Всяка организация или фирма, независимо от размера и регистрацията си, която работи с лични данни на физически лица в Европейския съюз ще бъде засегната от Регламент EU2016/679 на Европейския парламент, който влиза в сила на 25 май 2018.
Европейската директива за защита на личните данни GDPR (General Data Protection Regulation) ще се отрази на всички, дори да не са под юрисдикцията на Европейския съюз, ако обработват данни на лица от ЕС.
Регламент EU2016/679 е приет на 27 април 2016 от Европейския парламент и Съвета на Европа, и на 25 май 2018 влиза в сила като отменя Директива 95/46/EO Общ регламент относно защита на данните, приет през 1995г.
Новият закон GDPR е всеобхватен като подробно са разгледани във всички аспекти правата на субектите физически лица за по-добра защита на техните лични данни като граждани на Европейския съюз. Въвежда се ново право - правото да бъдеш забравен, когато вече не желаеш да предоставяш лични данни на определен контрольор (Декларация за отказ). Непременно субектът физическо лице трябва да е дал съгласието си за обработка на личните си данни. (Декларация за съгласие).
Глобите за неспазване на регламента GDPR и несъгласуването на бизнес процесите със защита на личните данни, са много сериозни - в размер на 4% от годишния приход на компанията или 20 милиона евро (което е по-голямо).
Полезно е да се посетят и някои от семинарите за GDPR, които се организират от консултантски фирми, за да "сверите часовника" и набележите какви мерки да предприемете да не бъде вашата фирма уязвима на санкции.
Важни аспекти от регламента GDPR :
- Надзорен орган - Комисия за защита на личните данни (КЗЛД)
- Субекти на данните - всички физически лица
- Администратор на данните - лице по защита на личните данни DPO (Data Protection Officer )
- Обработващи лични данни - задължения и отговорности на всеки, имащ достъп до лични данни.
- Нарушение на сигурността - механизми за известяване при компроментиране на данните
- Мониторинг на данните в електронна среда - информационна сигурност, псевдомизация и криптиране на данните, трансфер на данни
Основните моменти при изработването на Вътрешни правила за прилагане на регламента GDPR във всяка организация трябва да бъдат:
- кои лични данни се събират ( всяка информация по която може да бъде идентифицирано едно физическо лице е лична данна): име, адрес, телефон, имейл, ЕГН, банкова сметка, здравен статус, религиозна принадлежност и т.н.
- с каква цел се събират: маркетингови проучвания, счетоводни цели и т.н
- как се събират: по имейл, онлайн, телефон, на хартиен носител и т.н.
- как се обработват и съхраняват: на защитен компютър с отделен достъп, в заключен шкаф в изолирано помещение и т.н.
- как е получено съгласието за предоставяне и работа с лични дани от дадено физическо лице: с Декларация в писмен вид, по имейл, по телефон и т.н. (как се удостоверява валидно съгласие)
- колко време ще се съхраняват личните данни (това зависи от срока за който физическото лице си предоставя данните).
- кой отговаря за опазването на личните данни във вашата фирма
- как да се променят общите условия на договорите с клиенти и партньори, така че да е спазен регламента GDPR
Причината за широкия отзвук във връзка с влизането на новия регламент GDPR на 25 май 2018 e, че всяко дружество попада в обхвата на регламента и всички лица, обработващи лични данни, са длъжни да актуализират вътрепните си правила и да подобрят процедурите си за съхранение на лични данни.
Специфичното в новия регламент е поставяне на потребителското съгласие в центъра за защита на данните - получаване на предварително, валидно, изрично, свободно, информирано, оттегляемо съгласие.
Особеностите на прилагането на новия регламент GDPR в електронна среда са споделените отговорности между адмистраторите и обработващите лични данни като делегиране на директни задължения:
- да се поддържа регистър на всички категории дейности, извършвани от името на администратора
- обработване на лични данни само по начина, по който са инструктирани от администратора
- третиране на данните за IP адреси, идентификатори на устройства и геолокация като лични данни
- използване на подходящи технологични средства като псевдоминизация и криптиране за обработка на лични данни
- получаване на позволение при включване на други лица, обработващи данните
- при трансфер на данни да се прилага същия регламент, както и при обработката им, дори към държави извън ЕС
- навреме да се уведомява за нарушения в режима на обработка на лични данни
Какви технически мерки ще предприемете при събирането, обработката и съхраняването на личните данни на физическите лица във вашата фирма, зависи именно от ръководството на дадена организация и естеството на бизнеса й.
Трябва да поздравим организациите, които са инвестирали време и ресурси за запознаване с новия регламент за защита на данните GDPR и привеждат бизнеса си в съответствие с изискванията му. Адаптирането на процесите и повишаването на киберсигурността трябва да е сред приоритетите на всяка компания, за да отговори на новите изисквания за защита на данните.
Въвеждането на регламента GDPR засяга почти всички работни отдели в компаниите, като особено тези, които работят с лични и чувствителни данни (незвисимо дали става дума за информация на служители, клиенти или партньори) - регламентът поставя високи изисквания пред финансовите, юридическите, IT и маркетинг специалисти.
Успешното внедряване на новия регламент GDPR преминава през обстоен анализ на процедурите, подобряване на системите за събиране, съхраняване и защита на личните данни, и внедряване на нови сигурни информационни и комуникационни технологични решения.
Успех!