Пон - Четв.: 09:00 - 17:30 Петък: 09:00 - 14:30
office@kaizen-bg.com
+359 (0)886 74 31 70
Пон - Четв.: 09:00 - 17:30 Петък: 09:00 - 14:30
office@kaizen-bg.com
+359 (0)886 74 31 70
25.10.2018
Въведение
Общият регламент за защита на данните (GDPR) има за цел да предложи на гражданите на ЕС единен и хармонизиран подход към неприкосновеността на личния живот в Европейския съюз и се стреми да укрепи правата на хората по отношение защита на данните, както е посочено в член 8 от Хартата на основните права на ЕС. След почти четири години обсъждане и разискване, GDPR бе окончателно одобрен от Европейския парламент на 14 април 2016 г.
Въпреки че документът е валиден 20 дни след датата на одобрение, датата на влизане в сила е установена на 25 май 2018 г. Може да изглежда като много време за подготовка, но истината е, че има много неща, които трябва да се направят, поради някои важни промени.
Регламент, не директива!
Защо регламент? Отговорът е прост – регламентът е задължителен законодателен акт, който е пряко приложим за всички държави-членки на ЕС, като премахва необходимостта от изготвяне на местни законодателни актове. Независимо от необходимостта от местно законодателство обаче, има вероятност да има различия в начина, по който GDPR се тълкува и прилага в различните държави-членки.
Освен необходимостта от обща рамка за неприкосновеност на личния живот, чрез приемането на GDPR, ЕС изпраща силно послание относно ангажимента си за защита на личните данни на субектите на данни в ЕС (субектът на данните е жива личност, за която се отнасят личните данни) не само от дружества, работещи в рамките на ЕС.
Обхват на GDPR
Извънтериториалният обхват на GDPR е една от новите характеристики, които допринасят значително за повишеното ниво на защита на личните данни. Какво означава извънтериториално? Вероятно една от най-важните промени, GDPR ще се радва на разширена приложимост, засягаща лица, които не са установени в ЕС. Разбира се, трябва да бъдат изпълнени някои условия, за да се приложи извънтериториалността.
GDPR на ЕС ще се прилага при обработването на лични данни на субектите на данни в ЕС, независимо дали обработването им се извършва в ЕС или не. Едно от последиците от извънтериториалния обхват е, че дружества, които не са установени в ЕС, трябва да назначат свой представител. Този представител трябва да се намира в държава-членка, в която се основават съответните субекти на данни.
Сигурност на личните данни
EU GDPR изисква от компаниите да поддържат сигурността на личните данни, точно както действа настоящата директива. Въпреки че това задължение е изразено в общи термини, то дава някои указания, свързани с мерките, предназначени да защитят личните данни, като например:
Споменатите по-горе мерки са само примери – не са задължителни – и трябва да се прилагат само „когато е уместно“. Затова е задължение на компанията да докаже, че мерките за сигурност са подходящи. Добра практика по отношение на мерките за сигурност би била стандарта ISO 27001, така че компаниите биха могли да използват това като отправна точка при изграждането на мерките за сигурност на защитата на данните.
GDPR на ЕС налага нови санкции и на обработващите данни. Това е голямо отклонение от предишните закони за защита на данните, където всички задължения са съсредоточени около администратора на данни. Освен всичко друго, обработващите данни трябва да водят отчети за дейностите по обработка. Както и преди, обработващият данните може да бъде юридическо лице, публичен орган, агенция или друг орган, което обработва лични данни от името на администратор.
Новите правила
GDPR въвежда нови права за субектите на данни. Това са:
Най-значимата от тези промени е широко обсъжданото „право да бъдеш забравен“ (което сега се нарича „право да се изтрие“). Това право на изтриване може да бъде задействано в определени конкретни ситуации, включително когато субектът на данните оттегли своето съгласие или ако вече няма обосновка за обработката на лични данни. При получаване на тези искания администраторът на данни трябва да отговори „без ненужно забавяне“ и да уведоми всички субекти, с които е споделял тези данни. Ясно е, че за всички права на субектите на данни има строго изискване администраторите на данни да инкорпорират и да картографират личните данни, съхранявани, за да могат да отговорят на заявленията за достъп до данни на субектите на данните (във всички форми) „без неоснователно забавяне“.
Трябва ли да имате администратор на личните данни?
Съгласно GDPR е налице и задължението за някои организации да назначат служител по защита на данните (data protection officer), макар и само в конкретни случаи:
Нарушаване на сигурността
В допълнение, към въвеждането на нови права за субектите на данни, GDPR на ЕС въвежда също нови правила при нарушения в сигурността и данните. В сравнение с предишната директива, GDPR налага задължения както на администраторите на данни, така и на процесорите за обработка на данни. GDPR предлага и насоки и примери, които да улеснят организациите да намалят риска. Сред тях са:
Освен това организациите вече трябва да отговарят на стандартите, когато става въпрос за уведомления за нарушения. Първо, организациите, които са претърпели нарушение на данните, трябва да уведомят незабавно надзорния орган (независим публичен орган, създаден от държава-членка съгласно член 51 от GDPR) „без неоснователно забавяне“, освен ако нарушението не представлява риск за субектите на данни. Ако съществува риск за засегнатите лица, организациите трябва също така да съобщят това на засегнатите субекти на данни, отново „без ненужно забавяне“.
Глоби и санкции
Санкциите, които произтичат при неизпълнение и нарушение на изискванията на GDPR, могат да достигнат до 4% от общия световен оборот на организацията. Санкциите по GDPR ще попадат в две категории по отношение на размера на глобата:
2. До 4% от годишния световен оборот или 20 млн. Евро, за по-сериозни нарушения като:
Новите групи на санкциите се допълват и от допълнителни правомощия, които са лесно достъпни за надзорните органи по защита на данните, като издаване на предупреждения за несъответствие, извършване на одити, изискващи специфично отстраняване в определена времева рамка, поръчване на изтриване на данни и спиране на прехвърлянето на данни към трета държава.