12 неща, които трябва да знаем за GDPR

Организация, която съхранява каквито и да било лични данни – за служители, клиенти и партньори, трябва да спазва изискванията на GDPR

Нов и значително по-различен смисъл ще придобие понятието „лични данни” с влизането в сила на новия регламент на ЕС за защита на личните данни, станал известен като GDPR. Той ще стане действащ закон от 26 май 2018 г.

Освен, че всяка организация трябва да има отговорник по защита на личните данни, регламентът въвежда серия изисквания за боравенето с деликатната персонална информация. Какво непременно трябва да знаем, за да спазим изискванията на GDPR?

Какво са лични данни, администратор, обработващ

Лични данни е всяка съвкупност от данни, която позволява недвусмисленото идентифициране на отделния индивид.

Администратор е лицето (фирма, служба, човек), което събира и натрупва индивидуални лични данни.

Обработващ е лицето, което по силата на договор с администратора, обработва лични данни, събирани от администратора. Например, ако фирма „Х” използва външно счетоводство, то външната счетоводна фирма е обработващ личните данни на „Х”.

Важно: администратор и обработващ са солидарно отговорни за спазването на всички изисквания по регламента GDPR! Когато избираме външен партньор, обработващ лични данни, трябва да сме сигурни, че той отговаря на изискванията на регламента. В договорите между двете страни това следва да е изрично упоменато.

Личните данни касаят всекиго

Организация, която съхранява каквито и да било лични данни – за служители, за клиенти и за партньори – трябва да спазва изискванията на GDPR за данните на всеки от тях. Поради това е препоръчително събирането на възможно най-малко количество данни, необходими за извършването на работата. Така се намалява потенциалното вредно въздействие при евентуално поражение (изтичане) на личната информация.

Глоби до 20 млн. евро

За пробив в защитата на личните данни санкциите са огромни за мащаба и възможностите на повечето български фирми. Предвижда се те да са 20 милиона евро или до 4% от годишния оборот за предходната финансова година – избира се по-високата от двете стойности. Ако пробивът е ограничен до територията на една страна, санкцията може да бъде наложена и само за регионалното поделение.

Териториален обхват – без граници

GDPR важи не само за територията на ЕС. Новият закон за защитата на личните данни обхваща всички места, където се обработват лични данни на лица от ЕС. Това означава, че регламентът е валиден и извън територията на пакта  – ако лични данни на човек от ЕС се съхраняват и обработват от организация в Австралия, например, тя също трябва да спазва регламента.

Центровете за данни и доставчиците на „облачни” услуги, които съхраняват лични данни на хора и от ЕС, следва да спазват изискванията на GDPR.

Увеличават се правата на индивидите

С GDPR правата на индивидите да имат контрол над своите лични данни се увеличават. Всяка форма на събиране на лични данни изисква лицето да потвърди своето съгласие, при това не генерално, а за конкретния случай и за конкретната цел. В частност това силно касае дейността на медицинските служби в отношенията им с пациентите. Като следствие от това:

  • нарастват задълженията за поискване на съгласие от индивидите (с ясно указани цел, период на съхранение и време на унищожаване на личните данни);
  • нарастват правата на индивидите за контрол над съхраняваните техни данни и достъп до информация за това кога, как, за каква цел са били достъпвани и използвани;
  • разгръща се индивидуалното право „да бъдеш забравен”, тоест личните данни да бъдат изтрити;
  • за децата: нарастват задълженията за поискване на родителско съгласие;
  • въвежда се задължение за „непреносимост” – ако лични данни се събират за дадена цел, те не могат да се използват за каквато и да е друга цел, освен изрично упоменатата.

Поддържане на регистри

Всички организации, които събират, съхраняват и обработват значителен обем лични данни (за над 200 души), трябва да са готови по всяко време да предоставят информация на индивидите за съхраняваните техни лични данни и за това кога, по каква причина и какви промени по тези лични данни са правени и кога, как и защо са достъпвани. Това означава, че е потребно да се водят регистри за всички действия, които касаят индивидуалните лични данни, съхранявани в организацията.

Отговорник по личните данни

Всяка организация, която обработва значителен обем лични данни, следва да определи Длъжностно лице по защита на лични данни (DPO). Лицето следва да има висше образование, да е пряко подчинено на изпълнителния директор на организацията и да има опит в работата със защита на лични данни.

Кодекс на поведение

Всички организации следва да въведат в своята практика кодекс за защита на личните данни. Този кодекс предполага всички служители в организацията да са наясно що е лични данни, как се пазят те, какво могат и какво не могат да правят в организацията с цел опазване наприкосновеността на съхраняваните лични данни. Всички новопостъпващи в  организацията следва да преминават през обучение относно специфичните за организацията мерки за опазване на личните данни.

Очаква се при въвеждането на регламента у нас да бъдат представени и препоръки и насоки за боравене с личните данни в организациите.

Пълна отчетност

Необходим е е постоянен мониторинг на личните данни с яснота за тяхното състояние, мерки за защита, предприети действия – включително кой достъпва, кога, как и по каква причина лични данни и какви промени са направени по тях. За целта са необходими както технически мерки за проследяване на всяко действие, така и съответни процедурни стъпки.

Право „да бъдеш забравен”

Всеки индивид може да поиска неговите лични данни, съхранявани в дадена организация, да бъдат заличени. Всяка организация следва да има установена процедура за „забравяне” на даден индивид. Правото „да бъдеш забравен” не е приложимо само в определени случаи, когато законът изисква дадени данни да бъдат съхранявани за определени периоди от време.

Задължение за уведомяване на контролните органи и индивидите

В случай на пробив в защитата на личните данни, до 72 часа следва да се уведомят контролните органи. В случая такъв се явява Комисията за защита на личните данни. Регламентът изисква и уведомяване на индивидите, чиито лични данни са засегнати от инцидента.

Презумпция за виновност

GDPR се въвежда в националното законодателство с презумпцията за виновност, тоест накърняването на личните данни автоматично поражда вина до доказване на противното.

Статията е подготвена съвместно с екип на Мнемоника консултантска компания, работеща в областта на кибер сигурността и защитата на данните, с над 600 успешно реализирани проекта за над 100 организации.