: България; 18.03.2018, Неделя, 17:09

GDPR - Общият регламент относно защитата на данните

Общият регламент относно защитата на данните (GDPR) е нов закон на Европейския съюз. Той е предназначен да предостави на хората по-голям контрол върху личните им данни и налага нови задължения на организациите, които събират обработват или анализират такива данни (включително организации извън ЕС).

GDPR влиза в сила на 25 май 2018 г. и това важи и за България. Текстът по-долу дава отговори на някои основни въпроси, свързани с новия регламент и обява понятията. Отговорите са от специалисти на Майкрософт и чрез тях ще получите базисна информация за това, какво е GDPR дали ви засяга пряко.

Да. Общият регламент относно защитата на данните засяга всеки човек и всяка фирма и организация. За да се информирате подробно е нужно да прочетете целия текст на регламента (GDPR, текст на български език) и да се консултирате с експерти.

Какво представлява GDPR?

Общият регламент относно защитата на данните (GDPR) заменя Директивата за защита на данните на Европейския съюз, която е в сила от 1995 г. Макар че GDPR запазва много от принципите, установени в Директивата, той е много по-амбициозен закон. Сред най-забележимите промени е тази, че GDPR предоставя на лицата повече контрол над личните им данни и налага много нови задължения на организациите, които събират, обработват и анализират лични данни. Освен това GDPR предоставя на националните регулатори нови правомощия да налагат значителни глоби и имуществени санкции на организациите, които нарушават закона.

Какво означава сигурност съгласно GDPR?

Съгласно GDPR всяка организация трябва да предприеме мерки за запазване на сигурността на личните данни. Тези мерки включват „организационни мерки“, като ограничаване на броя на хората в организацията, които могат да осъществяват достъп до лични данни, и технически мерки, като например криптиране.

GDPR не посочва и не разпорежда точните мерки за сигурност, които организациите трябва да предприемат. Вместо това се очаква организациите и фирмите да определят сами какви мерки за сигурност да предприемат в зависимост от фактори, като естеството на личните данни, които събират, тяхната чувствителност и рисковете, които включва обработката.

Има много типове рискове за сигурността, които трябва да се вземат под внимание. Общите рискове включват физическа намеса, некоректни служители, случайна загуба и онлайн хакери. Разработването на план за управление на рисковете и предприемането на стъпки за ограничаването им, като например защита с парола, регистрационни файлове за проверка и прилагане на криптиране, може да помогне за осигуряване на съответствие.

Какви са основните изисквания на GDPR?

GDPR налага редица изисквания на организациите, които събират или обработват лични данни, включително изискването да спазват шест основни принципа:

прозрачност, добросъвестност и законосъобразност при обработването и използването на лични данни;
ограничаване на обработката на лични данни до конкретни, изрично указани и легитимни цели;
събиране и съхранение само на минималното количество лични данни, необходими за дадена цел;
гарантиране на точността на данните, включително възможността за тяхното изтриване и редактиране;
ограничаване на съхранението на лични данни;

Важи ли GDPR за моята организация или фирма?

GDPR важи за организации с всякакъв размер и от всички отрасли на икономиката. По-конкретно GDPR важи за:

обработката на личните данни, на което и да е лице, ако тя се извършва в контекста на дейностите на организация, установена в Европейския съюз (независимо къде се извършва обработката);
обработката на лични данни на лица с местопребиваване в Европейския съюз от организация, установена извън Европейския съюз, когато тази обработка е свързана с предлагане на стоки или услуги на тези лица или с наблюдение на тяхното поведение.

Моята организация обработва някои данни. Как да разбера дали те се обхващат от GDPR?

GDPR регламентира събирането, съхранението, използването и споделянето на „лични данни“. Понятието „лични данни“ е определено много широко в GDPR като всяка информация, свързана с физическо лице, което може да бъде идентифицирано. Това може да включва информация, като IP адреси, бази данни за продажби, данни за обслужване на клиенти, формуляри за обратна връзка и други.

Какво ще стане, ако не спазваме съответствие с изискванията на GDPR?

Максималната глоба за сериозни нарушения ще бъде над 20 милиона евро или 4 процента от глобалния годишен приход на организацията, което от двете е по-голямо. Освен това GDPR предоставя правомощия на потребителите (и организациите, действащи от тяхно име) да подават граждански искове срещу организации, които нарушават GDPR.

Кои основни понятия в GDPR трябва да бъдат спазвани?

Член 4 на GDPR включва списък с определения на понятия, използвани в регламента. По-долу са дадени основните понятия, които трябва да разбирате:

Администратор. Администратор е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
Обработващ лични данни. Обработващ лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
Лични данни. Това е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Физическо лице може да бъде идентифицирано пряко или непряко чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Обработване. Това означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства. Операциите могат да включват събиране, записване, организиране, структуриране, съхранение и други.
Псевдонимизация. Това е обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно.

Какво изисква GDPR в случай на нарушение на сигурността на данните?

GDPR определя „нарушение на сигурността на личните данни“ като „нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин“. В случай на такова нарушение трябва да уведомите регулаторите в рамките на 72 часа от откриването му. Също така може да се наложи да уведомите клиентите (или „субектите на данни“), ако нарушението носи съществен риск от вреда за тях.

Какво означава организациите да работят „прозрачно“?

Това означава, че трябва да сте честни и ясни в обясненията си защо и как обработвате данните на хората. GDPR съдържа подробна информация относно това какво трябва да съобщавате на лицата относно обработката на лични данни и част от нея включва следното:

защо обработвате личните данни;
колко дълго ще съхранявате тези данни (или критериите за определяне колко дълго трябва да съхранявате данните);
с кого ще бъдат споделяни данните; и
дали личните данни ще бъдат прехвърляни извън Европейската икономическа зона.

Трябва да представите тази информация по ясен и достъпен начин. За целта е добра идея да прегледате внимателно видовете разкриване на данни от ваша страна, които противоречат на изискванията GDPR.