12 неща, които трябва да знаем за GDPR
Новият правилник на Европейски Съюз за отбрана на персоналните данни вкарва серия условия за боравенето с деликатната лична информация
Нов и доста по-различен смисъл ще придобие понятието „ персонални данни ” с влизането в действие на новия правилник на Европейски Съюз за отбрана на персоналните данни, станал прочут като GDPR. Той ще стане настоящ закон от 26 май 2018 година Освен, че всяка организация би трябвало да има отговорник по отбрана на персоналните данни, регламентът вкарва серия условия за боравенето с деликатната лична информация.
Какво безусловно би трябвало да знаем, с цел да спазим условията на GDPR?
Какво са персонални данни, а дминистратор, об работващ
Лични данни е всяка цялост от данни, която разрешава недвусмисленото идентифициране на обособения субект.
Администратор е лицето (фирма, работа, човек), което събира и натрупва самостоятелни персонални данни.
Обработващ е лицето, което по силата на контракт с админа, обработва персонални данни, събирани от админа. Например, в случай че компания „ Х ” употребява външно счетоводство, то външната счетоводна компания е обработващ персоналните данни на „ Х ”.
Важно: админ и обработващ са солидарно виновни за спазването на всички условия по регламента GDPR! Когато избираме външен сътрудник, обработващ персонални данни, би трябвало да сме сигурни, че той дава отговор на условията на регламента. В договорите сред двете страни това следва да е категорично упоменато.
Личните данни касаят всекиго
Организация, която съхранява каквито и да било персонални данни – за чиновници, за клиенти и за сътрудници – би трябвало да съблюдава условията на GDPR за данните на всеки от тях. Поради това е целесъобразно събирането на допустимо минимум количество данни, нужни за осъществяването на работата. Така се понижава евентуалното нездравословно влияние при вероятно проваляне (изтичане) на персоналната информация.
Глоби до 20 млн. евро
За пробив в отбраната на персоналните данни глобите са големи за мащаба и опциите на множеството български компании. Предвижда се те да са 20 милиона евро или до 4% от годишния оборот за миналата финансова година – избира се по-високата от двете стойности. Ако пробивът е стеснен до територията на една страна, глобата може да бъде наложена и единствено за районното отделение.
Те риториален обсег – без граници
GDPR важи освен за територията на Европейски Съюз. Новият закон за отбраната на персоналните данни обгръща всички места, където се обработват персонални данни на лица от Европейски Съюз. Това значи, че регламентът е годен и отвън територията на пакта – в случай че персонални данни на човек от Европейски Съюз се съхраняват и обработват от организация в Австралия, да вземем за пример, тя също би трябвало да съблюдава регламента.
Центровете за данни и доставчиците на „ облачни ” услуги, които съхраняват персонални данни на хора и от Европейски Съюз, следва да съблюдават условията на GDPR.
Увеличават се правата на индивидите
С GDPR правата на индивидите да имат надзор над своите персонални данни се усилват. Всяка форма на събиране на персонални данни изисква лицето да удостовери своето единодушие, освен това не генерално, а за съответния случай и за съответната цел. В частност това мощно касае активността на медицинските служби в връзките им с пациентите. Като разследване от това:
Поддържане на регистри
Всички организации, които събират, съхраняват и обработват забележителен размер персонални данни (за над 200 души), би трябвало да са подготвени когато и да е да дават информация на индивидите за съхраняваните техни персонални данни и за това по кое време, по каква причина и какви промени по тези персонални данни са правени и по кое време, по какъв начин и за какво са достъпвани. Това значи, че е потребно да се водят регистри за всички дейности, които касаят самостоятелните персонални данни, съхранявани в организацията.
Отговорник по персоналните данни
Всяка организация, която обработва забележителен размер персонални данни, следва да дефинира Длъжностно лице по отбрана на персонални данни (DPO). Лицето следва да има висше обучение, да е директно подчинено на изпълнителния шеф на организацията и да има опит в работата със отбрана на персонални данни.
Кодекс на държание
Всички организации следва да вкарат в своята процедура кодекс за отбрана на персоналните данни. Този кодекс допуска всички чиновници в организацията да са наясно що е персонални данни, по какъв начин се пазят те, какво могат и какво не могат да вършат в организацията за запазване наприкосновеността на съхраняваните персонални данни. Всички новопостъпващи в организацията следва да минават през образование по отношение на характерните за организацията ограничения за запазване на персоналните данни.
Очаква се при въвеждането на регламента у нас да бъдат показани и рекомендации и насоки за боравене с персоналните данни в организациите.
Пълна о тчетност
Необходим е е непрекъснат мониторинг на персоналните данни с изясненост за тяхното положение, ограничения за отбрана, подхванати дейности – в това число кой достъпва, по кое време, по какъв начин и по каква причина персонални данни и какви промени са направени по тях. За задачата са нужни както механически ограничения за следене на всяко деяние, по този начин и съответни процедурни стъпки.
Право „ да бъдеш пропуснат ”
Всеки субект може да изиска неговите персонални данни, съхранявани в дадена организация, да бъдат заличени. Всяка организация следва да има открита процедура за „ забравяне ” на даден субект. Правото „ да бъдеш пропуснат ” не е използвано единствено в избрани случаи, когато законът изисква дадени данни да бъдат съхранявани за избрани интервали от време.
Задължение за у ведомяване на контролните органи и индивидите
В случай на пробив в отбраната на персоналните данни, до 72 часа следва да се уведомят контролните органи. В случая подобен се явява Комисията за отбрана на персоналните данни. Регламентът изисква и известяван на индивидите, чиито персонални данни са наранени от случая.
Презумпция за виновност
GDPR се вкарва в националното законодателство с презумпцията за виновност, т.е. накърняването на персоналните данни автоматизирано поражда виновност до доказване на противното.
Статията е готова взаимно с екип на Мнемоника – консултантска компания, работеща в региона на кибер сигурността и отбраната на данните, с над 600 сполучливо осъществени плана за над 100 организации.
Нов и доста по-различен смисъл ще придобие понятието „ персонални данни ” с влизането в действие на новия правилник на Европейски Съюз за отбрана на персоналните данни, станал прочут като GDPR. Той ще стане настоящ закон от 26 май 2018 година Освен, че всяка организация би трябвало да има отговорник по отбрана на персоналните данни, регламентът вкарва серия условия за боравенето с деликатната лична информация.
Какво безусловно би трябвало да знаем, с цел да спазим условията на GDPR?
Какво са персонални данни, а дминистратор, об работващ
Лични данни е всяка цялост от данни, която разрешава недвусмисленото идентифициране на обособения субект.
Администратор е лицето (фирма, работа, човек), което събира и натрупва самостоятелни персонални данни.
Обработващ е лицето, което по силата на контракт с админа, обработва персонални данни, събирани от админа. Например, в случай че компания „ Х ” употребява външно счетоводство, то външната счетоводна компания е обработващ персоналните данни на „ Х ”.
Важно: админ и обработващ са солидарно виновни за спазването на всички условия по регламента GDPR! Когато избираме външен сътрудник, обработващ персонални данни, би трябвало да сме сигурни, че той дава отговор на условията на регламента. В договорите сред двете страни това следва да е категорично упоменато.
Личните данни касаят всекиго
Организация, която съхранява каквито и да било персонални данни – за чиновници, за клиенти и за сътрудници – би трябвало да съблюдава условията на GDPR за данните на всеки от тях. Поради това е целесъобразно събирането на допустимо минимум количество данни, нужни за осъществяването на работата. Така се понижава евентуалното нездравословно влияние при вероятно проваляне (изтичане) на персоналната информация.
Глоби до 20 млн. евро
За пробив в отбраната на персоналните данни глобите са големи за мащаба и опциите на множеството български компании. Предвижда се те да са 20 милиона евро или до 4% от годишния оборот за миналата финансова година – избира се по-високата от двете стойности. Ако пробивът е стеснен до територията на една страна, глобата може да бъде наложена и единствено за районното отделение.
Те риториален обсег – без граници
GDPR важи освен за територията на Европейски Съюз. Новият закон за отбраната на персоналните данни обгръща всички места, където се обработват персонални данни на лица от Европейски Съюз. Това значи, че регламентът е годен и отвън територията на пакта – в случай че персонални данни на човек от Европейски Съюз се съхраняват и обработват от организация в Австралия, да вземем за пример, тя също би трябвало да съблюдава регламента.
Центровете за данни и доставчиците на „ облачни ” услуги, които съхраняват персонални данни на хора и от Европейски Съюз, следва да съблюдават условията на GDPR.
Увеличават се правата на индивидите
С GDPR правата на индивидите да имат надзор над своите персонални данни се усилват. Всяка форма на събиране на персонални данни изисква лицето да удостовери своето единодушие, освен това не генерално, а за съответния случай и за съответната цел. В частност това мощно касае активността на медицинските служби в връзките им с пациентите. Като разследване от това:
Поддържане на регистри
Всички организации, които събират, съхраняват и обработват забележителен размер персонални данни (за над 200 души), би трябвало да са подготвени когато и да е да дават информация на индивидите за съхраняваните техни персонални данни и за това по кое време, по каква причина и какви промени по тези персонални данни са правени и по кое време, по какъв начин и за какво са достъпвани. Това значи, че е потребно да се водят регистри за всички дейности, които касаят самостоятелните персонални данни, съхранявани в организацията.
Отговорник по персоналните данни
Всяка организация, която обработва забележителен размер персонални данни, следва да дефинира Длъжностно лице по отбрана на персонални данни (DPO). Лицето следва да има висше обучение, да е директно подчинено на изпълнителния шеф на организацията и да има опит в работата със отбрана на персонални данни.
Кодекс на държание
Всички организации следва да вкарат в своята процедура кодекс за отбрана на персоналните данни. Този кодекс допуска всички чиновници в организацията да са наясно що е персонални данни, по какъв начин се пазят те, какво могат и какво не могат да вършат в организацията за запазване наприкосновеността на съхраняваните персонални данни. Всички новопостъпващи в организацията следва да минават през образование по отношение на характерните за организацията ограничения за запазване на персоналните данни.
Очаква се при въвеждането на регламента у нас да бъдат показани и рекомендации и насоки за боравене с персоналните данни в организациите.
Пълна о тчетност
Необходим е е непрекъснат мониторинг на персоналните данни с изясненост за тяхното положение, ограничения за отбрана, подхванати дейности – в това число кой достъпва, по кое време, по какъв начин и по каква причина персонални данни и какви промени са направени по тях. За задачата са нужни както механически ограничения за следене на всяко деяние, по този начин и съответни процедурни стъпки.
Право „ да бъдеш пропуснат ”
Всеки субект може да изиска неговите персонални данни, съхранявани в дадена организация, да бъдат заличени. Всяка организация следва да има открита процедура за „ забравяне ” на даден субект. Правото „ да бъдеш пропуснат ” не е използвано единствено в избрани случаи, когато законът изисква дадени данни да бъдат съхранявани за избрани интервали от време.
Задължение за у ведомяване на контролните органи и индивидите
В случай на пробив в отбраната на персоналните данни, до 72 часа следва да се уведомят контролните органи. В случая подобен се явява Комисията за отбрана на персоналните данни. Регламентът изисква и известяван на индивидите, чиито персонални данни са наранени от случая.
Презумпция за виновност
GDPR се вкарва в националното законодателство с презумпцията за виновност, т.е. накърняването на персоналните данни автоматизирано поражда виновност до доказване на противното.
Статията е готова взаимно с екип на Мнемоника – консултантска компания, работеща в региона на кибер сигурността и отбраната на данните, с над 600 сполучливо осъществени плана за над 100 организации.
Източник: technews.bg
КОМЕНТАРИ