Какво трябва да знаем за GDPR

На 6 март economix.bg ще провeде за втори път конференцията Бизнес тема: Новите правила за защита на данните. Събитието се организира в партньорство с БАИТ и е с участието на едни от най-добрите лектори. Програма и условия за регистрация можете да намерите тук.

Новата конференция за GDPR надгражда предишното събитие. Ние не повтаряме теми, защото като медийна компания търсим добавена стойност във всяко ново събитие. За да изравним нивото на участниците и в помощ на читателите, които няма да имат възможност да дойдат, обобщаваме основните моменти на новия регламент за защита на личните данни. Имате възможност да се запознате и с репортаж от предишната конференция за GDPR.

Какво е GDPR, защо е цялата истерия и кога ще бъде готов новият закон?

GDPR е Общ регламент относно защитата на   данните –  Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО . Това  e регламент, а не директива, което означава, че има пряко действие. Не е необходимо да се предприемат законови промени, за да влязат в сила промените, предвидени за 25 май.

По време на предишната ни конференция стана ясно, че Комисията за защита на личните данни – която е правоприлащ орган, имат готови предложения за промени в закона. Те обаче не са одобрени от правителството, нито са пускани за обществено обсъждане.

Комисията няма законодателна инициатива. Тя може да промени само наредбите си, което засега не е направила. Това е важен момент, тъй като регламентът допуска дискреция от националния орган, например, по отношение на служителите на трудов договор.

Истерията, която набира скорост от началото на годината, се дължи основно на две причини – големите глоби (до 4% от оборота) и сравнително неясните текстове. Фирмите трябва да тълкуват много от нормите, например, какъв е подходящият срок за запазване на данните и да преценят сами как да гарантират защита на данните.

Има и трета причина – GDPR ще се отрази много сериозно на конкуренцията, както защото големите фирми ще бъдат принудени да избягват малки компании, които не могат да докажат съответствие, така и заради възможността да се подават сигнали срещу конкуренти.

Кои са най-засегнати?

Лечебни заведения – Те събират най-чувстителните лични данни – за здравето на хората;
Финансови институции – Те събират данни за финансово състояние и социален статус, които представляват висок риск, това обикновено е мащабно обработване;
Застрахователни институции, особено ЖЗК – Те събират финансова и често здравна информация;
Електронни търговци – Обработката на данните за доставка и плащане е свързана със събиране на чувствителни лични данни. Освен това информацията за стоките, които даден потребител предпочита, честотата на пазаруване и т.н. дава привлекателни възможности за последваща обработка с цел профилиране, а регламентът го ограничава;
Колекторски фирми, счетоводни къщи, куриерски компании – те обработват лични данни, които са им предоставени от други компании, като досега обработващите бяха изключени от регламента;
Компании за подбор на персонал – В този случай събирането на лични данни не следва пряко от КТ и съществува известна несигурност дали може да се приложи основанието преддоговорни отношения;
Държавни организации – всички държавни ведомства, от МВР до социалните служби не са изключени от действето на регламента.

Всички тези компании трябва да имат политика за защита на личните данни, която да разясни какви лични данни се събират, по какъв начин се обработват те, на кого се предоставят, за какъв период се съхраняват личните данни.

Кои данни са лични?

Обхватът на личните данни е разширен. Досега IP адресите, например, не се третираха като лични данни. Сега се включват:
– Имена;
– ЕГН;
– Номер на лична карта;
– Адрес;
– Имейл адрес, ако е личен;
– IP адрес и кукита;
– идентификатор на смартфон;
– Медицинска информация;
– Банкови данни;
– Геолокация;
– Всички други данни, които могат да  идентифицират човек.

Особено внимание следва да се отделя на чувствителните данни: данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.

Какво трябва да имаме, за да обработваме лични данни?

Няколко са основанията за обработване на лични данни.  Това е възможно, ако е налице:

 – законово изискване.

Например, фирмите трябва да събират някои данни за служителите си на основание на Кодекса на труда, данни за клиентите си на основание ДОПК, ЗДДС и Закона за счетоводството и др.. Освен това фирмите са принудени да събират и лични данни, за да спазят изисквания на други държавни органи, но случаят на е регламентиран изрично с оглед на GDPR. Такъв пример е доказването на използването на фирмен актив за служебни цели (заради данък Уикенд), при което може да се наложи предоставяне на лична информация без изрично посочено законово основание.

договор

Проблемът тук се отнася до преддоговорните отношения  (тоест събирането на лични данни за целите на подбора на персонал, преди да се стигне до сключването на трудов договор).

– съгласие на лицето.
Съгласието е едно от силните основания за обработване на лични данни (стига да е възможно да се получи), но понякога е хлъзгаво, защото може да се оттегли. То трябва да е:
– свободно изразено – да не е дадено под натиск или заплаха от неблагоприятнипоследици (напр. по-висока цена на услуга);
– конкретно – отделно съгласие за всяка конкретно определена цел;
– информирано – дадено на основата на пълна, точна и лесно разбираемаинформация;
– недвусмислено – не се извлича или предполага въз основа на други изявления или действия на лицето;
– изрично, тоест да не е скрито в Общите условия;
– документирано;

Липсата на съгласие не следва да води до неблагоприятни последици за лицето, което е друг тънък момент, защото в редица случаи администраторът на лични данни не може да прецени услугата без съгласие.

Останалите основания са:

– защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
– изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).

Всички администратори ли ще трябва задължително да имат длъжностно лице по защита на личните данни?

Някои консултанти и организатори на семинари увеличават страховете, като твърдят, че всички трябва да назначат специални служители (DPO), да вземат мерки за анонимизация, псевдонимизация и криптиране.
Длъжностното лице е служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала
Задължението за назначаване на служител се отнася за:
– Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
– Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни (например, видеонаблюдение);
– Администратори, чиито основни   дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения (например, банки).
Длъжностното лице трябва да притежава съответната компетенция. В момента има дефицит на такива кадри. Очаква се от новата година да бъде разкрита специалност ИТ право в някои университети.
То може да изпълнява и други функции в рамките на организацията. Не е задължително да е на трудов договор. Едно лице може да обслужва няколко администратора.

Какви документи трябва да имаме?

В зависимост от дейността на компанията може да се наложи разработката на различни инструкции, политика за защита на данните, оценка на въздействието, вътрешни регистри, уведомления, потвърждения, форми, съгласия. Вероятно е да се наложи промяна на договорите с клиенти и служители.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *