GDPR – услуги по съответствие с Регламент за защита на личните данни

От 25.05.2018 г. GDPR (Общ регламент за защита на личните данни) стана задължителен за всички фирми и администратори на лични данни. Регламент (ЕС) 2016/679 е приет през май 2016 година, като въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни.

Внедряване на GDPR

Success Solutions предлага консултантски услуги относно внедряване на GDPR (Регламент (ЕС) 2016/679 за защита на личните данни) в партньорство с водеща адвокатска кантора.

Разработили сме онлайн въпросник който е разделен на правен и ит одит. Въпросникът се попълва в присъствието на наш консултант, който Ви помага да отговорите коректно на зададените въпроси. Предоставената информация става приложение към сключеният договор за предоставяне на консултантски услуги по прилагане на регламент за защита на личните данни. Тези одити служат за това да определим какви лични данни обработвате, на какво основание, за какъв период, кой има достъп до тези данни и т.н.

На базата на предоставената информация извършваме GAP анализ. В него се описват бизнес процесите и информационните Ви потоци.

На базата на изготвения GAP анализ изготвяме всички необходими регистри, мерки, политики, образци и процедури, които Вашата фирма / организация да спазва и прилага. Предоставяме Ви политика по информационна сигурност, cookies policy, privacy policy, привеждаме в съответсвие с изискванията на GDPR Вашия фирмен сайт или онлайн магазин и т.н.

Основни понятия:

Администратор на лични данни – ФЛ, ЮЛ, организации които имат право да обработват лични данни
Обработващ лични данни – ЛД се обработват от името на Администратора (външни услуги – счетоводни къщи, изнесени call центрове / необходим е запис на прозвъняванията / и др. ). Трябва да се регламентират задълженията и отговорностите между Администратора и Обработващият лични данни.
Съвместна обработка (споделена отговорност)
Надзорен орган
Трансфер на данни
Длъжностно лице по защита на ЛД – ФЛ/ЮЛ подчинено директно на висшия мениджмънт, външно или вътрешно за дружеството. Обработка на ЛД за над 10000 лица. Консултативни функции в областта на защита на личните данни и надзор. Обучения на служителите. Познания в областта на законодателството и практиката на защитата на личните данни както на национално, така и на европейски ниво. Да информира и съветва администратора. Оценка въздействието върху защитата на данните и да наблюдава извършването на съответната оценка. Извършване на регулярна оценка на въздействието на всеки 2 години
Валидно съгласие – информирано – ясно и недвусмислено, свободно и конкретно + възможност за оттегляне
Уведомяване на КЗЛД при пробиви в сигурността
Технически и организационни мерки
Съгласие на физическите лица
Регистри с лични данни

Към кого се прилага регламента?

Спрямо данните на физически лица. Не се прилага към данните юридически лица.

Какво са лични данни?

Данни чрез които може да се идентифицира физическо лице – име,фамилия, пол, възраст, днк, кръвна група и т.н.

Чл. 2 от ЗЗЛД	GDPR
„Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.“	„Всяка информация, свързана с идентифицирано физическо лице или физическо лице което може да бъде идентифицирано (субект на данни)“

Примери за лични данни:

Име:

Отдел:

ЕГН:

Моб. Телефон:

Оценка за работата на служителя

IP адрес:

e-mail адрес:

GPS координати:

Снимка / лицево разпознаване

Онлайн идентификатор – cookies

Данни за здравето, сексуалната ориентация, членство в политически партии и синдикати, биометрични данни, религиозна принадлежност и др.

Кога е необходимо да се наеме длъжностно лице за защита на личните данни?

При над 250 служители или 10000 клиента

Кога можем да събираме лични данни?

Трябва да имаме съгласие на ф.л. за обработка на лични данни. Трябва да имаме валидно правно основание за събиране и съгласие за обработка на лични данни

Договор на служител в рамките на трудово взаимотношение:

Нямаме право да изискваме и съхранявяне на копие на лична карта. Могат само да се събират само лични данни необходими за изготвяне на трудов договор. Срок за запазване данните – приет е 5 години, за трудови ведомости – 50 години.

Регистри с лични данни:

Регистри рецепция, видеонаблюдение, кандидати за работа и т.н. които да бъдат описани във вътрешни правила за обработка на лични данни

Обработване на лични данни:

Събиране
Коригиране
Съхранение
Изтриване
Предаване
Трансфериране
Унищожаване

Отношения между Администратор на лични данни и обработващ лични данни

Бизнес рискове и превенция

Проверки от регулаторни органи – КЗЛД – глоби
Регулярен правен и технически одит
Разпределение на задълженията – определяне на екип (ЧР, IT, правен)
Осведоменост, обучения, оценка на риска

Вътрешни правила:

Регистри на Администратора
Том за защита на личните данни в дружеството
Определяне на целите за които се обработват лични данни
Срокове
Процеси
Участници, отговорни служители

При злоупотреба, например с искане на информация от видеонаблюдение, може да се предвиди административна такса по преценка на Администратора.

Видове проверки:

Текущи – по сигнал или инициатива на КЗЛД (кампанийно)
Последващи

Права на комисията:

По време на проверката – достъп до хартиени досиета, компютри и системи
След проверката – предписания, санкции и забрана за обработване на лични данни за определено време

Рискове за бизнеса:

- Финансови загуби
- Репутационен риск
- Наказателна отговорност
- Гражданска отговорност

Съдебни действия

Трансфер на лични данни:

В ЕС/ЕИП
В ТРЕТИ СТРАНИ
В САЩ

Препоръки:

Проверка на статуса на компанията в КЗЛД
Определяне на отговорен екип
Обучение на персонала
Съгласие на лицата
Достъп до личните данни
Длъжностно лице по защита на личните данни
Privacy by design
Псевдонимизация на данни
Регистър на нарушенията в сигурността