Само във Флагман! Вижте как да се подготвите в последния момент за новите правила за защита на личните данни

Автор: Георги РУСЧЕВ, снимка: Емел МАХМУД

От 25 май 2018 г. във всички държави-членки на Европейския съюз ще се прилагат нови правила за защита на личните данни. Те са уредени в т.нар. Общ регламент за защита на личните данни (GDPR). С влизането в сила на регламента се въвеждат по-високи стандарти за защита на данните, разширени права на физическите лица и нови задължения за администраторите на лични данни.
В тази връзка и поради изтичащия срок за подготовка, след който ни грозят солени санкции, потърсихме за анализ на изискванията и за конкретни насоки адвокат Ангелина Вълканова от адвокатско дружество "Стоянов и съдружници"-Бургас, които имат дългогодишен опит в дейностите по защита на личните данни и информационната сигурност:

Регламентът урежда по нов начин отношенията, свързани със защитата на личните данни на физическите лица, във връзка с което се въвеждат задължения на администраторите на лични данни и обработващите лични данни. Регламентът ще се прилага относно защитата на данните по отношение на всички физически и юридически лица, които извършват операции с лични данни, т.е. информация, позволяваща идентифицирането на дадено лице, (администратори и обработващи лични данни).

С влизането си в сила Регламентът налага и въвеждане на редица технически мерки и способи за осигуряване на необходимото ниво на защита на обработването и съхраняването на личните данни. Изисква се организациите от всякакъв мащаб да приемат нови процеси и политики, целящи да предоставят на крайния потребител по-високо ниво на контрол върху личните му данни. Голяма част от тях са свързани със списването на нови процедури и указания, допълнителни обучения на служителите и обновяване на системите за обработка на информацията с цел налагането на новите мерки, които се въвеждат.

За да се гарантира спазването на новия режим на защита на данните, се предвиждат сериозни по размер глоби и санкции, достигащи до 10 000 000 евро или 2% от общия годишен световен оборот за предходната финансова година на предприятието, която от двете суми е по-висока, а при неспазване на разпорежданията на надзорния орган (Комисия за защита на личните данни) глоба/санкция – до 20 000 000 евро или до 4% от общия годишен световен оборот на предприятието за предходната финансова година, която измежду двете суми е по-висока.

Правата на субектите на данни, засегнати от нарушения, извършени от администратора или обработващия, са гарантирани и чрез предвидената възможност за предявяване на иск за обезщетение за вреди, освен ако администраторът/обработващият не докаже, че по никакъв начин не носи отговорност за нарушението.

На първо място, за да бъде съобразено със закона, обработването на лични данни трябва да се извършва въз основа на изрично съгласие на субекта на данните, дадено за конкретните цели, чието свободно даване администраторът/обработващият данни следва да е в състояние да докаже във всеки един момент и което може да бъде оттеглено по всяко време.

Въвеждат се специални изисквания що се касае до даването на съгласие за обработване на личните данни на лица под 16-годишна възраст, както и по отношение на обработката на някои категории лични данни, свързани с расов или етнически произход, политически, религиозни и философски убеждения, членство в синдикални организации, генетични и биометрични данни, както и данни за здравния статус, сексуалния живот и сексуалната ориентация на лицата.

Важно е да се отбележи, че задължението за Регистрация пред Комисията за защита на личните данни отпада, считано от 25 май 2018 година. Вместо това администраторът/обработващият лични данни ще трябва да осигури подробно документално разписване и мащабно документиране на процесите и процедурите за обработка на лични данни, които да може да отчете във всеки един момент при проверка.

Всички компании, които имат повече от 250 служители, трябва да поддържат регистър за обработка на личните данни в писмена или електронна форма.

Въвежда се задължение за назначаване на Длъжностно лице по защита на данните в случаи, когато администраторите/обработващите лични данни са публични органи или структури, или предприятия, обработващи систематично и редовно мащабно наблюдение на субектите на данни или мащабно обработване на специалните категории данни, посочени по-
горе.

Длъжностно лице по защита на данните има функция да поддържа регистъра за обработка на личните данни, съветва администратора/обработващия относно прилагането на GDPR и следи за спазването му в сътрудничество с КЗЛД.

Въвежда се и задължение за изготвяне на оценка за въздействие на риска при обработката на лични данни с оглед определянето на подходящи мерки за сигурност на личните данни, а в случаите, когато се изисква назначаването на Длъжностно лице по защита на данните, след предварителна консултация с него. Когато рискът е висок – и след предварително съгласуване с КЗЛД, респективно и задължение за предприемането на съответни на риска от нарушаване на сигурността на личните данни технически мерки за защита.

Администраторът/обработващият лични данни трябва да предвиди и разработи план за възстановяване при бедствия, аварии, нерегламентиран достъп и др., възстановяване на пароли и системи за управление на ключове за достъп до лични данни, с които разполага.

Въвежда се задължение за съхраняване на записи, включително и на общо описание на предприетите технически и организационни мерки за сигурност.

Въвежда се задължение за уведомяване на надзорния орган и на субектите, чиито права и интереси са поставени под риск, при нарушаване на сигурността на личните данни, както и поддържането на регистър на всички нарушавания на сигурността на данните.

Съществен момент е въвеждането и на задължения за предоставяне на информация относно обработката на предоставените лични данни, задължение за осигуряване на достъп до данните, задължение за коригиране на неточни данни, съхранявани от администратора, задължение за изтриване, когато субектът на данни упражни правото си „да бъде забравен“, задължение за ограничаване на обработката, когато субектът е пожелал обработката на съхраняваните данни да се ограничи временно, вместо същите да се изтрият, задължение на администратора/обработващият да прехвърли пряко съхраняваните данни на друг администратор, когато субектът заяви това, както и задължение за прекратяване на обработката на лични данни за целите на директния маркетинг, когато субектът възрази срещу тази обработка.

С оглед избягването на евентуални санкции поради неспазване на изискванията на GDPR, препоръчвам да се спазват следните стъпки:

Проучване и анализиране на Общия регламент за защита на данните;

Анализ на дейностите по обработване на личните данни, които се обработват, целите, за които се обработват, предприетите мерки за тяхната защита и прочее.

Преценка дали е налице задължение да се определи длъжностно лице по защита на данните и неговият избор/назначаване.

Изготвяне на оценка на въздействието върху защитата на личните данни. В случаите, когато се изисква назначаване на Длъжностно лице по защита на данните, оценката на въздействието се извършва с неговото съдействие, а когато рискът е висок – и след предварително съгласуване с КЛЗД.

Предприемане на план за действие, с който конкретно са определени мерките, които следва да бъдат предприети; лицата, които следва да предприемат съответните мерки и сроковете, в които същите следва да бъдат предприети.

Създаване и поддържане на вътрешен регистър на дейностите по обработване, както и осигуряването на „документална следа“, осигуряваща максимална отчетност на администратора/обработващия пред КЗЛД.

Преглед на правните основания за обработка на личните данни, включително въз основа на съгласието на лицата.

Предоставяне на информация на субектите на данни съгласно изискванията на Общия регламент за защита на данните.

Разписване на процедурите, гарантиращи упражняването на новите права на субектите на данни, предвидени от GDPR.

Уведомяване на КЗЛД за нарушаване на сигурността на съхраняваните лични данни, респективно уведомяване на засегнатите лица.