С оставането в уеб сайта www.gdpr-steps.bg Вие се съгласявате със съобщението за поверителност

Какво е GDPR?

GDPR (General Data Protection Regulation)

Какво е GDPR?

GDPR е общият регламент за защита на личните данни (Регламент 2016/679 на Европейския парламент и Съвета). Регламентът чувствително увеличава правата на европейските граждани и съответно възлага повече задължения на организациите, които събират и обработват лични данни. Той влиза в сила на 25.05.2018г и ще се прилага във всички държави членки на Европейския съюз.



Какво са “лични данни”?

Всяка информация, която се отнася до физическо лице и го идентифицира директно или индиректно. Такава информация в отделни ситуации може да бъде име на физическото лице, идентификационен номер (ЕГН, ЛНЧ, AFM, данъчен номер и други), адрес, Е-поща, телефонен номер, GPS данни, онлайн идентификатор, физиологична, генетична, психична, икономическа, културна или обществена принадлежност или друга информация, чрез която може да бъде идентифицирано физическо лице.



Териториален обхват

Регламентът се прилага в България, в целия Европейски съюз, както и извън него, когато се засягат права на граждани на ЕС.



Кой ще следи за спазването на Регламента?

Контролът върху защитата на личните данни ще се извършва от Комисията за защита на личните данни. Очаква се Комисията да бъде все по-активна в дейността си. Освен Комисията има и органи на европейско ниво.



Какво ще стане, ако не спазвам Регламента?

Регламентът започва да се прилага в България от 25 май 2018 г. и всеки ще бъде длъжен да отговаря на неговите изисквания. Глобите, предвидени в Регламента са огромни – 20 млн. евро или 4 % от годишния оборот на твоята компания. Неспазването на изискванията на Регламента могат да доведат до огромни загуби за бизнеса ти



Прозрачни политики

-ясна информация за събирането на лични данни

-уточняване на целите за обработка на лични данни

-дефиниране на правилата за запазване и изтриване на лични данни



Контрол и известяване

-обучения на служители, които обработват лични данни

-одит и актуализиране на политиките за лични данни

-назначаване на DPO – служител по защита на данните (ако е необходимо)

-сключване и управление на договори с доставчици в съответствие с GDPR



Какво са личните данни?

Лични данни са данните, чрез които едно лице може да бъде идентифицирано, като име, пол, възраст, ЕГН, имейл, снимка, банкови данни, IP адрес и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.



Чувствителните лични данни

Има определени категории лични данни, които се ползват с по-високо ниво на защита. Такива са данните за здравето, биометрични данни, данни отнасящи се до расов или етнически произход, политически възгледи и др. Обработването и съхранението на посочените категории лични данни е забранено, но забраната може да се преодолее чрез получаване на изрично съгласие от субекта на данните.



Лицата имат право

-на достъп до личните си данни

-да поправят грешки в личните си данни

-да изтриват личните си данни

-научат за предмета на обработка на личните им данни

-да изтеглят личните си данни



Законосъобразно, добросъвестно и прозрачно обработване

Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.



Събиране само за определени цели

Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.



Свеждане на данните до минимум

Не могат да се обработват данни “просто така”, необходимо е обработката на данните да отговаря на целите на обработката.



Точност и поддържане в актуален вид

Личните данни трябва да са точни и да бъдат поддържани в актуален вид.



Ограничение на съхранението

Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработва



Цялостност и поверителност

Обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни.



Достъп до данните

Субектите на данните (потребителите) трябва да имат постоянен достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.



Изтриване на данните

Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.



Профилиране

Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.



Използване на разбираем език

Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.



Съгласие за обработване на личните данни

Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение.
ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.



Предоставяне на данните на 3-ти лица

Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.



За да спазиш всички изисквания от правна страна

Обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.



За да спазиш всички изисквания от техническа страна

Трябва да подготвиш фактическото спазване на предвиденото в изготвените правни документи. Това например може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.



За да обработваш правомерно личните данни, е необходимо:

-да изградиш стройна и ясна система за обработка на личните данни

-да приемеш вътрешните актове във фирмата, които регламентират обработката и съхранението на данните

-периодично да ревизираш въведената система

-да познаваш развитието на технологията и подходящите нива на защита на личните данни



Длъжностно лице по личните данни или Data Protection Officer (DPO)

Това е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала.

Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.

Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.