НОВИ ПРАВИЛА ЗА ЗАЩИТАТА НА ФИЗИЧЕСКИТЕ ЛИЦА ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ, ЗАЛЕГНАЛИ В

GDPR - РЕГЛАМЕНТ (ЕС) 2016/679


ПРЕДИЗВИКАТЕЛСТВАТА ПРЕД БИЗНЕСА, СВЪРЗАНИ С ИЗПЪЛНЕНИЕ НА ИЗИСКВАНИЯТА, ОПРЕДЕЛЕНИ В ЕВРОПЕЙСКАТА ПРАВНА РАМКА, КОИТО ЩЕ СЕ ПРИЛАГАТ СЛЕД 25 МАЙ 2018г.


Темповете на развитие на информационните технологии и международната търговия в последните десетилетия довеждат до необходимостта от промени в настоящите мерки за защита на личните данни.

С влизането в сила, през май 2016 г., на РЕГЛАМЕНТ (ЕС) 2016/679 General Data Protection Regulation (GDРR), относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/EО, се въвежда единна правна рамка, която ще уеднакви законодателството, защитаващо личните данни на европейските граждани.
Регламентът (GDРR) ще се прилага след 25 май 2018 г. и има за цел да улесни свободното движение на потоци от лични данни в ЕС и извън него, свързано с международна търговия и международното сътрудничество, като осигури механизми за защита от нарушаване на неприкосновеността на личните данни при използване на автоматизирани и други средства за обработката им.
След 25.05.2018 г. правата на физическите лица и задълженията на администраторите и обработващите данните, по отношение неприкосновеността и защитата на личните данни, ще трябва да се вземат в предвид още на етап планиране на конкретна дейност, попадаща в обхвата на GDРR.
Промените, въведени с GDРR, водят до изменения в регулаторните политики и в механизмите за прилагането им.

Основни промени, след прилагане на GDРR, и техният ефект върху бизнеса:
Териториален обхват: GDРR ще се прилага и в трети страни спрямо администратори и лица обработващи лични данни на европейски граждани.

Задължение за искане на съгласие за обработка и съхранение на лични данни. Въвеждат се изисквания за текстовете, свързани с искането на съгласие, а именно те да са: 
- ясни, кратки, лесноразбираеми (да не се ползват неразбираеми термини от правния жаргон);
- да се различават от други теми/въпроси;
- достъпни за целите на обработката. 
Ще трябва да се гарантира, че оттеглянето на съгласието се извършва толкова лесно, колкото и предоставянето му.

Съгласие от непълнолетни при ползване на "онлайн" услуги. Обработването на данни на дете е законосъобразно съгласно GDPR, ако детето е най-малко на 16 години. За деца под 16 години обработването на данни е законосъобразно, ако е дадено съгласие от родителя на детето или настойника му. Предвидено е държавите-членки да могат да определят в своето законодателство по-ниска възраст за тези цели, но тя не трябва да е под 13 години.

Права на физическите лица: GDPR предоставя правото на субекта на данните да получава потвърждение, относно:
- целта на обработването; 
- категорията на данните; 
- получателите на данните;
- срока или критериите за определяне на срока за съхранение; 
- правото на възражение срещу обработката; 
- съществуването на автоматизирано вземане на решения, включително профилиране.
- правото за искане за коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, право за предявяване на жалба до надзорен орган; узнаване на източниците на данни, когато същите не са получени от субекта; 
- правото за получаване на копие от личните данни, в достъпен електронен формат.

Правото да бъдеш забравен: Субектът на данните получава право, което му позволява да поиска, от администратора на лични данни, изтриване на личните данни и да се прекрати по-нататъшното им разпространение и обработка на данните. В член 17 на GDPR условията за заличаване, включват данните, които вече не са от значение за предвидената обработка или е постъпило искане за оттегляне. При разглеждане на такива искания се взема под внимание дали ще бъде засегнат общественият интерес по отношение на наличието на такива данни.

Преносимост на данните: Въвежда се правото на субекта на данните да получава личните си данни, структурирани в широко използван и пригоден за машинно четене формат, с цел да ги прехвърли на друг администратор.

Задължение за уведомяване на Компетентния надзорен орган (КНО). GDPR въвежда задължение за уведомяването на КНО при установени нарушения, свързани със сигурността на личните данни. Администраторът ще трябва да извърши уведомяването без излишно забавяне до 72 часа след узнаването

Административни наказания - "Глоба" или "Имуществена санкция". Санкциите се определят за всеки конкретен случай, като максималният размер е до 20 000 000 EUR или до 4 % от общия годишен световен оборот на организацията за предходната финансова година, като се използва по-голямата сума. Има изискване санкциите да са ефективни, пропорционални и да възпират нарушенията. Въвежда се възможност за предявяване на групови искове към организацията, извършила нарушението, които биха могли да доведат до загуби и/или щети върху репутацията на юридическото лице.

Сигурност. Неприкосновеността на личния живот и сигурността на личните данни при прилагането на механизми за контрол или наблюдение са в основата на съществуващата към настоящия момент декларация за приложимост, използвана при сертифицираните системи за управление за сигурност на информацията (ISO 27001). Използването на технически и организационни механизми, от администратори и обработващи лични данни, осигуряващи сигурността на данните ще бъде законово изискване след 25 май 2018 г. Механизмите трябва да са съобразени с нивото на риск и неговата тежест върху правата и свободите на физическите лица (напр. псевдонимизация и криптиране на личните данни; способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването).

Длъжностно лице по защита на данните (Data Protection Officer - DPO). GDРR въвежда задължение за администраторите и обработващите лични данни за определяне на DPO, когато:
- обработването на данни се извършва от публичен орган или структура с дейност в обхвата на GDPR;
- обработката на данни изисква редовно и систематично мащабно наблюдение на субектите на данни;
- се извършва мащабно обработване на специални категории данни.
Регламентът допуска група от предприятия да могат да назначат едно DPO.

Сътрудничество между компетентният орган на ЕС и надзорните органи на държавите-членки за уведомяване при узнаване за нарушения.

Инструменти за демонстриране на изпълнението на GDPR. Администраторите и обработващите лични данни ще могат да използват одобрени кодекси за поведение или сертифициране, за да осигурят доверие в предоставяните услуги съобразено със спецификата и потребностите на конкретен сектор/отрасъл или на определени потоци от данни за изпълнението на GDPR. Тези инструменти се очаква да осигурят подходящи гаранции при предаването на данни между публични органи или структури въз основа на международни споразумения или административни договорености.

Хармонизирането на законодателството на ЕС по отношение на надеждността на сигурността при свободното движение на потоците от лични данни се очаква да доведе не само до повишаването на доверието в защитата, но и до финансови ползи.

Независимо от предимствата, очаквани от прилагането на GDPR, са въведени и някои ограничения, например по отношение на достъпа на администраторите и обработващите лични данни само до данни, които са необходими за използване в пряката им работа. 
Нарушаването на това изискване се разглежда като инцидент, дори да не е установено изтичане на информация извън организацията по смисъла на GDPR.


Подробности за етапите на консултиране и внедряване на GDPR може да прочетете ТУК


Източници: http://www.europarl.europa.eu; http://www.eugdpr.org

НОВИ ПРАВИЛА ЗА ЗАЩИТАТА НА ФИЗИЧЕСКИТЕ ЛИЦА ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ, ЗАЛЕГНАЛИ В



ЕТИКЕТИ

Новини

25 Септември 2018
ISO 50001:2018 "Системи за управление на енергията - изисквания с насоки ...
19 Септември 2018
Публикувана е новата версия на ISO / IEC 20000-1:2018 "Информацио...

Акценти

20 Август 2018
Защитата на сигурността на фирмената информация, независимо дали е чувствителна ...
02 Август 2018
Редица големи международни корпорации като Майкрософт са сертифицирали своите об...