GDPR изисквания

Какво представлява GDPR? Новият европейски закон за поверителност и сигурност на данните включва стотици страници с нови изисквания за организациите по целия свят. Тази статия за GDPR ще ви помогне да разберете закона и да определите кои части от него се отнасят за вас.

Общият регламент за защита на данните (ОРЗД или GDPR) е най-строгият закон за защита на личните данни и сигурността в света. Въпреки че е изготвен и приет от Европейския съюз (ЕС), той налага задължения на организациите навсякъде, стига да са насочени към или да събират данни, свързани с хора в ЕС. Регламентът влезе в сила на 25 май 2018 г. и от тогава GDPR налага строги глоби на тези, които нарушават неговите стандарти за поверителност и сигурност, като санкциите ще достигнат десетки милиони евро. В България, с началото на 2022 г., регламента вече се налага и следи изключително сериозно, особено за по-малките организации, които все още не са привели дейността си в съотвествие с новите правила.

С GDPR Европа дава знак за твърдата си позиция по отношение на поверителността и сигурността на данните в момент, когато все повече хора поверяват личните си данни на облачни услуги, а нарушенията са ежедневие. Самият регламент е обширен, широкообхватен и сравнително малко конкретен, което прави спазването на GDPR трудна перспектива, особено за малките и средните предприятия (МСП).

Създадохме тази статия, за да послужи като ресурс за собствениците и управителите на МСП за справяне с конкретни предизвикателства, с които могат да се сблъскат. Тя може да ви помогне да разберете къде да съсредоточите усилията си за постигане на съответствие с GDPR. Предлагаме също така практични съвети за защита на личните данни и за това как да намалите риска от потенциални нарушения.

История на GDPR

Правото на неприкосновеност на личния живот е част от Европейската конвенция за правата на човека от 1950 г., която гласи: “Всеки има право на зачитане на неговия личен и семеен живот, на неговото жилище и на неговата кореспонденция”. На тази основа Европейският съюз се стреми да гарантира защитата на това право чрез законодателство.

С развитието на технологиите и изобретяването на интернет ЕС призна необходимостта от съвременна защита. Затова през 1995 г. той прие Европейската директива за защита на данните, установяваща минимални стандарти за неприкосновеност на личния живот и сигурност на данните, въз основа на които всяка държава членка прие свой закон за прилагане. 

GDPR влезе в сила през 2016 г., след като беше приет от Европейския парламент, а от 25 май 2018 г. всички организации трябваше да се съобразяват с него.

За кого се отнася GDPR?

Aко обработвате лични данни на граждани или жители на ЕС или предлагате стоки или услуги на такива хора, тогава GDPR се прилага за вас.

Глобите за нарушаване на GDPR са много високи. Съществуват две нива на санкции, които достигат максимум 20 млн. евро или 4% от глобалните приходи (което от двете е по-високо), като освен това субектите на данни имат право да търсят обезщетение за вреди. 

В GDPR са дефинирани подробно редица правни термини. По-долу са посочени някои от най-важните, на които се позоваваме в тази статия:

Лични данни – Личните данни са всяка информация, която се отнася до физическо лице, което може да бъде пряко или непряко идентифицирано. Имената и имейл адресите очевидно са лични данни. Информация за местоположението, етническа принадлежност, пол, биометрични данни, религиозни убеждения, уеб бисквитки и политически мнения също могат да бъдат лични данни. Псевдонимните данни също могат да попаднат в обхвата на определението, ако по тях е сравнително лесно да се идентифицира някой.

Обработка на данни – Всяко действие, извършвано върху данни, независимо дали е автоматизирано или ръчно. Добри примериа за обработване на данни са действия като събиране, записване, организиране, структуриране, съхраняване, използване, изтриване… т.е. на практика всичко.

Субект на данни – Лицето, чиито данни се обработват. Това са вашите клиенти, служители, партньори или посетители на сайта.

Администратор на данни – Лицето, което решава защо и как ще се обработват личните данни. Ако сте собственик или служител във вашата организация, който обработва данни, това сте вие.

Обработващ данни – Трета страна, която обработва лични данни от името на администратора на данни. В ОРЗД има специални правила за тези лица и организации. Те могат да включват облачни сървъри, доставчици на имейл услуги, външни счетоводни къщи, рекламни агенции, доставчици и много други.

Принципи за защита на данните

Ако обработвате данни, трябва да го правите в съответствие със седемте принципа за защита и отчетност, които GDPR предвижда

Законосъобразност, справедливост и прозрачност – Обработката трябва да бъде законосъобразна, справедлива и прозрачна за субекта на данните.
Ограничаване на целите – Трябва да обработвате данните за законните цели, изрично посочени на субекта на данните при събирането им.
Минимизиране на данните – Трябва да събирате и обработвате само толкова данни, колкото е абсолютно необходимо за посочените цели.
Точност и вярност – трябва да поддържате личните данни точни и актуални.
Ограничаване на съхранението – Можете да съхранявате данни за идентифициране на лица само толкова дълго, колкото е необходимо за определената цел.
Цялостност и поверителност – Обработката трябва да се извършва по такъв начин, че да се гарантира подходяща сигурност, цялостност и поверителност (например чрез използване на криптиране).
Отчетност – Администраторът на данни е отговорен за това да може да докаже спазването на всички тези принципи на GDPR.

Отчетност

В регламента се казва, че администраторите на данни трябва да са в състояние да докажат, че спазват GDPR. И това не е нещо, което можете да направите след потенциална проверка. Ако смятате, че спазвате GDPR, но не можете да покажете как, значи не спазвате GDPR.

Регламента предвижда различни начини, по които можете да направите това:

  • Поддържайте подробна документация за данните, които събирате, как се използват, къде се съхраняват, кой служител отговаря за тях и т.н.

  • Определете отговорности за защита на данните на екипа си.

  • Обучавайте персонала си и прилагайте технически и организационни мерки за сигурност.

  • Имайте сключени договори за обработване на данни с трети страни, на които възлагате да обработват данни за вас.

  • Назначете длъжностно лице по защита на данните (не е задължително за всички организации)

Сигурност на данните

От вас се изисква да обработвате данните по сигурен начин, като прилагате “подходящи технически и организационни мерки”.

Техническите мерки означават всичко – от изискването служителите ви да използват двуфакторна автентикация в акаунтите, в които се съхраняват лични данни, до сключването на договори с доставчици на облачни услуги, които използват криптиране от край до край.

Организационни мерки са неща като обучения на персонала, добавяне на политика за поверителност на данните в наръчника на служителите или ограничаване на достъпа до лични данни само до тези служители в организацията, които се нуждаят от тях.

Ако имате нарушение на сигурността на данните, имате 72 часа, за да уведомите субектите на данни или ще бъдете санкционирани. (Това изискване за уведомяване може да бъде отменено, ако използвате технологични предпазни мерки, като например криптиране, за да направите данните безполезни за нападателя).

Кога ви е разрешено да обработвате данни?

В член 6 са изброени случаите, в които е законно да се обработват лични данни. Не си и помисляйте да докосвате нечии лични данни – не ги събирайте, не ги съхранявайте, не ги продавайте на рекламодатели – освен ако не можете да ги обосновете с едно от следните неща:

  • Субектът на данните ви е дал конкретно, недвусмислено съгласие да обработвате данните. (напр. Той се е включил в списъка ви с маркетингови имейли.)

  • Обработката е необходима за изпълнение или за подготовка за сключване на договор, по който субектът на данните е страна. (напр. Необходимо е да направите проверка на миналото, преди да отдадете под наем имот на потенциален наемател).

  • Необходимо е да ги обработвате, за да спазите ваше правно задължение. (напр. получавате заповед от съда, от НАП, НОИ или други държавни инструтуции.)

  • Обработването е необходимо за изпълнение на задача в обществен интерес или за изпълнение на някаква официална функция. (напр. Вие сте частна фирма за събиране на отпадъци.)

  • Имате легитимен интерес да обработвате нечии лични данни. Това е най-гъвкавото законно основание, въпреки че “основните права и свободи на субекта на данните” винаги имат предимство пред Вашите интереси, особено ако става въпрос за данни на дете. (Тук е трудно да се даде пример, тъй като има различни фактори, които ще трябва да вземете предвид за вашия случай).

Съгласие

Съществуват строги нови правила за това какво представлява съгласието на субекта на данни за обработване на неговата информация.

  • Съгласието трябва да бъде “свободно дадено, конкретно, информирано и недвусмислено”.

  • Исканията за съгласие трябва да бъдат “ясно разграничени от другите въпроси” и представени на “ясен и прост език”.

  • Субектите на данни могат да оттеглят дадено по-рано съгласие, когато пожелаят, и вие трябва да уважите тяхното решение. Не можете просто да смените правното основание за обработването с някое от другите основания.

  • Деца под 13 години могат да дадат съгласие само с разрешението на своя родител.

  • Трябва да съхранявате документални доказателства за съгласието.

Служители по защита на данните

За улеснение на малките и средни организации, не всеки администратор или обработващ лични данни трябва да назначава длъжностно лице по защита на данните (ДЛЗД). Съществуват три условия, при които сте длъжни да назначите ДЛЗД:

  • Вие сте публичен орган, различен от съд, който действа в качеството си на съдебен орган.

  • Основните ви дейности изискват систематично и редовно наблюдение на хора в голям мащаб. (Пример: вие сте банка)

  • Основните Ви дейности са широкомащабно обработване на специални категории данни, изброени в член 9 от ОРЗД, или на данни, свързани с присъди и нарушения, посочени в член 10. (Пример:. Вие сте медицински кабинет.)

Можете да решите да определите ДЛЗД, дори и да не сте задължени да го правите. Съществуват ползи от това някой да изпълнява тази роля. Основните им задачи включват разбиране на GDPR и как той се прилага за организацията, консултиране на хората в организацията относно техните отговорности, провеждане на обучения за защита на данните, провеждане на одити и наблюдение на съответствието с GDPR, както и осъществяване на връзка с регулаторните органи.

Права на хората за защита на личните данни

В ОРЗД се признават множество нови права за защита на личните данни на субектите на данни, които имат за цел да предоставят на лицата по-голям контрол върху данните, които предоставят на организациите. Като организация е важно да разбирате тези права, за да сте сигурни, че сте в съответствие с GDPR.

По-долу е представен преглед на правата за поверителност на субектите на данни:

  • Правото да бъдеш информиран

  • Право на достъп

  • Право на коригиране

  • Право на изтриване

  • Право на ограничаване на обработката

  • Право на преносимост на данните

  • Право на възражение

Заключение

Току-що обхванахме всички основни точки на GDPR в малко повече от 2000 думи. Самият регламент (без да се включват придружаващите го директиви) е 88 страници и е възможно всички изисквания приложими за вас да не бъдат описани в тази статия. Ако сте засегнати от GDPR, горещо препоръчваме да се запишете да безплатна онлайн консултация или да заявите безплатен одит и доклад на вашата компания. Можете да направите и двете, чрез бутоните по-долу.

Софтуер за GDPR и Лични Данни

Бизнес решение за създаване и управление на GDPR процеси и документация

Поискай оферта Запиши се за демо!