Ето как да се подготвите в последния момент за новите правила за защита на личните данни
Снимка и създател Флагман.бг
От 25 май 2018 година във всички държави-членки на Европейския съюз ще се ползват нови правила за отбрана на персоналните данни. Те са уредени в така наречен Общ правилник за отбрана на персоналните данни (GDPR). С влизането в действие на регламента се вкарват по-високи стандарти за отбрана на данните, разширени права на физическите лица и нови отговорности за админите на персонални данни, заяви Флагман.бг.
В тази връзка и заради изтичащия период за подготовка, след който ни грозят солени наказания, потърсихме за разбор на условията и за съответни насоки юрист Ангелина Вълканова от адвокатско сдружение " Стоянов и съдружници " -Бургас, които имат дълготраен опит в дейностите по отбрана на персоналните данни и осведомителната сигурност:
Регламентът урежда по нов метод връзките, свързани със отбраната на персоналните данни на физическите лица, по отношение на което се вкарват отговорности на админите на персонални данни и обработващите персонални данни. Регламентът ще се ползва по отношение на отбраната на данните във връзка с всички физически и юридически лица, които правят интервенции с персонални данни, т.е. информация, позволяваща идентифицирането на обещано лице, (администратори и обработващи персонални данни).
С влизането си в действие Регламентът постанова и въвеждане на редица механически ограничения и начини за обезпечаване на нужното равнище на отбрана на обработването и съхраняването на персоналните данни. Изисква се организациите от всевъзможен мащаб да одобряват нови процеси и политики, целящи да дават на крайния консуматор по-високо равнище на надзор върху персоналните му данни. Голяма част от тях са свързани със списването на нови процедури и инструкции, спомагателни образования на чиновниците и възобновяване на системите за обработка на информацията за налагането на новите ограничения, които се вкарват.
За да се подсигурява спазването на новия режим на отбрана на данните, се плануват съществени по мярка санкции и наказания, достигащи до 10 000 000 евро или 2% от общия годишен международен оборот за миналата финансова година на предприятието, която от двете суми е по-висока, а при неспазване на разпорежданията на надзорния орган (Комисия за отбрана на персоналните данни) глоба/санкция – до 20 000 000 евро или до 4% от общия годишен международен оборот на предприятието за миналата финансова година, която всред двете суми е по-висока.
Правата на субектите на данни, наранени от нарушавания, осъществени от админа или обработващия, са обезпечени и посредством плануванаъа опция за предявяване на иск за обезщетение за вреди, в случай че администраторът/обработващият не потвърди, че по никакъв метод не носи отговорност за нарушаването.
На първо място, с цел да бъде съобразено със закона, обработването на персонални данни би трябвало да се прави въз основа на категорично единодушие на субекта на данните, обещано за съответните цели, чието свободно предоставяне администраторът/обработващият данни следва да е в положение да потвърди във всеки един миг и което може да бъде оттеглено когато и да е.
Въвеждат се специфични условия що се касае до даването на единодушие за култивиране на персоналните данни на лица под 16-годишна възраст, както и във връзка с обработката на някои категории персонални данни, свързани с породист или етнически генезис, политически, религиозни и метафизичен убеждения, участие в синдикални организации, генетични и биометрични данни, както и данни за здравния статус, половия живот и половата ориентировка на лицата.
Важно е да се означи, че задължението за Регистрация пред Комисията за отбрана на персоналните данни отпада, считано от 25 май 2018 година. Вместо това администраторът/обработващият персонални данни ще би трябвало да обезпечи в детайли писмено разписване и огромно документиране на процесите и процедурите за обработка на персонални данни, които да може да регистрира във всеки един миг при инспекция.
Всички компании, които имат повече от 250 чиновници, би трябвало да поддържат указател за обработка на персоналните данни в писмена или електронна форма.
Въвежда се обвързване за назначение на Длъжностно лице по отбрана на данните в случаи, когато администраторите/обработващите персонални данни са обществени органи или структури, или предприятия, обработващи систематично и постоянно огромно наблюдаване на субектите на данни или огромно култивиране на специфичните категории данни, посочени по-
горе.
Длъжностно лице по отбрана на данните има функционалност да поддържа регистъра за обработка на персоналните данни, поучава администратора/обработващия по отношение на използването на GDPR и следи за спазването му в съдействие с КЗЛД.
Въвежда се и обвързване за правене на оценка за влияние на риска при обработката на персонални данни с оглед определянето на подобаващи ограничения за сигурност на персоналните данни, а в случаите, когато се изисква назначението на Длъжностно лице по отбрана на данните, след предварителна консултация с него. Когато рискът е висок – и след авансово координиране с КЗЛД, респективно и обвързване за предприемането на съответни на риска от нарушение на сигурността на персоналните данни механически ограничения за отбрана.
Администраторът/обработващият персонални данни би трябвало да планува и създаде проект за възобновяване при бедствия, повреди, нерегламентиран достъп и други, възобновяване на пароли и системи за ръководство на ключове за достъп до персонални данни, с които разполага.
Въвежда се обвързване за запазване на записи, в това число и на общо изложение на подхванатите механически и организационни ограничения за сигурност.
Въвежда се обвързване за известяван на надзорния орган и на субектите, чиито права и ползи са сложени под риск, при нарушение на сигурността на персоналните данни, както и поддържането на указател на всички нарушавания на сигурността на данните.
Съществен миг е въвеждането и на отговорности за даване на информация по отношение на обработката на предоставените персонални данни, обвързване за обезпечаване на достъп до данните, обвързване за поправяне на неточни данни, съхранявани от админа, обвързване за заличаване, когато субектът на данни упражни правото си „ да бъде пропуснат “, обвързване за ограничение на обработката, когато субектът е поискал обработката на съхраняваните данни да се ограничи краткотрайно, вместо същите да се изтрият, обвързване на администратора/обработващият да трансферира директно съхраняваните данни на различен админ, когато субектът съобщи това, както и обвързване за преустановяване на обработката на персонални данни за задачите на директния маркетинг, когато субектът възрази против тази обработка.
С оглед избягването на възможни наказания заради неспазване на условията на GDPR, предлагам да се съблюдават следните стъпки:
Проучване и анализиране на Общия правилник за отбрана на данните;
Анализ на дейностите по култивиране на персоналните данни, които се обработват, задачите, за които се обработват, подхванатите ограничения за тяхната отбрана и впрочем.
Преценка дали е налице обвързване да се дефинира длъжностно лице по отбрана на данните и неговият избор/назначаване.
Изготвяне на оценка на въздействието върху отбраната на персоналните данни. В случаите, когато се изисква назначение на Длъжностно лице по отбрана на данните, оценката на въздействието се прави с неговото подпомагане, а когато рискът е висок – и след авансово координиране с КЛЗД.
Предприемане на проект за деяние, с който съответно са избрани ограниченията, които следва да бъдат предприети; лицата, които следва да подхващат съответните ограничения и периодите, в които същите следва да бъдат подхванати.
Създаване и поддържане на вътрешен указател на дейностите по култивиране, както и обезпечаването на „ документална диря “, осигуряваща оптималната отчетност на администратора/обработващия пред КЗЛД.
Преглед на правните учредения за обработка на персоналните данни, в това число въз основа на единодушието на лицата.
Предоставяне на информация на субектите на данни според условията на Общия правилник за отбрана на данните.
Разписване на процедурите, гарантиращи упражняването на новите права на субектите на данни, планувани от GDPR.
Уведомяване на КЗЛД за нарушение на сигурността на съхраняваните персонални данни, респективно известяван на засегнатите лица.
От 25 май 2018 година във всички държави-членки на Европейския съюз ще се ползват нови правила за отбрана на персоналните данни. Те са уредени в така наречен Общ правилник за отбрана на персоналните данни (GDPR). С влизането в действие на регламента се вкарват по-високи стандарти за отбрана на данните, разширени права на физическите лица и нови отговорности за админите на персонални данни, заяви Флагман.бг.
В тази връзка и заради изтичащия период за подготовка, след който ни грозят солени наказания, потърсихме за разбор на условията и за съответни насоки юрист Ангелина Вълканова от адвокатско сдружение " Стоянов и съдружници " -Бургас, които имат дълготраен опит в дейностите по отбрана на персоналните данни и осведомителната сигурност:
Регламентът урежда по нов метод връзките, свързани със отбраната на персоналните данни на физическите лица, по отношение на което се вкарват отговорности на админите на персонални данни и обработващите персонални данни. Регламентът ще се ползва по отношение на отбраната на данните във връзка с всички физически и юридически лица, които правят интервенции с персонални данни, т.е. информация, позволяваща идентифицирането на обещано лице, (администратори и обработващи персонални данни).
С влизането си в действие Регламентът постанова и въвеждане на редица механически ограничения и начини за обезпечаване на нужното равнище на отбрана на обработването и съхраняването на персоналните данни. Изисква се организациите от всевъзможен мащаб да одобряват нови процеси и политики, целящи да дават на крайния консуматор по-високо равнище на надзор върху персоналните му данни. Голяма част от тях са свързани със списването на нови процедури и инструкции, спомагателни образования на чиновниците и възобновяване на системите за обработка на информацията за налагането на новите ограничения, които се вкарват.
За да се подсигурява спазването на новия режим на отбрана на данните, се плануват съществени по мярка санкции и наказания, достигащи до 10 000 000 евро или 2% от общия годишен международен оборот за миналата финансова година на предприятието, която от двете суми е по-висока, а при неспазване на разпорежданията на надзорния орган (Комисия за отбрана на персоналните данни) глоба/санкция – до 20 000 000 евро или до 4% от общия годишен международен оборот на предприятието за миналата финансова година, която всред двете суми е по-висока.
Правата на субектите на данни, наранени от нарушавания, осъществени от админа или обработващия, са обезпечени и посредством плануванаъа опция за предявяване на иск за обезщетение за вреди, в случай че администраторът/обработващият не потвърди, че по никакъв метод не носи отговорност за нарушаването.
На първо място, с цел да бъде съобразено със закона, обработването на персонални данни би трябвало да се прави въз основа на категорично единодушие на субекта на данните, обещано за съответните цели, чието свободно предоставяне администраторът/обработващият данни следва да е в положение да потвърди във всеки един миг и което може да бъде оттеглено когато и да е.
Въвеждат се специфични условия що се касае до даването на единодушие за култивиране на персоналните данни на лица под 16-годишна възраст, както и във връзка с обработката на някои категории персонални данни, свързани с породист или етнически генезис, политически, религиозни и метафизичен убеждения, участие в синдикални организации, генетични и биометрични данни, както и данни за здравния статус, половия живот и половата ориентировка на лицата.
Важно е да се означи, че задължението за Регистрация пред Комисията за отбрана на персоналните данни отпада, считано от 25 май 2018 година. Вместо това администраторът/обработващият персонални данни ще би трябвало да обезпечи в детайли писмено разписване и огромно документиране на процесите и процедурите за обработка на персонални данни, които да може да регистрира във всеки един миг при инспекция.
Всички компании, които имат повече от 250 чиновници, би трябвало да поддържат указател за обработка на персоналните данни в писмена или електронна форма.
Въвежда се обвързване за назначение на Длъжностно лице по отбрана на данните в случаи, когато администраторите/обработващите персонални данни са обществени органи или структури, или предприятия, обработващи систематично и постоянно огромно наблюдаване на субектите на данни или огромно култивиране на специфичните категории данни, посочени по-
горе.
Длъжностно лице по отбрана на данните има функционалност да поддържа регистъра за обработка на персоналните данни, поучава администратора/обработващия по отношение на използването на GDPR и следи за спазването му в съдействие с КЗЛД.
Въвежда се и обвързване за правене на оценка за влияние на риска при обработката на персонални данни с оглед определянето на подобаващи ограничения за сигурност на персоналните данни, а в случаите, когато се изисква назначението на Длъжностно лице по отбрана на данните, след предварителна консултация с него. Когато рискът е висок – и след авансово координиране с КЗЛД, респективно и обвързване за предприемането на съответни на риска от нарушение на сигурността на персоналните данни механически ограничения за отбрана.
Администраторът/обработващият персонални данни би трябвало да планува и създаде проект за възобновяване при бедствия, повреди, нерегламентиран достъп и други, възобновяване на пароли и системи за ръководство на ключове за достъп до персонални данни, с които разполага.
Въвежда се обвързване за запазване на записи, в това число и на общо изложение на подхванатите механически и организационни ограничения за сигурност.
Въвежда се обвързване за известяван на надзорния орган и на субектите, чиито права и ползи са сложени под риск, при нарушение на сигурността на персоналните данни, както и поддържането на указател на всички нарушавания на сигурността на данните.
Съществен миг е въвеждането и на отговорности за даване на информация по отношение на обработката на предоставените персонални данни, обвързване за обезпечаване на достъп до данните, обвързване за поправяне на неточни данни, съхранявани от админа, обвързване за заличаване, когато субектът на данни упражни правото си „ да бъде пропуснат “, обвързване за ограничение на обработката, когато субектът е поискал обработката на съхраняваните данни да се ограничи краткотрайно, вместо същите да се изтрият, обвързване на администратора/обработващият да трансферира директно съхраняваните данни на различен админ, когато субектът съобщи това, както и обвързване за преустановяване на обработката на персонални данни за задачите на директния маркетинг, когато субектът възрази против тази обработка.
С оглед избягването на възможни наказания заради неспазване на условията на GDPR, предлагам да се съблюдават следните стъпки:
Проучване и анализиране на Общия правилник за отбрана на данните;
Анализ на дейностите по култивиране на персоналните данни, които се обработват, задачите, за които се обработват, подхванатите ограничения за тяхната отбрана и впрочем.
Преценка дали е налице обвързване да се дефинира длъжностно лице по отбрана на данните и неговият избор/назначаване.
Изготвяне на оценка на въздействието върху отбраната на персоналните данни. В случаите, когато се изисква назначение на Длъжностно лице по отбрана на данните, оценката на въздействието се прави с неговото подпомагане, а когато рискът е висок – и след авансово координиране с КЛЗД.
Предприемане на проект за деяние, с който съответно са избрани ограниченията, които следва да бъдат предприети; лицата, които следва да подхващат съответните ограничения и периодите, в които същите следва да бъдат подхванати.
Създаване и поддържане на вътрешен указател на дейностите по култивиране, както и обезпечаването на „ документална диря “, осигуряваща оптималната отчетност на администратора/обработващия пред КЗЛД.
Преглед на правните учредения за обработка на персоналните данни, в това число въз основа на единодушието на лицата.
Предоставяне на информация на субектите на данни според условията на Общия правилник за отбрана на данните.
Разписване на процедурите, гарантиращи упражняването на новите права на субектите на данни, планувани от GDPR.
Уведомяване на КЗЛД за нарушение на сигурността на съхраняваните персонални данни, респективно известяван на засегнатите лица.
Източник: petel.bg
КОМЕНТАРИ