GDPR flag

Общият регламент за защита на данните (GDPR) е най-строгият закон за защита на личните данни и сигурността в света, но малко организации са напълно съобразени с неговите разпоредби. Самоуспокоението е опасна територия. На организациите, които не спазват изискванията, може да бъде наложена глоба в размер до 20 млн. евро или 4% от годишния глобален оборот (което от двете е по-голямо). Повечето глоби, разбира се, са в значително по-малки размери (2000 – 10000 лв.), защото най-често конролните органи следят и контролират малките и средни бизнеси, които все още не са привели дейноста си в съответствие с новите изисквания.

Тази публикация ясно очертава стандартите, установени от GDPR, и предоставя контролен списък, който да помогне на организациите да останат в съответствие с изискванията.

Какво представлява Общият регламент относно защитата на данните (GDPR)?

GDPR е продукт на смелата реформа на Европейския съюз в областта на защитата на данните. Строгите стандарти за защита на личните данни влязоха в сила на 25 май 2018 г. Тази рамка за киберсигурност има за цел да защити личните данни на всички хора в Европейския съюз. GDPR актуализира Европейската конвенция за правата на човека от 1950 г., за да я направи актуална за цифровата ера. Член 8 от конвенцията гласи, че всеки човек има право на зачитане на личния и семейния живот. В аналоговата епоха, в която се е зародила конвенцията, границите между обществения и личния живот са били смели и лесно определими. Днес те са двусмислени и размити. Без ясен и прилаган стандарт като GDPR, клиентите никога не могат да бъдат сигурни, че техните лични данни, а следователно и личният им живот, се зачитат и пазят от компаниите, с които работят.

Какво се счита за лични данни съгласно GDPR на ЕС?

Съгласно член 4 от ОРЗД, личните данни се определят като всяка информация, която се отнася до идентифицирано или подлежащо на идентифициране физическо лице. С други думи, лични данни са всички данни, които са свързани с идентичността на живо лице. Това включва не само преки връзки, като например финансова информация и адреси, но и непреки връзки, като например оценки, свързани с моделите на поведение на дадено лице.

Определението за лични данни също така е агностично по отношение на формата, така че може да включва изображения, видео, аудио, цифри и думи. Дори неточната информация, свързана със субектите на данни, също още се счита за лични данни, тъй като тази информация е свързана с личността. Ако обаче информацията е свързана с измислен субект, тя не се счита за лични данни. Например, ако се отнасяте до измислен герой, пребиваващ на измислено място, това не се счита за лични данни.

За кого се прилага GDPR?

GDPR засяга всяка организация, която предлага стоки и услуги на хора в ЕС, като това включва и субекти, които не са разположени в ЕС. Ако управлявате бизнес онлайн, никога не можете да знаете със сигурност дали хората, с които извършвате сделки, се намират в ЕС. Поради тази причина всички онлайн предприятия трябва да са в съответствие с GDPR като най-малкото защитна мярка.

Личните данни се разпределят в две категории – на тези, които контролират данните, и на тези, които ги обработват.

Администратори на данни

GDPR определя администратора на данни като всяко физическо лице, публичен орган, агенция или друг орган, който определя целта и средствата за обработване на лични данни. Администраторите решават как да обработват личните данни. 

Пример: Музикално училище използва цифров екран, за да уведомява родителите в чакалнята кога всеки учител е готов. Екранът показва името на всяко дете и номера на стаята, в която се провежда неговият урок по музика. Музикалното училище е класифицирано като “администратор” на лични данни, тъй като то решава как системата за уведомяване да обработва всички данни.

Обработващи данни

В ОРЗД се определя всяко физическо лице, публичен орган, агенция или друг орган, който обработва лични данни от името на администратор. Тъй като обработващите лични данни изпълняват правилата за обработване на данни, определени от администратора, те не вземат решения за това как се обработват личните данни.

Пример: Софтуерна компания наема маркетолог за предстояща имейл кампания. Маркетинговият специалист получава имената и имейл адресите на всички потенциални клиенти, за да може на всеки от тях да бъде изпратен персонализиран имейл.Софтуерната компания се класифицира като администратор на лични данни, тъй като тя определя как да бъдат обработвани данните. Маркетологът е класифициран като “обработващ лични данни”, тъй като изпълнява инструкциите на софтуерната компания за обработка на данните. Въпреки че обработващите (маркетологът) само изпълняват инструкциите на администратора (софтуерната компания), от тях все пак се очаква да бъдат в съответствие с GDPR заедно с процесите, тъй като обработват лични данни.

10 стъпки за съответствие с GDPR

Идеята на този списък е да помогне на предприятията да оценят текущото си състояние на съответствие с GDPR, както и да реформират лошите практики за обработка на данни, за да станат по-съвместими.

1. Запознайте се с всички данни, които събирате

Ако не знаете как личните данни преминават през вътрешните ви системи, значи не знаете и как се контролират. Поради тази причина, всеки бизнес трябва да анализира данните, които събира за всички физически субекти. Обръщаме внимание, че тук не става въпрос само за клиенти, а включително за служители, партньори, доставчици, инвеститори и други подобни физически лица. Когато анализирате данните, които събирате, не е нужно да разглеждате конкретната лична информация (Пример: конкретно име, конкретно ЕГН или конкретен имейл). Вместо това е нужно да определите каква категория информация събирате ( Пример: лични имена, ЕГН-та, имейли, адреси, телефони и други). Различните категории лични данни изискват различни процеси и нива на сигурност. Някои категории чувсвтителни лични данни, като медицинска информация, финансови данни, политически предубеждения и подобни, изискват по-високи стандарти за сигурност.

2. Назначаване на длъжностно лице по защита на данните (ДЛЗД)

В член 37 от GDPR се посочва, че както администраторите, така и обработващите лични данни трябва да назначат длъжностно лице по защита на данните (ДЛЗД), което да наблюдава процесите за защита на данните. Обърнете внимание, че дори от обработващите се очаква да имат такова лица, въпреки че те просто следват инструкциите за обработка на данни, зададени от конкретния администратор.

Според ОРЗД, не всяка организацията трябва да назначи ДЛЗД. Тази позиция е задължителна само, ако е изпълнено някое от следните условия:

  • Ако данните се обработват от публичен орган

  • Ако събраните данни се подлагат на систематично наблюдение

  • Ако събраните данни се обработват в голям мащаб

За съжаление GDPR не определя колко голям е “големият мащаб”. Поради тази неяснота много организации предпочитат да назначат ДЛЗД само за да се подсигурят.

Много малки и средни бизнеси срещат редица трудности в тази област. Като алтернатива на назначаване на ДЛЗД, пазара предлага иновативни софтуерни решения автоматично контролират процесите по обработване на лични данни, както и създават нужните документи и декларации. Ако искате да разгледате или опитате безплатно подобно решение, можете да научите от тук: https://legal-tech.bg/gdpr

3. Създаване на GDPR регистри

GDPR регистрите са изчерпателени записи на това как организацията ви практикува спазването на GDPR. Те трябва да бъде създадени след идентифициране на всички ваши източници на данни (точка 1 в този списък).

Регистрите по GDPR трябва да картографират потока от данни през вашата организация, като колкото повече подробности могат да бъдат включени, толкова по-добре. В случай на оди, един регистър по GDPR ще послужи като доказателство за съответствие.Ако организацията ви претърпи нарушение на сигурността на данните в процеса на въвеждане на рамка за съответствие, регистрите по GDPR могат да се използват като доказателство за напредъка към подобряване на сигурността на данните.

4. Преценете изискванията си за събиране на данни

За да сте в съответствие с GDPR, трябва да събирате само данни, които са ви абсолютно необходими. Натрупването на чувствителни данни без убедителна причина ще бъде сигнал за потенциално нарушение за надзорния орган, който следи за вашето съответствие. Всички изисквания за събиране на данни трябва да бъдат внимателно разгледани чрез оценка на въздействието върху неприкосновеността на личния живот и оценка на въздействието върху защитата на данните. Тези оценки на въздействието са задължителни, когато събраните данни са с висока степен на чувствителност.

Класификацията на “чувствителността” понякога е субективна. За да се избегне объркване, тук са посочени някои случаи, които биха изисквали попълването на DPIA.

  • Когато вашата организация използва нова технология

  • Ако проследявате местоположението на физически лица

  • Ако проследявате поведението на физически лица

  • Ако данните ви са свързани с деца

  • Ако използвате данни за автоматизирани решения, които могат да имат правни последици

  • Ако наблюдавате публично достъпни зони

  • Ако обработвате лични данни, като например:

    • Религиозни възгледи

    • Етнически произход и идентичност

    • Политически мнения

    • Членство

    • Генетични данни

    • Биометрични данни

    • Философски убеждения

    • Здравни досиета

    • Сексуална ориентация

    • Образец на оценката на въздействието върху защитата на данните (DPIA)

5. Незабавно докладване на нарушения на сигурността на данните

Незабавното уведомяване за нарушения на сигурността на данните е задължително изискване на GDPR. Съгласно член 33 от ОРЗД както администраторите, така и обработващите лични данни трябва да докладват за нарушения на сигурността на данните в рамките на 72 часа. Обработващите трябва да докладват за нарушения на сигурността на данните на администраторите, а администраторите – на надзорния орган.

Надзорните органи обикновено се намират в държавата от ЕС, в която е базирана дадена организация. ОРЗД дава право на органите за защита на данните да налагат глоби за неспазване на изискванията както на администраторите, така и на обработващите лични данни.

6. Прозрачност относно мотивите за събиране на данни

Клиентите ви трябва да са наясно с всички данни, които събирате за тях. Тайното събиране на данни ще доведе само до голяма глоба за неспазване на изискванията. Съгласието за събиране на данни трябва да бъде ясно изразено още преди да сте започнали да събирате каквато и да е била инвормация. Ето някои често срещани места, на които се показват уведомления за събиране на данни:

Формуляри на уебсайта

Във формулярите на уебсайтовете трябва ясно да се посочва как ще се използват всички събрани данни. Избягвайте сложни формулировки или използване на жаргон, съобщенията ви трябва да са ясни и кратки.

Предварително отбелязани полета за съгласие не са разрешени. Лицата трябва винаги да са наясно, че дават съгласието си за събиране на данни.

Уведомления за събиране на бисквитки

GDPR класифицира бисквитките, които идентифицират потребителите, като събиращи лични данни, в резултат на което те трябва да бъдат регулирани. Организациите все още могат да използват данни от бисквитки, при условие че отговарят на следните изисквания на GDPR:

  • Потребителите трябва да дадат ясно съгласие за използването на “бисквитки” ПРЕДИ да бъдат използвани такива.

  • Организациите трябва ясно да посочат как ще се използват данните от бисквитките.

  • Всички съгласия на потребителите трябва да бъдат документирани и съхранявани.

  • Достъпът до уебсайта не трябва да бъде възпрепятстван, ако не е предоставено съгласие за използване на бисквитки.

  • Потребителите трябва да имат възможност безпроблемно да оттеглят съгласието си за използване на бисквитки.

7. Проверете възрастта на всички потребители, които дават съгласието си за обработка на данни

ОРЗД разрешава обработването на лични данни само за лица на възраст най-малко 16 години. За да се събират законно лични данни от лица под тази възраст, съгласието трябва да бъде дадено от носителя на родителска отговорност за детето. Ако има вероятност граждани на ЕС под 16-годишна възраст да участват във вашия уебсайт, трябва да включите процес за проверка на възрастта, за да удостоверите възрастта на потребителите, преди да събирате каквито и да било данни.

8. Отделен чекбокс за имейли и новини

За да сте сигурни, че всички ваши абонати са дали съгласието си да се регистрират в списъка ви с имейли, трябва да добавите отделен чекбокс за това. В GDPR не се посочва изрично, че процесът на двойно съгласие е задължителен, но е силно препоръчителен. Като прилагате двойно съгласие за всички нови регистрации на имейли, вие допълнително проверявате дали потребителите са съгласни да се откажат от своите данни, което показва вашата отдаденост на стандартите за защита на данните, определени от GDPR.

9. Актуализирайте своята политика за поверителност

Вашата Политика за поверителност трябва да бъде лесно достъпна на уебсайта ви и винаги актуална. При всяка актуализация всички ваши клиенти трябва да бъдат уведомявани за промените с имейл. Политиката за поверителност трябва ясно да описва всички данни, които се събират, и как ще бъдат използвани.

10. Редовен анализ, оценка и актуализация на GDPR

GDPR очаква от организациите непрекъснато да са наясно с всички рискове за сигурността и да са предприели мерки за отстраняване на всеки от тях. За да изпълнят ефективно тези изисквания, организациите или трябва да назначат служител, който периодично да извършва тези действия, или в по-добрия случай да внедрят софтуерно решение, което да поеме тези процеси.

Legal Tech GDPR е първия в България софтуер за съответствие с GDPR. Платформата е специално разработена за малки и средни бизнеси, които искат да спазват новите изисквания, но нямат нужните ресурси или познания в областта.

Legal Tech GDPR помага на компаниите да останат в съответствие с GDPR

Legal Tech GDPR помага на предприятията да поддържат съответствие с GDPR, като автоматично идентифицира и отстранява конкретни уязвимости в сигурността, които оказват влияние върху регламента.

Legal Tech GDPR също така дава възможност на предприятията да проследяват съответствието на трети страни с популярни регулации, като съпоставят отговорите на оценката на риска с мерките за контрол на сигурността.

 

Бързо и лесно съответствие с GDPR

Най-доброто решение за създаване и управляване на GDPR документи и процеси

Поискай оферта Безплатна консултация