Защита на личните данни - бреме или възможност за бизнеса
Модерните технологии, IT нововъведенията, потреблението на клауд/облачни услуги, internet of things, директният маркетинг и следене на държанието на потребителите в по-малка или в по-голяма степен са част от бизнес тактиката на множеството компании и снабдители на услуги. С цел да се даде по-добра услуга, да се предложи по-интуитивно и бързо обслужване и да се отгатнат желанията на клиента, фирмите разчитат на събирането и обработването на все по-голям размер от персонални данни на физически лица. Тук е мястото да създадем конкретизиране и да дефинираме понятието " персонални данни ".
Това е информация, съдържаща освен име, адрес, телефон и имейл на физическото лице, само че и неговото държание, придвижване в пространството, информации за осъществени покупки, употребявани услуги, потребителски желания, също по този начин за здравословното и финансовото му положение, политически възгледи, видеозаписи на лицето, и редица други.
Именно заради необятно публикуваното и постоянно нерегламентирано и прекалено събиране, култивиране и шерване на персонални данни за физически лица Европейският съюз и Европейската комисия одобриха Регламент (ЕС) 2016/679, по-известен с абревиатурата GDPR. Регламентът планува редица новости по отношение на режима на отбрана на персонални данни, правата на физическите лица и изискуем
Някои от новите условия са:
- повишени и по-стриктно прилагани условия за бистрота, почтеност, правомерност и отчетност и обработването на персонални данни;
- засилено право на физическите лица - субекти на персоналните данни да бъдат осведомени когато и да е за всички аспекти, дейности и опасности, свързани с обработването на персоналните им данни; по отношение на това кой и с каква цел събира и обработва данните им;
- за избрани компании: обвързване да се назначи без значение длъжностно лице по отбрана на данните, както и за осъществяване на нарочни оценки на въздействието върху отбраната на персонални данни на съществуващи и нови действия, процеси, планове и услуги, които се оферират на клиенти;
- обвързване за въвеждане на разнородни организационни, механически и правни ограничения и механизми, с цел да се подсигурява спазването на регламента: нови софтуерни решения и системи, създаване на правилници за държание и вътрешни указания и правила, въвеждане на стеснен достъп до бази данни (на електронен и книжен носител), съдържащи персонални данни, нови ограничения за сигурност, криптиране и анонимизиране на персоналните данни, въвеждане на експлицитни периоди за заличаване на информацията, и други
- обвързване фирмите да работят и обменят персонални данни само и единствено с други сдружения, които са въвели и съблюдават условията на GDPR, в противоположен случай – риск от обилни имуществени наказания.
Спазването на всички тези отговорности и нови условия е скрепено с опцията за налагане на стряскащи административни наказания в размер на 20 млн. евро или 4 % от световния оборот на цялата икономическата група (която сума е по-голяма), към която принадлежи българското сдружение, а не просто на самото сдружение.
С други думи вие може да сте обект на наказания както заради порочните практики, които сами налагате, само че и като част от бизнес-групата, към която принадлежите.
Често подценявана последица, ако вашият бизнес не съблюдава Регламента, е загубата на сегашни и евентуални планове и бизнес сътрудници, понижена конкурентоспособност и доходи.
Големите и междинни предприятия, които могат да понесат обилни имуществени наказания и репутационни опасности, бързат да вкарат GDPR и няма да рискуват да работят с подизпълнители и съконтрахенти, които към момента не са сторили това.
На тяхно място те ще търсят предприятия и сътрудници, които могат да потвърдят, че са положили старания и са въвели ограничения, с цел да съблюдават новите условия. Както бе посочено нагоре, сключването на контракти с сдружения, които не дават отговор на условията на GDPR, е съображение за налагане на наказания в обилни размери и сериозен тласък за преоценка на построените партньорства и мрежи.
В този смисъл спазването и въвеждането на съответни ограничения за привеждане активността на компанията в сходство с условията на GDPR може да наподобява като бремe за бизнеса, изискващо съществени финансови, човешки и организационни запаси.
Такъв тесногръд взор обаче е контрапродуктивен и пренебрегва преимуществата, които новите правила могат да имат за Вашия бизнес. Освен намаляване на конкуренцията, GDPR може да способства за развиването на компанията ви в други насоки като да вземем за пример - усилване на доверието на клиенти и сътрудници към вас, възстановяване на репутацията, рационализиране на системите за сигурност и повишение мотивацията на чиновниците.
Повишаване на конкурентоспособността : неизбежно огромна част от фирмите, които употребяват подизпълнители и снабдители на артикули и услуги, ще бъдат принудени да заменят досегашните си с такива, които са въвели условията на Регламента за отбрана на персоналните данни. В този смисъл спазването на новите правила ви подсигурява несъмнено преимущество измежду Вашите съперници и ви отваря нови порти и благоприятни условия за бизнес.
Създаване на доверие : доверието на клиенти и сътрудници е основен фактор за триумфа на всеки бизнес. В цифровата епоха, в която живеем, доверието е неразривно обвързвано със сигурността на данните, които клиенти и сътрудници дават. Спазването на GDPR основава опция за всяка компания да увери своите сегашни и бъдещи клиенти, че поставя старания за отбраната на персоналните им данни.
Сигурност и бистрота : въвеждането на организационните и техническите условия на GDPR ще способства за по-лесно и транспарантно ръководство на процесите във Вашата организация и по-добра отбрана на комерсиалните Ви секрети и бази данни.
Подобряване на корпоративната просвета и мотивацията на чиновници посредством въвеждането и спазването на ясни правила за обработка на персоналните им данни, отчетност и сигурност на информацията им.
Макар датата на влизане в действие на Общия правилник за отбрана на персоналните данни - края на май - да е напълно близо, към момента не е късно да се подхващат нужни ограничения, с цел да може всеки да се възползва от бизнес преимуществата, които Регламентът предлага. По данни на КЗЛД, изследванията демонстрират, че към 80% от фирмите в България не са готови да реагират на въвеждането на Общия правилник за отбрана на данните.
Как се реализира сходство с новите условия:
Не съществува единна формула или логаритъм от дейности, които да подсигуряват, че при използването им, ще се отговори автоматизирано на условията на Регламента и ще се предпазите от имуществени наказания. Действията по привеждане на активността ви в сходство с условията в региона на отбраната на персонални данни зависят значително от типа и метода, по който култивиране персонални данни, от законодателството, което контролира активността ви, от вътрешната организация и работни процеси, както и от редица други самостоятелни характерности.
Във всеки случай обаче водещо е да можете да демонстрирате, че сте постави нужните и рационално предстоящи старания да постигнете сходство, че сте анализирали в каква степен спазвате разпоредбите на Регламента и сте определили ограничения, които в допълнение да предприемете .
Регламентът не изисква постигането на безусловна и безспорна степен на отбрана на информацията, обработвана от предприятието ви (която степен надали би могла да бъде постигната), само че държи сметка за рационално предстоящите и положените старания и действително подхванати ограничения и дейности за тази цел.
Националният регулатор - Комисията за отбрана на персоналните данни, е предложила лист с 10 на практика стъпки за използване на Регламента, а точно:
Запознаване с новите нормативни условия в региона на отбраната на персоналните данни - установяване на чиновници или екип, които да дават отговор за привеждане на активността на сдружението или организацията в сходство с новите нормативни условия в региона на отбраната на персоналните данни.
Извършване на вътрешен разбор на дейностите по култивиране на персонални данни – кой, за какво и за какъв период работи с персонални данни на физически лица, дава ли се достъп до тях на външни лица и институции, какви ограничения за сигурност се употребяват при този трансфер. В тази връзка постоянно се изготвя така наречен GAP разбор , чиято цел е да разпознава всички условия и процеси по култивиране на персонални данни, дали това култивиране е законосъобразно в светлината на новите правила и да уточни " пролуките " (оттам и използването на термина GAP – от англ. език – " дупка ", " междина " ), за отстраняването на които е належащо да бъдат подхванати спомагателни дейности и ограничения.
Преценка дали е налице обвързване да се дефинира длъжностно лице по отбрана на данните , надлежно назначението на такова лице. Тук е значимо да отбележим, че към момента на Европейско равнище липсва признат обединен стандарт за образование на такива лица.
Управление на риска във връзка с отбраната на персоналните данни – идентифициране на вероятните проблематични зони, които са свързани със повишен риск от непозволена обработка на персонални данни , например сривове в системите, в които се съхраняват, реализиране на непозволено човешко влияние – даване на данните на трети лица, потреблението им по забранен метод и за персонални цели, и други Целта на тази четвърта стъпка е, ако се откри съществуването на висок риск, да се набележат подобаващи ограничения, които адресират и понижават този риск. При нужда следва да се проведат и наложителни предварителни съвещания с КЗЛД .
Приемане на проект за деяние – без значение дали рискът от непозволено и незаконосъобразно култивиране на персоналните данни е висок или невисок, всяко дружество следва да разпише проект за деяние за привеждане на активността си в сходство с новите правила. По този метод най-малкото ще бъде в положение потвърди, че е положило нужните старания и ще понижи опцията за носене на административно-наказателна и имуществена отговорност.
Документиране и отчетност – Тази стъпка включва:
1) основаване и постоянно актуализиране на вътрешен указател на дейностите по култивиране на персонални данни в сдружението (не е наложително за организации с до 250 наети чиновници и служащи на трудов или цивилен договор);
2) разказване на подхванатите ограничения за отбрана на персоналните данни; 3) съществуването на вътрешни правилници и обновени бланки и договорни клаузи в светлината на новите правила;
Преглед на правните учредения за култивиране на персонални данни , в това число въз основа на единодушие на лицата – следва да се извърши деликатна преценка дали админът на персонални данни фактически има законно съображение да изисква и да обработва данните на физически лица, както прави към сегашния момент; дали не е належащо да ограничи обработката на данни или да престане да употребява заявления за единодушие от физическото лице, тъй като единодушието му не е осведомено или свободно обещано, по смисъла на новия Регламент.
Така да вземем за пример категорично се приема, че работодателят няма право да събира персонални данни за своите чиновници на база тяхното единодушие (тъй като същото не е свободно дадено) и следва да се прекрати практиката за включването на такива клаузи или заявления при наемане на работа.
Информираност на субектите на данните и бистрота на обработването – Регламентът, а и Директивата преди него, изискват преди персоналните данни да се съберат от лицето, на последното да бъде предоставяна систематизирана, къса и разбираема информация за задачите и метода на обработка, за субекта, който ще обработва данните му, за какъв период, пред кого може да подаде тъжба при положение на нарушавания, и други
Работодателите би трябвало да вземем за пример да осведомят по подобаващ метод служащите си, в случай че правят видеонаблюдение на работното място или на електронната им връзка. Организациите, притежаващи персонална интернет страница или мобилно приложение, следва да разгласяват политиката си за отбрана на персоналните данни още веднъж по явен и понятен метод, в структуриран тип с подзаглавия, картинни изображения и схеми, създаващи изясненост.
Практическо практикуване на права от субектите на данните – в осъществяване на тази стъпка организациите би трябвало да вкарат ограничения (технически, организационни и др.), с цел да обезпечат опцията за практикуване на правата, които Регламентът признава на физическите лица , чиито данни се обработват. Така да вземем за пример всяко сдружение следва да създаде вътрешна процедура, посредством която в границите на до един месец при поискване от физическото лице да разпознава всяка персонална информация, която има за това лице (на сървър, свалена на мобилно устройство на собствен чиновник, на книжен притежател или в софтуерна система), и да му я даде в явен и структуриран тип.
Уведомяване за нарушаване на сигурността на персоналните данни – наложително е за всяко дружество да одобри вътрешна процедура и проект за деяние при положение на нарушаване на сигурността на персоналните данни (например пробив в системата, или приключването на персонални данни заради човешка неточност или злонамерено действие); да се дефинира виновен чиновник, да се организира инструктаж на личния състав, и при нарушаване – да се уведоми в границите на до 72 ч. КЗЛД.
* Авторът е юрист от " Герогиев, Тодоров и Ко. "
Това е информация, съдържаща освен име, адрес, телефон и имейл на физическото лице, само че и неговото държание, придвижване в пространството, информации за осъществени покупки, употребявани услуги, потребителски желания, също по този начин за здравословното и финансовото му положение, политически възгледи, видеозаписи на лицето, и редица други.
Именно заради необятно публикуваното и постоянно нерегламентирано и прекалено събиране, култивиране и шерване на персонални данни за физически лица Европейският съюз и Европейската комисия одобриха Регламент (ЕС) 2016/679, по-известен с абревиатурата GDPR. Регламентът планува редица новости по отношение на режима на отбрана на персонални данни, правата на физическите лица и изискуем
Някои от новите условия са:
- повишени и по-стриктно прилагани условия за бистрота, почтеност, правомерност и отчетност и обработването на персонални данни;
- засилено право на физическите лица - субекти на персоналните данни да бъдат осведомени когато и да е за всички аспекти, дейности и опасности, свързани с обработването на персоналните им данни; по отношение на това кой и с каква цел събира и обработва данните им;
- за избрани компании: обвързване да се назначи без значение длъжностно лице по отбрана на данните, както и за осъществяване на нарочни оценки на въздействието върху отбраната на персонални данни на съществуващи и нови действия, процеси, планове и услуги, които се оферират на клиенти;
- обвързване за въвеждане на разнородни организационни, механически и правни ограничения и механизми, с цел да се подсигурява спазването на регламента: нови софтуерни решения и системи, създаване на правилници за държание и вътрешни указания и правила, въвеждане на стеснен достъп до бази данни (на електронен и книжен носител), съдържащи персонални данни, нови ограничения за сигурност, криптиране и анонимизиране на персоналните данни, въвеждане на експлицитни периоди за заличаване на информацията, и други
- обвързване фирмите да работят и обменят персонални данни само и единствено с други сдружения, които са въвели и съблюдават условията на GDPR, в противоположен случай – риск от обилни имуществени наказания.
Спазването на всички тези отговорности и нови условия е скрепено с опцията за налагане на стряскащи административни наказания в размер на 20 млн. евро или 4 % от световния оборот на цялата икономическата група (която сума е по-голяма), към която принадлежи българското сдружение, а не просто на самото сдружение.
С други думи вие може да сте обект на наказания както заради порочните практики, които сами налагате, само че и като част от бизнес-групата, към която принадлежите.
Често подценявана последица, ако вашият бизнес не съблюдава Регламента, е загубата на сегашни и евентуални планове и бизнес сътрудници, понижена конкурентоспособност и доходи.
Големите и междинни предприятия, които могат да понесат обилни имуществени наказания и репутационни опасности, бързат да вкарат GDPR и няма да рискуват да работят с подизпълнители и съконтрахенти, които към момента не са сторили това.
На тяхно място те ще търсят предприятия и сътрудници, които могат да потвърдят, че са положили старания и са въвели ограничения, с цел да съблюдават новите условия. Както бе посочено нагоре, сключването на контракти с сдружения, които не дават отговор на условията на GDPR, е съображение за налагане на наказания в обилни размери и сериозен тласък за преоценка на построените партньорства и мрежи.
В този смисъл спазването и въвеждането на съответни ограничения за привеждане активността на компанията в сходство с условията на GDPR може да наподобява като бремe за бизнеса, изискващо съществени финансови, човешки и организационни запаси.
Такъв тесногръд взор обаче е контрапродуктивен и пренебрегва преимуществата, които новите правила могат да имат за Вашия бизнес. Освен намаляване на конкуренцията, GDPR може да способства за развиването на компанията ви в други насоки като да вземем за пример - усилване на доверието на клиенти и сътрудници към вас, възстановяване на репутацията, рационализиране на системите за сигурност и повишение мотивацията на чиновниците.
Повишаване на конкурентоспособността : неизбежно огромна част от фирмите, които употребяват подизпълнители и снабдители на артикули и услуги, ще бъдат принудени да заменят досегашните си с такива, които са въвели условията на Регламента за отбрана на персоналните данни. В този смисъл спазването на новите правила ви подсигурява несъмнено преимущество измежду Вашите съперници и ви отваря нови порти и благоприятни условия за бизнес.
Създаване на доверие : доверието на клиенти и сътрудници е основен фактор за триумфа на всеки бизнес. В цифровата епоха, в която живеем, доверието е неразривно обвързвано със сигурността на данните, които клиенти и сътрудници дават. Спазването на GDPR основава опция за всяка компания да увери своите сегашни и бъдещи клиенти, че поставя старания за отбраната на персоналните им данни.
Сигурност и бистрота : въвеждането на организационните и техническите условия на GDPR ще способства за по-лесно и транспарантно ръководство на процесите във Вашата организация и по-добра отбрана на комерсиалните Ви секрети и бази данни.
Подобряване на корпоративната просвета и мотивацията на чиновници посредством въвеждането и спазването на ясни правила за обработка на персоналните им данни, отчетност и сигурност на информацията им.
Макар датата на влизане в действие на Общия правилник за отбрана на персоналните данни - края на май - да е напълно близо, към момента не е късно да се подхващат нужни ограничения, с цел да може всеки да се възползва от бизнес преимуществата, които Регламентът предлага. По данни на КЗЛД, изследванията демонстрират, че към 80% от фирмите в България не са готови да реагират на въвеждането на Общия правилник за отбрана на данните.
Как се реализира сходство с новите условия:
Не съществува единна формула или логаритъм от дейности, които да подсигуряват, че при използването им, ще се отговори автоматизирано на условията на Регламента и ще се предпазите от имуществени наказания. Действията по привеждане на активността ви в сходство с условията в региона на отбраната на персонални данни зависят значително от типа и метода, по който култивиране персонални данни, от законодателството, което контролира активността ви, от вътрешната организация и работни процеси, както и от редица други самостоятелни характерности.
Във всеки случай обаче водещо е да можете да демонстрирате, че сте постави нужните и рационално предстоящи старания да постигнете сходство, че сте анализирали в каква степен спазвате разпоредбите на Регламента и сте определили ограничения, които в допълнение да предприемете .
Регламентът не изисква постигането на безусловна и безспорна степен на отбрана на информацията, обработвана от предприятието ви (която степен надали би могла да бъде постигната), само че държи сметка за рационално предстоящите и положените старания и действително подхванати ограничения и дейности за тази цел.
Националният регулатор - Комисията за отбрана на персоналните данни, е предложила лист с 10 на практика стъпки за използване на Регламента, а точно:
Запознаване с новите нормативни условия в региона на отбраната на персоналните данни - установяване на чиновници или екип, които да дават отговор за привеждане на активността на сдружението или организацията в сходство с новите нормативни условия в региона на отбраната на персоналните данни.
Извършване на вътрешен разбор на дейностите по култивиране на персонални данни – кой, за какво и за какъв период работи с персонални данни на физически лица, дава ли се достъп до тях на външни лица и институции, какви ограничения за сигурност се употребяват при този трансфер. В тази връзка постоянно се изготвя така наречен GAP разбор , чиято цел е да разпознава всички условия и процеси по култивиране на персонални данни, дали това култивиране е законосъобразно в светлината на новите правила и да уточни " пролуките " (оттам и използването на термина GAP – от англ. език – " дупка ", " междина " ), за отстраняването на които е належащо да бъдат подхванати спомагателни дейности и ограничения.
Преценка дали е налице обвързване да се дефинира длъжностно лице по отбрана на данните , надлежно назначението на такова лице. Тук е значимо да отбележим, че към момента на Европейско равнище липсва признат обединен стандарт за образование на такива лица.
Управление на риска във връзка с отбраната на персоналните данни – идентифициране на вероятните проблематични зони, които са свързани със повишен риск от непозволена обработка на персонални данни , например сривове в системите, в които се съхраняват, реализиране на непозволено човешко влияние – даване на данните на трети лица, потреблението им по забранен метод и за персонални цели, и други Целта на тази четвърта стъпка е, ако се откри съществуването на висок риск, да се набележат подобаващи ограничения, които адресират и понижават този риск. При нужда следва да се проведат и наложителни предварителни съвещания с КЗЛД .
Приемане на проект за деяние – без значение дали рискът от непозволено и незаконосъобразно култивиране на персоналните данни е висок или невисок, всяко дружество следва да разпише проект за деяние за привеждане на активността си в сходство с новите правила. По този метод най-малкото ще бъде в положение потвърди, че е положило нужните старания и ще понижи опцията за носене на административно-наказателна и имуществена отговорност.
Документиране и отчетност – Тази стъпка включва:
1) основаване и постоянно актуализиране на вътрешен указател на дейностите по култивиране на персонални данни в сдружението (не е наложително за организации с до 250 наети чиновници и служащи на трудов или цивилен договор);
2) разказване на подхванатите ограничения за отбрана на персоналните данни; 3) съществуването на вътрешни правилници и обновени бланки и договорни клаузи в светлината на новите правила;
Преглед на правните учредения за култивиране на персонални данни , в това число въз основа на единодушие на лицата – следва да се извърши деликатна преценка дали админът на персонални данни фактически има законно съображение да изисква и да обработва данните на физически лица, както прави към сегашния момент; дали не е належащо да ограничи обработката на данни или да престане да употребява заявления за единодушие от физическото лице, тъй като единодушието му не е осведомено или свободно обещано, по смисъла на новия Регламент.
Така да вземем за пример категорично се приема, че работодателят няма право да събира персонални данни за своите чиновници на база тяхното единодушие (тъй като същото не е свободно дадено) и следва да се прекрати практиката за включването на такива клаузи или заявления при наемане на работа.
Информираност на субектите на данните и бистрота на обработването – Регламентът, а и Директивата преди него, изискват преди персоналните данни да се съберат от лицето, на последното да бъде предоставяна систематизирана, къса и разбираема информация за задачите и метода на обработка, за субекта, който ще обработва данните му, за какъв период, пред кого може да подаде тъжба при положение на нарушавания, и други
Работодателите би трябвало да вземем за пример да осведомят по подобаващ метод служащите си, в случай че правят видеонаблюдение на работното място или на електронната им връзка. Организациите, притежаващи персонална интернет страница или мобилно приложение, следва да разгласяват политиката си за отбрана на персоналните данни още веднъж по явен и понятен метод, в структуриран тип с подзаглавия, картинни изображения и схеми, създаващи изясненост.
Практическо практикуване на права от субектите на данните – в осъществяване на тази стъпка организациите би трябвало да вкарат ограничения (технически, организационни и др.), с цел да обезпечат опцията за практикуване на правата, които Регламентът признава на физическите лица , чиито данни се обработват. Така да вземем за пример всяко сдружение следва да създаде вътрешна процедура, посредством която в границите на до един месец при поискване от физическото лице да разпознава всяка персонална информация, която има за това лице (на сървър, свалена на мобилно устройство на собствен чиновник, на книжен притежател или в софтуерна система), и да му я даде в явен и структуриран тип.
Уведомяване за нарушаване на сигурността на персоналните данни – наложително е за всяко дружество да одобри вътрешна процедура и проект за деяние при положение на нарушаване на сигурността на персоналните данни (например пробив в системата, или приключването на персонални данни заради човешка неточност или злонамерено действие); да се дефинира виновен чиновник, да се организира инструктаж на личния състав, и при нарушаване – да се уведоми в границите на до 72 ч. КЗЛД.
* Авторът е юрист от " Герогиев, Тодоров и Ко. "
Източник: dnevnik.bg
КОМЕНТАРИ