Няма коментари

Общ регламент за защита на личните данни на физическите лица на европейско ниво

С публикувания в Официалния вестник на Европейския съюз на 4 май 2016 г. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, GDPR) се уреждат по нов начин отношенията, свързани със защитата на личните данни на физическите лица на европейско ниво, във връзка с който се въвеждат редица задължения на администраторите на лични данни и обработващите лични данни. По-долу е представено съкратено изложение относно основните изисквания, на които компаниите трябва да отговорят.
Общият регламент относно защитата на данните се прилага по отношение на всички физически и юридически лица, които извършват операции с лични данни, т.е. информация, позволяваща идентифицирането на дадено лице, (администратори и обработващи лични данни). GDPR се прилага по отношение на всички администратори и обработващи лични данни, установени на триторията на Съюза или които макар и да не са установени на неговата територия, събират и обработват данни на лица, намиращи се в Съюза, както и по отношение на администратори и обработващи лични данни, установени в територии, които се намират извън Съюза, но където се прилага правото на държавите членки на ЕС. Предвид значимостта на новата уредба, действието на GDPR е отложено във времето и същият се прилага, считано от 25 май 2018 година.

За да бъде законосъобразно, обработването на лични данни трябва да се извършва въз основа на съгласие на субекта на данните, дадено за конкретна/и цел(и), чието свободно даване администраторът/обработващият данни следва да е в състояние да докаже във всеки един момент и което може да бъде оттеглено по всяко време; ако е необходимо за сключването и/или изпълнението на договор, или ако е необходимо за защитата на интересите на субекта на данните, на легитимните интереси на администратора, на трета страна или на обществения интерес. Предвиждат се специални изисквания що се касае до даването на съгласие за обработване на личните данни на деца (за България – лица под 16-годишна възраст). Въвеждат се специални изисквания по отношение на обработката на някои категории лични данни, свързани с расов или етнически произход, политически, религиозни и философски убеждения, членство в синдикални организации, генетични и биометрични данни, както и данни за здравния статус, сексуалния живот и сексуалната ориентация на лицата.

Общият регламент за защита на данните предвижда редица нови задължения на администраторите и обработващите данни. По-важните сред тях са:

  • Задължение за отчетност, което намира проявление в това, че задължението за регистрация пред Комисията за защита на личните данни (КЗЛД, надзорния орган) отпада, считано от 25 май 2018 година, вместо което администраторът/обработващият лични данни ще трябва да осигури подробно документално разписване и мащабно документиране на процесите и процедурите за обработка на лични данни, които да може да отчете във всеки един момент при проверка.
  • Всички компании, които имат повече от 250 служители, трябва да поддържат регистър за обработка на личните данни в писмена или електронна форма, където да записват типа лични данни, които обработват, целите за които обработват личните данни, дали предоставят достъп до тях на трети лица, предприетите мерки за защита на сигурността на данните, както и реда за действие при нарушаване на сигурността.
  • В случаите, когато администраторите/обработващите лични данни са публични органи или структури, или предприятия, обработващи систематично и редовно мащабно наблюдение на субектите на данни или мащабно обработване на горепосочените специални категории данни, то същите са задължени да назначат длъжностно лице по защита на данните (DPO), което поддържа регистъра за обработка на личните данни, съветва администратора/обработващия относно прилагането на GDPR и следи за спазването му в сътрудничество с КЗЛД. DPO действа независимо от указанията на администратора/обработващия и веднъж определено, не може да бъде отстранено за неизпълнение на задълженията си.
  • Задължение за изготвяне на оценка за въздействие на риска при обработката на лични данни с оглед определянето на подходящи мерки за сигурност на личните данни, след предварителна консултация с DPO (в случаите, когато се изисква назначаването на такова), а когато рискът е висок – и след предварително съгласуване с КЗЛД.
  • Задължение за предприемането на съответни на риска от нарушаване на сигурността на личните данни технически мерки за защита, които могат да включват псевдонимизиране, криптиране и други технически способи. Криптирането е най-лесният и сигурен начин да се гарантира сигурността на информацията според изискванията на GDPR. Тази технология е доказано ефективна за защита на информация, която може да бъде открадната или компрометирана.
  • Предвижда се и задължение по отношение на осигуряването на ясен план за възстановяване при бедствия, възстановяване на пароли и системи за управление на ключове. В случаите, в които криптирането е използвано като техническо средство, трябва да бъде възможно бързото възстановяване в случай на инцидент – и трябва да бъдат съхранявани записи, които доказват, че системите са и защитени, и възстановими.
  • Въвежда се задължение за съхраняване на записи, включително и на общо описание на предприетите технически и организационни мерки за сигурност, което означава, че компаниите ще трябва да съхраняват записи с цел доказване на предприетите мерки за сигурност на системите си.
  • Задължение за уведомяване на надзорния орган без ненужно забавяне при нарушаване на сигурността на личните данни, както и поддържането на регистър на всички нарушавания на сигурността на данните. За нарушаването администраторът/обработващият следва да съобщи и на субектът/ите, чиито права и интереси са поставени под риск.
  • Задължения, съответни на закрепени в GDPR нови права на субектите на данни, сред които са задължението за предоставяне на информация относно обработката, задължение за осигуряване на достъп до данните, задължение за коригиране на неточни данни, съхранявани от администратора, задължение за изтриване, когато субектът на данни упражни правото си „да бъде забравен“, задължение за ограничаване на обработката, когато субектът е пожелал обработката на съхраняваните данни да се ограничи временно, вместо същите да се изтрият, задължение на администратора/обработващият да прехвърли пряко съхраняваните данни на друг администратор, когато субектът заяви това, както и задължение за прекратяване на обработката на лични данни за целите на директния маркетинг, когато субектът възрази срещу тази обработка.

Влизането в сила на GDPR налага и въвеждането на редица технически мерки и способи за осигуряване на необходимото ниво на защита на обработването и съхраняването на личните данни. Регламентът изисква организациите от всякакъв мащаб да приемат нови процеси и политики, целящи да предоставят на крайния потребител по-високо ниво на контрол върху личните му данни. Голяма част от тях са свързани със списването на нови процедури и указания, допълнителни обучения на служителите и ъпдейт на системите за обработка на информацията с цел налагането на новите мерки. Може да предприемете и по-практични мерки, като криптирате информацията, изложена на риск. Загубен или откраднат лаптоп или USB флаш памет не трябва да става причина за глоба – и няма и да бъде, ако е криптирана с валидиран продукт.

За да гарантира спазването на новия режим на защита на данните, европейският законодател предвижда сериозни по своя размер глоби и имуществени санкции, достигащи до 10 000 000 евро или 2% от общия годишен световен оборот за предходната финансова година на предприятието, която от двете суми е по-висока, а при неспазване на разпорежданията на надзорния орган (КЗЛД) глобата/имуществената санкция – до 20 000 000 евро или до 4% от общия годишен световен оборот на предприятието за предходната финансова година, която измежду двете суми е по-висока. Правата на субектите на данни, засегнати от нарушения, извършени от администратора или обработващия, са гарантирани и чрез предвидената възможност за предявяване на иск за обезщетение за вреди, освен ако администраторът/обработващият не докаже, че по никакъв начин не носи отговорност за нарушението.