GDPR вече е в сила – какви са основните ни права
Указанията на ЕК за съответствие на малкия и средния бизнес с GDPR
Стъпка 1 Проверете личните данни, които събирате и обработвате, целите, за които го правите, и на какво правно основание
Имате служители; обработвате личните им данни въз основа на трудовия договор и въз основа на правни задължения (напр. изготвяне на отчет за данъчните власти/социалната система). Можете да управлявате списък с отделни клиенти, за да им изпращате например известие за специални оферти/реклами, ако сте получили съгласие от тези клиенти. Не винаги се нуждаете от съгласие. Има случаи, когато физическите лица ще очакват да обработвате данните им. Например като търговец на пици можете да обработвате адреса за доставка, за да рекламирате един от новите си продукти. Това се нарича законен интерес. Трябва да информирате физическите лица за намерението си и да преустановите обработването на такива данни, ако те поискат това от вас. Ако управлявате списък с доставчици или бизнес клиенти, тогава вие правите това въз основа на договорите, които сте сключили с тях. Не е задължително договорите да са в писмена форма.
Стъпка 2 Иформирайте вашите клиенти, служители и други физически лица
Физическите лица трябва да знаят, че обработвате личните им данни, както и за каква цел. Но не е необходимо да информирате физическите лица, когато те вече имат информация за това как ще използвате данните им — например когато клиент ви помоли да направите доставка до дома му. Освен това трябва да информирате физическите лица при поискване от тяхна страна относно личните им данни, които съхранявате, и да им предоставите достъп до тези данни. Поддържайте данните си в изряден вид, така че когато например ваш служител ви попита какъв вид негови лични данни съхранявате, да можете да му ги предоставите лесно и без допълнителни усложнения.
Стъпка 3 Съхранявайте личните данни толкова дълго, колкото е необходимо
Данни за вашите служители: за периода на трудовото правоотношение и свързаните с него правни задължения. Данни за вашите клиенти: за периода на взаимоотношенията ви с клиентите и свързаните правни задължения (например за данъчни цели). Изтрийте данните, когато вече не са необходими за целите, за които сте ги събрали.
Стъпка 4 Защитете личните данни, които обработвате
Ако съхранявате тези данни в ИТ система, ограничете достъпа до файловете, които съдържат данните, напр. с парола. Редовно актуализирайте настройките за защита на вашата система. ОРЗД не предписва изисквания относно използването на някоя конкретна ИТ система. Ако съхранявате физически документи с лични данни, тогава се уверете, че те не са достъпни за неупълномощени лица; заключете ги в сейф или шкаф.
Стъпка 5 Водете документация за вашите дейности, свързани с обработването на данни
Изгответе кратък документ с обяснение на вида лични данни, които съхранявате, и по какви причини. Може да се наложи да предоставите наличната документация на вашия национален орган за защита на данните при поискване от негова страна.
Стъпка 6 Уверете се, че вашият подизпълнител спазва правилата
Ако ще възлагате обработването на лични данни на друго дружество, използвайте само доставчик на услуги, който гарантира обработване в съответствие с изискванията на ОРЗД (например мерки за сигурност). Преди да подпишете договор с дадено дружество, проверете дали то вече е направило съответните промени и корекции съгласно ОРЗД. Прикрепете тази проверка към договора.
Стъпка 7 Проверете дали посочените по-долу разпоредби се отнасят до вас
За по-добра защита на личните данни организациите могат да назначат служител по защита на данните (СЗД). Не е необходимо обаче да назначавате служител по защита на данните, ако обработването на лични данни не е основна част от вашия бизнес, не е рисково обработване и вашата дейност не е в голям мащаб. Ако например дружеството ви събира данни на клиентите само с цел доставка по домовете, не е необходимо да назначавате СЗД. Дори ако трябва да използвате СЗД, това може да бъде съществуващ служител, натоварен с тази функция в допълнение към другите му задачи. Или може да бъде външен консултант; така както много организации използват външни счетоводители.
Обикновено не трябва да правите оценка на въздействието върху защитата на данните Такава оценка на въздействието е запазена за тези, които представляват по-голям риск за личните данни, например извършват мащабен мониторинг на обществено достъпна зона (напр. видео наблюдение). Ако сте малко дружество, което управлява заплатите на служителите и списък на клиентите, не е необходимо да правите оценка на въздействието върху защитата на данните за тези операции за обработване.
Общият регламент за защита на данните (GDPR) вече е в сила. Проектът за изменения в българския Закон за защита на личните данни, свързан с приложението му, още е до никъде – до 30 май тече общественото му обсъждане, а предстои същинската работа по осмисляне на многото критични становища, както и самото му приемане – първо от Министерския съвет, а после от Народното събрание.
Регламентът обаче не чака българския законодател и от днес се прилага директно. Какво ще се случи? Прогнозите варират от апокалипсис до нищо. Проучвания сред бизнеса в ЕС показват, че към днешна дата никой не може да твърди, че е напълно готов за GDPR, а това важи и за регулаторите на европейско и национално ниво, които трябва да следят за спазването и приложението на регламента. Именно от местните органи, натоварени с тази задача – в България това е Комисията за защита на личните данни (КЗЛД), зависи как ще оживеят в практиката новите правила. Това обаче ще отнеме време.
Неяснотите са много. Не само в България. И нуждата от информация доведе до там, че GDPR измести в търсачката Google певицата Бионсе. Юристите и IT специалистите, които са натоварени с приложението на новата регулация, създадоха собствен фолклор:
„- Познаваш ли добър специалист по защита на личните данни?
-Да.
– Можеш ли да ми дадеш имейла му?
– Не.“
Това е само един от вицовете, родени от истерията преди влизането в сила на регламента, който предвижда огромни санкции, достигащи в някои случаи 20 млн. евро.
Не на шега обаче от днес GDPR вече действа и е важно да припомним най-общо и без претенция за изчерпателност основните права, които той дава на всеки гражданин или субект на данните, както го нарича регламентът. Много от тях не са нови, но са доразвити.
Субект на данни е физическо лице, което е идентифицирано или може да бъде идентифицирано въз основа на определена информация, обяснява Комисията за защита на личните данни.
Според GDPR физическото лице, за което се отнасят данните, има право нa информираност. То има право да получи информация за самия администратор, както и за обработването на собствените му данни. Т.е. всеки има право да получи данни, идентифициращи администратора, както и негови координати за връзка, включително и тези на назначеното от него длъжностно лице по защита на данните (data protection officer – DPO). Гражданинът има право да знае какви са целите и правното основание за обработването, както и кои са получателите на данните му и дали администраторът има намерение да ги предаде на трета страна. Друга важна информация, която всеки може да получи, е за какъв срок се съхраняват личните му данни, както и извършва ли се профилиране въз основа на тях.
Към това се добавя и информация и за всички права, които има субектът на данни, както и правото му на жалба до надзорния орган – КЗЛД.
Всеки има право на достъп до собствените си лични данни и да поиска те да бъдат изтрити. Това е т. нар. право да бъдеш забравен. То може да се осъществи, ако е налице едно от следните условия:
- Личните данни повече не са необходими за целите, за които са били събрани или обработвани
- Субектът на данните е оттеглил съгласието си, въз основа на което се основава обработването на данните и няма друго правно основание то да продължи
- Субектът на данните възразява срещу обработването и няма законни основания, които да имат преимущество;
- Личните данни са били обработвани незаконосъобразно;
- Личните данни трябва да бъдат изтрити, за да се спази правно задължение, уредено в правото на ЕС или в български нормативен акт
Правото да бъдеш забравен обаче не е абсолютно. Има ситуации, при които администраторът може да откаже да изтрие данните. Това може да се случи, когато обработването на конкретните данни е необходимо за упражняване на правото на свобода на изразяване и на информация. Основание за отказ е, ако данните са необходими за изпълнение на правно задължение, или на задача от обществен интерес, или за упражняване на публична власт, както и за целите на общественото здраве. Администраторът може да откаже да изтрие личните данни и ако те са необходими за установяване, упражняване или защитата на правни претенции. Те може да се пазят и за научноизследователски и исторически изследвания или за статистически цели.
За правото да бъдеш забравен в дигиталната среда от КЗЛД обясняват: „То изисква от администратора, който е направил личните данни обществено достъпни (например чрез публикуване в интернет) да уведоми другите администратори, които обработват тези лични данни, да изтрият всякакви връзки към тях или техните копия или реплики. Това се отнася преди всичко за интернет търсачките“.
Всеки може да поиска данните му да бъдат коригирани, ако са неточни, както и да ограничи обработването им от дадения администратор. Последното може да се случи, ако са налице конкретни условия. Комисията за защита на личните данни изброява някои от тях. Например ограничаването на обработването на данните може да се наложи, когато човекът оспорва точността им. Тогава в срока, от който администраторът се нуждае, за да провери дали това е така, обработването им ще е ограничено.
То ще е такова и ако обработването изначално е било неправомерно, но човекът не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им. Има хипотеза, при която администраторът не се нуждае повече от личните данни, но физическото лице ги изисква за установяването, упражняването или защитата на негови правни претенции.
Временно ограничено обработване ще има и в друга хипотеза – при възражение от субекта на данните срещу обработването им, докато тече проверка дали законните основания на администратора имат преимущество пред интересите на гражданина.
Възражението срещу обработването на лични данни, както и преди влизането в сила на GDPR, беше основно право, което се гарантира и от регламента. „Ако физическите лица възразят пред администратора срещу обработването на личните им данни, той е длъжен да прекрати обработването, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. При възразяване срещу обработването на лични данни за целите на директния маркетинг обработването следва да се прекрати незабавно“, обясняват от КЗЛД.
Съгласието за обработването на лични данни е един от най-важните моменти в регламента. То е едно от алтернативните основания за законосъобразното им обработване, т.е. не е недопустимо някой да ги използва и съхранява без съгласие, ако това е регламентирано в нормативен акт.
Какво значи да е дадено съгласие? Първо то трябва да е свободно изразено. Това означава, че не е дадено под натиск или заплаха от неблагоприятни последици, например по-висока цена на услуга. Освен това съгласието трябва да е конкретно. Това ще рече, че трябва отделно съгласие за всяка конкретно определена цел или категория лични данни. То трябва и да е информирано, т.е. дадено на основата на пълна, точна и лесно разбираема информация. Съгласието трябва да е недвусмислено, а не да се извлича или предполага въз основа на други изявления или действия на човека. Освен това то трябва да е дадено с активно действие – чрез изрично изявление или ясно потвърждаващо действие. „Мълчанието на лицето или предварително отметнати квадратчета за съгласие не могат да се приемат за валидно съгласие“, обяснява КЗЛД.
Абсолютно недопустимо е съгласието да бъде обвързано с предварителни условия от страна на администратора или да води до неблагоприятни последици при отказ да бъде предоставено или в последствие бъде оттеглено. От комисията предупреждават, че то може да не бъде прието за валидно, ако съществува зависимост или неравнопоставеност между субекта на данни и администратора – например в отношенията между гражданин и публичен орган или между работник и работодател.
И най-важното – всеки има право да оттегли съгласието си по всяко време, като начинът за това следва да бъде толкова лесен и достъпен, колкото този, по който е дадено.
Не на последно място, ако гражданин счита, че правото му на защита на личните данни и неприкосновеност е било нарушено, може да подаде жалба до КЗЛД. Има право и да оспори решенията на комисията пред съда.
Освен това GDPR дава право на всеки, който е претърпял материални или неимуществени вреди в резултат на нарушение на регламента, да получи обезщетение от администратора. „Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди“, предвижда регламентът.
8
Коментирайте
Комисията за защита на личните данни като е КЗЛД защо Общия регламент за защита на данните не е ОРЗД, а е GDPR???
Преди 2 дни празнувахме 24 май, мама му стара…
Европейската комисия каза още преди няколко месеца, че се чака една година да се види как ще се прилага GDPR, къде работи и къде не и чак след това ще има изглаждане на практиката и изискванията. Значи – до догодина и самите проверяващи няма да знаят какво да правят, аще гледат ангро. Споко.
да, тепърва ще стане ясно какво ще стане, което обаче не отменя нервите, чуденето и работата в движение
истерията е пълна, сайтът на комисията е като режим на тока през 80-те, две минути има три няма.
това са основните права. а иначе какви ли не интерпретации, какви ли не глупости се чуха. сега слушам, че фотографите на вестниците щели да ходят по протести с бланки за съгласие на хората да бъдат снимани. що за глупост. четете го този регламент! има обществен интерес, има право на информация, свобода на изразяване…
Вицът е чуден!
Keep calm and comply with GDPR 😉
Истината е, че нищо няма да се случи докато законът не бъде приет. Комисията няма да години малките предприятия. Първи проверки ще минат системно обработващите лични данни и то най-рано в края на годината.
Този Регламент сукаш аз съм го писал.ОСНОВНИТЕ ЧОВЕШКИ ПРАВА са изведени на преден план, както в цялото Е право-тези права се дават на Човека от БОГ с факта на неговото раждане.Те са наддържавни и над политически, защитават се както от съда, така и от администрациите на всяка държава и фирма, ПРЕДИ И НАД всичко друго- затова са неотменяеми – съобразете се с тях.Така е прокламирано и в Конституцията на РБ и в Харта на основните права в ЕС.НАРОДА БЪЛГАРСКИ НЕ СЕ СЪСТОИ ОТ ПРЕСТЪПНИЦИ, а от м ъ д р е ц и . Слушайте мъдреците и „изкарайте“ прокуратурата от… Покажи целия коментар »