За Регламента

След 25 май 2018г. Общият Регламент за защита на личните данни („GDPR“) ще започне да се прилага в цялост и ще засегне голяма част от българския бизнес. Вече няма да се регистрирате като администратор на лични данни в Комисията за защита на личните данни, а ще придобивате това качество ex lege (по силата на закона). Ако не сте в съответствие с GDPR рискувате да ви бъде наложена глоба или имуществена санкция в размер до 20 000 000 евро или до 4% от общия годишен световен оборот, което от двете е по-голямото.

КОИ КОМПАНИИ СА ЗАСЕГНАТИ ОТ GDPR?

Всяка компания, която съхранява или обработва по друг начин лични данни относно граждани на Европейския съюз, трябва да бъде в съответствие с GDPR, дори когато не е установена в Европейския съюз. Към компаниите са насочени нови задължения, например назначаване на длъжностно лице по защита на данни, постоянно представителство в Европейския съюз при определени условия, извършване на оценка на въздействието и други.

КАКВИ ЛИЧНИ ДАННИ ЗАЩИТАВА GDPR?

  • Основна идентифицираща информация като имена, адрес и номер на лични документи;
  • Уеб данни като местонахождение, IP адрес и бисквитки;
  • Здравни и генетични данни;
  • Религиозни и етнически данни;
  • Политически възгледи;
  • Сексуална ориентация.

КАКВО ТРЯБВА МОЯТА КОМПАНИЯ ДА НАПРАВИ, ЗА ДА СЕ ПОДГОТВИ ЗА GDPR?

Всяка компания самостоятелно преценява на мениджърско ниво необходимостта от въвеждане в съответствие с GPDR. Всеки мениджър трябва да представи работата на отдела си и свързаните с него операции по обработване на лични данни.

Извършете оценка на риска: Искате да знаете какви лични данни съхранявате или обработвате по друг начин на физически лица и да разберете риска, свързан с тях. Затова трябва да разгледате внимателно бизнес процесите в компанията си. Анализът на този процес ще Ви помогне да разберете от какво се нуждаете и как това ще работи във Ваша полза.

Създайте план за защита на личните данни: Една част от компаниите вече са създали такъв план, но този план трябва да бъде обновяван всеки път, когато създавате нов проект или разширявате мащабите на Вашата компания, което означава, че трябва да следите отблизо процесите по обработване на лични данни.

ПРАВА НА СУБЕКТИТЕ НА ДАННИ

  • Право на достъп;
  • Право на коригиране;
  • Право на изтриване („право да бъдеш забравен“);
  • Право на ограничаване на обработването;
  • Право на преносимост на данните;
  • Право на възражение;
  • Право да не бъдеш обект на решение, основаващо се на автоматизирано обработване, включително профилиране

В случай физическо лице упражни някое от правата си, администраторът е длъжен, без ненужно забавяне и в срок от един месец от получаване на искането да предприеме действия по искането на лицето.

Освен това, за да могат физическите лица да упражняват ефективно правата си, администраторът е задължен да предостави следната информация:

  • данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
  • координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
  • целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
  • когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
  • получателите или категориите получатели на личните данни, ако има такива;
  • когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, втора алинея позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични;
  • срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
  • съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
  • когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
  • правото на жалба до надзорен орган;
  • дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени и друга информация.

Неизпълнение на тези задължения съгласно чл. 83, пар. 5, б. „б“ от GDPR може да доведе до глоба или имуществена санкция в размер до 20 000 000 евро или 4% от световния годишен оборот, което от двете е по-голямо. Затова:

  1. Притежавате ли необходимите умения и качества, за да се справите с предизвикателствата в защитата на личните данни?
  2. Предприели ли сте оценка на риска и имате ли изграден план за действие?
  3. Имате ли изградени процедури и правила, които бизнесът ви да съблюдава?

Ако всичко това Ви предстои, не чакайте повече, нашият експертен екип може да помогне!