GDPR – защитени ли са по-добре личните ни данни?

На 4 май 2016 г. в Официален вестник на Европейския съюз бе обнародван новият Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), известен повече като GDPR (General Data Protection Regulation).

Регламентът влиза в сила на 25 май 2018 г. – година по-късно от обнародването му, тъй като с него се въвеждат множество и значителни промени спрямо досегашните правила и регулации, които ще засегнат всяка компания и организация в рамките на Европейския съюз (ЕС). Общата цел на този Регламент е да защити в по-висока степен както интересите на бизнеса, така и правата на гражданите.

Какви са новите промени и изисквания, въведени от GDPR?

Разширен обхват – С GDPR се разширява териториалният обхват на европейските правила за защита на личните данни и те ще са валидни и за администратори – всички физически и юридически лица, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС. Това ще важи в следните случаи:
a. Предлагане на стоки и услуги на физически лица, намиращи се в ЕС, независимо дали от субекта на данни се изисква плащане или
b. При наблюдаване на тяхното поведение (профилиране).
Длъжностно лице по защита на данните (Data Privacy Officer) – Регламентът въвежда изискването определени типове организации да назначат Служител по защита на данните (Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант.
Служителят по защита на данните ще отговаря за съобразността с изискванията на регламента, ще консултира въвеждането на нови такива и ще консултира кога и как трябва да бъде осъществено оценяване на степента на важност на личните данни. Той ще бъде и лицето за контакт с националните органи за защита на личните данни.
Права на субектите на данните – GDPR засилва и разширява правата на субектите на данни, като урежда правото за изискване на информация за това кой и защо обработва личните им данни, на кого ще бъдат предоставени и за какви цели, за какъв срок от време ще бъдат използвани и каква конкретна информация за субектите ще бъде събирана; правото да бъдеш забравен; право на възразяване, включително абсолютно право за забрана за директен маркетинг; въвеждат се и нови, по-строги мерки при профилиране.
Един от най-важните моменти във връзка с правата на субектите на данни е даването на съгласие. Регламентът въвежда по-високи изисквания за съгласие на лицата за обработване на техните данни. То следва да е дадено свободно и за всеки отделен случай чрез изрично изявление или ясно утвърдително действие, като е предвидена възможността то да може да бъде оттегляно по всяко време. Всички тези по-строги мерки изключват възможността за предварително зададени настройки.
Задължение за уведомяване на надзорния орган в случай на нарушение – Ако едно лице станете жертва на нарушение на сигурността на личните данни, то трябва да уведоми националния надзорен орган (за България това е Комисията за защита на личните данни) веднага или не по-късно от 72 часа след откриването на пробива. Уведомлението трябва да съдържа информация за нарушението, евентуалните последици и предприетите или предложени от администратора мерки.
Санкции – Регламентът предвижда и по-строги санкции – на всяко лице, което не отговоря на изискванията на GDPR или не спазва предвидените в него правила и регулации, може да му бъде наложена имуществена санкция в размер на до 20 млн. евро или до 4% от общия годишен световен оборот на организацията за предходната финансова година.
Сигурност на информацията – Регламентът не въвежда строго изискване за вида и начина на осигуряване на защита на личните данни, като оставя свобода на избор за обработващите информация. Все пак GDPR предлага мерки за сигурност, които могат да бъдат съвместими и използвани за защита на данните, сред които: псевдонимизация и криптиране на личните данни; възможност за гарантиране на непрекъснатата конфиденциалност, интегритет, достъпност и гъвкавост на системите и услугите, обработващи лични данни; възможността за навременно възстановяване на достъпа до лични данни в случай на физически или технически инцидент; въвеждане на процес за регулярен тест и оценка на ефективността на техническите и организационни мерки за гарантирането на сигурността на обработката на лични данни.

Как бизнесът да се подготви за новите изисквания?

За да отговаря една организация на изискванията и промените, предвидени в новия Регламент, следва да бъдат предприети необходимите организационни и технически мерки, които изискват съвместните усилия на правни и софтуерни специалисти.
Бихме могли да очертаем основните стъпки, през които всяка компания, оперираща с лични данни, следва да премине, за да установи, доколко настоящото й положение отговоря на GDPR и какво още предстои да бъде извършено, за да се адаптира към промените:

Изготвяне на първоначален анализ, който да изведе доколко наличните в съответната организация технологични и организационни мерки отговарят на изискванията на GDRP;
Изготвяне и въвеждане на подходящи мерки и механизми за защита на личните данни, подготвяне на оценка на риска;
Установяване и изготвяне на подходящи политики и процедури за мониторинг, които да осигурят противодействие при нарушаване на сигурността, както и своевременното уведомяване на надзорния орган;
Обучение за служители по сигурността на данните и повишаване на осведомеността на персонала;
Изготвяне и въвеждане на политики и процедури за документиране, отчетност;
Преразглеждане на нивото на поверителност и установяване на правила и политики за получаване съгласието на субекти на данни;
Подбиране и преценка на най-подходящите методи за осигуряване на технологичните мерки за защита на личните данни.

Следва да се отбележи, че досегашния режим за регистрация на администраторите на лични данни в Комисията за защита на личните данни не отпада, а се допълва с изискванията на новия Регламент.

Както и до сега, екипът ни остава в готовност да Ви окаже всякакъв вид правна помощ, от която може да се нуждаете, за да се съобразите с новите регулации за защитата на личните данни, както и във връзка с изготвяне на новите документи.

Настоящото изложение не представлява правна консултация или правен съвет, а изразява мнението на данъчния екип на Адвокатско дружество „Димитрова, Стайкова & Партньори”.

С уважение,
Екипа на
Адвокатска кантора „Димитрова, Стайкова и Партньори”

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.