Какво е GDPR (ОРЗД), какво трябва да знам?

Какво е GDPR (ОРЗД), какво трябва да знам? от Speedflow Bulgaria

Готови ли сте да посрещне промените, които налага новият Общ регламент за защита на личните данни (ОРЗД) или по-известен като GDPR (General Data Protection Regulation)?

Статията, която днес сме ви подготвили, има за цел да даде отговорите на най-често задаваните въпроси, които получаваме във връзка с така нашумялата тема GDPR (ОРЗД). Независимо дали сте фирма, или просто потребител, може би някои от отговорите, които търсите, ще намерите именно тук. Затова не спирайте да четете.

 

Какво е GDPR (ОРЗД)?

GDPR (General Data Protection Regulation) е новият Общ регламент на Европейския съюз за защитата на данните (ОРЗД) от 27 април 2016 година, който регулира обработването, съхранението и използването на лични данни на физически лица от други лица, дружества или организации.

 

От кога влиза в сила?

Новият регламент влиза в сила на 25 май 2018 година. Всеки, които обработва лични данни, е задължен да спазва всички установени от закона правила. При неизпълнение глобите могат да достигнат до 20 милиона евро. Или 4% от годишния оборот на дружеството за предходната година (плаща се по-високата от двете суми).

 

Колко е минималната глоба в България свързана с GDPR?

Все още не е на 100% сигурно, но се говори, че българското законодателство предвижда минимална GDPR глоба от 10 000 лв. Това се оспорва на обществено обсъждане.

 

За кого се отнася новият Общ регламент за защита на данните?

Новият Общ регламент за защита на данните се отнася за всяко дружество/организация, регистрирана на територията на Европейския съюз, която обработва лични данни, независимо от това къде точно се обработват събраните данни и независимо дали това е основна дейност на компанията, или е част от дейностите на някой от клонове й.

 

Важи ли GDPR (ОРЗД) за фирми извън ЕС?

Да! Всяка компания, която предлага стоки/услуги на физически лица, които са граждани на Европейския съюз. Ако обработва техни лични данни, независимо от това къде се намира по света, се задължава да спазва правилата, установени в новия Регламент.

 

Какво се разбира под лични данни?

Под лични данни се разбира всякакъв вид информация, свързана с живо физическо лице, което е идентифицирано или може да бъде идентифицирано, например име, фамилия, адрес, ЕГН, имейл, номер на лична карта, местоположение, IP адрес, бисквитки и др. Пълен списък можете да намерите тук: https://goo.gl/RJTWf4

 

Какви дейности включва обработването на лични данни?

Обработването на лични данни обхваща много видове процеси и дейности като например събиране, съхраняване, променяне, разпространяване и др.

 

Какви са правата на физическите лица според ОРЗД?

Общият регламент за защита на данните дава на физическите лица, чиито данни се събират и обработват, следните права:

  • Право на пълна информираност и прозрачност за начините, по които фирмите обработват личните им данни;
  • Право на постоянен достъп до личните им данни, които биват обработвани;
  • Право на коригиране на личните данни, ако те са неточни или непълни;
  • Право на изтриване на личните данни, още познато като „правото да бъдеш забравен“;
  • Право на ограничаване на обработването на личните данни;
  • Право на преносимост на личните данни. Това ще рече пълното право на физическото лице във всеки един момент да използва личните си данни за собствени цели. Както и да ги споделя с други администратори на лични данни;
  • Право на възражение срещу обработването и употребата на личните им данни във всеки един момент, в който сметнат за необходимо. Това важи и за случаите, когато компания използва лични данни за маркетингови цели, проучвания и др.
  • Право да не бъдат обект на решение, което произлиза от автоматизирано обработване на лични данни или профилиране. По този начин физическите лица биват предпазени от евентуални последствия и отговорности, произхождащи от решения, направени без човешка намеса.

 

Какви са задълженията ми като фирма/организация/администратор на лични данни според GDPR (ОРЗД)?

Новият Общ регламент за защита на личните данни въвежда изцяло нови правила и задължения за всички, които обработват и съхраняват лични данни на физически лица. Ето и някои основни и какво засягат те:

  • Първоначален GAP анализ – анализ, който има за цел да определи, до каква степен въпросната фирма/организация (която се явява асминистратор на лични данни) покрива изискванията на GDPR. Анализът може да се извърши вътрешно – във фирмата или външно – със съдействието на консултантска фирма;
  • Обработване и отчетност – Всички лични данни трябва да бъдат обработени спрямо принципите, установени в Общия регламент, като това трябва да може да бъде доказано във всеки един момент;
  • Защита – Личните данни на физическите лица трябва да бъдат защитени във всеки един етап от тяхното обработване и употреба;
  • Длъжностно лице по защита на личните данни (Data Protection Officer или DPO) – Всяка фирма/организация трябва да назначи служител по защита на личните данни в случаите, когато:
    – основната й дейност е обвързана с обработката на лични данни в голям мащаб или с редовното и мащабно наблюдение на физически лица. В това число влиза проследяването и профилирането на физически лица в интернет пространството (дори и за цел реклама). Тук се причисляват банки и финансови инстистуции, телекомуникационни иператори, доставчици на GPS услуги, видео наблюдение (CCTV услуги), поведенчески реклами;
    – ако администратора има повече от 250 назначени служители.
    – ако администратора обработва повече от 10 000 физически лица
    – ако администратора обработват специални, или т.нар. „чувствителни“ лични данни в голям мащаб – такива са всички болници, здравни учреждения, пенсионно-осигурителни и застрахователни дружества
    – когато става дума за публични органи или структури с изключение на съдилищата при изпълнение на съдебните им функции.Въпросното длъжностно лице по защита на личните данни трябва да е минало съответното обучение, а организацията сама преценява до колко то отговаря на новите изисквания. Препоръчително е то да има добри познания в сферата, в която работи, както и спрямо практики за защитата на лични данни.
    -Това задължение може да се „аутсорсне“ и да се назначи външно DPO;
  • Уведомяване – Администраторът на лични данни се задължава да уведоми надзорния орган по защита на личните данни при всяко установено нарушаване на сигурността на личните данни;
  • Оценка на въздействието – Трябва да бъде извършена оценка на въздействието върху защитата на личните данни и потребителите – прави се веднъж на две години;
  • Оценка на риска – прави се оценка, която да покаже евентуални какъв е риска за евентуална загуба на лични данни или пробив в защитата на организацията и се изчисляват потенциалните поражения;
  • Консултиране – Ако въпросните оценки споменати по-горе покажат голям риск и администраторът на лични данни не предприеме необходимите действия за неговото намаляване, той се задължава да се консултира с надзорния орган по защита на личните данни преди да започне да обработва личните данни;
  • Сигурност – Сигурността на личните данни трябва да бъде осигурена и при необходимост да бъдат приложени съответните технически и организационни мерки. За тази цел всяка фирма трябва да е има обновени вътрешни правила и политики съвместими с GDPR;
  • Отчетност – всяка фирма трябва да води стриктна отчетност (или регистър) и да документира изброените задължения по-горе. Тази отчетност е задължение на длъжностното лице по защита на личните данни или както вече споменахме DPO. Също така трябва да се пазят „логове“ ва случващото се в определен уеб сайт.
  • И др.

 

Каква информация трябва да предоставя на хората, чиито лични данни събирам в уеб сайта си и не само?

Независимо в коя сфера развивате дейност, дали е в интернет или не, задължително трябва да информирате физическите лица, чиито данни събирате и ще обработвате, за следното:

  • Коя е вашата фирма/организация/дружество
  • Данни за контакт на дружеството, както и контактите на вашия служител по защита на личните данни (ако имате назначен такъв);
  • С каква цел събирате и обработвате лични данни и за какво точно ще бъдат използвани те;
  • Какви категории лични данни събирате;
  • Какво правно основание имате, за да обработвате лични данни;
  • За какъв период от време ще съхранявате личните данни;
  • Ще бъдат ли личните данни споделяни и използвани от трети лица;
  • Ще бъдат ли изнасяни извън ЕС;
  • Трябва да бъдат упоменати правата на физическите лица във връзка с обработването на личните им данни (право на достъп, информираност, коригиране, подаване на жалби и др., упоменати по-горе в нашата статия)
  • И др.

Следната информация можете да поместите в раздел „Декларация за поверителност“ (Privacy Policy). А още по-добра идея е да направите отделна страница с наименование „Декларация за бисквитки“ (Cookie Policy), в която да е описана цялата информация, както и какви бисквитки и тракинг технологии използвате при събиране на въпросните лични данни.

 

Как регулациите ще засегнат бизнеса в Интернет?

Основната цел за въвеждането на регулациите е защитата на правата и личните данни в Интернет. Или иначе казано – взаимодействието и връзката между бизнеса и потребителите, включително и на онлайн търговията. Също така да улесни и подсигури потоците от информация между двете страни.
От една страна ще се подсигури защитата на личните данни, ще се намали злонамереното им ползване. А от друга ще се намалят непоисканите търговски съобщения (СПАМ) до потребителите.

 

Какви промени трябва да направя ако имам уеб сайт, в който се събират лични данни?

След премиването през GAP анализ, ще се установи до каква степен покривате новите изисквания (споменати по-горе в статията). Те трябва да бъдат спазени и във вашия уеб сайт. Всеки потребител / посетител на дадена интернет страница, онлайн магазин или друг уеб портал трябва изрично да даде своето съгласие за ползване на личните му данни.
Също така:

  • Трябва да имате обновена „Декларация за Поверителност„. По възможностс и „Декларация за Бисквитки„. В тях трябва да опишете всичко казано по-горе;
  • Трябва да имате обновени „Условия за ползване“. *Консултирайте се с адвокат относно тази част!;
  • Трябва да предоставите възможността на потребителите те сами да изключат всякакви бисквитки и технологии, събиращи личните им данни;
  • Потребителите ще могат да поискат техните лични данни да бъдат изтрити от дадена база данни на онлайн магазин или друг уебсайт. Както вече споменахме „Правото да бъдеш забравен“;

 

Кой следи за спазването на GDPR (ОРЗД)?

Комисията за защита на лични данни е единственият надзорен орган в България, който отговаря и следи за спазването на GDPR (ОРЗД).

 

Къде мога да получа повече подробна информация?

На сайта на Комисията за защита на лични данни може да намерите изключително подробна информация във връзка с Общия регламент за защита на данните (ОРЗД): https://www.cpdp.bg/?p=element&aid=213

Ето няколко полезни връзки, които ще са ви от полза ако искате да навлезнете в детайли:

Ние от Speedflow Bulgaria съветваме да се консултирате с адвокат по създаване на новите ви фирмени текстове и правила, а за техничекото имплементиране във вашия сайт, оставаме на пълно разположение.
Ако имате някакви въпроси, не се колебайте да ни ги зададете в секцията за коментари или на имейл адрес: info@speedflow.bg  Гарантираме, че личните данни на нашите клиенти са напълно защитени и се обработват изцяло по новия Общ регламент за защита на личните данни (GDPR).

Сподели

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *