Какво представлява общия регламент за защита на личните данни (GDPR)?

Наложително е ключовият персонал във Вашата организация да е запознат с GDPR и да започне да спазва разпоредбите му при бъдещото планиране на работата. Те трябва да започнат да определят областите, които биха могли да предизвикат проблеми със съответствието, съгласно GDPR.

Първоначално, администраторите на данни трябва да прегледат и подобрят процесите за управление на риска на техните организации, тъй като прилагането на GDPR би могло да има съществени въздействия от ресурсна гледна точка, особено за по-сложните организации. Всяко закъснение в подготовките може да остави Вашата организация уязвима с оглед въвеждането на GDPR.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Направете опис на всички лични данни, които притежавате, и ги проверете съгласно следните въпроси:

• Защо ги притежавате?
• Как сте ги получили?
• Защо са били първоначално събрани?
• Колко дълго ще ги пазите?
• Колко сигурни са те, с оглед на криптиране и достъпност?
• Споделяте ли ги изобщо с трети страни и на каква база ?

Това е първата стъпка към съответствие с принципа за отчетност на GDPR, който изисква организациите да демонстрират (и в повечето случаи - да документират) начините, по които те съответстват с принципите за защита на данните при обработване. Описът също така ще позволи на организациите да променят неточните данни или да проследят разкривания на трети страни за в бъдеще- нещо, което ще се изисква те да правят.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Проверете всички текущи известия за неприкосновеност на данните, предупреждаващи потребителите за събиране на техните данни. Идентифицирайте всякакви празноти, които съществуват между нивото на събиране и обработване на данните, с което се занимава Вашата организация, и до каква степен сте осведомили клиентите си, персонала и потребителите на услуги за този факт. Ако съществуват празноти, предприемете отстраняването им с помощта на критериите, заложени в „2: Отчетност“.

Преди да събирате лични данни, действащото законодателство изисква да уведоми своите клиенти за Вашата самоличност, причините Ви да събирате данните, примерите за употреба(и), в които ще бъдат вложени те, на кого ще бъдат разкрити и дали ще бъдат прехвърлени извън ЕС. Съгласно GDPR, допълнителна информация трябва да бъде съобщена на физическите лица преди обработването, като например правната основа за обработване на данните, периодите на задържане, правото на оплакване, когато клиентите са недоволни от Вашето прилагане на всеки от тези критерии, дали техните данни ще бъдат обект на автоматизирано вземане на решения и техните индивидуални права съгласно GDPR. GDPR също изисква информацията да бъде предоставена в сбит, лесен за разбиране и прозрачен език.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Трябва да ревизирате Вашите процедури, за да се уверите, че те покриват всички права, които имат физическите лица, включително как ще изтривате лични данни или ще предоставяте данните в електронен и общоразпространен формат.

Правата на физическите лица съгласно GDPR включват:

• достъп до тях;
• да се коригират неточностите;
• да се изтрие информацията;
• да се възразява на директния маркетинг;
• да се ограничи обработването на тяхната информация, включително автоматизирано вземане на решения;
• преносимост на данните.

Прегледайте действащите си процедури. Как би реагирала Вашата организация, ако получи искане от субект на лични данни, желаещ да упражни правата си съгласно GDPR?

Колко време отнема да се намерят (и коригират или изтрият) данните от всички места, където те се съхраняват?

Кой ще вземе решенията за изтриването?

Могат ли Вашите системи да отговорят на разпоредбата за преносимост на данните на GDPR, при която ще трябва да предоставите данните в електронен и общоразпространен формат?

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Трябва да прегледате и актуализирате Вашите процедури и да планирате как ще обработвате запитвания в рамките на новите времеви скали. (Не трябва да има ненужно забавяне при обработването на запитване за достъп и - най-късно  те трябва да бъдат обработени до един месец).

Правилата за обработване на запитвания за достъп на субектите ще се променят съгласно GDPR. В повечето случаи няма да можете да таксувате обработването на запитване за достъп, освен ако не демонстрирате, че стойността ще бъде прекомерна.

Организациите ще имат известни основания да откажат даване на достъп. Когато дадено запитване се счита за открито неоснователно или прекомерно, то трябва да бъде отказано.

Въпреки това, организациите ще трябва да имат въведени ясни политики и процедури за отказ и да демонстрират защо запитването отговаря на тези критерии.

Вие също така ще трябва да осигурите известна допълнителна информация на хората, отправящи запитвания, като например Вашия период за съхранение на данните и правото за коригиране на неточните данни.

Ако Вашата организация обработва голям брой запитвания за достъп, влиянието на промените би могло да бъде значително. Логистичните въздействия от нуждата за обработване на запитвания в по-кратка времева рамка и предоставянето на допълнителна информация ще трябва да бъдат отразени в бъдещото планиране. Бихте могли да спестите голям обем административни разходи, в случай, че можете да разработвате системи, които да позволяват на хората да имат лесен онлайн достъп до своята информация.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Трябва да разгледате различните видове обработване на данните, които извършвате, да идентифицирате Вашата правна основа за извършването му и документирането му. Това е особено важно, особено когато разчитате единствено на съгласието като правна основа за обработване на данни. Съгласно GDPR, физическите лица ще имат по-силно право да бъдат изтрити техните данни, когато съгласието на клиента е единствената обосновка за обработването. Ще трябва да обясните Вашата правна основа за обработване на лични данни във Вашето известие за неприкосновеност и когато отговаряте на запитване за достъп на субекта.

За правителствените отдели и агенции има значително намаляване в броя на правните основи, на които те могат да разчитат, когато обработват данните. Повече няма да бъде възможно да се цитират легитимни интереси. Вместо това, ще има основна необходимост да има конкретни законодателни разпоредби, основополагащи за един или повече методи, използвани от организациите за обработване на данни. Всички организации трябва внимателно да обмислят какъв обем лични данни събират и защо. Ако някои категории могат да бъдат преустановени, направете го. За данните, които остават, обмислете дали трябва те да бъдат съхранявани в необработения им формат и колко бързо можете да започнете процеса на анонимизиране и псевдонимизиране.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Ако се позовавате на съгласието на клиента, чиито лични данни ще обработвате, трябва да прегледате начина, по който търсите, получавате и регистрирате това съгласие и дали трябва да правите някакви промени. Съгласието трябва да бъде „дадено свободно, специфично, информирано и недвусмислено“. Вашият клиент не може да бъде принуден да се съгласи или да не е осведомен, че се съгласява за обработване на личните му данни. Клиентите трябва да знаят точно на какво се съгласяват и не може да има и най-малко съмнение в това.

Получаването на съгласие изисква позитивна индикация за съгласие – то не може да бъде изведено от полета с предварително поставени отметки, отсъствие на волеизявление или бездействие.

Ако съгласието е правната основа, на която разчитате за обработване на личните данни, трябва да се уверите, че то ще отговаря на стандартите, изисквани от GDPR. Ако не е така, тогава трябва да измените Вашите механизми за съгласие или да откриете алтернативна правна основа за обработване. Съгласието трябва да може да бъде проверено, а физическите лица трябва да бъдат информирани предварително и за техните права да оттеглят съгласието. GDPR е ясен, че администраторите трябва да могат да демонстрират даденото съгласие. Затова трябва да ревизирате системите, които имате за регистриране на съгласието, за да гарантирате, че имате ефективен път за проверка.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Ако работата на Вашата организация включва обработването на данни на непълнолетни субекти, трябва да гарантирате, че имате подходящи системи, за да проверявате индивидуално възрастта и да събирате съгласие от родителите/ настойниците.

GDPR въвежда специални защити за данните на децата, особено в контекста на социалните медии и търговските интернет услуги. Всяка държава ще определи възрастта, до която дадена организация трябва да получи съгласие от родител/настойник преди обработването на данни на дете (за България е 16г.).

Информация, относима към съгласието трябва да бъде дадена на Вашите непълнолетни клиенти на език, достъпен за тях.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

Трябва да се уверите, че имате въведени правилните процедури за откриване, докладване и разследване на нарушение на личните данни.

От някои организации вече се изисква да уведомят КЗЛД, когато осъществят нарушение на личните данни. Все пак, GDPR ще въведе задължителни известия за нарушение, които ще бъдат нови за много организации. Всички нарушения трябва да бъдат докладвани на КЗЛД, обикновено до 72 часа. На практика, това ще означава, че повечето нарушения на данните трябва да бъдат докладвани на КЗЛД. Нарушенията, за които има вероятност да нанесат вреда на физическо лице – като кражба на самоличност или нарушение на поверителност –  трябва също да се докладват на засегнатите лица. Сега е моментът за оценяване на типовете данни, които притежавате, и да документирате кои данни попадат в рамките на изискването за уведомяване в случай на нарушение. По-големите организации ще трябва да разработят политики и процедури за управление на нарушенията на данните, както на централно, така и на местно ниво.

Струва си да се отбележи, че недокладването на нарушение, когато се е изисквало такова, би могло да доведе до глоба, както и глоба за самото нарушение.

Предстои издаването на по-конкретни насоки от КЗЛД.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

DPIA е процесът на систематично отчитане на потенциалното въздействие, което даден проект или инициатива могат да имат върху неприкосновеността на физическите лица. Това ще позволи на организациите да идентифицират потенциални проблеми с неприкосновеността, преди те да възникнат, и да изработят начин за смекчаването им.

DPIA може да включва дискусии със съответните страни/заинтересовани лица. В крайна сметка подобна оценка може да се окаже безценна при определянето на осъществимостта на бъдещи проекти и инициативи. GDPR въвежда задължителни DPIA за тези организации, ангажирани с високорисково обработване; например, когато нова технология се внедрява, когато операцията за профилиране има вероятност значително да засяга индивидите, или когато има широкомащабен мониторинг на публично достъпно зона.

Предстои издаване на насоки от КЗЛД.

Когато DPIA посочва, че рисковете, идентифицирани по отношение на обработването на личните данни, не могат да бъдат изцяло смекчени, от администраторите на данни ще се изисква да се консултират с КЗЛД, преди да се ангажират с процеса. Организациите трябва да започнат още сега да оценяват дали бъдещите проекти ще изискват DPIA и, ако проектът изисква DPIA, да обмислят:

• Кой ще го направи?
• Кой друг трябва да бъде ангажиран?
• Процесът централно или локално ще се изпълнява?

Винаги е било добра практика приемането на защита на данните на етапа на проектиране и по подразбиране и минимизирането на данните. Това са косвени изисквания на принципите за защита на данните. В тази връзка, настройките на услугата трябва автоматично да бъдат благоприятни за неприкосновеността и при разработването на услуги и продукти да бъде отчитано минимизирано събирането на информация и да бъдат взимани в предвид съображенията за поверителност още на етапа на самото проектиране.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

GDPR ще изисква от някои организации да назначат длъжностно лице по защита на личните данни (DPO). Организациите, изискващи DPO, включват публични органи, организации, чиито дейности включват редовното и системно мащабно наблюдение на субекти на лични данни, или организациите, които обработват специални категории лични данни, или лични данни, свързани с присъди и нарушения.

Важно е да се уверите, че някой във Вашата организация, или външен консултант по защита на данните, поема отговорността за Вашето съответствие относно защита на данните и има познанията, подкрепата и правомощието да го прави ефективно.

DPO изпълнява задачи по наблюдение на спазването на GDPR, има роля в оценка на въздействието върху защитата на данните, да следва подход, основан на риска, изпълнява функции по отношение на воденето на регистър и представлява лице за контакт с КЗЛД и субекти на лични данни.

Затова трябва да обмислите още сега дали от Вас ще се изисква да назначите DPO и ако е така, да прецените дали текущият Ви подход към съответствието на защита на данните ще отговаря на изискванията на КЗЛД.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ

GDPR включва разпоредба „за обслужване на едно гише“, която ще съдейства на тези организации, които оперират в много държави-членки на ЕС. Многонационалните организации ще имат правото да работят с един орган за защита на данните, наричан водещ надзорен орган (LSA) като техен единичен регулиращ орган в държавата на главното им седалище. Този орган за защита на данните ще стане след това LSA, когато регулира всички въпроси по защита на данните, включващи тази организация, макар че ще бъде задължен да се консултира с други засегнати органи за защита на данните, които са засегнати по отношение на определени въпроси.

По принцип, основното седалище на дадена организация се определя съгласно това къде е главната администрация на организацията или къде се вземат решенията за обработване на данните. Все пак, за Вас ще бъде полезно да прецените къде Вашата организация  взема най-съществените решения за обработване на данните, тъй като това ще спомогне да се определи Вашето основно седалище и оттам Вашия компетентен надзорен орган.

За повече информация може да се запишете за нашия онлайн курс.

ЗАПИШИ СЕ