GDPR – технологично внедряване

  • Home
  • /
  • GDPR – технологично внедряване

От 25.05.2018 г. GDPR (Общ регламент за защита на личните данни) става задължителен за всички фирми и администратори на лични данни. Регламент (ЕС) 2016/679 е приет през май 2016 година като въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни.

Основни понятия:

  • Администратор на лични данни – ФЛ, ЮЛ, организации които имат право да обработват лични данни
  • Обработващ лични данни – ЛД се обработват от името на Администратора (външни услуги – счетоводни къщи, изнесени call центрове / необходим е запис на прозвъняванията / и др. ). Трябва да се регламентират задълженията и отговорностите между Администратора и Обработващият лични данни.
  • Съвместна обработка (споделена отговорност)
  • Надзорен орган
  • Трансфер на данни
  • Длъжностно лице по защита на ЛД – ФЛ/ЮЛ подчинено директно на висшия мениджмънт, външно или вътрешно за дружеството. Обработка на ЛД за над 10000 лица. Консултативни функции в областта на защита на личните данни и надзор. Обучения на служителите. Познания в областта на законодателството и практиката на защитата на личните данни както на национално, така и на европейски ниво. Да информира и съветва администратора. Оценка въздействието върху защитата на данните и да наблюдава извършването на съответната оценка. Извършване на регулярна оценка на въздействието на всеки 2 години
  • Валидно съгласие – информирано – ясно и недвусмислено, свободно и конкретно + възможност за оттегляне
  • Уведомяване на КЗЛД при пробиви в сигурността
  • Технически и организационни мерки
  • Съгласие на физическите лица
  • Регистри с лични данни

Към кого се прилага регламента?

  • Спрямо данните на физически лица. Не се прилага към данните юридически лица.

Какво са лични данни?

  • Данни чрез които може да се идентифицира физическо лице – име,фамилия, пол, възраст, днк, кръвна група и т.н.
Чл. 2 от ЗЗЛД GDPR
„Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.“ „Всяка информация, свързана с идентифицирано физическо лице или физическо лице което може да бъде идентифицирано (субект на данни)“

 

Примери за лични данни:

Име:

Отдел:

ЕГН:

Моб. Телефон:

Оценка за работата на служителя

IP адрес:

e-mail адрес:

GPS координати:

Снимка / лицево разпознаване

Онлайн идентификатор – cookies

Данни за здравето, сексуалната ориентация, членство в политически партии и синдикати, биометрични данни, религиозна принадлежност и др.

 

 

 

Кога е необходимо да се наеме длъжностно лице за защита на личните данни?

  • При над 250 служители или 10000 клиента

Кога можем да събираме лични данни?

  • Трябва да имаме съгласие на ф.л. за обработка на лични данни. Трябва да имаме валидно правно основание за събиране и съгласие за обработка на лични данни

Договор на служител в рамките на трудово взаимотношение:

  • Нямаме право да изискваме и съхранявяне на копие на лична карта. Могат само да се събират само лични данни необходими за изготвяне на трудов договор. Срок за запазване данните – приет е 5 години, за трудови ведомости – 50 години.

Регистри с лични данни:

  • Регистри рецепция, видеонаблюдение, кандидати за работа и т.н. които да бъдат описани във вътрешни правила за обработка на лични данни

Обработване на лични данни:

  • Събиране
  • Коригиране
  • Съхранение
  • Изтриване
  • Предаване
  • Трансфериране
  • Унищожаване

Отношения между Администратор на лични данни и обработващ лични данни

Бизнес рискове и превенция

  • Проверки от регулаторни органи – КЗЛД – глоби
  • Регулярен правен и технически одит
  • Разпределение на задълженията – определяне на екип (ЧР, IT, правен)
  • Осведоменост, обучения, оценка на риска

Вътрешни правила:

  • Регистри на Администратора
  • Том за защита на личните данни в дружеството
  • Определяне на целите за които се обработват лични данни
  • Срокове
  • Процеси
  • Участници, отговорни служители

При злоупотреба, например с искане на информация от видеонаблюдение, може да се предвиди административна такса по преценка на Администратора.

Видове проверки:

  • Текущи – по сигнал или инициатива на КЗЛД (кампанийно)
  • Последващи

Права на комисията:

  • По време на проверката – достъп до хартиени досиета, компютри и системи
  • След проверката – предписания, санкции и забрана за обработване на лични данни за определено време

Рискове за бизнеса:

    • Финансови загуби
    • Репутационен риск
    • Наказателна отговорност
    • Гражданска отговорност
  • Съдебни действия

Трансфер на лични данни:

  • В ЕС/ЕИП
  • В ТРЕТИ СТРАНИ
  • В САЩ

Препоръки:

  • Проверка на статуса на компанията в КЗЛД
  • Определяне на отговорен екип
  • Обучение на персонала
  • Съгласие на лицата
  • Достъп до личните данни
  • Длъжностно лице по защита на личните данни
  • Privacy by design
  • Псевдонимизация на данни
  • Регистър на нарушенията в сигурността