1. GDPR - новият Общ регламент на Европейския съюз за защитата на данните (ОРЗД) от 27 април 2016 година
Регулира обработването, съхранението и използването на лични данни на физически лица от други лица, дружества или организации.
Новият регламент влиза в сила на 25 май 2018 година.
Всеки, които обработва лични данни, е задължен да спазва всички установени от закона правила.
При неизпълнение глобите могат да достигнат до 20 милиона евро или 4% от годишния оборот на дружеството за предходната година (плаща се по-високата от двете суми).
2. За кого се отнася новият Общ регламент за защита на данните?
Новият Общ регламент за защита на данните се отнася за всяко дружество/организация, регистрирана на територията на Европейския съюз, която обработва лични данни, независимо от това къде точно се обработват събраните данни и независимо дали това е основна дейност на компанията или е част от дейностите на някой от клонове й.
3. Какво са лични данни?
Под лични данни се разбира всякакъв вид информация, свързана с живо физическо лице, което е идентифицирано или може да бъде идентифицирано. Например: име, фамилия, адрес, ЕГН, имейл, номер на лична карта, местоположение, IP адрес, бисквитки и др.
4. Какви дейности включва обработването на лични данни?
Обработването на лични данни обхваща много видове процеси и дейности като например събиране, съхраняване, променяне, разпространяване и др.
5. Какви са правата на физическите лица според ОРЗД?
Общият регламент за защита на данните дава на физическите лица, чиито данни се събират и обработват, следните права:
- Право на пълна информираност и прозрачност за начините, по които фирмите обработват личните им данни;
- Право на постоянен достъп до личните им данни, които биват обработвани;
- Право на коригиране на личните данни, ако те са неточни или непълни;
- Право на изтриване на личните данни, още познато като "правото да бъдеш забравен";
- Право на ограничаване на обработването на личните данни;
- Право на преносимост на личните данни. Това ще рече пълното право на физическото лице във всеки един момент да използва личните си данни за собствени цели, както и да ги споделя с други администратори на лични данни;
- Право на възражение срещу обработването и употребата на личните данни във всеки един момент, в който физическите лица сметнат за необходимо. Това важи и за случаите, когато компания използва лични данни за маркетингови цели, проучвания и др.
- Право да не бъдат обект на решение, което произлиза от автоматизирано обработване на лични данни или профилиране. По този начин физическите лица биват предпазени от евентуални последствия и отговорности, произхождащи от решения, направени без човешка намеса.
6. Какви са задълженията ми като фирма/организация/администратор на лични данни според GDPR (ОРЗД)?
Новият Общ регламент за защита на личните данни въвежда изцяло нови правила и задължения за всички, които обработват и съхраняват лични данни на физически лица. Ето и някои основни и какво засягат те:
- Първоначален GAP анализ. Анализ, който има за цел да определи до каква степен въпросната фирма/организация (която се явява асминистратор на лични данни) покрива изискванията на GDPR. Анализът може да се извърши вътрешно във фирмата или външно със съдействието на консултантска фирма.
- Обработване и отчетност. Всички лични данни трябва да бъдат обработени спрямо принципите, установени в Общия регламент, като това трябва да може да бъде доказано във всеки един момент.
- Защита. Личните данни на физическите лица трябва да бъдат защитени във всеки един етап от тяхното обработване и употреба.
-
Длъжностно лице по защита на личните данни (Data Protection Officer или DPO).
Всяка фирма/организация трябва да назначи служител по защита на личните данни в случаите, когато:
- основната й дейност е обвързана с обработката на лични данни в голям мащаб или с редовното и мащабно наблюдение на физически лица. В това число влиза проследяването и профилирането на физически лица в интернет пространството (дори и за цел реклама). Тук се причисляват банки и финансови инстистуции, телекомуникационни иператори, доставчици на GPS услуги, видео наблюдение (CCTV услуги), поведенчески реклами;
- ако администраторът има повече от 250 назначени служители;
- ако администраторът обработва повече от 10 000 физически лица;
- ако администраторът обработва специални или т.нар. „чувствителни“ лични данни в голям мащаб - такива са всички болници, здравни учреждения, пенсионно-осигурителни и застрахователни дружества;
- когато става дума за публични органи или структури с изключение на съдилищата при изпълнение на съдебните им функции.
- Въпросното длъжностно лице по защита на личните данни трябва да е минало съответното обучение, а организацията сама преценява до колко то отговаря на новите изисквания. Препоръчително е то да има добри познания в сферата, в която работи, както и спрямо практики за защитата на лични данни.
- Това задължение може да се „аутсорсне“ и да се назначи външно DPO.
- Уведомяване. Администраторът на лични данни се задължава да уведоми надзорния орган по защита на личните данни при всяко установено нарушаване на сигурността на личните данни.
- Оценка на въздействието . Трябва да бъде извършена оценка на въздействието върху защитата на личните данни и потребителите - прави се веднъж на две години.
- Оценка на риска. Прави се оценка, която да покаже евентуални какъв е рискът за евентуална загуба на лични данни или пробив в защитата на организацията и се изчисляват потенциалните поражения.
- Консултиране. Ако въпросните оценки, споменати по-горе, покажат голям риск и администраторът на лични данни не предприеме необходимите действия за неговото намаляване, той се задължава да се консултира с надзорния орган по защита на личните данни преди да започне да обработва личните данни.
- Сигурност. Сигурността на личните данни трябва да бъде осигурена и при необходимост да бъдат приложени съответните технически и организационни мерки. За тази цел всяка фирма трябва да е има обновени вътрешни правила и политики съвместими с GDPR.
- Отчетност. Всяка фирма трябва да води стриктна отчетност (или регистър) и да документира изброените задължения по-горе. Тази отчетност е задължение на длъжностното лице по защита на личните данни (DPO). Също така в процеса на работа с уеб сайт на фирмата трябва да се пазят специализирани журнални записи (т.нар. „логове“ или "лог-файлове") за действията на потребителите, споделили своите лични данни в сайта.
За повече информация може да се свържете с нас:
Адрес:
ЦЕНТРАЛЕН ОФИС: 4000 гр. Пловдив, ул. Иван Вазов 40
Ръководител: Д-р Недко Тодоров Събев
Тел.: 032 517741
Моб.: 0899233595, 0898492586
И-мейл: Този имейл адрес е защитен от спам ботове. Трябва да имате пусната JavaScript поддръжка, за да го видите.
Рег. №645 на Министерството на здравеопазването