Мерките, които трябва да бъдат взети, за да отговаряте на новите изисквания на GDPR са два основни типа – административни и технически.
I. Административни мерки:
1. Прозрачност при събирането на личните данни:
a. Всеки АЛД трябва да даде точна и ясна информация на субектите за целите на събиране на ЛД, както и да гарантира, че има строги правила за достъпа до тях, съхранението, обработването и унищожаването им. Задължително условие е получаването на съгласие от субекта за събирането и обработването на ЛД, ако за това не съществува друго основание. Въвеждат се изисквания за текстовете, свързани с искането на съгласие - да са ясни, кратки, лесноразбираеми (да не се ползват неразбираеми термини от правния жаргон); - да се различават от други теми/въпроси; - да са достъпни за целите на обработката.
Ще трябва да се гарантира, че оттеглянето на съгласието се извършва толкова лесно, колкото и предоставянето му.
b. Всеки субект има право да поиска и да получи информация от АЛД какви данни се съхраняват за него. GDPR предоставя правото на субекта на данните да получава потвърждение, относно:
- целта на обработването;
- категорията на данните;
- получателите на данните;
- срока или критериите за определяне на срока за съхранение;
- правото на възражение срещу обработката;
- съществуването на автоматизирано вземане на решения, включително профилиране.
Всеки субект има правото на:
- искане за коригиране или изтриване на лични данни или ограничаване на обработването им;
- предявяване на жалба до надзорен орган;
- узнаване на източниците на данни, когато същите не са получени от субекта;
- правото да му бъдат предоставени всички тези данни в машинно четим вид.
c. „Правото да бъда забравен“ - всеки субект има право да поиска да „бъде забравен“, т.е. да бъдат изтрити данните за него и да бъде спряно по-нататъшното им разпространяване. Условието за заличаване, включва данните, които вече не са от значение за предвидената обработка или е постъпило искане за оттегляне. Това правило може да бъде изпълнено само ако не противоречи на законов акт, на основата на който трябва да се съхраняват ЛД на субекта или няма да бъде засегнат общественият интерес по отношение на наличието на такива данни.
2. Разработване на точни Вътрешни правила, които да определят :
а. Какви видове Регистри на ЛД има Администратора, къде и как се съхраняват те. Във всеки от регистрите трябва да посочите :
1. За каква цел се изготвя;
2. На базата на какво основание се събират данни в него;
3. На какви носители се съхранява;
4. Кои са отговорните лица, които имат достъп до него;
5. Какъв е срока на съхранение на данните в този регистър.
b. Кой има достъп до личните данни.
Трябва да бъде направен анализ и да бъдат разработени:
1. Декларации за поверителност и неразпространение на информацията за всички служители, които имат достъп до ЛД;
2. Трябва да бъде упоменато в договорите с контрагенти, че давате достъп до личните данни на клиентите си с определена цел (напр. в договора си за счетоводни услуги);
3. Разработване на процедура по уведомяване на КЗЛД в случай на пробив и изтичане на лични данни.
Трябва да бъде разработена процедура, в резултат на която в случай на пробив и изтичане на лични данни, трябва да уведомите КЗЛД без излишно забавяне до 72 часа след узнаването.
4. Разработване на процедура за Вътрешен одит и Анализ на риска.
Вътрешният одит се извършва максимум на 2 години от назначена комисия от поне двама отговорни служители на дружеството. При него се следи къде са слабите места при съхранението на личните данни, спазват ли се всички разписани правила и процедури. Одитът следи дали има промени в бизнес процесите в организацията и трябва ли да се променят правилата и процедурите.
Анализът на риска определя до каква степен може да настъпри увреждане за субектите, чиито лични данни съхранявате и да потвърди адекватността на мерките, които са взети на база на риска от увреждане, който може да настъпи.
II. Технически мерки:
Техническите мерки, които новия регламент GDPR поставя към защитата на личните данни са:
1. Данните за Контрагентите в Базата да са криптирани;
2. Възможност за изтриване на Контрагент, който е изразил изрично желание да не се съхраняват данните му. Изтриването е възможно само след изтичане на законовия срок за съхранение на данните;
3. Оторизиране на достъпа до системата, която обработва личните данни – изисква се задължително влизане с Име на Потребителя по лична карта и въвеждане на длъжност;
4. Възможност за печат и прехвърляне на информацията за даден контрагент в машинно-четим вид ;
5. „Одитни следи“ – това е справка, в която се записват всички действия на Потребителите на системата, свързани с обработката на личните данни. В нея може да се търси по определени критерии, за да можете да отговорите в случай на проверка от КЗЛД какви действия са били извършвани с дадени лични данни.
6. Автоматично изтриване на архивите от сървърите, които са по стари от 5+1 година, законоустановен срок, за да не се съхраняват излишно чувствителни данни.
III. Инструменти за демонстриране на изпълнението на GDPR.
АЛД ще могат да използват одобрени кодекси за поведение или сертифициране, за да осигурят доверие в предоставяните услуги, съобразено със спецификата и потребностите на даден бранш. Браншовите организации се очаква да се свържат с КЗЛД и да дискутират тези добри практики за конкретния отрасъл. Тези инструменти се очаква да осигурят подходящи гаранции при предаването на данни между публични органи и определени структури.
Повече информация за изискванията на новия Регламент, можете да видите ТУК
