Има ли нужда бизнесът от служители по защита на личните данни
© Цветелина Белутова Още по тематиката
Адвокатското airbnb
Платформата, която свързва клиенти и адвокати advokatami.bg към този момент има 8 хиляди регистрирани консуматори и доходи за 2017 година от 275 хиляди лева Скоро към компанията като вложител се причисли изпълнителният шеф на " Нетинфо " Христо Христов
2 фев 2018
Предизвикателството, наречено GDPR
Новият правилник за отбрана на персоналните данни слага редица опасности пред организациите и страната
2 фев 2018
Седмичен бюлетин за маркетинг и реклама (30 януари)
JWT Sofia поема информационното обслужване на Sofia Ring Mall; NEXT-DC завоюва интернационален конкурс на Canon във Виена; V+O Communication с три награди от Employer Branding; Dentsu Digital Camp 2018 събира интернационалните маркетинг експерти и други
30 яну 2018
GDPR бизнесът процъфтява, до момента в който изтича времето за използване на новия правилник за персоналните данни
Със сигурност на 25 май ще има компании, които не са подготвени да приложат най-мащабната европейска регулация в историята на интернет
29 яну 2018 През 21 век данните се трансформират в един от най-ценните активи. Дигитализацията на бизнеса ги трансформира във валута, което наложи да бъде въведен ефикасен механизъм за контролиране на процесите по тяхната обработка, трансфер и отбрана.
Именно в отговор на тази нужда се появи и Регламент 2016/679 (GDPR), който ще работи наложително на територията на всички страни - членки на Европейски Съюз, най-късно от 25 май 2018 година
По данни на Европейския парламент към 80% от всички компании в България ще бъдат наранени от новата уредба, включително дребните и междинните предприятия. Резултатите от изследване на водеща европейска одиторска компания сочат, че към 27.11.2017 година в европейски мащаб 92% от бизнеса НЕ Е квалифициран за новите ограничения, които GDPR вкарва.
Една от най-основните новости е задължението за админите и обработващите персонални данни да назначат длъжностно лице по отбрана на персоналните данни (DPO).
Кои дружества/администратори са задължени да назначат длъжностно лице по отбрана на персоналните данни?
Задължени да назначат длъжностни лица по отбрана на персонални данни ще бъдат няколко категории админи на персонални данни, ако:
- обработват персонални данни като част от активността си, която включва постоянно и систематично огромно наблюдаване на физически лица – такива са всички телекомуникационни оператори, снабдители на услуги, включващи следене на местоположението/GPS услуги, поведенческа реклама, CCTV услуги, всички банки, финансови институции и прочие По данни на европейските и локалните регулатори като обработващи постоянно и систематично персонални данни ще бъдат прегледани всички админи, които имат назначени повече от 250 чиновници
- обработват специфични, или така наречен " чувствителни " персонални данни в огромен мащаб – такива са всички лечебни заведения, здравни институции, пенсионно-осигурителни и застрахователни сдружения
- обработват персоналните данни на повече от 10 000 физически лица
- всички обществени органи или структури като се изключи съдилищата при осъществяване на правосъдните им функционалности.
По последни данни, предоставени от Комисията за отбрана на персоналните данни (КЗЛД), за осъществяване на GDPR в България ще бъдат нужни най-малко 50 000 длъжностни лица по отбрана на персоналните данни. В това число са единствено админите, които имат нормативно обвързване да назначат такива лица.
Макар за всички останали админи да не съществува категорично обвързване за назначение на длъжностно лице, в практиката на европейските компании се утвърждава метод на възлагане отговорностите по привеждане на дружествените процеси в сходство с регламентацията на длъжностни лица по отбрана на персоналните данни.
Мотивация
Длъжностните лица по отбрана на персоналните данни дават експертно мнение и рекомендации за методите на привеждане на процесите в сдружението в сходство с условията на GDPR. На лицето по отбрана на персоналните данни се разпорежда реализацията на всички наложителни механически и организационни ограничения за отбрана на персоналните данни. Длъжностното лице е точка за контакт с Комисията за отбрана на персоналните данни, като по време на инспекции с оглед експертизата си има опция да улесни доста процеса и да бъдат предотвратени недоразумения. Сред другите, не по-малко значими функционалности на лицето по отбрана на персонални данни са отговорностите за осъществяване на образование на личния състав в сдружението, повишение осведомеността на чиновниците, контрол по спазването на процедурите по отбрана на персонални данни в сдружението. Длъжностното лице спомага за безпроблемното приложение на регламентацията, като извършва консултативни функционалности в региона на отбраната на персоналните данни на всички равнища в сдружението. Своевременно осведоми чиновниците, които обработват персонални данни, за отговорностите им според нормативната база. Организира реализирането на наложителната оценка на въздействието и дава препоръки във връзка с резултатите с оглед сходство на GDPR.
Условия за осъществяване на функционалности като длъжностно лице по отбрана на персоналните данни
Регламентът категорично планува, че длъжностното лице по отбрана на персоналните данни би трябвало да има както задълбочени експертни знания в региона на законодателството и практиката, по този начин и професионален опит в региона на отбрана на персоналните данни, като тези обстоятелства ще се удостоверяват със узаконяване и/или регистриране в умишлен указател на длъжностните лица по отбрана на персоналните данни.
Конфликт на ползи
Регламентът дава опция на админите на персонални данни да изберат дали да възложат функционалностите на длъжностно лице по отбрана на персоналните данни на техен " вътрешен " чиновник, или да се извърнат към одобрени експерти, които са самостоятелни и външни за компанията, като по този метод получават сигурност в експертизата на съответните отраслови експерти.
Европейският контролен орган в насоките си категорично е предписал, че длъжностното лице по отбрана на персоналните данни би трябвало да има опция да извършва отговорностите си без значение. В тази връзка се обръща внимание и на опцията лицето по отбрана на персонални данни да съвместява няколко длъжности, в който случай се смята, че не е възможно съвместителство с служба, която включва действия по управление и надзор на обработката на персонални данни (например началник отдел IT, HR, юридически и др.) или съвместителство с служба, която би довела до спор при практикуване отговорностите по контрол и надзор (например обработващо данните лице, което в качеството си на длъжностно лице ще се постанова да упражнява надзор самичък на себе си).
За отбягване на спор на ползи е целесъобразно длъжностното лице по отбрана на персоналните данни да не бъде лице на кратковременен или срочен трудов контракт, както и да бъде лице, директно подчинено на " висшия изпълнителен орган " – изпълнителен шеф, съвет на шефовете и прочие
Ползите за бизнеса
С назначението на длъжностно лице по отбрана на персоналните данни се редуцират доста рисковете от противоречие с Регламент 2016/679 и евентуално налагане на наказания. Гарантира се своевременната информираност за промени в региона на отбрана на персоналните данни, както и се открива контакт с Комисията за отбрана на персоналните данни, чиято процедура е неразделна част от регламентацията в региона и следва да се съблюдава. На чиновниците на сдружението се дава опция за спокойна работа и опция да се съветват с експерт при положение на зародили въпроси в региона на отбрана на персоналните данни.
Разходите за назначението на такова лице се оправдават, като с изключение на осъществената предварителна защита от налагане на обилни санкции в размер до 20 млн. евро или 4% от годишния оборот се реализира сигурност, че са взети и ограничения против пораждане на пробиви в системите и приключване на персонални данни, фирмени секрети и ноу-хау. В случай на пробиви в системите възможните неподходящи последствия от репутационни опасности и наказания от регулатора ще бъдат избегнати, защото длъжностното лице следи за сигурността на отбрана на персоналните данни и уведомява органите на реда при положение на непозволена обработка и/или приключване на данни. В допълнение длъжностното лице подкрепя цялостното сходство на реализация на бизнес процесите в сдружението със законовата уредба, имайки достъп до обработката на данни във всички отдели, навреме има опция да разбере за евентуални нарушавания и/или компликации при осъществяване на настоящи задания и да комуникира с органите на ръководство на сдружението за предприемане на нужните дейности.
------
Румяна Йорданова е юрист, част от екип " Защита на персонални данни " на Адвокатско сдружение " Пенков, Марков и сътрудници " и преподавател на профилирани образования, свързани с правната рамка на Регламент 679/2016.
Адвокатското airbnb
Платформата, която свързва клиенти и адвокати advokatami.bg към този момент има 8 хиляди регистрирани консуматори и доходи за 2017 година от 275 хиляди лева Скоро към компанията като вложител се причисли изпълнителният шеф на " Нетинфо " Христо Христов
2 фев 2018
Предизвикателството, наречено GDPR
Новият правилник за отбрана на персоналните данни слага редица опасности пред организациите и страната
2 фев 2018
Седмичен бюлетин за маркетинг и реклама (30 януари)
JWT Sofia поема информационното обслужване на Sofia Ring Mall; NEXT-DC завоюва интернационален конкурс на Canon във Виена; V+O Communication с три награди от Employer Branding; Dentsu Digital Camp 2018 събира интернационалните маркетинг експерти и други
30 яну 2018
GDPR бизнесът процъфтява, до момента в който изтича времето за използване на новия правилник за персоналните данни
Със сигурност на 25 май ще има компании, които не са подготвени да приложат най-мащабната европейска регулация в историята на интернет
29 яну 2018 През 21 век данните се трансформират в един от най-ценните активи. Дигитализацията на бизнеса ги трансформира във валута, което наложи да бъде въведен ефикасен механизъм за контролиране на процесите по тяхната обработка, трансфер и отбрана.
Именно в отговор на тази нужда се появи и Регламент 2016/679 (GDPR), който ще работи наложително на територията на всички страни - членки на Европейски Съюз, най-късно от 25 май 2018 година
По данни на Европейския парламент към 80% от всички компании в България ще бъдат наранени от новата уредба, включително дребните и междинните предприятия. Резултатите от изследване на водеща европейска одиторска компания сочат, че към 27.11.2017 година в европейски мащаб 92% от бизнеса НЕ Е квалифициран за новите ограничения, които GDPR вкарва.
Една от най-основните новости е задължението за админите и обработващите персонални данни да назначат длъжностно лице по отбрана на персоналните данни (DPO).
Кои дружества/администратори са задължени да назначат длъжностно лице по отбрана на персоналните данни?
Задължени да назначат длъжностни лица по отбрана на персонални данни ще бъдат няколко категории админи на персонални данни, ако:
- обработват персонални данни като част от активността си, която включва постоянно и систематично огромно наблюдаване на физически лица – такива са всички телекомуникационни оператори, снабдители на услуги, включващи следене на местоположението/GPS услуги, поведенческа реклама, CCTV услуги, всички банки, финансови институции и прочие По данни на европейските и локалните регулатори като обработващи постоянно и систематично персонални данни ще бъдат прегледани всички админи, които имат назначени повече от 250 чиновници
- обработват специфични, или така наречен " чувствителни " персонални данни в огромен мащаб – такива са всички лечебни заведения, здравни институции, пенсионно-осигурителни и застрахователни сдружения
- обработват персоналните данни на повече от 10 000 физически лица
- всички обществени органи или структури като се изключи съдилищата при осъществяване на правосъдните им функционалности.
По последни данни, предоставени от Комисията за отбрана на персоналните данни (КЗЛД), за осъществяване на GDPR в България ще бъдат нужни най-малко 50 000 длъжностни лица по отбрана на персоналните данни. В това число са единствено админите, които имат нормативно обвързване да назначат такива лица.
Макар за всички останали админи да не съществува категорично обвързване за назначение на длъжностно лице, в практиката на европейските компании се утвърждава метод на възлагане отговорностите по привеждане на дружествените процеси в сходство с регламентацията на длъжностни лица по отбрана на персоналните данни.
Мотивация
Длъжностните лица по отбрана на персоналните данни дават експертно мнение и рекомендации за методите на привеждане на процесите в сдружението в сходство с условията на GDPR. На лицето по отбрана на персоналните данни се разпорежда реализацията на всички наложителни механически и организационни ограничения за отбрана на персоналните данни. Длъжностното лице е точка за контакт с Комисията за отбрана на персоналните данни, като по време на инспекции с оглед експертизата си има опция да улесни доста процеса и да бъдат предотвратени недоразумения. Сред другите, не по-малко значими функционалности на лицето по отбрана на персонални данни са отговорностите за осъществяване на образование на личния състав в сдружението, повишение осведомеността на чиновниците, контрол по спазването на процедурите по отбрана на персонални данни в сдружението. Длъжностното лице спомага за безпроблемното приложение на регламентацията, като извършва консултативни функционалности в региона на отбраната на персоналните данни на всички равнища в сдружението. Своевременно осведоми чиновниците, които обработват персонални данни, за отговорностите им според нормативната база. Организира реализирането на наложителната оценка на въздействието и дава препоръки във връзка с резултатите с оглед сходство на GDPR.
Условия за осъществяване на функционалности като длъжностно лице по отбрана на персоналните данни
Регламентът категорично планува, че длъжностното лице по отбрана на персоналните данни би трябвало да има както задълбочени експертни знания в региона на законодателството и практиката, по този начин и професионален опит в региона на отбрана на персоналните данни, като тези обстоятелства ще се удостоверяват със узаконяване и/или регистриране в умишлен указател на длъжностните лица по отбрана на персоналните данни.
Конфликт на ползи
Регламентът дава опция на админите на персонални данни да изберат дали да възложат функционалностите на длъжностно лице по отбрана на персоналните данни на техен " вътрешен " чиновник, или да се извърнат към одобрени експерти, които са самостоятелни и външни за компанията, като по този метод получават сигурност в експертизата на съответните отраслови експерти.
Европейският контролен орган в насоките си категорично е предписал, че длъжностното лице по отбрана на персоналните данни би трябвало да има опция да извършва отговорностите си без значение. В тази връзка се обръща внимание и на опцията лицето по отбрана на персонални данни да съвместява няколко длъжности, в който случай се смята, че не е възможно съвместителство с служба, която включва действия по управление и надзор на обработката на персонални данни (например началник отдел IT, HR, юридически и др.) или съвместителство с служба, която би довела до спор при практикуване отговорностите по контрол и надзор (например обработващо данните лице, което в качеството си на длъжностно лице ще се постанова да упражнява надзор самичък на себе си).
За отбягване на спор на ползи е целесъобразно длъжностното лице по отбрана на персоналните данни да не бъде лице на кратковременен или срочен трудов контракт, както и да бъде лице, директно подчинено на " висшия изпълнителен орган " – изпълнителен шеф, съвет на шефовете и прочие
Ползите за бизнеса
С назначението на длъжностно лице по отбрана на персоналните данни се редуцират доста рисковете от противоречие с Регламент 2016/679 и евентуално налагане на наказания. Гарантира се своевременната информираност за промени в региона на отбрана на персоналните данни, както и се открива контакт с Комисията за отбрана на персоналните данни, чиято процедура е неразделна част от регламентацията в региона и следва да се съблюдава. На чиновниците на сдружението се дава опция за спокойна работа и опция да се съветват с експерт при положение на зародили въпроси в региона на отбрана на персоналните данни.
Разходите за назначението на такова лице се оправдават, като с изключение на осъществената предварителна защита от налагане на обилни санкции в размер до 20 млн. евро или 4% от годишния оборот се реализира сигурност, че са взети и ограничения против пораждане на пробиви в системите и приключване на персонални данни, фирмени секрети и ноу-хау. В случай на пробиви в системите възможните неподходящи последствия от репутационни опасности и наказания от регулатора ще бъдат избегнати, защото длъжностното лице следи за сигурността на отбрана на персоналните данни и уведомява органите на реда при положение на непозволена обработка и/или приключване на данни. В допълнение длъжностното лице подкрепя цялостното сходство на реализация на бизнес процесите в сдружението със законовата уредба, имайки достъп до обработката на данни във всички отдели, навреме има опция да разбере за евентуални нарушавания и/или компликации при осъществяване на настоящи задания и да комуникира с органите на ръководство на сдружението за предприемане на нужните дейности.
------
Румяна Йорданова е юрист, част от екип " Защита на персонални данни " на Адвокатско сдружение " Пенков, Марков и сътрудници " и преподавател на профилирани образования, свързани с правната рамка на Регламент 679/2016.
Източник: capital.bg
КОМЕНТАРИ