GDPR: Какво и как?

Според Регламента писмен регистър на дейностите по обработване на данните трябва да поддържа всеки администратор или обработващ лични данни на физически лица, но е предвидено следното изключение: той не е задължителен за предприятия или дружества с по-малко от 250 души служители. Има и изключение от изключението: регистър все пак ще е задължителен и за тези малки фирми, ако "има вероятност извършеното от тях обработване да породи риск за правата и свободите на субектите на данните", ако обработването не е спорадично или включва "чувствителни данни" или лични данни, свързани с присъди и нарушения.  Очевидно при списването на законопроекта за изменение на ЗЗЛД и привеждането му в съотвествие с регламента, в Комисията за защита на личните данни са приели, че риск за правата на субектите на данни винаги има. И затова в ЗИД на ЗЗЛД е записано, че регистри трябва да водят всички администратори. Какво ще приеме парламентът обаче тепърва ще стане ясно. Да видим как...

Тук е мястото да се извърши и преценката за риска от евентуално нарушаване правата на субектите на личните данни при изтичане, унищожаване или каквото и да било друго неправомерно въздействие върху наличната за тях информация. За повечето малки предприятия той ще е нисък.   Според ЗИД на закона "риск е функция от вероятността дадена заплаха да се превърне в потенциална уязвимост и резултатно въздействие от неблагоприятното събитие върху организацията". Преведено на човешки език, това безумно чиновническо клише ще рече, че трябва да прецените какъв е рискът от неправомерно изтичане, разкриване или изтриване на събраните данни и как то ще се отрази на субекта на данните и на фирмата. А оттам - какви мерки за предотвратяване на такова неправомерно въздействие сте взели до момента, дали те са подходящи и има ли нужда да търсите допълнителни защити. Администраторът има задължението да осигури подходящо ниво на сигурност съобразно степента на риска.   Непроменен...

Най-лесно "инвентаризацията" на данни се прави по отдели и по видове субекти на данни. Започвате, разбира се, с ТРЗ и персонала - колко души, какъв вид информация събирате за тях, има ли чувствителни данни, които събирате и необходими ли са ви изобщо. Следват контрагентите и техните представители. И продължавате нататък. Когато сте направили този вътрешен анализ, вие вече ще сте наясно какви лични данни се обработват във фирмата. Включително и чрез камерите за наблюдение. И, повярвайте ми, ще бъдете изненадани от техния обем.  Вдомностите например се пазят 50 години и са пълни с лични данни, които трябва да вземете предвид. При едно по-голямо текучество във фирмата, току-виж бройката на хората, чиито данни се пазят във фирмата, скочила неимоверно. Другата "екстра", която трупа много лична информация - това са охранителните камери. Съхранението на записи с лицата на случайни минувачи, посетители или клиенти за прекалено дълъг срок може да се окаже пробле...

Първо трябва да съберете екипа, на който ще възложите подготовката за спокойното посрещане на "сакралната дата" 25 май, от която ще влезе в действие регламентът и за нашата страна. В този екип задължително трябва да има юрист /юрисконсултът на предприятието ще се окаже ключовата фигура в този екип, но ако нямате такъв - потърсете юридически съвет отвън/. Счетоводителят и служителите /или поне този от тях с ръководни за дейността функции/ от личния състав - задължително трябва да се включат. Системният администратор - без него също няма да може, защото повечето от конкретните мерки за защита на данните със сигурност ще се окажат свързани именно с неговите компетенции и специфични познания в областта на компютърните технологии. Шефовете на различните отдели - реклама, маркетинг, администрация и човешки ресурси/ако има такива/, продажби и др. Те също трябва да присъстват в екипа - най-малкото, за да очертаят кръга от данни, с които се работи при тях, ...

Длъжностното лице по защита на данните всъщност не е нова фигура - то съществува в нашето законодателство отпреди около пет години. Това е така нареченият Data Protection Officer. Както вече казахме, той се определя въз основа на професионалните му качества и личните способности - една съвкупност от правни познания, практически опит в областта на защитата на данните и лични възможности да се справи с поставените му задачи. Неговата задача е да консултира, да съветва, да анализра, да дава становище. Но цялата отговорност за защита на личните данни се носи от администратора на лични данни. Според регламента длъжностното лице трябва да участва "по подходящ начин и своевременно" при решаването на всички въпроси, свързани със защитата на личните данни. Което означава, че то трябва да има достъп до висшите ръководни нива във фирмата, които всъщност взимат решенията. Освен това служителят се "отчита пряко пред най-висшето ръководно ниво на администратора ...

Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.

Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...

Най-простичко казано обработване е всичко, което се прави с тези данни: събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

"Лични данни" означава всяка информация, свързана с физическо лице, с помощта на която то може да бъде идентифицирано пряко или непряко. Това са име, ЕГН, данни за местонахождение, онлайн идентификатор и други. Освен това като лични данни се третират и признаците, които са специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице и по които то може да бъде идентифицирано. Какви лични данни "обработва" една малка фирма? На първо място данните на служителите си - име, ЕГН, адрес, месторождение, паспортни данни - това е така наречената "физическа идентичност". Ако събира информация за имотното състояние, притежаване на дялове в дружества и прочие - това са данни, свързани с икономическата идентичност на служителите. Социалната идентичност пък се свързва с произхода, образованието, трудовата дейност. Семейната - със семейното пол...