вторник, 6 март 2018 г.

Готов ли е бизнеса за новия регламент за защита на личните данни?


Всяка организация или фирма, независимо от размера и регистрацията си, която работи с лични данни на физически лица в Европейския съюз ще бъде засегната от Регламент EU2016/679 на Европейския парламент, който влиза в сила на 25 май 2018.


Европейската директива за защита на личните данни GDPR (General Data Protection Regulation) ще се отрази на всички, дори да не са под юрисдикцията на Европейския съюз, ако обработват данни на лица от ЕС.
Регламент EU2016/679 е приет на 27 април 2016 от Европейския парламент и Съвета на Европа, и на 25 май 2018 влиза в сила като отменя Директива 95/46/EO  Общ регламент относно защита на данните, приет през 1995г.

Новият закон GDPR е всеобхватен като подробно са разгледани във всички аспекти правата на субектите физически лица за по-добра защита на техните лични данни като граждани на Европейския съюз. Въвежда се ново право - правото да бъдеш забравен, когато вече не желаеш да предоставяш лични данни на определен контрольор (Декларация за отказ). Непременно субектът физическо лице трябва да е дал съгласието си за обработка на личните си данни. (Декларация за съгласие).

Глобите за неспазване на регламента GDPR и несъгласуването на бизнес процесите със защита на личните данни, са много сериозни - в размер на 4% от годишния приход на компанията или 20 милиона евро (което е по-голямо).

Повече информация за регламента GDPR можете да намерите на сайта на Европейската комисия и тук  (на английски език) , както и на сайта на българския регулатор "Комисия за защита на личните данни" https://www.cpdp.bg/

Необходимо е да се прочете  Регламента GDPR и да се следят бюлетините с указания на Комисията за защита на личните данни.

На сайта на КЗЛД има посочени 10 практически стъпки за прилагане на Общия регламент относно защита на данните. Изключително важно е да се запознаете с тях и при необходимост да се консултирате с юрист при изработване на Вътрешни правила във вашата компания за прилагане на регламента GDPR.
Полезно е да се посетят и някои от семинарите за GDPR, които се организират от консултантски фирми, за да  "сверите часовника" и набележите какви мерки да предприемете да не бъде вашата фирма уязвима на санкции.

Важни аспекти от регламента GDPR :
  • Надзорен орган - Комисия за защита на личните данни (КЗЛД)
  • Субекти на данните  - всички физически лица
  • Администратор  на данните - лице по защита на личните данни DPO (Data Protection Officer )
  • Обработващи лични данни - задължения и отговорности на всеки, имащ достъп до лични данни.
  • Нарушение на сигурността - механизми за известяване при компроментиране на данните
  • Мониторинг на данните в електронна среда - информационна сигурност, псевдомизация и криптиране на данните, трансфер на данни


Основните  моменти при изработването на Вътрешни правила за прилагане на регламента GDPR във всяка организация трябва да бъдат:

  • кои лични данни се събират ( всяка информация по която може да бъде идентифицирано едно физическо лице е лична данна): име, адрес, телефон, имейл, ЕГН, банкова сметка, здравен статус, религиозна принадлежност и т.н.
  • с каква цел се събират: маркетингови проучвания, счетоводни цели и т.н
  • как се събират: по имейл, онлайн, телефон, на хартиен носител и т.н.
  • как се обработват и съхраняват: на защитен компютър с отделен достъп, в заключен шкаф в изолирано помещение и т.н.
  • как е получено съгласието за предоставяне и работа с лични дани от дадено физическо лице: с Декларация в писмен вид, по имейл, по телефон и т.н. (как се удостоверява валидно съгласие)
  • колко време ще се съхраняват личните данни (това зависи от срока за който физическото лице си предоставя данните).
  • кой отговаря за опазването на личните данни във вашата фирма
  • как да се променят общите условия на договорите с клиенти и партньори, така че да е спазен регламента GDPR

Причината за широкия отзвук във връзка с влизането на новия регламент GDPR на 25 май 2018 e, че всяко дружество попада в обхвата на регламента и всички лица, обработващи лични данни, са длъжни да актуализират вътрепните си правила и да подобрят процедурите си за съхранение на лични данни.

Специфичното в новия регламент е поставяне на потребителското съгласие в центъра за защита на данните - получаване на предварително, валидно, изрично, свободно, информирано, оттегляемо съгласие.
Особеностите на прилагането на новия регламент GDPR  в електронна среда са споделените отговорности между адмистраторите и обработващите лични данни  като делегиране на  директни задължения:
  • да се поддържа регистър на всички категории дейности, извършвани от името на администратора 
  • обработване на лични данни само по начина, по който са инструктирани от администратора
  • третиране на данните за IP адреси, идентификатори на устройства и геолокация като лични данни
  • използване на подходящи технологични средства като псевдоминизация и криптиране за обработка на лични данни
  • получаване на позволение при включване на други лица, обработващи данните
  • при трансфер на данни да се прилага същия регламент, както и при обработката им, дори към държави извън ЕС
  • навреме да се уведомява за нарушения в режима на обработка на лични данни

Какви технически мерки ще предприемете при събирането, обработката и съхраняването на личните данни на физическите лица във вашата фирма, зависи именно от ръководството на дадена организация и естеството на бизнеса й.
Трябва да поздравим организациите, които са инвестирали време и ресурси за запознаване с новия регламент за защита на данните GDPR и привеждат бизнеса си в съответствие с изискванията му. Адаптирането на процесите и повишаването на киберсигурността трябва да е сред приоритетите на всяка компания, за да отговори на новите изисквания за защита на данните. 

Въвеждането на регламента GDPR засяга почти всички работни отдели в компаниите, като особено тези, които работят с лични и чувствителни данни (незвисимо дали става дума за информация на служители, клиенти или партньори) - регламентът поставя високи изисквания пред финансовите, юридическите, IT и маркетинг специалисти.
Успешното внедряване на новия регламент GDPR преминава през обстоен анализ на процедурите, подобряване на системите за събиране, съхраняване и защита на личните данни, и внедряване на нови сигурни информационни и комуникационни технологични решения.

При неясноти се обръщайте към сайта на Комисията за защита на личните данни - секция Въпроси  и вижте образователните клипчета .

Полезни връзки:
Насоки на Европейската комисия относно новия регламент за защита на личните данни
GDPR - Основни принципи при защита на личните данни (автор Десислава Кръстева)
GDPR - Задължения на обработващите лични данни (автор Десислава Кръстева)
Основни задължения на адмистраторите на лични данни - ключови промени по GDPR (автор Мартин Захариев)
Полезни съвети за собствениците на онлайн магазини съобразно GDPR

Успех!

8 коментара:

  1. Киберсигурността № 1 в дневния ред на ЕС
    http://dnes.dir.bg/news/es-kibersigurnostta-dnevnia-red-26993225?nt=4

    ОтговорИзтриване
  2. Много полезен уебинар "GDPR в действие" от Неви Коева
    https://www.facebook.com/academynevikoeva/videos/1977083402543171/UzpfSTU0NTQ2NjI4OToyMDk4NDA3NzIwMzk4Njcx/

    ОтговорИзтриване
  3. Едва 15% от фирмите в страната са подготвени за въвеждане на GDPR

    https://www.tbmagazine.net/statia/edva-15-ot-firmite-v-stranata-sa-podgotveni-za-vvezhdane-na-gdpr.html

    ОтговорИзтриване
    Отговори
    1. Абе навсякъде всички са луднали с тоя GDPR - машинка за пари. Спираме да продаваме на физически лица и край!

      Изтриване
  4. Ще се продава, но с КБ :)
    ГенСофт са направили доста неща за ЛД, но можеха да направят и филтър по "фирми" и по "лица" във ФИРМИ И ЛИЦА.

    ОтговорИзтриване
    Отговори
    1. След актулизиране с нова версия MoneyWorks софтуерът се "опитва" да раздели контрагентите "Фирми" и "Лица" - ако полето ЕГН е попълнено, то се третира като физическо лице и се прави някакво разделяне.
      Проблем е когато в това поле има некоректни данни или са попълнени едновременно полетата "Булстат" и "ЕГН" - тогава програмата се шашка :D

      Изтриване
  5. Забранява се снимането на лични карти, освен в банки и при нотариуси!
    Всички стопански организации, които имат задължения да събират данните на своите клиенти, ще трябва да ги преписват без да снимат документа за самоличност.
    https://btvnovinite.bg/bulgaria/zabranjava-se-snimaneto-na-lichni-karti-osven-v-banki-i-pri-notariusi.html

    ОтговорИзтриване
  6. Вижте статията " Седем мита за GDPR" https://clubz.bg/67762-sedem_mita_za_gdpr
    Човекът много хубаво си го е казал, че манджата се пресолява !

    ОтговорИзтриване