Ако управлявате собствен бизнес или работите в корпоративна структура, събираща, съхраняваща и обработваща голям обем от лична информация, то вероятно вече сте чули за нашумелия напоследък регламент на ЕС 2016/679, а именно Общ регламен за защита на данните или General Data Protection Regulation (GDPR), който въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни.
Прилагането на този регламент влиза в сила от 25 май 2018 г.
Какво представлява регламентът, какво всъщност променя и толкова ли е страшен, колкото на пръв поглед изглежда?
Нека най-напред уточним какво има предвид GDPR под понятието „лични данни”.
Лични данни са всяка информация (независимо от технологията за нейното събиране или обработване), свързана с физическо лице, която може да го идентифицира като такова. За лични данни не се счита информацията, която не може да идентифицира дадено лице.
Личните данни включват:
– собствено име и фамилия;
– домашен адрес;
– имейл адрес, като например име.фамилия@дружество.com;
– номер на картата за самоличност;
– данни за местоположение (например функцията за данни за местоположение на мобилен телефон);
– адрес на интернет протокол (IP);
– идентификационен номер на „бисквитка“;
– рекламен идентификатор за телефон.
Не са лични данни:
– регистрационен номер на дружество;
– имейл адрес, като например инфо@дружество.com;
– анонимни данни.
Обработването на лични данни включва множество процеси и операции – събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване на личните данни.
Според регламента, за да се събират и обработват лични данни, е необходимо предварителното съгласие на физическото лице, за което ще се събират данните. Това съгласие е и основание за обработване на тези данни от страна на администратора на лични данни. Съгласието може да бъде давано чрез устна или писмена декларация (включително и по електронен път). Субектът на данни (физическото лице) има право по всяко време да оттегли съгласието си неговите данни да бъдат събирани и обработвани. Когато субектът не желае данните му да бъдат обработвани и не съществуват законни основания за тяхното съхранение, GDPR дава право на физическото лице данните му да бъдат изтрити (т.нар. „право да бъдеш забравен”).
Профилирането е автоматизирано обработване на лични данни, с цел оценяване на определени лични аспекти, свързани с дадено лице. В голямата си част профилирането се извършва в онлайн среда. Физическото лице – обект на профилиране, трябва да бъде информирано за извършването на профилирането по видим, разбираем и ясно четим начин.
Профилирането не следва да води до дискриминация на лицата въз основа на расов или етнически произход, политически възгледи, сексуална ориентация и други. Тъй като профилирането поражда висок риск за правата и свободите на физическите лица, администраторът следва да извърши оценка на въздействието върху защитата на данните, когато те се обработват с цел профилиране.
Оценката на въздействието е важен инструмент за отчетност, тъй като помага на администраторите не само да спазват изискванията на Общия регламент за защита на личните данни, но и да демонстрират, че са взети подходящи мерки, за да се гарантира спазването на регламента. Оценката на въздействието е процес, предназначен да опише обработването на лични данни, да оцени необходимостта и пропорционалността на обработката и да спомогне за избора на най-подходящите технически и организационни мерки за защита.
Във връзка със събирането и обработването на данните регламентът въвежда и понятието „длъжностно лице по защита на данните”. Това е служител на администратор на лични данни или външно за организацията на администратора физическо лице, натоварено с консултативни функции в областта на защитата на личните данни, надзор по спазването на регламента в организацията на администратора и повишаването на осведомеността и обучението на персонала. Важно е да се отбележи, че регламентът предвижда длъжностно лице по защита на личните данни да имат не всички, а само определени категории администратори, в това число:
– публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
– администратори, чиято дейност, поради своето естество, обхват и цели, изисква редовно и систематично мащабно наблюдение на субектите на данни;
– администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.
Важен момент и ново задължение на администраторите на лични данни според GDPR е отчетността. На практика това означава, че във всеки един момент администраторът на лични данни ще трябва да може да докаже, че обработва личните данни добросъвестно, законосъобразно за конкретните цели и при подходящо ниво на сигурност и защита.
С Общия регламент за защита на данните за първи път се вменяват нови задължения на администраторите на лични данни, а именно защита на личните данни на етапа на проектирането и защита на личните данни по подразбиране.
Защитата на личните данни на етапа на проектирането се изразява в задължението на администраторите да въведат подходящи технически и организационни мерки преди започването на обработката на лични. Това задължение е от съществено значение в контекста на новите технологии и предоставянето на услуги на информационното общество. Изборът на конкретни технически и организационни мерки зависи изцяло от администратора. Такива подходящи мерки биха могли да бъдат псевдонимизация и/или криптиране на данните, залагане на функционалности за автоматизирано отчитане на сроковете за съхранение и автоматичното им изтриване след изтичането им и други.
Защитата на личните данни по подразбиране изисква администраторите да прилагат механизми, които по подразбиране гарантират изпълнението на следните изисквания:
– само минималното количество лични данни и операции по обработване, които са абсолютно необходими за постигането на всяка специфична цел, биват обработвани;
– данните са съхранявани за минималния срок, абсолютно необходим за постигане на целите на обработване (например, за периода необходим да се предостави съответния продукт или услуга) и след това заличени при спазване на съответните правила и процедури;
– всеки достъп, предаване или споделяне на данни е допустим, само при наличие на валидно правно основание за това (например, съгласието на субекта на данни или правни задължения на администратора).
В интернет средата, най-често социалните мрежи, защитата на данните по подразбиране изисква активиране по подразбиране на най-стриктните настройки за поверителност, които не позволяват автоматично споделяне на данни. В тази връзка информация за дадено лице, публикувана в социалните мрежи, не трябва да бъде достъпна и видима за неограничен кръг лица по подразбиране, освен ако самото лице, за което информацията се отнася, не го разреши със свое активно утвърдително действие.
В обобщение – целта на настоящата статия не е да обясни детайлно действието и прилагането на GDPR, а да даде насоките и да помогне за отговора на въпроса, с който започнахме – толкова ли е страшен всъщност този регламент.
Новите регулации са създадени в помощ на физическите лица, онлайн потребителите и на всички, които в малка или в по-голяма степен, предоставят своите лични данни за определени бизнес и други цели. Дали това се харесва на корпорациите или не?! Те вече няма да могат да боравят свободно или да търгуват с личната информация на хората. Или поне няма да го правят безнаказано …
Нищо не споменахме за отговорността, която носят администраторите на лични данни съгласно разпоредбите на GDPR. Значителните по размер административни наказания, а именно до 20 млн. евро или до 4% от общия годишен световен оборот (която от двете суми е по-висока), говорят достатъчно ясно колко сериозни са намеренията на този регламент.
Във всички случаи, особено ако работите с голям обем лични данни, задължително трябва да се консултирате с юристи, които да ви отговорят на въпроса как действието на Общия регламент за защита на данните ще се отрази върху Вашата компания и какви действия ще трябва да предприемете, за да отговорите на разпоредбите на GDPR.
Все пак, ако решите да се образовате по темата в интернет, ето и няколко полезни връзки:
– Общ регламент за защита на данните – Регламент (ЕС) 2016/679
– Практически стъпки за прилагане на общия регламент за защита на данните
– Практически въпроси на защитата на личните данни след 25 май 2018 г.
– Задължения на администраторите на лични данни
– Длъжностно лице по защита на данните
– „Съгласието” според Общия регламент за защитата на данните
Както винаги получихме добре синтезирана първоначална информация!
Благодарим на Добри Панов за старанието му да се раздава в предоставянето на лесно достъпни текстове! И то без нито една правописна грешка. 🙂
Благодаря!
Лични данни са също: снимка или видео на човека, негови пръстови отпечатъци, и други биологични характеристики като ДНК-профил, имунен профил, антиген-профил, кръвна група и резус-фактор, гласов спектър, ирис, и т.н. Много са !! Но биологичните показатели никой не ги защитава!! Защо ли?? Ами ако ходиш редовно на „профилактични“ прегледи, току виж се окаже, че някой богат пациент чака донор с твоите биологични характеристики! Ако се окаже, че си подходящ като донор, нищо не им пречи да направят така, че с теб да се „случи“ нещо, или просто да изчезнеш!…
Защото от трансплантации се печели много!! Нищо че за човешкото тяло реално резервни части все още няма!…
Абсолютно съм съм съгласна с вас
Аз пък не съм особено съгласен