GDPR Ръководство


Какво представлява GDPR (“General Data Protection Regulation”)?


Общият регламент за защита на данните (Регламент (ЕС) 2016/679) на Европейския парламент и на Съвета на Европейския съюз е новата правна рамка за защита на личните данни, която има за цел да укрепи и хармонизира правилата за защита на физическите лица по отношение на обработването на лични данни, както и относно свободното движение на такива данни.

До 25 май 2018 г., когато Регламентът ще започне да се прилага, всички администратори и обработващи лични данни следва да предприемат мерки към изграждане на съответствие с широкия набор от изисквания за защита на личните данни.

Екстра-териториалното действие на Регламента води до по-широкото му приложение. Администратори и обработващи лични данни, които боравят с лични данни на гражданите на ЕС, независимо дали са установени в Съюза или не, са задължени да се съобразят с Регламента.



Какво се включва в понятието „лични данни“?


„Лични данни“ означава всяка информация, посредством която дадено физическо лице („субект на данни“) може бъде да идентифицирано.

Име

Идентификационен номер

Данни за местоположението

Онлайн идентификатор (имейл, IP адрес..)

Генетични и биометрични данни

Информация за здравословното състояние

Лични данни, свързани с присъди и нарушения

и още…

Чувствителни лични данни са специалните категории лични данни, като например информация за здравословното състояние, религиозни или философски убеждения, политическите възгледи сексуалната ориентация и други.


Основни фигури


Надзорен орган е независим публичен орган, създаден от държава-членка.

Субект на данните е лицето, за което се отнасят данните.

Администратор на лични данни, от публичния или частния сектор, е този, който сам определя целите и средствата за обработване на лични данни.

Обработващ лични данни, от публичния или частния сектор, е този, който обработва лични данни от името на администратора.


Преглед на основните изисквания


1. Права на субектите на данни

Нови

  • Право на ограничаване на обработването
  • Право на преносимост на данните
  • Право да не бъде субект на решение, основаващо се единствено на автоматично обработване, включващо профилиране

Разширени

  • Информация и достъп до лични данни

Съществуващи

  • Право на коригиране
  • Право на изтриване (право „да бъдеш забравен“)
  • Уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
  • Право на възражение

 

2. Законосъобразност на обработването според Регламент (ЕС) 2016/679, чл. 6:

Обработването на лични данни се счита за законосъобразно, когато:

Съгласие: Получите изрично съгласие от субектите на данните преди извършване на обработване на личните данни.

Договор: Изпълнявате договор, по който субектът на данни е страна или когато предприемате стъпки по искане на субекта на данните преди сключването на договор.

Законово задължение: При наличие на законово задължение на администратора.

Жизненоважни интереси: При защита на жизненоважните интереси на субектите на данни или на друго физическо лице.

Обществен интерес/Официални правомощия: Обработване при изпълнение на задача от обществен интерес или при упражняване на официални правомощия, предоставени на администратора.

Легитимен интерес: Обработването на лични данни за целите на легитимни интереси на администратора или трета страна.

 

3. Санкции

Санкциите при неспазване на изискванията на GDPR (“General Data Protection Regulation”) могат да достигнат размер до 20 000 000 EUR или 4% от общия годишен оборот, като се взема предвид по-високата от двете суми).

 

4. Задължения и отговорности на администраторите и обработващите лични данни

Докладване при нарушения (чл. 33) : Уведомяване на надзорния орган при настъпило нарушение на сигурността на личните данни в срок до 72 часа, след като нарушението е установено.

Отчетност (чл. 5, параграф 2) : Принципът на отчетност гласи, че администраторът на лични данни е отговорен да демонстрира съответствие с принципите, свързани с обработването на лични данни.

Защита на данните на етапа на проектирането и по подразбиране(чл. 25) : Спазването на принципите “privacy by design” и “privacy by default” още в най-ранен етап на дейностите, включващи обработване на лични данни.

Технически и организационни мерки (чл. 24, 25, 28, 30, 32) : Съгласно Регламента,  администраторите и обработващите лични данни трябва да прилагат подходящи технически и организационни мерки, като отчитат и нивото на риска, свързан с обработването на лични данни. Псевдонимизацията и криптирането на лични данни са посочени в Регламента като пример за мерки за сигурност.

Обработване на лични данни на деца под 16-годишна възраст (чл. 8) : За да бъде обработването законосъобразно, администратори или обработващи, които боравят с лични данни на деца под 16-годишна възраст, следва да получат съгласие от страна на носещия родителска отговорност за детето.

Оценка на въздействието върху защитата на данните (“ОВЗД”) (чл. 35, 36)

Оценката на въздействието за защита на данните може да се изисква в случай на:

  • систематична и подробна оценка на лични данни;
  • мащабна обработка на специални категории данни;
  • систематично наблюдение на публично достъпна зона;

*Предварителни консултации с надзорния орган се изисква в случаи, когато ОВЗД посочи, че обработването на лични данни води до висок риск.

Регистри на дейностите по обработване (чл. 30) : Водене на регистър на дейностите по обработване, включващ подробна информация за администратора, целите на обработката, категориите субекти на данни и личните данни, сроковете на съхранение, изтриване на данните и т.н.

Длъжностно лице по защита на данните (Раздел 4) : Ролята на Длъжностното лице по защита на данните („ДЗЛД“) цели да улесни спазването на изискванията, залегнали в Регламента. В случай, че организациите не попадат в обхвата на задължителното изискване за определяне на ДЛЗД съгласно Регламента, те биха могли да обмислят назначаването на такова лице като добра практика, която да спомогне за демонстриране на отчетност и изграждане на съответствие.

 

Бихте искали да се информирате дали попадате в обхвата на задължителното определяне на Длъжностно лице по защита на данните според GDPR: Вижте тук

 


Какви са първите стъпки?


Преди да предприемете по-нататъшни стъпки изграждане на съответствие, направете преглед на подхода, свързан с обработката на личните данни във Вашата организация:

  1. Видът на данните, които събирате, обработвате и / или съхранявате. Категории лични данни.
  2. Цел или цели, за които обработвате лични данни.
  3. Място на съхранение – на хартиен носител, локален сървър или съхранение в облачно пространство.
  4. Достъп до лични данни – всеки в организацията, който има достъп или е упълномощен да обработва лични данни.
  5. Срокове – период на съхранение и заличаване.