назад
30.10.2017

GDPR – защитени ли са по-добре личните ни данни?

На 4 май 2016 г. в Официален вестник на Европейския съюз бе обнародван новият Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), известен повече като GDPR (General Data Protection Regulation).

Регламентът влиза в сила на 25 май 2018 г. – година по-късно от обнародването му, тъй като с него се въвеждат множество и значителни промени спрямо досегашните правила и регулации, които ще засегнат всяка компания и организация в рамките на Европейския съюз (ЕС). Общата цел на този Регламент е да защити в по-висока степен както интересите на бизнеса, така и правата на гражданите.

Какви са новите промени и изисквания, въведени от GDPR?

  1. Разширен обхват – С GDPR се разширява териториалният обхват на европейските правила за защита на личните данни и те ще са валидни и за администратори – всички физически и юридически лица, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС. Това ще важи в следните случаи:
    a. Предлагане на стоки и услуги на физически лица, намиращи се в ЕС, независимо дали от субекта на данни се изисква плащане или
    b. При наблюдаване на тяхното поведение (профилиране).
  2. Длъжностно лице по защита на данните (Data Privacy Officer) – Регламентът въвежда изискването определени типове организации да назначат Служител по защита на данните (Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант.
    Служителят по защита на данните ще отговаря за съобразността с изискванията на регламента, ще консултира въвеждането на нови такива и ще консултира кога и как трябва да бъде осъществено оценяване на степента на важност на личните данни. Той ще бъде и лицето за контакт с националните органи за защита на личните данни.
  3. Права на субектите на данните – GDPR засилва и разширява правата на субектите на данни, като урежда правото за изискване на информация за това кой и защо обработва личните им данни, на кого ще бъдат предоставени и за какви цели, за какъв срок от време ще бъдат използвани и каква конкретна информация за субектите ще бъде събирана; правото да бъдеш забравен; право на възразяване, включително абсолютно право за забрана за директен маркетинг; въвеждат се и нови, по-строги мерки при профилиране.
    Един от най-важните моменти във връзка с правата на субектите на данни е даването на съгласие. Регламентът въвежда по-високи изисквания за съгласие на лицата за обработване на техните данни. То следва да е дадено свободно и за всеки отделен случай чрез изрично изявление или ясно утвърдително действие, като е предвидена възможността то да може да бъде оттегляно по всяко време. Всички тези по-строги мерки изключват възможността за предварително зададени настройки.
  4. Задължение за уведомяване на надзорния орган в случай на нарушение – Ако едно лице станете жертва на нарушение на сигурността на личните данни, то трябва да уведоми националния надзорен орган (за България това е Комисията за защита на личните данни) веднага или не по-късно от 72 часа след откриването на пробива. Уведомлението трябва да съдържа информация за нарушението, евентуалните последици и предприетите или предложени от администратора мерки.
  5. Санкции – Регламентът предвижда и по-строги санкции – на всяко лице, което не отговоря на изискванията на GDPR или не спазва предвидените в него правила и регулации, може да му бъде наложена имуществена санкция в размер на до 20 млн. евро или до 4% от общия годишен световен оборот на организацията за предходната финансова година.
  6. Сигурност на информацията – Регламентът не въвежда строго изискване за вида и начина на осигуряване на защита на личните данни, като оставя свобода на избор за обработващите информация. Все пак GDPR предлага мерки за сигурност, които могат да бъдат съвместими и използвани за защита на данните, сред които: псевдонимизация и криптиране на личните данни; възможност за гарантиране на непрекъснатата конфиденциалност, интегритет, достъпност и гъвкавост на системите и услугите, обработващи лични данни; възможността за навременно възстановяване на достъпа до лични данни в случай на физически или технически инцидент; въвеждане на процес за регулярен тест и оценка на ефективността на техническите и организационни мерки за гарантирането на сигурността на обработката на лични данни.

Как бизнесът да се подготви за новите изисквания?

За да отговаря една организация на изискванията и промените, предвидени в новия Регламент, следва да бъдат предприети необходимите организационни и технически мерки, които изискват съвместните усилия на правни и софтуерни специалисти.
Бихме могли да очертаем основните стъпки, през които всяка компания, оперираща с лични данни, следва да премине, за да установи, доколко настоящото й положение отговоря на GDPR и какво още предстои да бъде извършено, за да се адаптира към промените:

  • Изготвяне на първоначален анализ, който да изведе доколко наличните в съответната организация технологични и организационни мерки отговарят на изискванията на GDRP;
  • Изготвяне и въвеждане на подходящи мерки и механизми за защита на личните данни, подготвяне на оценка на риска;
  • Установяване и изготвяне на подходящи политики и процедури за мониторинг, които да осигурят противодействие при нарушаване на сигурността, както и своевременното уведомяване на надзорния орган;
  • Обучение за служители по сигурността на данните и повишаване на осведомеността на персонала;
  • Изготвяне и въвеждане на политики и процедури за документиране, отчетност;
  • Преразглеждане на нивото на поверителност и установяване на правила и политики за получаване съгласието на субекти на данни;
  • Подбиране и преценка на най-подходящите методи за осигуряване на технологичните мерки за защита на личните данни.

Следва да се отбележи, че досегашния режим за регистрация на администраторите на лични данни в Комисията за защита на личните данни не отпада, а се допълва с изискванията на новия Регламент.

Както и до сега, екипът ни остава в готовност да Ви окаже всякакъв вид правна помощ, от която може да се нуждаете, за да се съобразите с новите регулации за защитата на личните данни, както и във връзка с изготвяне на новите документи.

Настоящото изложение не представлява правна консултация или правен съвет, а изразява мнението на данъчния екип на Адвокатско дружество „Димитрова, Стайкова & Партньори”.


С уважение,
Екипа на
Адвокатска кантора „Димитрова, Стайкова и Партньори”