Визуални елементи

Системата използва унифициран дизайн, за да може лесно да се ориентирате, независимо от менюто или модула в който се намирате. 

Визуални елементи:

• модули
• менюта
• бутони
• форми
• стъпки
• табове (секции)

Модули

В горната част на екрана можете да навигирате между основните модули на системата. По подразбиране, ще виждате само модулите, които сте активирали. 

Налични модули:

• GDPR – система за управление на ОРЗД процеси и документи
• CRM – система за управление на казуси и съдебни дела
• Финанси – система за управление на фактури
• Персонални – персонално разработен модул
• Архив – архив на всичко документи, създадени от системата, независимо от модула, в който се намират

Информацията за Вашия профил можете да видите като кликнете логото в десния ъгъл. 

Ако не виждате някой модул, можете да се свържете с нас на office@legal-tech.bg

Менюта

Независимо в кой модул се намирате, в лявата част на екрана ще виждате основното меню (1), а отдясно на него е основният екран (2). 

Таблици

[1] Въведената информация в системата се визуализира в таблици: 

[2] Таблицата съдържа различна информация спред менюто в което се намира. Можем да променяме визуализираната информация като кликнем на менюто “columns”. Възможно е таблицата да бъде принтирана, копирана или експортирана в ексел или .csv формат. 

[3] Повечето таблици в системата имат и вградена търсача, за може бързо да се намери информацията, която се търси. 

Бутони

Системата има следните видове бутони:

• бутони за въвеждане на нова информация
• други бутони

[1] Добавянето на нова информация в системата става чрез бутони под формата на иконка и текст, които ви отвеждат към попълването на нова форма. Тези бутони са по-големи от другите бутони.

[2] Отделно към всяко попълване може да има бутони, с които да се извършват различни действия:

• сваляне на файл (синя икона с облак)
• редакция (жълта икона с молив)
• изтриване (червена икона с Х)

Табове (секции)

Когато в едно меню се визуализира твърде много информация, тя се разделя на секции. Всяка секция съдържа различна информация. Понякога има една секция, която обощава цялата информация, за да може лесно да се търси на едно място. 

Форми и стъпки

Информация в системата се въвежда или редактира чрез форми. Те могат да съдържат различни въпроси, текстове и визуализации. Когато формата е голяма, тя се разделя на стъпки за по-добра визуализация. 

За по-бърза навигация, особено при редактиране, можете да прескачате директно към търсената стъпка като кликнете върху нея. 

Статус на документите

Всеки генериран от нашата система документ има статус. 

По подразбиране статусите са:

• работна версия
• в сила
• отменен

Ако искате да използвате друг статус, маркирайте полето друго. 

 

Ако изберете статус “в сила”, ще се появи опция за избор на дата, от която документът е в сила. 

За документите в сила можете да маркирате и дата за следващ преглед. Системата ни автоматично ви уведомява, ако имате документи, които са за преглед скоро или датата за преглед е минала.

Всеки документ има и версия, чрез която можете лесно да проследявате промените. Добра практика е малките промени да се отразяват след десетичния знак, например 1.01 или 1.1, 1.2 и т.н. Цялостно изменение на документа се отбелязва като версия 2.0, 3.1 и т.н.

Ако изберете статус “отменен”, ще се появи опция за избор на дата, от която документът е отменен.

 

 

Шаблони

Системата ни поддръжа шаблони за редица ситуации, като например категории данни, категории субекти, дейности, роли и др. 

Можете да видите шаблоните като кликнете върху бутон добави шаблон:

Ще се визуализира таблица с шаблони, които можете да копирате във вашия профил. 

Шаблонът е началната точка за създаването на съответната информация. Той е предназначен да ускори процеса, но НЕ ви лишава от възможност за редакция и персонализиране. 

В таблицата можете да видите:

• информация за шаблона
• търсачка – ако търсите нещо конкретно
• бутон за копиране, чрез който ще добавите шаблона към вашите попълвания и ще можете да го персонализирате

ВАЖНО! За да видите шаблона като персонално попълване, е необходимо да презаредите страницата или да кликнете отново бутона “Добави от Шаблон”.

Категории данни

В тази секция можете да добавяте категориите данни, които обработвате. Всяка категория данни впоследствие може да се свърже с една или няколко дейности. 

Нови категории можете да добавите от шаблон (виж подробно за шаблоните секция “Шаблони”) или като натиснете бутон “Добави”. 

Вече добавена категория може да се редактира с натискане на иконката с молив или да се изтрие. 

Можете да използвате търсачката, за да намерите конкретна категория данни. 

Всяка категория данни съдържа следната информация:

• описание на категорията
• описание на данните
• индикация дали данните попадат в чл. 9 ОРЗД. Ако отговорът е положителен, ще се появи списък с изключеията при които можете да продължите с обработването;

Субекти

В тази секция се съдържат два отделни таба – субекти и трети лица.

Те могат да се добавят ръчно или чрез шаблон.

Субекти са лицата, за които се обраотват данни.

Трети лица

Трети лица са лицата, с които споделяте данни. Тук се посочват само категориите трети лица, а не конкретните лица, които се посочват в меню АЛД/ОЛД. 

Целта на категориите лични данни е да даде възможност да обобщим с кого споделяме данните. Тази информация се попълва в политиката за поверителност. Целта е да не разкривате чуствителна информация публично. 

 

Регистър на дейностите по чл. 30 ОРЗД

Едно от основните задължения на всяка организация е да поддържа актуален регистър на дейностите по чл. 30 ОРЗД. 

LT GDPR поддържа всички задъжителни по чл. 30 ОРЗД реквизити, както и допълнителна информация, която подпомага цялостното спазване на ОРЗД и управлението на личните данни, обработвани от организацията. 

Тук отново можете да избирате добавяне на нова дейност от шаблон или изцяло ръчно. 

В тази секция ще намерите всички дейности, като чрез табовете можете да филтрирате според това дали осъществявате дейността като администратор, обработващ или съвместен администратор:  

За всяка дейност можете да попълните:

• наименование на дейността
• в какво качество обработвате данните
• описание 
• правно основание за обработването
  • според избраната опция може да се появят допълнителни полета за пояснение
• отговорник и данни за контакт на отговорника – опциите се попълват динамично от въведените роли
• категории субекти на данните – динамичен списък от въведените субекти
• категории данни – динамичен списък от въведените категории данни
• начин на съхранение – локално, на хартия или при трето лице
• срок за съхранение – изберете от падащото меню; можете да посочите “индивидуално определен”, ако искате вие да го опишете
• допълнителни бележки относно съхранението – полето не е задължително; използва се за пояснения относно срока, например, за да се уточнят приложимите закони;
• трети лица, с които споделяте данни – динамичен списък от въведените категории трети лица
• наличие на трансфер на данни извън ЕС
• наличие на автоматизирано вземане на решение
• механизъм за opt-out
• необходимост от извършване на оценка на въздействието
• статус (виж подробно документацията относно статусите)

 

ВАЖНО! Динамичните полета визуализират опциите, които сте въвели в системата в предходните стъпки. Ако няма въведена информация, няма да се визуализира нищо. 

 

Най-често посочените полета не е нужно да се изменят. Консултирайте се с вашия експерт по защита на данните, ако не знаете как да ги попълните или се свържете с нас за консултация. 

 

Политика за поверителност

Създаването на политика за поверителност в нашата система е изключително лесно, защото вече сте въвели цялата информация, която ни е необходима. 

Единственото, което трябва да направите, е да изберете дейностите по обработване на данни, които искате да включите и да попълните данните за контакт. 

Полета за попълване:

• наименование на политиката – пример: Политика за защита на личните данни, Политика за поверителност и др. 
• Дейности – избирате от динамичния списък; ВАЖНО! Трябва предварително да сте въвели дейностите 
• Възможност за редакция на профил от потребителя – това е от значение във връзка с правото им да искат корекция на личните им данни
• Изтриват ли се данните след срока за съхранение – препоръчваме да не променята тази опция. При нужда консултирайте се с вашия експерт по защита на данните или се свържете с нас
• Имейл за контакт
• автоматизирано вземане на решения – ще се визуализира само ако имате дейности, при които сте посочили, че се прилага автоматизирано вземане на решения. 

Поставяне на политиката на сайта ви

Системата ни поддържа функционост за вграждане (embed) на политиката за поверителност от системата ни директно на сайта ви. 

Това позволява обновяване на политиката директно през системата, без да е необходимо да правите последващи промени на самия сайт. 

За целта влезте в меню Настройки>Интернет Страници

 

Въведете сайта си и копирайте генерирания от системата код: 

Мерки за сигурност

По GDPR сте длъжни да осигурите подходящи мерки, които да гарантират сигурността на данните. Какво е подходящо е относително за всяка организация. 

Управлението на мерките за сигурност е на две нива в нашата система:

• на ниво дейност – това е задължение по чл. 30 GDPR
• общи мерки за сигурност

Мерки на ниво дейност

Мерките за сигурност на данните могат да са различни в заивисимост от това къде съхранявате данните. Системата разбира това и ще ви даде различни опции според това какво е приложимо за вашия случай.

 

Общи мерки за сигурност

По ваш избор можете да въведете и допълнителни мерки за сигурност. Нашият въпросник покрива добрите практики в областта.

Съветваме да попълвате въпросника съвместно с лицето, което се грижи за информационната сигурност във вашата организация.

Създадените мерки за много подходящи като приложение към договор за споделяне на данни. 

Въпросникът може да бъде изпращам и на ваши контрагенти, когато искате да се уверите, че те прилагат адекватни мерки за сигурност.

 

Роли

Една от основните мерки за сигурност във всяка организация е разпределението на роли и правомощия. Всеки служител може да обработва конкретни данни за конкретни цели и всичко останало му е забранено. 

За да не въвеждате тези правила за всеки отделен служител, сме създали роли, като една роля може да се заема от десетки или дори стотици служители. Така дефинирате правилата само веднъж на ниво роля. 

Необходимо е да посочите:

• наименование на ролята
• отдел
• описание на основните функции
• отчетност
• достъп до дейностите по обработване – ако не сте ги въвели, въведете ги от меню дейности
• ограничения на достъпа – пример: ролята има достъп до данните за обслужване на клиенти, но само за града, в който се намира служителя
• приложима политика за поверителност; ако не сте създали, направете политика за служителите от меню Политики
• приложими мерки за сигурност

Служители

Служителите ви заемат двойна роля от гледна точка на GDPR. От една страна, те са субект на данните, и се ползват от всички права по закон. От друга, те действат от ваше име като администратор на данните. 

Затова е необходимо да осигурим спазването на изискванията по GDPR на тези две плоскости. 

Служителите като субекти на данните

Всеки служител има роля, към която сте определили Политика за поверителност. Необходимо е служителят да е запознат с тази политика. 

Важно е да им осигурите реален канал, по който те могат да упражняват своите права, като например право на изтриване, корекция, възражение срещу обработването и др. 

Служителите като ваши представители

Служителите са длъжни да спазват вашите мерки за сигурност, както и правилата предвидени за тяхната роля. Те не могат да обработват данни извън дадените от вас инструкции. 

Въвеждане на служителите

При въвеждане на нови служители в системата е нужно да посочите:

• техните лични данни,
• ролята, която заемат
• указание дали имат пълните правомощия на ролята или са ограничени; пример: ролята има достъп до данните от целия регистър, но конкретния служител получава данни само след персонално възлагане
• как са уредени отношенията
• статус – за лесно управление на всички служители
• начална и крайна дата на обработката

 

Ако имате много служители, можете да ги импортирате директно в системата, като ни ги изпратите в ексел файл. За повече информация свържете се с нас на office@legal-tech.bg

Документи за служителите

При назначаване на нов служител следва да дадете за подпис Декларация за съгласие с вътрешните правила, която се генерира автоматично през нашата система.

Към нея за сведение на служителя системата ще генерира:

• Заповед за утвърждаване на правомощията за обработване на лични данни на достъпа до обработване на лични данни от лицата, заемащи съответната роля. Ако служителят има повече от една роля, се прилага Заповед за всяка от ролите.
• Приложимите към ролята Правила за обработване на лични данни относно дейностите по обработване на лични данни. Това представлява подробно описание на дейността, до която лицето на съответната роля има достъп. В заповедта за ролята се съдържат всички дейности, които трябва да се приложат.
• Технически и организационни мерки за защита на личните данни на Дружеството
• Политика за поверителност за служителите в Дружеството

Съгласия

Възможно е да искате да документирате, че сте запознали субект на данните с определена информация. Системата може да генерира една персонална политика за поверителност, която да се разпише от субекта. 

Съгласно GDPR, всяко Дружество, което събира лични данни и действа като “администратор на данни,” трябва да има формални споразумения с всяка трета страна, която обработва тези данни. Тези споразумения гарантират, че всички външни страни отговарят на изискванията на GDPR за защита на данните и защитават правата на гражданите на ЕС.

Като администратор, е важно да знаете кой от партньорите е “обработващ данни” и кой е също “администратор,” за да можете правилно да разпределите отговорностите. Съгласно Член 28 от GDPR, администраторът трябва да си сътрудничи само с обработващи, които предлагат “достатъчни гаранции,” че ще спазват всички необходими технически и организационни мерки за сигурност.

Това означава, че управлението на трети страни е от ключово значение – администраторите трябва да гарантират, че всеки партньор, който има достъп до техните данни, напълно отговаря на GDPR изискванията. Вие, като администратор, носите отговорност за поддържането на тези стандарти и осигуряването на ефективна защита на личните данни.

Няколко са стъпките, които трябва да следвате, за да гарантирате, че работата Ви с трети страни е в съответствие с GDPR:

1. Поддържане на актуален списък с всички трети лица

На първо място трябва да знаете, че когато споделяте лични данни, сте задължени да поддържате актуален списък на всички трети лица, с които работите. В този списък е необходимо да се съдържа нужната информация по GDPR за всяко от лицата.

2. Описание на контрагента

В списъка трябва да включите идентифицираща информация за всеки контрагент:

• Име на организацията
• ЕГН/ЕИК или друг идентификационен номер

 

3. Категория на контрагента

Категорията на контрагента представлява вида на услугата, която използвате от третото лице. Например ние за Вас сме трето лице доставчик на услуги за съответствие с GDPR. Всички категории трети лица се намират в меню Субекти>Трети лица.

Ако сте поръчали само документация, можете да ги намерите в политиката за поверителност.

ВАЖНО! В случай, че не намирате съответната категория това означава, че е необходимо да я добавите и съответно да обновите свързаните дейности/политики.

4. Идентифициране на ролята на контрагента и Вашата роля по предаване на данните

Трябва ясно да знаете дали вие или вашите партньори сте „администратори на данни“ или „обработващи данни“. За да определите това, можете да използвате Насоки 07/2020 на Европейския комитет за защита на данните (EDPB).

5. Цели на обработката

Определете целите, за които споделяте данните с третата страна. Например, Клауд Тек Сълюшънс ООД (Legal Tech) обработва лични данни с цел осигуряване спазването на всички изисквания на GDPR и ЗЗЛД. Ясното дефиниране на целите е ключово за спазването на принципите на GDPR. Mоже да намерите повече информация относно целите за обработване на лични данни в тези Препоръките на ЕС по член 29.

6. Естество на обработването

Опишете как третата страна ще обработва данните – съхранение, редакция, четене, изтриване или да опишете друг начин.

7. Честота на предаването

Уточнете дали данните се предават/получават от/на лицето еднократно, периодично, непрекъснато или по друг начин.

8. Категории субекти на данните

Субекти на данните са лицата, за които обработвате лични данни. Посочете категориите субекти, чиито данни предавате за всяко отделно трето лице. Категориите субекти са видни от падащото меню. Ако не намирате подходяща категория, е необходимо да добавите от меню Субекти и страни.

9. Категории данни АЛД/ОЛД

Категории данни, които предавате към третото лица. Можете да изберете колкото категории данни е необходимо от падащото меню или да добавите нови от меню Категории данни.

 

10. Срокове на съхранение на данните

Спазването на принципа за ограничение на съхранението е задължително по GDPR. Повече информация можете да намерите в ICO ръководството за съхранение на данни.

Опишете приложимия срок за съхранение за споделените лични данни. От падащото меню ще намерите най-често срещаните срокове. Можете да изберете и индивидуално определен срок и да го опишете.

 

11. Има ли трансфер на данните?

В случай, че прехвърляте данни на трето лице извън ЕС, трябва да се уверите, че това става според изискванията на GDPR за международен трансфер. За повече информация вижте Насоките на EDPB за трансфер на данни.

Ако няма трансфер, посочете “няма трансфер”. Ако има трансфер, посочете механизма на трансфера съгласно горепосочените Насоки.

 

12. Как се уреждат отношенията между страните?

Отношенията по обработване на личните данни между Вас и третото лице може да бъдат уредени с Публично достъпни правила или с Договор за обработка на личните данни.

1. Публично достъпни правила

Ако отношенията се уреждат от публично достъпни правила е необходимо да се провери дали същите отговарят на изискванията (т.нар Due Diligence). Препоръчителни стъпки:

• Оценете конкретните технически мерки (като криптиране, контрол на достъпа, редовни тестове за сигурност) и организационни мерки (като обучение на служители, сигурност на офис съоръженията), които третата страна е въвела
• Уверете се, че третата страна има ясен и надежден процес за откриване, управление и докладване при нарушения на данните
• Проверете дали третата страна ограничава достъпа до лични данни само до онези служители или системи, на които това е необходимо
• Уверете се, че политиките на третата страна за съхранение и изтриване на данни гарантират, че личните данни се запазват само толкова дълго, колкото е необходимо за обработката
• Оценете дали третата страна провежда редовни одити и мониторинг на собственото си съответствие
• Преценете способността на третата страна да поддържа правата на субектите на данни (напр. право на достъп, право на изтриване, право на преносимост на данни)
• Проверете дали третата страна поддържа подходящи записи на дейностите по обработка и е в състояние да демонстрира съответствие с GDPR

 

2. Договор за обработка на лични данни

Когато няма Публично достъпни правила е необходимо да се направи Договор за обработка на лични данни. Може да следвате инструкциите на Комисията на ЕС за целта.

• В случай, че предавате данни в ЕС трябва да следвате инструкциите тук и тук.
• В случай, че предавате данни извън ЕС трябва да следвате инструкциите тук.

 

13. Продължаващо съответствие

Списъкът на третите лица, с които споделяте данни, следва да се поддържа актуален, включително като се добавят/премахват/редактират своевременно промени в него. Периодично следва да се проверява съответствието на вече одобрените трети лица, за да се гарантира, че те продължават да спазват регулаторните изисквания и осигуряват необходимата защита на личните данни.

При нужда от съдействие можете да се свържете с нас на office@legal-tech.bg

Архив

Целта на меню Архив е да ви даде централизирано място, където да видите всички документи, които системата е генерирала. 

Те са подредени на секции, както следва:

• Основни – съдържат вътрешните ви правила, политики и дейностите
• декларации на субекти на данните
• заповеди – съдържат ролите на служителите
• протоколи
• политики
• общи условия

Kaчване на файлове

Системата ни може да генерира всякакви файлове, но понякога е нужно да прикачите ваш файл, защото е създаден преди да започнете да ползвате LT GDPR или по друга причина.

Това става лесно от меню Качване>Добави. 

Можете да качите файл или да приложите линк към облачно пространство, както и да зададе име на файла.

При нас не просто ще качите файла, но той ще се визуализира и в съответното меню според това какъв вид сте посочили. 

Ако не посочите нищо, тогава файлът ще е видим единствено в меню Качване.