация на лицата отговорни за съхранението на всички предоставени на организацията лични данни.

Регламнтът налага нуждата от администратор на личните данни и обработващ тези данни. Администраторът на личните данни е юридическото лице, докато друго конкретно лице може да бъде назначено на длъжност обработващ личните данни , с което се въвежда персоналната отговорност.

Регламентът GDPR създава необходимост всяко юридическо лице, което разполага и обработва лични данни трябва да анлизира своята сфера на дейнност, целите за събиране на лични данни, типовете лични данни, които събира и да регламентира ясно и по недвусмислен начин съхранението на притежаваните данни.

Унищожаването на лични данни ще става с нарочен протокол. В него има опис на всички детайли възникнали около събитието – дата, място, причина за унищожение и други.

За да бъде приведен даден бизнес в съотвестствие с регламента е необходимо да се извърши правилна подготовка. Подготовката включва изготвянето на анализ на дейността на дружестовто. Като се вземат предвид абсолютно всякакъв вид вътрешни документи на дружеството – трудови договори, трудови досиета на служителите, политики, правила и т.н. След установяването им докумените трябва да бъдат приведени в съответствие с регламента.

С въвеждането на регламента за защита на личните данни се въвежда и различен териториален механизъм. Според него дружеството може да е регистрирано извън Европа, но в случай, че обработва лични данни на територията на Европа то трябва да спазва регламента. В противен случай съответното дружество също подлежи на санкции.

Защо има нужда от въвеждането на нов регламент за защита на личните данни?

Досегашната директива не може да предложи този обединен подход за защита. Тя има своите слаби места, които могат да бъдат използвани за злоупотреби със съхраняваната информация. При наличието на значително динамичен търговки оборот в световен мащаб е от изключителна важност фирмите и организациите, които оперират с лични данни да преосмислят тяхното естество както и от каква информация наистина се нуждаят. В противен случай част от многобройните записи са обречени на изтичане и загуби, които от своя страна могат да доведат до сериозни злоупотреби с лични данни и дори кражба на самоличност.

С GDPR се установяват по-конкретни и индивидуални критерии за обработването и съхранението на лични данни. Възниква персонална отговорност към съхранението на чувствителни детайли, които могат да бъдат използвани за идентификация на дадено лице.

Досегашната директива изискваше от всяко дружество, което ще обработва и администрира лични данни, да подаде едно бланкетно изявление до комисията за защита на личните данни, от където издават сертификат, че съответното дружество е администратор на тези данни, въвежда се онлайн какви регистри ще се поддържат отново бланкетно.

Как новият регламент променя дейността на отделните бизнес единици?

Компаниите, които събират и оперират с лични данни могат да запазят досегашните си начини на съхранение на тези данни, но с условието съхранението да бъде регламентирано. Регламентът GDPR налага отговорността за съхранението да се поеме от всяко юридическо лице индивидуално. За целта компанията следва да приеме свои вътрешни политики и правила за обработване, администриране и съхранение. В съответствие с това тя трябва да разполага с нарочни протоколи при унищожение на личните данни и аргументация – ясна и недвусмислена, за целите на съхраняване на информция, тогава когато тя няма да бъде повече нужна.

Работодателите е необходимо да проведат обучения и да въведат политики за работа и администриране на лични данни, с които служителите да бъдат запознати. Така те ще знаят кой и на какво ниво има достъп до системата.

В дългосрочен план регламентът може да бъде полезно средство за бизнеса, тъй като той цели да облекчи оборота от данни, които дружествата събират към момента. В допълнение GDPR изрично предвижда освен промяна на документо оборота на дружествата, да бъдат въведени и подходящи технически изисквания. Което ще рече, че вътрешните системи, с които работи дружеството ще е необходимо да бъдат с такива специфики, които ще гарантират за сигурността на данните. Например една вътрешна система може да притежава функцията да криптира данните, които съхранява, което от своя страна намалява вероятността за пробив в системата и изтичане на информацията.

При неизпълнение на изискванията на регламента за защита на личните данни Комисията за защита на личните данни може да глоби дружеството. Тя е органът на територията на България, който може да прави проверки и съответно да наложи санкции. Съгласно регламента санкциите са доста сериозни. Те могат да бъдат до 20 млн. Евро или до 4% от годишния световен оборот на дружеството.

Какво съставляват личните данни?

Понятието лични данни е изключително широко като най-общо включва всяка информация, която би могла да доведе до индивидуализирането на дадено лице. Обхващат се данни от всякакво естество, които сами или в съвкупност с други данни могат да доведат до еднозначна идентификация на конкретно физическо лице. Съгласно Закона за защита на личните данни в България лични данни са:

    Имена
    ЕГН
    Адрес
    Телефон
    Месторождение
    Паспортни данни на лицето (физическа идентичност)
    Семейно положение и родствени връзки (семейна идентичност)
    Професионална биография (трудова дейност)
    Здравен статус
    Психологическо и/или умствено състояние
    Политически, религиозни или философски убеждения (обществена идентичност)
    Сексуална ориентация (медицински данни)
    Расов или етнически произход
    Имотно състояние
    Финансово състояние
    Участие и/или притежаване на дялове или ценни книжа на дружества (икономическа идентичност) и др.
Read More