GDPR: нови възможности и нови задължения

 

С GDPR се определя начинът, по който предприятията ще обработват и управляват личните данни.
Регламентът влиза в сила от 25 май 2018 г. и ще се прилага за всички предприятия и организации. Той представлява най-голямата промяна в правилата на ЕС за защита на данните през последните 20 години. GDPR не само осигурява по-голям контрол на гражданите върху начина на използване на личните им данни, но също така значително рационализира регулаторната среда за предприятията. Това се постига чрез установяване на единна рамка за законодателството за защита на данните в рамките на целия ЕС. С други думи, вместо всяка държавада разполага със собствени закони за защита на данните, сега целият ЕС е подчинен само на един единствен регламент. По този начин едно дружество, упражняващо дейност в различни държави, вече не е необходимо да се съобразява с много и често различни разпоредби. Вместо това, за да предлага услугите си навсякъде в ЕС, то трябва да се съобразява само с GDPR.

Защитата на личните данни представлява повод за голямо безпокойство за физическите лица. Поради това тяхното доверие в цифровата среда остава ниско.

GDPR предлага нова възможност на вашето предприятие за повишаване на доверието на потребителите чрез управление на личните данни, съобразено с риска. Отнася до всяко предприятие, което обработва лични данни автоматично или ръчно. Дори ако предприятието ви обработва данни само от името на други предприятия, вие все пак трябва да спазвате правилата.

Ако личните данни, които събирате, включват информация за здравето, расата, сексуалната ориентация,
религията, политическите убеждения или членството в професионална организация на дадено лице, те
се считат за чувствителни. Дружеството Ви може да обработва тези данни само при определени условия
и може да се наложи да въведете допълнителни предпазни мерки, като например криптиране.

GDPR е съобразен с нуждите на предприятията. Например регламентът има за цел да премахне административните изисквания, с цел да сенамалят разходите и да се сведе до минимум административната тежест:

• Край на предварителното уведомяване – с реформата се премахва по-голяма част от предварителните уведомявания на надзорните органи, а успоредно с това и свързаните с тях разходи;
• Служители по защита на данните (СЗД) – дружествата трябва да назначат СЗД предимно, ако техните основни дейности включват обработване на чувствителни данни в голям
  мащаб или мащабен, редовен и систематичен мониторинг на физически лица. Публичните
  администрации имат задължението да назначат СЗД;
• Оценки на въздействието върху защитата на данните: дружествата са длъжни да извършат оценка на въздействието върху защитата на данните само ако предложената дейност по обработка на данните е свързана с висок риск за правата и свободите на физическите лица;
• Поддържане на регистър: дружества с по-малко от 250 служители не са задължени да поддържат регистър, освен ако обработването на данни не е случайно или не включва чувствителна информация.

GDPR определя директни задължения за обработката на данни за предприятията наравнище ЕС. Според GDPR дадено дружество може да обработва лични данни само при определени условия. Например обработването следва да бъде справедливо и прозрачно, за определена и законна цел и ограничено до данните, необходими за изпълнението на тази цел. То трябва да се базира също и на едно от следните правни основания:

• съгласието на засегнатото физическо лице;
• договорно задължение между Вас и физическото лице;
• изпълнение на правно задължение;
• защита на жизненоважните интереси на физическото лице;
• изпълнение на задача, която е от обществен интерес;
• за законни интереси на Вашето дружество, но само след като сте проверили, че основните права и свободи на физическото лице, чиито данни обработвате, не са сериозно засегнати. Ако правата на физическото лице имат преимущество пред Вашите интереси, тогава не можете да обработвате данните.

GDPR съдържа строги правила за обработката на данни въз основа на съгласие за използването на лични данни. Целта на тези правила е да се гарантира, че физическото лице разбира с какво се съгласява. Това означава, че съгласието трябва да бъде свободно дадено, специфично, информирано и недвусмислено,
представено въз основа на искане с ясни и недвусмислени формулировки. Освен това съгласието трябва да бъде дадено чрез утвърдителен акт, като например поставяне на отметка в квадратче онлайн или подписване на формуляр. Ако обработвате лични данни, отнасящи се до дете въз основа на съгласие, тогава се изисква съгласието на родителите. Тъй като възрастовият праг варира между 13 и 16 години в различните държави, препоръчваме Ви да се консултиратес националното законодателство.

GDPR включва редица задължения, насочени към защита на правото на физическите лица да
упражняват контрол над личните си данни:

• право на предоставяне на прозрачна информация;
• право на достъп и право на преносимост на данните;
• право на изтриване (право „да бъдеш забравен“);
• право на коригиране и право на възражение;

В допълнение към задълженията, насочени към защитата на правата на физическите лица, GDPR
съдържа и редица задължения, чието прилагане зависи от риска:

• назначаване на служител по защита на данните (СЗД);
• защита на данните на етапа на проектирането и по подразбиране;
• предоставяне на подходящо уведомление в случай на нарушаване на сигурността на данните;

Изготвянето на ОВЗД е задължително, когато има вероятност планираното обработване да доведе до висок риск за правата и свободите на физическите лица. Такъв може да е случаят например, когато се използват нови технологии.

• Съгласно GDPR такъв висок риск съществува поне в следните случаи:
  механизмите за автоматизирано обработване
  и профилиране се използват за систематична
  и задълбочена оценка на физическите лица;
• обществено достъпна зона систематично се
  наблюдава в голям мащаб (напр. чрез система
  за видеонаблюдение);
• чувствителни данни се обработват в голям
  мащаб (напр. здравни данни).

Целта на ОВЗД е да се идентифицират потенциалнитерискове за правата и свободите на физическите
лица, преди да започне обработването на личните данни и преди рискът да стане действителен. Чрез
предварително намаляване на риска щетите могат да бъдат избегнати, а разходите сведени до минимум.
Ако мерките, посочени в ОВЗД, не успеят да премахнат всички идентифицирани високи рискове, трябва да се проведе консултация с ОЗД, преди да се извърши планираната обработка на данните.