кои организации трябва да спазват GDPR?

Ако една организация обработва лични данни, то тя е задължена да спазва Европейския регламент. Примери за подобни дейности са събиране на данни за потенциални и същестуващи клиенти, партньори или дистрибутори, служители или дори кандидати за работа. Този списък не е изчерпателен и обхваща всяка друга дейност, която изисква събирането на информация от физически лица. Ако такава е на лица, то фирмата трябва да бъде в съответстие с GDPR и да изгради вътрешна система, която да управлява нейните документи, регистри и процеси.

какво са лични данни?

Дефиницията на лични данни е много широка и означава всяка информация, свързана с идентифицируемо физическо лице. 

Примерите за лични данни включват:

• собствено име и фамилия;

• домашен адрес;

• имейл адрес, като например име.фамилия@дружество.com;

• номер на картата за самоличност;

• данни за местоположение (напр. функцията за данни за местоположение на мобилен телефон)*;

• адрес на интернет протокол (IP);

• идентификационен номер на „бисквитка“;

• рекламния идентификатор на вашия телефон;

• данни, съхранявани от болница или лекар, които биха могли да бъдат символ, който уникално идентифицира дадено лице.

Ако събирате подобна информация, трябва задължително да отговаряте на всички изисквания и да водите подробна документация как, къде и защо се съхранява и обработва тя. 

Правила за спазване

• ОРЗД има за цел да създаде бизнес възможности и да стимулира иновациите чрез редица стъпки, включващи:

• единен набор от общи за ЕС правила — прогнозира се, че единно, общо за ЕС законодателство за защита на данните би довело до спестяване на 2,3 млрд. EUR на година;

• длъжностно лице за защита на данните, което отговаря за защитата на данните, ще бъде определено от публичните органи и предприятията, които обработват данни в големи мащаби;

• обслужване на едно гише — предприятията ще контактуват само с един-единствен надзорен орган (в държавата от ЕС, в която те са установени основно);

• правила на ЕС за дружества извън ЕС — дружествата, които са установени извън ЕС, трябва да прилагат едни и същи правила, когато предлагат услуги или стоки, или мониторинг на поведението на лица в рамките на ЕС;

• правила за насърчаване на иновациите — гаранция, че предпазните мерки за защита на данните се вграждат в продукти и услуги от най-ранния етап на разработването им (защита на данните на етапа на проектирането и по подразбиране);

• техники за насърчаване на поверителността, като например псевдонимизация (когато идентифициращи полета в рамките на даден запис на данни се заменят с един или няколко изкуствени идентификатора) и криптиране (когато данните се кодират по такъв начин, че само упълномощени субекти могат да ги четат);

• премахване на уведомленията — новите правила за защита на данните ще отхвърлят повечето задължения за уведомления и разходите, свързани с тях. Една от целите на регламента за защита на данните е да се премахнат пречките пред свободното движение на лични данни в рамките на ЕС. Това ще улесни разширяването на предприятията;

• оценки на въздействието — предприятията ще трябва да извършват оценки на въздействието, когато обработването на данни може да доведе до висок риск за правата и свободите на индивидите;

• водене на отчетност — от МСП не се изисква да водят отчет на дейностите за обработване, освен ако обработването не е редовно или няма вероятност да доведе до риск за правата и свободите на лицето, чиито данни се обработват.