GDPR: Новите правила за защита на лични данни

ИЗТОЧНИК: ПРАВАТА МИ.БГ

АВТОР: Моника Дафинова, юрист

Все по-често в медиите чувам за промени в правилата за защита на лични данни и как това ще се отрази кардинално на бизнеса ми. Говори се за Общия регламент за защита на лични данни (или както още се среща GDPR от General Data Protection Regulation), който ще влезе в сила от 25 май 2018 г. (вече в сила - бел. П. Н.) и как трябва да съм наясно с новите правила и да отговарям на изискванията. Какви са новостите в областта?

Ще трябва ли да се регистрирам като Администратор на лични данни? Що е то принцип за отчетност?

N.B.! Ако реша да започна бизнес след 25 май 2018 г. и той е свързан със събиране и обработване на лични данни (име, ЕГН, номер на лична карта, адрес, IBAN и др.), то трябва да знам, че отпада задължението ми да се регистрирам като администратор на лични данни към Комисията за защита на лични данни (КЗЛД). Ако пък имам бизнес и вече съм регистриран като такъв, то това не ме освобождава от задължението, да се съобразя с новите правила, предвидени в Регламента, и да направя промени в организацията на бизнеса си.

Регистрацията като администратор на лични данни се измества от т.нар. принцип за отчетност. Той се изразява в задължението ми да мога да докажа във всеки един момент, че съм спазил/а изискванията на Регламента, т.е. ако ми направят проверка от КЗЛД да може се установи какви лични данни обработвам, за какви цели и за какъв период от време, как ги съхранявам (писмено или електронно), предоставям ли ги на трети лица и кои са те, какви мерки съм предприел/а, за да гарантирам сигурността на личните данни.

--------------------------------

Готови за новите изисквания на GDPR?

Подготви бизнеса си за новите правила за защита на личните данни. Не рискувай огромни глоби – 20 млн. евро или 4% от годишния оборот на твоята компания. [Научи повече]

-------------------------------

Трябва ли ми съгласие на лицето да обработвам личните му данни?

Ако нямам законово или договорно основание (например въз основа на трудов/граждански договор или договор за предоставяне на услуги) да съхранявам или обработвам лични данни на дадено лице, то трябва да съм получил/а неговото/нейното изрично съгласие. Това може да стане например чрез писмена декларация, включително и по електронен път (ако например имам сайт за онлайн търговия трябва да поискам съгласието на потребителите си да обработвам личните им данни чрез съответно поле, в което с тикче те дават своето съгласие).

Каква е ролята на Длъжностното лице по защита на личните данни?

Съгласно изискванията на Регламента трябва да определя и Длъжностно лице по защита на личните данни, което може да е:

- мой служител, или

- физическо или юридическо лице въз основа на сключен договор за услуги.

Длъжностното лице по защита на личните данни е натоварено със задълженията да осъществява надзор за спазването на Регламента и да ме консултира в областта на личните данни.

Длъжностното лице по защита на личните данни е и лицето, към което КЗЛД или всеки друг може да се обръща по въпроси, свързани със съхраняването и обработването на лични данни.

Винаги ли трябва да имам назначено Длъжностно лице по защита на личните данни?

- Ако съм публичен орган или структура, с изключение на съдилищата (например Агенция по вписванията, Национална агенция по приходите);

- Ако бизнесът ми изисква редовно и систематично мащабно обработване на лични данни (например кол центровете);

- Ако бизнесът ми е свързан и с редовно и систематично обработване на специални категории лични данни (данни, свързани със здравословно състояние, политическа принадлежност, сексуална ориентация и др.).

Какво представлява регистърът на дейностите по обработването?

Като администратор на лични данни трябва да поддържам и регистър на дейностите по обработването в писмена или електронна форма. Регистърът трябва да съдържа информация:

- какви лични данни се обработват;

- за какви цели се обработват;

- къде се съхраняват личните данни;

- за какъв период от време ще се съхраняват;

- кои са ползватели и получатели на личните данни;

- какви са предприетите мерки за сигурност.

Идеята на регистъра е във всеки един момент, ако някой от моите служители поиска информация за личните си данни, които обработвам, да мога да му предоставя тази информация.

Що е то оценка на въздействието?

Друго мое задължение като администратор на лични данни е да извършвам т.нар. оценка на въздействие на дейностите, свързани с обработването на лични данни, преди да започна самото обработване. При извършването й трябва да изисквам и становище на Длъжностното лице по защита на личните данни.

Ако оценката на въздействието покаже, че обработването ще породи висок риск (т.е. неправомерното обработване може да доведе до значителни вреди, кражба на самоличност на лицето, чиито лични дани се обработват), то преди обработването на личните данни задължително трябва да проведа предварителна консултация с КЗЛД.

Трябва да приложа и подходящи технически и организационни мерки за гарантиране сигурността на данните, като криптиране, псевдонимизация и др.

Кога е задължително да направя оценка на въздействието?

- когато оценявам личните аспекти на дадено лице въз основа на автоматично обработване (включително профилиране) и взимам решения, които имат правни последици за лицето (например финансова институция, която преглежда и води профили на клиентите си в база данни във връзка с изпиране на пари или фирма, която изгражда поведенчески или маркетингови профили на своите потребители въз основа на посещенията на уебсайта си);

- при мащабно обработване на специални категории лични данни или данни, свързани с присъди и нарушения (например като работодател ми се предоставя информация за здравословното състояние и за евентуални присъди и нарушения, тъй като при постъпването на работа изисквам медицинска бележка и свидетелство за съдимост);

- систематично мащабно наблюдение на публично достъпна зона (например камери за наблюдение до банките и в близост до банкомати).

КЗЛД следва да състави и оповести списък на видовете операции по обработване, за които се изисква да се направи подобна оценка на въздействието.

Как ще бъдат защитени правата на потребителите?

Регламентът предвижда и нови права на физическите лица, които трябва да спазвам при обработването на лични данни, като:

- достъп до личните данни;

- информираност;

- коригиране, ако данните са неточни;

- изтриване на личните данни или правото “да бъдеш забравен”;

- ограничаване обработването на лични данни;

- преносимост на личните данни,

- право на възражение спрямо обработването на лични данни.

Ами ако има нарушение на сигурността на личните данни?

Ако установя, че е налице нарушение на сигурността на личните данни, трябва да уведомя КЗЛД не по-късно от 72 часа след като съм разбрал за него, както и да лицето, чиито лични данни за засегнати. Мое задължение е и да документирам нарушението, т.е. как е настъпило то, какви са последиците и какви действия съм предприел, за да се справя с нарушението.

--------------------------

Статията има за цел да очертае някои основни права и задължения, като няма претенции да бъде изчерпателна. Съветваме винаги да се консултирате с адвокат преди да предприемате правни действия.

--------------------------