Работа

Подготовка за въвеждане на Общия регламент за защита на данните – 12 стъпки, които да предприемете сега

Post AuthorBGHelp -

Общият регламент за защита на данните – ОРЗД (GDPR), който беше приет от Европейския съюз, влиза в сила от 25 май 2018 г.  В тази връзка ви предоставяме контролен списък от 12 точки, по които можете да работите за неговото прилагане.

Много от основните понятия и принципи на ОРЗД (GDPR) са почти същите като тези в настоящия Закон за защита на данните, така че ако спазвате правилно действащия закон, тогава по-голямата част от подхода ви  ще остане валиден и за ОРЗД (GDPR), а също така е възможно да се превърне в основа за доизграждане на вашата фирмена политика. В  ОРЗД (GDPR) се забелязват и нови елементи и значителни подобрения, така че ще трябва да предприемете някои действия за първи път и по различен начин.

Препоръчително  е да използвате този контролен списък и други ресурси на Службата на комисаря по информацията (ICO),  за да разберете основните различия между сега действащия закон и ОРЗД (GDPR). Разработват се и нови насоки и други инструменти, които биха подпомогнали експертите на европейско равнище.

Важно е да планирате подхода си към спазването на ОРЗД (GDPR) сега, като също така използвате знанията на „ключови“ хора във вашата организация. Може да се наложи например да въведете нови процедури, за да се справите с новите разпоредби за прозрачност и права на гражданите, заложени в ОРЗД (GDPR) . При по-големите фирми, за въвеждане на новия регламент може да доведе до значителни бюджетни утежнения като  въвеждането на нови информационни технологии, назначаване на нов персонал, а също и някои управленски и комуникационни последици.

ОРЗД (GDPR)  поставя по-голям акцент върху документацията, която администраторите на данни трябва да поддържат, за да оформят своята отчетност. Спазването на всички изисквания, изброени в този документ, ще наложи на организациите да преразгледат подхода си към управлението и защитата на данните като корпоративен въпрос. Част от тази дейност може да включва преразглеждане на договорите и други споразумения в частта за споделянето на данни с други организации.

Някои от разделите на регламента се отнасят повече за едни фирми, отколкото за други (например разпоредбите относно профилирането или данните за децата) и поради тази причина  би било полезно да се набележат кои  раздели на закона се отнасят към вашия бизнес модел и да наблегнете на тях в процеса на планиране.

По-долу ще намерите и важните моменти от регламента, които сме подготвили във ваша помощ:

  1. Повишаване на сигурността

Трябва да сте сигурни, че мениджърският състав, а също и служителите, които  вземат решения във вашата организация са наясно, че законът за защита на данните е бил променен. Те трябва да оценят въздействието, което този текст ще има върху дейността на фирмата и да идентифицират проблемните области. Би било полезно да се започне с разглеждането на рисковете. Прилагането на ОРЗД (GDPR) може да доведе до усложнения във вашата работата и това се отнася особено за по-големите компании със сложни структура. Може да се окаже, че изпитвате затруднения да приложите регламента особено, ако подготовката се извършва в последния момент.

  1. Отчетност на информацията

Необходимо е да документирате какви лични данни съхранявате, откъде идват и с кого ги споделяте. Може да се наложи да организирате информационен одит в цялата организация или в определени бизнес области. ОРЗД (GDPR) изисква от вас да поддържате отчети за вашите процедурни дейности. Регламентът усъвършенства дейностите за общуване на организациите в мрежа. Например, ако имате неточни лични данни и сте споделили това с друга организация, ще трябва да уведомите другата организация за неточността, за да може тя да коригира собствените си записи. Това няма да е възможно, без да знаете с какви лични данни разполагате, откъде сте ги взели и с кого ги споделяте. Всичко това трябва да бъде документирано. По този начин ще  спазите принципа за отчетност на ОРЗД (GDPR), който изисква организациите да покажат по какъв начин спазват  принципите за защита на данните, чрез  прилагането на ефективни политики и процедури.

  1. Комуникиране на информацията за поверителност

Трябва да прегледате текущите си съобщения за поверителност и да приложите своевременно  план за извършване на необходимите промени за внедряване на ОРЗД (GDPR). Когато събирате лични данни, е необходимо да се идентифицирате като организация и да уведомите потребителя  за начина, по който възнамерявате да използвате  предоставената ви информация. Това обикновено се извършва чрез известие за поверителност. Според  ОРЗД (GDPR) съществуват няколко допълнителни въпроса, с които да запознаете клиентите си. Например, ще трябва да ги информирате за законосъобразната система, която използвате за обработка на данните, за какви периоди ги съхранявате, а също и за това, че  ако клиентите ви сметнат, че съществува проблем с начина, по който обработвате и споделяте данните им, имат  да подадат жалба в Службата на комисаря по информацията (ICO). ОРЗД (GDPR)  изисква информацията за събиране и отказ от записи на лични данни да бъде предоставена в кратка форма и на лесен и достъпен за разбиране език. Кодексът за практиките за защита на поверителността, изработен от Службата на комисаря по информацията (ICO) отразява новите изисквания на ОРЗД (GDPR).

  1. Права на физическите лица

Необходимо е да проверите процедурите, за да се уверите, че те покриват всички права, които имат физическите лица, като начини за изтриване на лични данни, начини за предоставяне на данни по електронен път и често използваните за целта формати. ОРЗД (GDPR) включва следните права на гражданите:

  • правото да бъдете информирани;
  • правото на достъп;
  • правото на коригиране;
  • правото на изтриване;
  • правото за ограничаване на обработката на данни;
  • правото на преносимост на данните;
  • правото на възражение,
  • правото за отказ от автоматизираното вземане на решения, включително профилиране.

Като цяло, правата, които индивидите ще ползват съгласно ОРЗД (GDPR), са същите като тези по стария закон,  но със значителни подобрения. Ако сте приложили адекватно първия закон, то преходът към новите разпоредби би трябвало  да е относително лесен.

Настоящият момент е подходящ и за проверка на процедурите , например може да тествате начините, които предлагате за унищожаване/изтриване на лични данни при поискване. Определете лице, което ще одобрява унищожаването или изтриването на каквито и да е данни.

Правото на преносимост на данни е ново. То се прилага само:

  • за личните данни, които дадено лице е предоставило на администратора;
  • когато обработването се основава на съгласието на лицето или за изпълнение на договор;
  • когато обработката се извършва по автоматичен начин.

Обмислите дали трябва да преразгледате някои процедури и дали се налага  извършването на промени. Наложително е да предоставите личните данни в структурирана често използвана и машинно четима форма с безплатна инструкция за използването й.

  1. Отговор и отказ на искове

Актуализирайте своите процедури и планирайте как ще отговаряте на искове, съобразявайки се  с новите правила:

  • В повечето случаи няма да можете да събирате такси връщане на пари.
  • Ще разполагате с един месец, в който да отговорите на искове, вместо 40 дни, които бяха в предишния закон.
  • Можете да откажете да отговорите на искове, които са явно неоснователни или прекомерни.
  • Ако отхвърлите даден иск, е необходимо да приложите и доводи във ваша полза, тъй като лицата ще имат право да подадат жалба до надзорния съвет или съдебния орган.
  1. Законова основа за обработка на лични данни

Задължително  идентифицирайте законовата основа в ОРЗД (GDPR), отнасяща се до вашата дейност, след това я оформете като  документ и актуализирайте съобщението за поверителност, което изпращате на клиентите. Често не се замисляме за законовите основания за обработка на лични данни. Според сега действащият закон, злоупотребата не носи  практически последици. Това обаче ще бъде променено, защото правата на физическите лица ще бъдат съответвани със законовата база за обработка на личните данни.

  1. Съгласие за ползване на лични данни

Прегледайте и документирайте процедурите за съгласие за използването на личните данни. Ако посланията за съгласие за използване на личните данни не са обосновани и съобразени с изискванията на  ОРЗД (GDPR) ще се наложи да ги промените. Съгласието трябва да бъде  свободно, специфично, информирано и недвусмислено. Законът гласи следното: „Клиентът има право по всяко време на обработването да поиска блокиране или унищожаване (изтриване) на събрани за него лични данни, в случаите, когато оспорва тяхната точност или обработването им е незаконосъобразно.“

Текстът за отказ от запис на лични данни трябва да бъде оформен в отделен параграф от останалите общи условия и начинът за отписване трябва да е лесен и достъпен.

Публичните власти и работодателите ще трябва да обърнат особено внимание на този параграф.  При съгласие за ползване на лични данни трябва да съществуват възможности за проверка при обработване на данните. При подготовката за прилагане на ОРЗД (GDPR), не е необходимо да подменяте автоматично или да актуализирате  всички съществуващи послания за съгласие. Но ако работите с физически лица, по-добре е да се уверите, че достъпът до личните им данни и начините за унищожаването (изтриването) им са съобразени с изискванията на ОРЗД (GDPR).

  1. Лични данни, събирани от деца

Необходимо е да се замислите дали да въвеждате системи, за проверка на възрастта на потребителите и начините за получаване на  съгласие на родител или настойник за всяка дейност по обработка на данни. За първи път ОРЗД (GDPR) ще осигури специална защита на личните данни на децата, особено в частта за търговия по интернет и социални мрежи. Ако вашата организация предлага онлайн услуги на деца и разчита на съгласие за събиране на информация за тях, тогава може да ви е необходимо съгласието на родителя или настойника, за да може законно да обработва личните им данни. Според ОРЗД (GDPR) допустимата възраст за споделяне на лични данни е  16 години (В Обединеното кралство допустимата възраст за това е минимум 13 години). Ако детето е по-малко, ще е необходимо съгласие от  родител или настойник. Ако вашата организация предлага онлайн услуги на деца и събира личните им данни, е задължително съгласието за ползване на лични данни да бъде проверено. Също така известието за поверителност трябва да бъде написано на език, който децата ще разберат.

  1. Пробив в конфиденциалността на личните данни

Трябва да сте сигурни, че сте въвели правилни процедури за откриване, докладване и разследване при нарушаване на конфиденциалността на личните данни. Според ОРЗД (GDPR)  е въведено задължение за уведомяване на Службата на комисаря по информацията (ICO) в някои случаи на пробив в конфиденциалността на личните данни. За физическите лица, организацията се уведомява в случаи, когато пробивите могат да водят до риск от нарушаване на правата и свободите, дискриминация, увреждане на репутация, финансова загуба, загуба на поверителност и всякакви други  значителни икономически или социални последици. Когато нарушението има вероятност да доведе до висок риск за правата и свободите на физическите лица, в повечето случаи ще трябва да информирате засегнатите директно. Трябва да въведете процедури за ефективно откриване, докладване и разследване на пробивите в  конфиденциалността на личните данни. Може да сортирате типовете лични данни, които притежавате и да документирате при какви случаи ще бъдете задължени да уведомите Службата на комисаря по информацията (ICO) или засегнатите лица, ако възникне нарушение. По-големите организации ще трябва да разработят политики и процедури за управление на нарушенията на конфиденциалността. Липсата на докладване на нарушение, когато е необходимо, може да доведе до глоби.

  1. Инструкции за защита на личните данни за персонал оценка на въздействието

Винаги се е считало за добра практика създаването на инструкции на защита на данните и оценка на въздействието в работата на организацията. В ОРЗД (GDPR) обаче съществува изрично законово изискване за поверителност по смисъла на понятието „защита на данните според инструкция“. Той също така прави инструкциите  задължителни и при определени обстоятелства, като например:

  • когато се използва нова технология;
  • когато е възможно операцията по профилиране да засегне значително физическите лица;
  • когато има голяма обработка на специални категории данни.

Ако оценката покаже, че обработката на данни е с висок риск и не можете да се справите, ще бъдете задължен да се консултирате със съответния компетентен орган, за да потърсите становище за това дали операцията по обработка отговаря на ОРЗД (GDPR). Ето защо трябва добре да прецените ситуациите, в които ще е необходимо да се проведе одита, кой ще е ангажиран с дейността, дали ще бъде извършвана централно или на местно ниво.  Този своеобразен одит  е необходим и за да се прецени как процесът по защита на данните ще повлияе на взимането на ръководни решение и управлението на проекти.

  1. Администратор по защита на личните данни

Във всяка организация е необходимо да бъде определено лице, което да поеме отговорност за спазването на изискванията за защита на данните. В зависимост от размера на компанията е добре да се  прецени дали да бъде назначено лице с такава длъжност и дали това съвпада със законовите изисквания.  Има определени категории организации, при които назначаването на такова лице е задължително:

  • публичен орган,
  • организация, която извършва редовен и систематичен мониторинг на лица в голям мащаб;
  • организация, която извършва мащабна обработка на специални категории данни, като здравни досиета или информация за наказателни присъди.

Важно е  във вашата организация да съществува лице или външен съветник по защита на данните, което да поема отговорността за спазването на изискванията и да има знанията, подкрепата и необходимите пълномощия, за да изпълнява ефективно своята роля.

  1. Международна дейност

Ако вашата организация работи в повече от една държава-членка на ЕС, трябва да определите своя водещ надзорен орган за защита на данните и да документирате това. Водещият орган е надзорният орган в държавата, в която се намира седалището на фирмата. За седалище на фирмата се счита населено място в рамките на ЕС, в което се намира централното управление и където се вземат и изпълняват решенията за обработката на лични данни. Това се отнася за организации, които  извършват трансгранична обработка на лични данни.  Ако вашата дейност съвпада с гореописаната, необходимо е да се запознаете подробно с документите и нормативната база, в която има подробни  насоки за целта.

Категория: