вторник, 24 април 2018 г.

Общ регламент за защита на личните данни (General Data 

Protection Regulation/GDPR)



Какво е GDPR и кога 

влиза в сила?


Това е Регламент, приет от Европейския съюз, който се прилага пряко в България. Той заменя Директивата за защита на данните, който е в сила от 1995г. За бизнеса това означава много нови правила за защита на личните данни. Личните данни в модерния бизнес свят са изключително важен актив. Целта на Регламента е да гарантира защитата на личните данни на всеки човек, като въведе поредица от задължения на бизнеса (администраторите на лични данни). Една от основните промени е тази, че GDPR представя на физическите лица повече контрол над личните им данни и налага много нови задължения на организациите, които ги събират и обработват.
Регламентът GDPR влиза в сила и ще се прилага ефективно от 25.05.2018г.
Териториалният обхват на Регламента е в целия Европейски съюз, както и извън него, когато се засягат правата на граждани на Европейския съюз.

Какво са лични данни и кои данни са лични ?

Това са данните, чрез които едно лице може да бъде идентифицирано – име, пол, възраст, ЕГН, адрес, имейл, снимка, банкови данни, семеен статус, доходи и др.
Има определени лични данни категоризирани като т.нар. „чувствителни данни“ (sensitive data), които се ползват с по-високо ниво на защита. Такива са: здравен статус, биометрични данни, сексуална ориентация, политически възгледи, расово-етнически произход и др.

Личните данни са един от ключовите активи за всеки бизнес. Те може да се възприемат като нещо, което е предоставео временно на бизнеса. Личните данни са предостъпени от потребителя за временно ползване и само за определени конкретни цели.


Каква е ролята на Длъжностно лице по защита

 на личните данни (Data Protection Officer)?


Регламентът (GDPR) въвежда изискването определени типове организации да назначат Длъжностно лице по защита на личните данните (Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант.
Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала.
Задължително се определя такова лице при обработване на лични данни на над 10 000 физически лица или при обработване на чувствителни лични данни.

Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.


Какви са основните изисквания на GDPR?


GDPR налага редица изисквания на организациите, които събират или обработват лични данни, като е заложено спазването на няколко основни принципа:
  • прозрачност, добросъвестност и законосъобразност при обработването и използването на лични данни;
  • събиране и съхранение само на минималното количество лични данни, необходими за дадена цел;
  • ограничаване на обработката на лични данни до конкретни, изрично указани и легитимни цели;
  • гарантиране на точността на данните, включително възможността за тяхното изтриване и редактиране;
  • ограничаване на съхранението на лични данни;
  • гарантиране на сигурността, целостта и поверителността на личните данни.


Важи ли Регламентът GDPR за вашата

 организация?


GDPR важи за всички организации, без значение на размера и дейността на организацията. По-конкретно GDPR важи за:

  • обработката на личните данни на което и да е  физическо лице, ако тя се извършва в контекста на дейностите на организация, установена в ЕС (независимо къде се извършва обработката);
  • обработката на лични данни на лица с местопребиваване в ЕС от организация, установена извън ЕС, когато тази обработка е свързана с предлагане на стоки или услуги на тези лица или с наблюдение на поведението им.

Какво ще стане ако правилата на GDPR, бъдат нарушени?


Регламентът GDPR започва да се прилага в България от 25 май 2018 г. и всеки ще бъде длъжен да отговаря на неговите изисквания. Глобите, предвидени в Регламента са огромни – 20 млн. евро или 4 % от годишния оборот на компанията. Неспазването на изискванията на Регламента могат да доведат до огромни загуби за бизнеса .

Кога се прави оценка на въздействието?


Оценка на въздействието се прави в няколко случая:
  • Когато се оценяват личните аспекти на дадено лице въз основа на автоматично обработване (включително профилиране) и се взимат решения, които имат правни последици за лицето (например фирма, която изгражда маркетингови профили на своите потребители въз основа на посещенията на уебсайта си);
  • При мащабно обработване на чувствителни лични данни или данни, свързани с присъди и нарушения (например информация за здравословното състояние и за евентуални присъди и нарушения при постъпването на работа);
  • систематично мащабно наблюдение на публично достъпна зона (например камери за наблюдение до банки и в близост до банкомати).

Какво представлява задължението за отчетност?



Това е едно от основните нови правила по Регламента. Това е задължение за всички работодатели и компании, които обработват лични данни, за документално обосноваване на обработката на лични данни, т.е. трябва да има документално разписване на процесите и процедурите за обработка на лични данни в компаниите:
·   какви лични данни се обработват;
·  какво е основанието за обработката;
·  как те се съхраняват;
·  предоставят ли се на трети лица и кои са тези трети лица;
· какви са рисковете за физическите лица от обработката на тези данни;
· какви са мерките за защита, които съответният администратор мисли да предприеме, за да може да предотврати нарушение на сигурността на данните.

Документирането и отчетността се извършват чрез следните стъпки:
1. създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в дружеството (не е задължително за организации с до 250 наети служители и работници на трудов или граждански договор);
2. описване на предприетите мерки за защита на личните данни;
3. наличието на вътрешни правилници и актуализирани бланки и договорни клаузи в светлината на новите правила.

Какво значи да бъдеш забравен ?


Всеки субект на данни (потребител) има „правото да бъде забравен“. При поискване от страна на потребителя, администраторът е длъжен да изтрие данните за съответното лице.


Как социалната мрежа FACEBOOK  ще защити данните ни?


Фейсбук подобрява опциите си за защита на личните данни,за да се съобрази с новите европейски правила за по-лесно даване и оттегляне на съгласие за ползване на личните данни на своите потребители. От всеки потребител ще зависи дали ще даде разрешението си да му бъдат показвани реклами, в зависимост от своите интереси. Потребителите ще бъдат подканяни да разрешат използването на лицевото разпознаване, чрез което приложението само да предлага кои хора да бъдат отбелязани на снимка или видео. 



Автор: Гергана Иванова
Стажант Маркетингови проучвания