Какви са новите правила за защита на лични данни (GDPR)?

Все по-често в медиите чувам за промени в правилата за защита на лични данни и как това ще се отрази кардинално на бизнеса ми. Говори се за Общия регламент за защита на лични данни (или както още се среща GDPR от General Data Protection Regulation), който ще влезе в сила от 25 май 2018 г. и как трябва да съм наясно с новите правила и да отговарям на изискванията. Какви са новостите в областта?Важно! По-долу ще науча основните неща по темата. Ако имам нужда от първоначално въвеждане на новите правила в бизнеса ми или искам да получа последващо съдействие: най-доброто решение да се свържа със специалисти. Мога да направя това бързо и на добрa цена на тази страница.

Ще трябва ли да се регистрирам като Администратор на лични данни? Що е то принцип за отчетност?

N.B.! Ако реша да започна бизнес след 25 май 2018 г. и той е свързан със събиране и обработване на лични данни (име, ЕГН, номер на лична карта, адрес, IBAN и др.), то трябва да знам, че отпада задължението ми да се регистрирам като администратор на лични данни към Комисията за защита на лични данни (КЗЛД). Ако пък имам бизнес и вече съм регистриран като такъв, то това не ме освобождава от задължението, да се съобразя с новите правила, предвидени в Регламента, и да направя промени в организацията на бизнеса си. Регистрацията като администратор на лични данни се измества от т.нар. принцип за отчетност. Той се изразява в задължението ми да мога да докажа във всеки един момент, че съм спазил/а изискванията на Регламента, т.е. ако ми направят проверка от КЗЛД да може се установи какви лични данни обработвам, за какви цели и за какъв период от време, как ги съхранявам (писмено или електронно), предоставям ли ги на трети лица и кои са те, какви мерки съм предприел/а, за да гарантирам сигурността на личните данни.

Трябва ли ми съгласие на лицето да обработвам личните му данни?

Ако нямам законово или договорно основание (например въз основа на трудов/граждански договор или договор за предоставяне на услуги) да съхранявам или обработвам лични данни на дадено лице, то трябва да съм получил/а неговото/нейното изрично съгласие. Това може да стане например чрез писмена декларация, включително и по електронен път (ако например имам сайт за онлайн търговия трябва да поискам съгласието на потребителите си да обработвам личните им данни чрез съответно поле, в което с тикче те дават своето съгласие).

Каква е ролята на Длъжностното лице по защита на личните данни?

Съгласно изискванията на Регламента трябва да определя и Длъжностно лице по защита на личните данни, което може да е:

Длъжностното лице по защита на личните данни е натоварено със задълженията да осъществява надзор за спазването на Регламента и да ме консултира в областта на личните данни. Длъжностното лице по защита на личните данни е и лицето, към което КЗЛД или всеки друг може да се обръща по въпроси, свързани със съхраняването и обработването на лични данни.

Винаги ли трябва да имам назначено Длъжностно лице по защита на личните данни?

Какво представлява регистърът на дейностите по обработването?

Като администратор на лични данни трябва да поддържам и регистър на дейностите по обработването в писмена или електронна форма. Регистърът трябва да съдържа информация:

Идеята на регистъра е във всеки един момент, ако някой от моите служители поиска информация за личните си данни, които обработвам, да мога да му предоставя тази информация.

Що е то оценка на въздействието?

Друго мое задължение като администратор на лични данни е да извършвам т.нар. оценка на въздействие на дейностите, свързани с обработването на лични данни, преди да започна самото обработване. При извършването й трябва да изисквам и становище на Длъжностното лице по защита на личните данни. Ако оценката на въздействието покаже, че обработването ще породи висок риск (т.е. неправомерното обработване може да доведе до значителни вреди, кражба на самоличност на лицето, чиито лични дани се обработват), то преди обработването на личните данни задължително трябва да проведа предварителна консултация с КЗЛД. Трябва да приложа и подходящи технически и организационни мерки за гарантиране сигурността на данните, като криптиране, псевдонимизация и др.

Кога е задължително да направя оценка на въздействието?

КЗЛД следва да състави и оповести списък на видовете операции по обработване, за които се изисква да се направи подобна оценка на въздействието.

Как ще бъдат защитени правата на потребителите?

Регламентът предвижда и нови права на физическите лица, които трябва да спазвам при обработването на лични данни, като:

Ами ако има нарушение на сигурността на личните данни?Ако установя, че е налице нарушение на сигурността на личните данни, трябва да уведомя КЗЛД не по-късно от 72 часа след като съм разбрал за него, както и да лицето, чиито лични данни за засегнати. Мое задължение е и да документирам нарушението, т.е. как е настъпило то, какви са последиците и какви действия съм предприел, за да се справя с нарушението. [toggles][toggle title=Източници]Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните или Регламента):чл. 5, пар. 1 - относно принципа за отчетност и в какво се изразя той;чл. 7 - относно изричното съгласие, което трябва да се даде, за да се обработват личните данни на съответното лице; глава III, чл. 12-21 - относно правата на лицата, чиито данни се обработватчл. 30, пар. 1, 3 и 4 - относно регистъра за дейности по обработването на лични данни;чл. 32 - относно техническите и организационни мерки; чл. 33, пар. 1 и 3 - относно задължението за уведомяване към КЗЛД в случай на нарушение на сигурността;чл. 35, пар. 1, 2, 4; чл. 36, пар. 1 - относно оценката на въздействие; раздел 4, чл. 37, пар. 1, т. а) - в); пар. 6; 38, пар. 4 и 39, пар. 1, т. а), б), в) - относно Длъжностното лице за защита на личните данни.Официален сайт на Комисията за защита на лични данни[/toggle][/toggles]

Автор и дата на последна актуализация на текста спрямо законодателството:

Моника

Дафинова

17.9.2018

Избрани от редакцията

Най-новите статии

Още от близо 1000 статии

Потърси правата си