ВНЕДРЯВАНЕ НА УПРАВЛЕНСКИ СТАНДАРТИ
Вашата оценка 4.80 от 5 гласа

ПРАВИЛА ЗА ЗАЩИТАТА НА ФИЗИЧЕСКИТЕ ЛИЦА ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ, ЗАЛЕГНАЛИ В

GDPR - РЕГЛАМЕНТ (ЕС) 2016/679

ПРЕДИЗВИКАТЕЛСТВАТА ПРЕД БИЗНЕСА, СВЪРЗАНИ С ИЗПЪЛНЕНИЕ НА ИЗИСКВАНИЯТА, ОПРЕДЕЛЕНИ В ЕВРОПЕЙСКАТА ПРАВНА РАМКА, КОИТО ЩЕ СЕ ПРИЛАГАТ СЛЕД 25 МАЙ 2018 г.



Темповете на развитие на информационните технологии и международната търговия в последните десетилетия довеждат до необходимостта от промени в настоящите мерки за защита на личните данни.

С влизането в сила, през май 2016 г., на РЕГЛАМЕНТ (ЕС) 2016/679 General Data Protection Regulation (GDРR), относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/EО, се въвежда единна правна рамка, която ще уеднакви законодателството, защитаващо личните данни на европейските граждани.
Регламентът (GDРR) ще се прилага след 25 май 2018 г. и има за цел да улесни свободното движение на потоци от лични данни в ЕС и извън него, свързано с международна търговия и международното сътрудничество, като осигури механизми за защита от нарушаване на неприкосновеността на личните данни при използване на автоматизирани и други средства за обработката им.
След 25.05.2018 г. правата на физическите лица и задълженията на администраторите и обработващите данните, по отношение неприкосновеността и защитата на личните данни, ще трябва да се вземат в предвид още на етап планиране на конкретна дейност, попадаща в обхвата на GDРR.
Промените, въведени с GDРR, водят до изменения в регулаторните политики и в механизмите за прилагането им.

Основни промени, след прилагане на GDРR, и техният ефект върху бизнеса:
Териториален обхват: GDРR ще се прилага и в трети страни спрямо администратори и лица обработващи лични данни на европейски граждани.

Задължение за искане на съгласие за обработка и съхранение на лични данни. Въвеждат се изисквания за текстовете, свързани с искането на съгласие, а именно те да са: 
- ясни, кратки, лесноразбираеми (да не се ползват неразбираеми термини от правния жаргон);
- да се различават от други теми/въпроси;
- достъпни за целите на обработката. 
Ще трябва да се гарантира, че оттеглянето на съгласието се извършва толкова лесно, колкото и предоставянето му.

Съгласие от непълнолетни при ползване на "онлайн" услуги. Обработването на данни на дете е законосъобразно съгласно GDPR, ако детето е най-малко на 16 години. За деца под 16 години обработването на данни е законосъобразно, ако е дадено съгласие от родителя на детето или настойника му. Предвидено е държавите-членки да могат да определят в своето законодателство по-ниска възраст за тези цели, но тя не трябва да е под 13 години.

Права на физическите лица: GDPR предоставя правото на субекта на данните да получава потвърждение, относно:
- целта на обработването; 
- категорията на данните; 
- получателите на данните;
- срока или критериите за определяне на срока за съхранение; 
- правото на възражение срещу обработката; 
- съществуването на автоматизирано вземане на решения, включително профилиране.
- правото за искане за коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, право за предявяване на жалба до надзорен орган; узнаване на източниците на данни, когато същите не са получени от субекта; 
- правото за получаване на копие от личните данни, в достъпен електронен формат.

Правото да бъдеш забравен: Субектът на данните получава право, което му позволява да поиска, от администратора на лични данни, изтриване на личните данни и да се прекрати по-нататъшното им разпространение и обработка на данните. В член 17 на GDPR условията за заличаване, включват данните, които вече не са от значение за предвидената обработка или е постъпило искане за оттегляне. При разглеждане на такива искания се взема под внимание дали ще бъде засегнат общественият интерес по отношение на наличието на такива данни.

Преносимост на данните: Въвежда се правото на субекта на данните да получава личните си данни, структурирани в широко използван и пригоден за машинно четене формат, с цел да ги прехвърли на друг администратор.

Задължение за уведомяване на Компетентния надзорен орган. GDPR въвежда задължение за уведомяването на Комисията за защита на личните данни при установени нарушения, свързани със сигурността на личните данни. Администраторът ще трябва да извърши уведомяването без излишно забавяне до 72 часа след узнаването

Административни наказания – "Глоба" или "Имуществена санкция". Санкциите се определят за всеки конкретен случай, като максималният размер е до 20 000 000 EUR или до 4 % от общия годишен световен оборот на организацията за предходната финансова година, като се използва по-голямата сума. Има изискване санкциите да са ефективни, пропорционални и да възпират нарушенията. Въвежда се възможност за предявяване на групови искове към организацията, извършила нарушението, които биха могли да доведат до загуби и/или щети върху репутацията на юридическото лице.

Сигурност. Неприкосновеността на личния живот и сигурността на личните данни при прилагането на механизми за контрол или наблюдение са в основата на съществуващата към настоящия момент декларация за приложимост, използвана при сертифицираните системи за управление за сигурност на информацията (ISO 27001). Използването на технически и организационни механизми, от администратори и обработващи лични данни, осигуряващи сигурността на данните ще бъде законово изискване след 25 май 2018 г. Механизмите трябва да са съобразени с нивото на риск и неговата тежест върху правата и свободите на физическите лица (напр. псевдонимизация и криптиране на личните данни; способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването).

Длъжностно лице по защита на данните (Data Protection Officer – DPO). GDРR въвежда задължение за администраторите и обработващите лични данни за определяне на DPO, когато:
- обработването на данни се извършва от публичен орган или структура с дейност в обхвата на GDPR;
- обработката на данни изисква редовно и систематично мащабно наблюдение на субектите на данни;
- се извършва мащабно обработване на специални категории данни.
Регламентът допуска група от предприятия да могат да назначат едно DPO.

Сътрудничество между компетентният орган на ЕС и надзорните органи на държавите-членки за уведомяване при узнаване за нарушения.

Инструменти за демонстриране на изпълнението на GDPR. Администраторите и обработващите лични данни ще могат да използват одобрени кодекси за поведение или сертифициране, за да осигурят доверие в предоставяните услуги съобразено със спецификата и потребностите на конкретен сектор/отрасъл или на определени потоци от данни за изпълнението на GDPR. Тези инструменти се очаква да осигурят подходящи гаранции при предаването на данни между публични органи или структури въз основа на международни споразумения или административни договорености.

Хармонизирането на законодателството на ЕС по отношение на надеждността на сигурността при свободното движение на потоците от лични данни се очаква да доведе не само до повишаването на доверието в защитата, но и до финансови ползи.

Независимо от предимствата, очаквани от прилагането на GDPR, са въведени и някои ограничения, например по отношение на достъпа на администраторите и обработващите лични данни само до данни, които са необходими за използване в пряката им работа. 
Нарушаването на това изискване се разглежда като инцидент, дори да не е установено изтичане на информация извън организацията по смисъла на GDPR.

Подробности за етапите на консултиране и внедряване на GDPR може да прочетете ТУК

Източници: http://www.europarl.europa.eu; http://www.eugdpr.org
 

ПРАВИЛА ЗА ЗАЩИТАТА НА ФИЗИЧЕСКИТЕ ЛИЦА ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ, ЗАЛЕГНАЛИ В



ЕТИКЕТИ
Новини
27
02.24
ISO и климатичните промени
Изменение 1: Действия, свързани с изменението на климата В края на миналата с...
05
02.24
ISO/IEC 27001:2023 на български език
Българският институт по стандартизация публикува БДС EN ISO/IEC 27001:2023 "...
Полезно
18
10.23
​EMAS – Схема за управление по околна среда и одит
Европейската Схема за управление по околна среда и одит (Eco-management and Audi...
10
08.23
Стандарти за защита на автомобилната сигурност
През последните няколко години автомобилната индустрия претърпя бързи промен...

Внедряване на управленски стандарти

КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.

Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.

Виж повече
Партньори