Какво научихме за три години GDPR?
Авторите са юристи в адвокатско сдружение " Димитров, Петров и ко. " Радослава Макшутова специализира в региона на правото на осведомителните и информационните технологии и отбраната на персоналните данни. Правен специалист към Фондация " Право и Интернет ". Доц. доктор Мартин Захариев специализира в региона на правото на интелектуалната благосъстоятелност, разногласия с домейн имена, персонални данни и арбитраж.
През пролетта на 2018 година едно четирибуквено редуциране беше на всички места - GDPR (от британското General Data Protection Regulation - Общ правилник за отбрана на данните). Темата за отбраната на персоналните данни внезапно се трансформира във водеща, хората започнаха да обръщат повече внимание на това по какъв начин и за какво се обработват данните им, а бизнесите в Европейския съюз (ЕС) и отвън него - да разучават новите условия и да се пробват да приведат дейностите си в сходство. Причината бе, че от 25 май 2018 година стартира да се ползва новият европейски правилник за отбрана на данните. Той вкара по-строги условия за обработването на персонални данни, съпроводени със сурови наказания за нарушавания.
Какво се промени три години откакто новите правила на GDPR започнаха да се ползват и какво научихме?
1. GDPR не е равноценен на възбрана да се обработват персонални данни
Три години по-късно към този момент знаем, че въпреки GDPR да вкарва голям брой условия, той не е равноценен на възбрана за култивиране на персонални данни. Всеки от нас участва в обществото със своето име, специалност и професионален опит, външен образ, познания, пълномощия и мнение и обработването на тези данни е належащо за нашето идентифициране, с цел да можем пълноценно да участваме в публичния живот и да бъдем различавани от другите. В допълнение, всеки от нас всекидневно има допир до персонални данни и няма по какъв начин това да се избегне, без значение дали попада в обсега на GDPR или не. Нещо повече - няма бизнес или обществен орган, който в хода на естествената си активност да не обработва персонални данни - за чиновници, за клиенти или техни представители/служители, за жители и така нататък
2. " Пълното сходство " е нескончаем развой
В последните три години постоянно се приказва за " цялостно сходство " (full compliance) на един бизнес с GDPR и визията нормално е за набор от документи, който би трябвало да бъде направен еднократно и с който може да се подсигурява сходството отсега нататък. За страдание осъществяването на условията на GDPR не е еднократно изпитание по правене на документи. Както всеки бизнес се развива, по този начин и осъществяваните интервенции по култивиране на персонални данни се развиват и трансформират и прилаганите документи и процедури се нуждаят от постоянен обзор и актуализация. Отделно от това, значимо е освен админът (който дефинира за какво и по какъв начин се обработват персонални данни) да разполага със съответните документи, само че и да ги ползва дейно в оптималната степен. Дори една организация да има чудесни документи, в случай че на процедура не ги съблюдава и това бъде открито от Комисията за отбрана на персоналните данни (КЗЛД) (като да вземем за пример нарушаване на сигурността или събиране на данни без основание), тя ще бъде глобена макар използваните по документи процедури. Както воденето на счетоводство е динамичен развой и допуска осчетоводяването на всяка стопанска интервенция, по този начин и всяко култивиране на персонални данни следва да бъде документирано, в компанията да е ясно за какво се прави обработването и какви правила и гаранции би трябвало да се ползват, с цел да се съблюдават условията на закона.
3. Научихме що е то " отчетност " по GDPR
GDPR вкара нов принцип при обработването на персонални данни - този на отчетността. Това значи, че админите на персонални данни би трябвало да могат да потвърдят, че съблюдават всички правила на GDPR (законосъобразност, почтеност и бистрота, ограничаване на задачите, свеждане на данните до най-малко, акуратност, ограничаване на съхранението, целокупност и поверителност). Какво значи това на процедура? Най-често за задачите на отчетността служат вътрешни документи на админа, в които горните правила намират място. Пример за такива са вътрешни правила, в които се дефинират отговорностите на чиновниците по обработването на персонални данни, политики за предпазване на персонални данни, указания за съблюдаване на механически и организационни ограничения за култивиране на персонални данни, както и наложителните за съвсем всички админи регистри на дейностите по култивиране. В тези регистри се отразяват спецификите на главните процеси по култивиране на данни - връзки с личен състав, претенденти за работа, клиенти, снабдители, видеонаблюдение и други Във връзка с правилото за бистрота админът следва да осведоми лицата, чиито данни обработва, за осъществяваното от него култивиране, като им даде детайлна и елементарно разбираема информация за това какви данни обработва, какви цели преследва с това и на какво съображение. Субектите на данни би трябвало да са осведомени и за какви периоди се пазят данните им, на кого могат да се разкриват, какви права имат хората и по какъв начин могат да ги упражнят дейно. В допълнение, админите би трябвало да ползват процедури за разглеждане на претенции за практикуване на права и за съобщаване при положение на нарушение на сигурността (когато се изисква), основни промени в обработването и всяка друга информация, която визира доста хората.
През пролетта на 2018 година едно четирибуквено редуциране беше на всички места - GDPR (от британското General Data Protection Regulation - Общ правилник за отбрана на данните). Темата за отбраната на персоналните данни внезапно се трансформира във водеща, хората започнаха да обръщат повече внимание на това по какъв начин и за какво се обработват данните им, а бизнесите в Европейския съюз (ЕС) и отвън него - да разучават новите условия и да се пробват да приведат дейностите си в сходство. Причината бе, че от 25 май 2018 година стартира да се ползва новият европейски правилник за отбрана на данните. Той вкара по-строги условия за обработването на персонални данни, съпроводени със сурови наказания за нарушавания.
Какво се промени три години откакто новите правила на GDPR започнаха да се ползват и какво научихме?
1. GDPR не е равноценен на възбрана да се обработват персонални данни
Три години по-късно към този момент знаем, че въпреки GDPR да вкарва голям брой условия, той не е равноценен на възбрана за култивиране на персонални данни. Всеки от нас участва в обществото със своето име, специалност и професионален опит, външен образ, познания, пълномощия и мнение и обработването на тези данни е належащо за нашето идентифициране, с цел да можем пълноценно да участваме в публичния живот и да бъдем различавани от другите. В допълнение, всеки от нас всекидневно има допир до персонални данни и няма по какъв начин това да се избегне, без значение дали попада в обсега на GDPR или не. Нещо повече - няма бизнес или обществен орган, който в хода на естествената си активност да не обработва персонални данни - за чиновници, за клиенти или техни представители/служители, за жители и така нататък
2. " Пълното сходство " е нескончаем развой
В последните три години постоянно се приказва за " цялостно сходство " (full compliance) на един бизнес с GDPR и визията нормално е за набор от документи, който би трябвало да бъде направен еднократно и с който може да се подсигурява сходството отсега нататък. За страдание осъществяването на условията на GDPR не е еднократно изпитание по правене на документи. Както всеки бизнес се развива, по този начин и осъществяваните интервенции по култивиране на персонални данни се развиват и трансформират и прилаганите документи и процедури се нуждаят от постоянен обзор и актуализация. Отделно от това, значимо е освен админът (който дефинира за какво и по какъв начин се обработват персонални данни) да разполага със съответните документи, само че и да ги ползва дейно в оптималната степен. Дори една организация да има чудесни документи, в случай че на процедура не ги съблюдава и това бъде открито от Комисията за отбрана на персоналните данни (КЗЛД) (като да вземем за пример нарушаване на сигурността или събиране на данни без основание), тя ще бъде глобена макар използваните по документи процедури. Както воденето на счетоводство е динамичен развой и допуска осчетоводяването на всяка стопанска интервенция, по този начин и всяко култивиране на персонални данни следва да бъде документирано, в компанията да е ясно за какво се прави обработването и какви правила и гаранции би трябвало да се ползват, с цел да се съблюдават условията на закона.
3. Научихме що е то " отчетност " по GDPR
GDPR вкара нов принцип при обработването на персонални данни - този на отчетността. Това значи, че админите на персонални данни би трябвало да могат да потвърдят, че съблюдават всички правила на GDPR (законосъобразност, почтеност и бистрота, ограничаване на задачите, свеждане на данните до най-малко, акуратност, ограничаване на съхранението, целокупност и поверителност). Какво значи това на процедура? Най-често за задачите на отчетността служат вътрешни документи на админа, в които горните правила намират място. Пример за такива са вътрешни правила, в които се дефинират отговорностите на чиновниците по обработването на персонални данни, политики за предпазване на персонални данни, указания за съблюдаване на механически и организационни ограничения за култивиране на персонални данни, както и наложителните за съвсем всички админи регистри на дейностите по култивиране. В тези регистри се отразяват спецификите на главните процеси по култивиране на данни - връзки с личен състав, претенденти за работа, клиенти, снабдители, видеонаблюдение и други Във връзка с правилото за бистрота админът следва да осведоми лицата, чиито данни обработва, за осъществяваното от него култивиране, като им даде детайлна и елементарно разбираема информация за това какви данни обработва, какви цели преследва с това и на какво съображение. Субектите на данни би трябвало да са осведомени и за какви периоди се пазят данните им, на кого могат да се разкриват, какви права имат хората и по какъв начин могат да ги упражнят дейно. В допълнение, админите би трябвало да ползват процедури за разглеждане на претенции за практикуване на права и за съобщаване при положение на нарушение на сигурността (когато се изисква), основни промени в обработването и всяка друга информация, която визира доста хората.
Източник: capital.bg
КОМЕНТАРИ