Регламент (ЕС) 2016/679 - GDPR

Общият регламент за защита на данните (GDPR) има за цел да предложи на гражданите на ЕС единен и хармонизиран подход към неприкосновеността на личния живот в Европейския съюз и се стреми да укрепи правата на хората по отношение защита на данните, както е посочено в член 8 от Хартата на основните права на ЕС. След почти четири години обсъждане и разискване, GDPR бе окончателно одобрен от Европейския парламент на 14 април 2016 г. 

Извънтериториалният обхват на GDPR е една от новите характеристики, които допринасят значително за повишеното ниво на защита на личните данни. Какво означава извънтериториално? Вероятно една от най-важните промени, GDPR ще се радва на разширена приложимост, засягаща лица, които не са установени в ЕС. Разбира се, трябва да бъдат изпълнени някои условия, за да се приложи извънтериториалността.

GDPR на ЕС ще се прилага при обработването на лични данни на субектите на данни в ЕС, независимо дали обработването им се извършва в ЕС или не. Едно от последиците от извънтериториалния обхват е, че дружества, които не са установени в ЕС, трябва да назначат свой представител. Този представител трябва да се намира в държава-членка, в която се основават съответните субекти на данни.

GDPR изисква от компаниите да поддържат сигурността на личните данни, точно както действа настоящата директива. Въпреки че това задължение е изразено в общи термини, то дава някои указания, свързани с мерките, предназначени да защитят личните данни, като например:

  • криптиране и псевдонимация
  • осигуряване и запазване на поверителността, целостта, достъпността и устойчивостта на своите ИТ системи
  • възможност за своевременно възстановяване на достъпността и достъпа до лични данни
    редовно подпомагане и тестване на ефективността на мерките за сигурност, използвани за защита на данните

Споменатите по-горе мерки са само примери – не са задължителни – и трябва да се прилагат само „когато е уместно“. Затова е задължение на компанията да докаже, че мерките за сигурност са подходящи. Добра практика по отношение на мерките за сигурност би била стандарта ISO 27001, така че компаниите биха могли да използват това като отправна точка при изграждането на мерките за сигурност на защитата на данните.

GDPR въвежда нови права за субектите на данни. Това са:

  • права за достъп, коригиране и преносимост
  • право на възражение
  • права за заличаване и ограничаване на обработката

Най-значимата от тези промени е широко обсъжданото „право да бъдеш забравен“ (което сега се нарича „право да се изтрие“). Това право на изтриване може да бъде задействано в определени конкретни ситуации, включително когато субектът на данните оттегли своето съгласие или ако вече няма обосновка за обработката на лични данни. При получаване на тези искания администраторът на данни трябва да отговори „без ненужно забавяне“ и да уведоми всички субекти, с които е споделял тези данни. Ясно е, че за всички права на субектите на данни има строго изискване администраторите на данни да инкорпорират и да картографират личните данни, съхранявани, за да могат да отговорят на заявленията за достъп до данни на субектите на данните (във всички форми) „без неоснователно забавяне“.

Ние ще Ви съдействаме да изпълните изискванията на Регламента за защита на личните данни. Нашият опит ще Ви е от полза при оценка на рисковете свързани с личните данни, които обработва Вашата организация и разработването на документацията по GDPR, както и при последващи вътрешни одити на системата.

Сподели