Дейности по защита на личните данни

gdpr.jpg

1. GDPR - новият Общ регламент на Европейския съюз за защитата на данните (ОРЗД) от 27 април 2016 година

Регулира обработването, съхранението и използването на лични данни на физически лица от други лица, дружества или организации.

Новият регламент влиза в сила на 25 май 2018 година.

Всеки, които обработва лични данни, е задължен да спазва всички установени от закона правила.

При неизпълнение глобите могат да достигнат до 20 милиона евро или 4% от годишния оборот на дружеството за предходната година (плаща се по-високата от двете суми).

2. За кого се отнася новият Общ регламент за защита на данните?

Новият Общ регламент за защита на данните се отнася за всяко дружество/организация, регистрирана на територията на Европейския съюз, която обработва лични данни, независимо от това къде точно се обработват събраните данни и независимо дали това е основна дейност на компанията или е част от дейностите на някой от клонове й.

3. Какво са лични данни?

Под лични данни се разбира всякакъв вид информация, свързана с живо физическо лице, което е идентифицирано или може да бъде идентифицирано. Например: име, фамилия, адрес, ЕГН, имейл, номер на лична карта, местоположение, IP адрес, бисквитки и др.

4. Какви дейности включва обработването на лични данни?

Обработването на лични данни обхваща много видове процеси и дейности като например събиране, съхраняване, променяне, разпространяване и др.

5. Какви са правата на физическите лица според ОРЗД?

Общият регламент за защита на данните дава на физическите лица, чиито данни се събират и обработват, следните права:

  • Право на пълна информираност и прозрачност за начините, по които фирмите обработват личните им данни;
  • Право на постоянен достъп до личните им данни, които биват обработвани;
  • Право на коригиране на личните данни, ако те са неточни или непълни;
  • Право на изтриване на личните данни, още познато като "правото да бъдеш забравен";
  • Право на ограничаване на обработването на личните данни;
  • Право на преносимост на личните данни. Това ще рече пълното право на физическото лице във всеки един момент да използва личните си данни за собствени цели, както и да ги споделя с други администратори на лични данни;
  • Право на възражение срещу обработването и употребата на личните данни във всеки един момент, в който физическите лица сметнат за необходимо. Това важи и за случаите, когато компания използва лични данни за маркетингови цели, проучвания и др.
  • Право да не бъдат обект на решение, което произлиза от автоматизирано обработване на лични данни или профилиране. По този начин физическите лица биват предпазени от евентуални последствия и отговорности, произхождащи от решения, направени без човешка намеса.

6. Какви са задълженията ми като фирма/организация/администратор на лични данни според GDPR (ОРЗД)?

Новият Общ регламент за защита на личните данни въвежда изцяло нови правила и задължения за всички, които обработват и съхраняват лични данни на физически лица. Ето и някои основни и какво засягат те:

  • Първоначален GAP анализ. Анализ, който има за цел да определи до каква степен въпросната фирма/организация (която се явява асминистратор на лични данни) покрива изискванията на GDPR. Анализът може да се извърши вътрешно във фирмата или външно със съдействието на консултантска фирма.
  • Обработване и отчетност. Всички лични данни трябва да бъдат обработени спрямо принципите, установени в Общия регламент, като това трябва да може да бъде доказано във всеки един момент.
  • Защита. Личните данни на физическите лица трябва да бъдат защитени във всеки един етап от тяхното обработване и употреба.
  • Длъжностно лице по защита на личните данни (Data Protection Officer или DPO). Всяка фирма/организация трябва да назначи служител по защита на личните данни в случаите, когато:
    • основната й дейност е обвързана с обработката на лични данни в голям мащаб или с редовното и мащабно наблюдение на физически лица. В това число влиза проследяването и профилирането на физически лица в интернет пространството (дори и за цел реклама). Тук се причисляват банки и финансови инстистуции, телекомуникационни иператори, доставчици на GPS услуги, видео наблюдение (CCTV услуги), поведенчески реклами;
    • ако администраторът има повече от 250 назначени служители;
    • ако администраторът обработва повече от 10 000 физически лица;
    • ако администраторът обработва специални или т.нар. „чувствителни“ лични данни в голям мащаб - такива са всички болници, здравни учреждения, пенсионно-осигурителни и застрахователни дружества;
    • когато става дума за публични органи или структури с изключение на съдилищата при изпълнение на съдебните им функции.
  • Въпросното длъжностно лице по защита на личните данни трябва да е минало съответното обучение, а организацията сама преценява до колко то отговаря на новите изисквания. Препоръчително е то да има добри познания в сферата, в която работи, както и спрямо практики за защитата на лични данни.
  • Това задължение може да се „аутсорсне“ и да се назначи външно DPO.
  • Уведомяване. Администраторът на лични данни се задължава да уведоми надзорния орган по защита на личните данни при всяко установено нарушаване на сигурността на личните данни.
  • Оценка на въздействието . Трябва да бъде извършена оценка на въздействието върху защитата на личните данни и потребителите - прави се веднъж на две години.
  • Оценка на риска. Прави се оценка, която да покаже евентуални какъв е рискът за евентуална загуба на лични данни или пробив в защитата на организацията и се изчисляват потенциалните поражения.
  • Консултиране. Ако въпросните оценки, споменати по-горе, покажат голям риск и администраторът на лични данни не предприеме необходимите действия за неговото намаляване, той се задължава да се консултира с надзорния орган по защита на личните данни преди да започне да обработва личните данни.
  • Сигурност. Сигурността на личните данни трябва да бъде осигурена и при необходимост да бъдат приложени съответните технически и организационни мерки. За тази цел всяка фирма трябва да е има обновени вътрешни правила и политики съвместими с GDPR.
  • Отчетност. Всяка фирма трябва да води стриктна отчетност (или регистър) и да документира изброените задължения по-горе. Тази отчетност е задължение на длъжностното лице по защита на личните данни (DPO). Също така в процеса на работа с уеб сайт на фирмата трябва да се пазят специализирани журнални записи (т.нар. „логове“ или "лог-файлове") за действията на потребителите, споделили своите лични данни в сайта.

За повече информация може да се свържете с нас:

Адрес:

ЦЕНТРАЛЕН ОФИС: 4000 гр. Пловдив, ул. Иван Вазов 40

Ръководител: Д-р Недко Тодоров Събев

Тел.: 032 517741

Моб.: 0899233595

И-мейл: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите.

Рег. №645 на Министерството на здравеопазването

НАДЯВАМЕ СЕ ДА НИ СЕ ДОВЕРИТЕ ОТНОВО!