- Детайли
-
Публикувана на Вторник, 06 Март 2018 09:21
КАКВО E GDPR или ОРЗД?
GDPR (GENERAL DATA PROTECTION REGLAMENT) или преведено на български език ОРЗД (Общ регламент за защита на даните), представлява Регламент на ЕС 2016/679
Този регламент е приет на 27 април 2016 г. и влиза в сила на 25 май 2018 г. след 2 годишен преходен период. Целта на Регламента е да запази личните данни на гражданите на ЕС, при съвременните, значително променени от технологична гледна точка условия на живот.
Регламентът ще се прилага директно и в България, независимо от това дали ще има промени в ЗЗЛД или в Наредба 1, която регламентира основните мерки, които трябва да се спазват при обработването и съхранението на личните данни. Промените в ЗЗЛД предстои да бъдат публикувани за обществено обсъждане.
Какво са лични данни и кой е АЛД?
Лични данни са всички данни или комбинация от данни на физическо лице, въз основа на които то може да бъде идентифицирано. Напр. име, ЕГН, адрес, пол, възраст, телефон, е-мейл, снимка, IP адрес и т.н.
Чувствителни лични данни - Това са една допълнителна категория от лични данни, които касаят чувствителна информация по отношение на лицето. Напр. здравен статус, етническа и расова принадлежност, сексуална ориентация, политическа принадлежност и др.
Личните данни на физическите лица (субектите) са предоставенни временно на дадено юридическо лице за определени цели, те не му принадлежат. По тази причина юридическото лице в качеството си на администратор на лични данни (АЛД) трабва да спазва определени правила при събирането, обработването, съхранението трансферирането и унищожаването на личните данни. Именно тези правила са подробно описани в Регламента на ЕС.
Администратор на лични данни (АЛД) е всяко физическо или юридическо лице, което събира и обработва лични данни за целите на своята дейност.
Обработващ личните данни е всяко физическо или юридическо лице, което обработва личните данни от името на администратора на лични данни и за неговите цели.
Регламентът обхваща целия ЕС и страните извън ЕС, които обработват лични данни на граждани на ЕС.
КАКВО Е НОВОТО В РЕГЛАМЕНТА СПРЯМО СЕГА ДЕЙСТВАЩИЯ НОРМАТИВ:
1. Увеличаване на размера на санкциите;
2. Изрично съгласие за предоставяне и оттегляне на личните данни;
3. Правото да бъдеш забравен;
4. Профилиране и Псевдонимизация;
5. Преносимост на личните данни;
6. Длъжностно лице (DPO), което да отговаря за процесите и правилата;
7. Уведомяване в случай на пробив на сигурността.
Ще разгледаме всеки един от тези моменти малко по-обширно:
1. САНКЦИИ ПРИ НЕСПАЗВАНЕ НА ОРЗД
Контролиращият орган по Регламента е КЗЛД.
Санкциите налагани от КЗЛД до момента са между 1000лв и 100 000лв.
Като някои от тях са:
6000 лв за отказано съдействие при проверка на Комисията;
10 500 лв за неправомерно разпространение на лични данни;
10 000 лв за събиране на лични данни повече отколкото е необходимо за целта на обработването им.
Според Регламента санкциите, които могат да бъдат налагани след 25.05.2018 г. са до 20 мил.евро или 4% от общия годишен световен оборот на организацията.
2. ИЗРИЧНО СЪГЛАСИЕ ЗА ПРЕДОСТАВЯНЕ НА ДАННИТЕ
В нормативните документи преди GDPR, мълчаливото съгласие на субекта за събиране и съхраняване на данни се смяташе за достатъчно основание за това.
Според GDPR това вече не трябва да бъде така. За да бъдат събирани лични данни на субектите трябва да има едно от следните основания:
А. Законово основание;
Б. Договорно основание;
В. Съгласие на субекта – в случай , че няма законново или договорно основание, АЛД трябва да има изрично, недвусмислено, ясно изразено съгласие за предоставяне на данните. Това съгласие трябва да бъде за една или няколко точно упоменати цели, за които се извършва събирането на данните.
3. ПРАВОТО ДА БЪДЕШ ЗАБРАВЕН
Това е изцяло нов момент в Регламента, който не е съществувал до сега, според който всеки субект има „право да бъде забравен“. Това означава, че ако субектът поиска от АЛД да изтрие личните му данни, Администраторът трябва да го направи и то да изтрие личните му данни от всички места където те се съхраняват. Това правило може да НЕ бъде спазено, само ако има законово основание, на база на което данните на субекта трябва да бъдат съхранявани от АЛД.
4. ПРОФИЛИРАНЕ И ПСЕВДОНИМИЗАЦИЯ
Това също е нов момент в Регламента. Обработването на личните данни на субектите за целите на профилирането и маркетинга трябва да се случва само след изрично ясно изразено съгласие от тяхна страна за това.
Ако АЛД няма такова изрично съгласие може да ползва Псевдонимизация за целите на маркетинга.
5. ПРЕНОСИМОСТ НА ДАННИТЕ
Според новия Регламент всяко лице има право, ако пожелае да получи данните си в машинно-читаем вид, за да може да ги предостави на друг АЛД. Машинно-читаеми данни са - .scv, .txt, .xml и др.
6. ДЛЪЖНОСТНО ЛИЦЕ (DPO)
Длъжностното лице по защита на данните е лицето, което трябва да отговаря за спазването на Регламента при АЛД. То трябва да е запознато с нормативната уредба в България и ЕС. То може да е физическо или юридическо лице и може да е външно или вътрешно за дружеството.
Назначаването на DPO според новия Регламент е задължително, когато е изпълнено поне едно от следните условия:
- публична организация;
- броя на служителите е по-голям от 250 човека;
- обработвате личните данни на повече от 10 000 лица.
В останалите случаи назначаването му е по преценка на мениджмънта на компанията.
Задълженията на Длъжностното лице са:
- Консултативни функции в областта на защитата на личните данни
- Следи и се информира за новости в нормативната уредба, законодателството и практиката в сферата на защитата на личните данни;
- Информира и съветва администратора на лични данни за промени свързани със защитата;
- Следи за спазването на Вътрешните правила;
- Извършва обучение на служителите;
- Извършва оценка на въздействието върху защитата на данните и подпомага при извършване на вътрешения одит на максимум 2 години;
- Действа като точка за контакт с КЗЛД.
7. УВЕДОМЯВАНЕ В СЛУЧАЙ НА ПРОБИВ НА СИГУРНОСТТА
АДЛ е длъжен да уведоми КЗЛД в срок от 72 часа, в случай на пробив и изтичане на лични данни от организацията му.
ПОВЕЧЕ ЗА GDPR можете да научите ТУК