General Data Protection Regulation (GDPR)

25.10.2018

Въведение

Общият регламент за защита на данните (GDPR) има за цел да предложи на гражданите на ЕС единен и хармонизиран подход към неприкосновеността на личния живот в Европейския съюз и се стреми да укрепи правата на хората по отношение защита на данните, както е посочено в член 8 от Хартата на основните права на ЕС. След почти четири години обсъждане и разискване, GDPR бе окончателно одобрен от Европейския парламент на 14 април 2016 г.

Въпреки че документът е валиден 20 дни след датата на одобрение, датата на влизане в сила е установена на 25 май 2018 г. Може да изглежда като много време за подготовка, но истината е, че има много неща, които трябва да се направят, поради някои важни промени. 

Регламент, не директива!

Защо регламент? Отговорът е прост – регламентът е задължителен законодателен акт, който е пряко приложим за всички държави-членки на ЕС, като премахва необходимостта от изготвяне на местни законодателни актове. Независимо от необходимостта от местно законодателство обаче, има вероятност да има различия в начина, по който GDPR се тълкува и прилага в различните държави-членки.

Освен необходимостта от обща рамка за неприкосновеност на личния живот, чрез приемането на GDPR, ЕС изпраща силно послание относно ангажимента си за защита на личните данни на субектите на данни в ЕС (субектът на данните е жива личност, за която се отнасят личните данни) не само от дружества, работещи в рамките на ЕС.

Обхват на GDPR

Извънтериториалният обхват на GDPR е една от новите характеристики, които допринасят значително за повишеното ниво на защита на личните данни. Какво означава извънтериториално? Вероятно една от най-важните промени, GDPR ще се радва на разширена приложимост, засягаща лица, които не са установени в ЕС. Разбира се, трябва да бъдат изпълнени някои условия, за да се приложи извънтериториалността.

GDPR на ЕС ще се прилага при обработването на лични данни на субектите на данни в ЕС, независимо дали обработването им се извършва в ЕС или не. Едно от последиците от извънтериториалния обхват е, че дружества, които не са установени в ЕС, трябва да назначат свой представител. Този представител трябва да се намира в държава-членка, в която се основават съответните субекти на данни.

Сигурност на личните данни

EU GDPR изисква от компаниите да поддържат сигурността на личните данни, точно както действа настоящата директива. Въпреки че това задължение е изразено в общи термини, то дава някои указания, свързани с мерките, предназначени да защитят личните данни, като например:

  • криптиране и псевдонимация
  • осигуряване и запазване на поверителността, целостта, достъпността и устойчивостта на своите ИТ системи
  • възможност за своевременно възстановяване на достъпността и достъпа до лични данни
    редовно подпомагане и тестване на ефективността на мерките за сигурност, използвани за защита на данните

Споменатите по-горе мерки са само примери – не са задължителни – и трябва да се прилагат само „когато е уместно“. Затова е задължение на компанията да докаже, че мерките за сигурност са подходящи. Добра практика по отношение на мерките за сигурност би била стандарта ISO 27001, така че компаниите биха могли да използват това като отправна точка при изграждането на мерките за сигурност на защитата на данните.

GDPR на ЕС налага нови санкции и на обработващите данни. Това е голямо отклонение от предишните закони за защита на данните, където всички задължения са съсредоточени около администратора на данни. Освен всичко друго, обработващите данни трябва да водят отчети за дейностите по обработка. Както и преди, обработващият данните може да бъде юридическо лице, публичен орган, агенция или друг орган, което обработва лични данни от името на администратор.

Новите правила

GDPR въвежда нови права за субектите на данни. Това са:

  • права за достъп, коригиране и преносимост
  • право на възражение
  • права за заличаване и ограничаване на обработката

Най-значимата от тези промени е широко обсъжданото „право да бъдеш забравен“ (което сега се нарича „право да се изтрие“). Това право на изтриване може да бъде задействано в определени конкретни ситуации, включително когато субектът на данните оттегли своето съгласие или ако вече няма обосновка за обработката на лични данни. При получаване на тези искания администраторът на данни трябва да отговори „без ненужно забавяне“ и да уведоми всички субекти, с които е споделял тези данни. Ясно е, че за всички права на субектите на данни има строго изискване администраторите на данни да инкорпорират и да картографират личните данни, съхранявани, за да могат да отговорят на заявленията за достъп до данни на субектите на данните (във всички форми) „без неоснователно забавяне“.

Трябва ли да имате администратор на личните данни?

Съгласно GDPR е налице и задължението за някои организации да назначат служител по защита на данните (data protection officer), макар и само в конкретни случаи:

  • когато администраторът на данни или обработващият ги е публичен орган
  • ако основните дейности на администратора или обработващият данни са „редовен и систематичен мониторинг на субектите на данни в голям мащаб“
  • ако администраторът на данни или обработващият ги извършва широкомащабно обработване на специални категории лични данни (като етническа принадлежност, расов произход, политически възгледи, религиозни убеждения и т.н)

Нарушаване на сигурността

В допълнение, към въвеждането на нови права за субектите на данни, GDPR на ЕС въвежда също нови правила при нарушения в сигурността и данните. В сравнение с предишната директива, GDPR налага задължения както на администраторите на данни, така и на процесорите за обработка на данни. GDPR предлага и насоки и примери, които да улеснят организациите да намалят риска. Сред тях са:

  • псевдонимизиране на лични данни (което означава обработка на лични данни по начин, който вече не може да бъде приписван на конкретен субект на данните без използване на допълнителна информация)
  • способността за своевременно възстановяване на наличността (и достъпа) до лични данни след физически или технически инциденти
  • способността да се гарантира поверителност, целостта и устойчивостта на системите за обработка
  • добавяне на процес за осигуряване на редовно тестване и оценка на технически и организационни мерки за гарантиране сигурността на обработваните лични данни

Освен това организациите вече трябва да отговарят на стандартите, когато става въпрос за уведомления за нарушения. Първо, организациите, които са претърпели нарушение на данните, трябва да уведомят незабавно надзорния орган (независим публичен орган, създаден от държава-членка съгласно член 51 от GDPR) „без неоснователно забавяне“, освен ако нарушението не представлява риск за субектите на данни. Ако съществува риск за засегнатите лица, организациите трябва също така да съобщят това на засегнатите субекти на данни, отново „без ненужно забавяне“.

Глоби и санкции

Санкциите, които произтичат при неизпълнение и нарушение на изискванията на GDPR, могат да достигнат до 4% от общия световен оборот на организацията. Санкциите по GDPR ще попадат в две категории по отношение на размера на глобата:

  1. До 2% от годишния оборот в световен мащаб или 10 млн. Евро, в зависимост от това кое е по-високо, за нарушения в случаите, когато има:
  • неуспешно докладване на нарушение на данните
  • неспазване на принципите на защита на личните данни, както е предвидено в член 25 от GDPR
  • невъзможност за назначаване на представител (когато предприятието е със седалище извън ЕС)
  • липса на съгласие при обработката на данните на децата
  • невъзможност да се въведат адекватни клаузи за защита на данните в договори с обработващите ги
  • липса на назначаване на служител по защита на данните
  • неспазване на писмените записи

2. До 4% от годишния световен оборот или 20 млн. Евро, за по-сериозни нарушения като:

  • неспазване на принципите за законосъобразна обработка на данни, установени в GDPR
  • неспазване на разпоредбите, свързани с трансфера на лични данни извън ЕС
  • неспазване на правата на субекта на данните

Новите групи на санкциите се допълват и от допълнителни правомощия, които са лесно достъпни за надзорните органи по защита на данните, като издаване на предупреждения за несъответствие, извършване на одити, изискващи специфично отстраняване в определена времева рамка, поръчване на изтриване на данни и спиране на прехвърлянето на данни към трета държава.