10 стъпки за прилагане на общия регламент за защита на личните данни
Отговор, предоставен от
PortalTRZnormativi.bg
PortalTRZnormativi.bg
на 27 Март 2018
Комисията за защита на личните данни (КЗЛД) извежда следните 10 информативни практически стъпки, с които да се подпомогне прилагането на Регламент 2016/679 (общ регламент за защита на личните данни):
1. Запознайте се с новите изисквания към защитата на личните данни
1.1. Определете служители или екип, които да отговарят за привеждане дейността на организацията, която администрира лични данни, в съответствие с новите изисквания за защитата на личните данни. Тук е моментът да посочите ръководни служители, други ключови служители във организацията (от Правен отдел, IT отдел, Човешки ресурси и др.).
1.2. Запознайте се с:
- Регламент 2016/679
- Закона за защита на личните данни (ЗЗЛД) и подзаконовите актове по неговото прилагане
- ръководствата и насоките на КЗЛД и Работната група по чл. 29 (след 25 май 2018 г. – на Европейския комитет по защита на данните).
2. Направете вътрешен анализ на дейностите, които имат връзка с обработването на лични данни
2.1. Определете какви категории лични данни и на какви категории физически лица (ФЛ) (без значение от гражданството им) се обработват:
- „обикновени” – имена, адрес, имейл, IP адрес и т.н.;
- ЕГН;
- специални (или още „чувствителни”) – данни за расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословно състояние или за сексуалния живот или сексуалната ориентация.
2.2. Определете конкретните цели, за които се събират, съхраняват и обработват личните данни (трудови правоотношения, счетоводство, клиенти, доставчици, реклама, законово определени цели и пр.).
2.3. Определете на кого вън от организацията се предоставят или разкриват личните данни:
- на публични органи (НАП, НОИ, МВР, съдебни органи, контролни органи, органи на местното самоуправление и пр.);
- на лице, което обработва лични данни (ФЛ или ЮЛ, което обработващо личните данни от името на администратора и по негово нареждане или възлагане) – счетоводна къща, IT фирма, която поддържа информационната система, подизпълнители по договор и т.н.;
- на бизнес партньори – за директен маркетинг, съвместни продукти и услуги, др.
2.4. Определете дали се предават лични данни в други страни, в кои (страна членка на ЕС или 3-та страна) и на какво правно основание
2.5. Определете за какъв срок от време се съхраняват личните данни във организацията и по какъв начин е определен този срок.
2.6. Определете какви са мерките за сигурност, прилагани за защита на данните.
3. Преценете дали сте задължени да имате Длъжностно лице по защита на данните (ДЛЗД)
3.1. Задължение да определят ДЛЗД имат следните администратори на лични данни (ФЛ и ЮЛ):
- публични органи или органи на местно самоуправление;
- администратори, извършващи системно и мащабно наблюдение на субектите на данните;
- администратори, извършващи мащабно обработване на специални (чувствителни) лични данни;
- в други, предвидени от закон, случаи.
3.2. Определете ДЛЗД по един от следните няколко алтернативни начина:
- като назначите служител в организацията;
- като съвместите тази с друга длъжност (стига да няма конфликт на интереси);
- като назначите на граждански договор външно за организацията ФЛ.
3.3. Неободимо е ДЛЗД да разполага с експертни познания за защитата на данните - законодателство и практика.
3.4. Обучете ДЛЗД:
- първоначално;
- текущо.
(Препоръчително е преди да се премине към следващите стъпки да се определи ДЛЗД.)
4. Изградете управление на риска по отношение защитата на лични данни
4.1. Извършете оценка на риска на базата на:
- естеството, обхвата, контекста и целите на обработването;
- възможните рискове за правата и свободите на ФЛ, както и вероятността и тежестта на тези възможни рискове;
- последиците за правата и свободите на ФЛ.
4.2. Извършете оценка на въздействието върху защитата на личните данни при наличие на висок риск (като например в резултат на профилиране, мащабно обработване на чувствителни лични данни, систематично мащабно наблюдение на публично достъпна зона и пр.).
4.3. Направете задължителна предварителна консултация с КЗЛД, в случай че оценката на въздействието върху защитата на данните посочи, че обработването ще доведе до висок риск, ако не се взеат ефективни мерки за неговото ограничаване.
4.4. Изберете подходящи технически и организационни мерки, с които гарантирате и докажете спазването на Регламент 2016/679 и ЗЗЛД. Такива могат да са:
- псевдонимизация на личните данни;
- криптирането им;
- гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- водене на записи (log files) на дейностите по обработване на лични данни в системите за автоматизирано обработване;
- обучение на служители и пр.
4.5. Предприемете мерки за защита на данните на етапа на проектиране и по подразбиране:
- на етапа на проектиране: въведете както при определянето на средствата за обработване, така и при самото обработване, подходящи технически и организационни мерки, разработени за ефективното прилагане на принципите за защита на данните, напр. свеждане на данните до минимум, и интегриране на нужните гаранции в процеса на обработване;
- по подразбиране: въведете подходящи технически и организационни мерки, за да гарантирате, че по подразбиране се обработват единствено лични данни, нужни за всяка конкретна цел на обработването. Това задължение има връзка с обема на събраните лични данни, степента на обработването им, периода на съхраняването им и достъпността им. По-специално, такива мерки гарантират, че по подразбиране без намеса от страна на ФЛ личните данни не са достъпни за неограничен брой ФЛ.
4.6. Евентуално можете да се присъедините към кодекси за поведение и/или сертифициране (което не е задължително).
5. Приемете план за действие по въвеждането на определените технически и организационни мерки
5.1.Определете отговорник и екип.
5.2. Определете срокове и етапи за изпълнение.
5.3. Осигурете нужните финансови, технически и човешки ресурси.
6. Прегледайте правните основания за обработването на лични данни, вкл. при съгласие на лицата
6.1. Прегледайте използваните досега алтернативни правни основания за обработването на лични данни:
- съгласие;
- сключване или изпълнение на договор;
- законово задължение за администратора;
- защитаване жизненоважни интереси на субекта на данните или на друго ФЛ;
- изпълнение на задача от обществен интерес или упражняването на официални правомощия, които са предоставени на администратора;
- легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (което е неприложимо за публични органи).
6.2. Преценете дали е законосъобразно и целесъобразно обработването на лични данни да бъсе на основание единствено съгласието на самото лице. При това положение администраторът трябва да може да докаже, че това съгласие е:
- свободно изразено, а не е дадено под натиск или заплаха от неблагоприятни последици (като например по-висока цена на услуга);
- конкретно – отделно съгласие за всяка една конкретно определена цел, а когато е относимо - и за всяка конкретна категория лични данни;
- информирано, т.е. дали е дадено на основата на пълна, точна и лесно разбираема информация;
- недвусмислено – не се извлича или предполага на основата на други изявления или действия на лицето;
- изрично изявление или ясно потвърждаващо действие – мълчанието на лицето НЕ може да се приеме за съгласие.
6.3. Документирайте на съгласието, за можете да го използвате като доказателство пред КЗЛД и съда ( с декларации и др.).
6.4. Осигурете практическа възможност на субекта на данните да оттегли по всяко време своето съгласие така лесно, колкото го е дал.
6.5. Ако имате налице пряко предлагане на услуги на информационното общество на дете под 14 г. - изберете процедура и/или технология за удостоверяване, че съгласието е дадено или разрешено от лицето, което носи родителска отговорност за детето.
(Когато има правно основание за обработване на лични данни, различно от съгласието, като например нормативно задължение или договор, администраторът не трябва да дублира това основание и със съгласие на лицето).
7. Информирайте субектите на данните и осигурете прозрачност на обработването
7.1. Предоставяйте обобщена, кратка и разбираема информация чрез Интернет сайта на организацията или по друг достъпен за субектите на данни начин относно:
- идентифициране на дружеството или организацията – наименование и контакт, вкл. с ДЛЗД, ако такова е налице (адрес, електронна поща, телефон и т.н.);
- какви категории лични данни се събират и за какви цели биват обработвани;
- кои са категориите получатели на лични данни извън организацията, както и дали ще се предават данни в 3-ти страни вън от ЕС;
- какъв е срокът за съхранение на данните;
- съществуват ли конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и какъв е редът за тяхното упражняване;
- правото на субектите на данни да подадат жалба до КЗЛД или до съда;
- дали предоставянето на лични данни е задължително по закон или договорно изискване, а също и евентуалните последствия, в случай че тези данни не бъдат предоставени;
- (в случай че е приложимо) дали е нналице автоматизирано вземане на решения, вкл. профилиране.
7.2. Информирайте по подходящ начин работниците и служителите в организацията, ако работодателят:
- прави видеонаблюдение на работното място;
- следи средствата за електронна комуникация на работното място, които са предоставени от организацията (Интернет, телефон, мобилен телефон), за да предотврати злоупотреби.
8. Уредете практическото упражняване на права от субектите на данните
8.1. Администратора и неговите служители трябва да се запознаят с правата, които Регламент 2016/679 дава на лицата:
- право на достъп до личните данни, имащи връзка с лицето, които се обработват от организацията;
- право на коригиране или допълване на неточни или непълни лични данни;
- право на изтриване на лични данни, обработвани незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
- право на ограничаване на обработването – ако има правен спор между организацията и ФЛ до решаването му и/или за установяването, упражняването или защитата на правни претенции;
- право на преносимост на данните – в случай че се обработват по автоматизиран начин на основа на съгласие или договор. За тази цел данните се предават в структуриран, широко използван и пригоден за машинно четене формат.
Ако е технически осъществимо, прехвърлянето на данните може да се направи пряко от един администратор към друг. Правото на преносимост обхваща единствено данни, които са предоставени лично от субекта на данни, а също и лични данни, които са генерирани и събрани от неговата дейност.
- право на възражение – по всяко време и на основания, имащи връзка с конкретната ситуация на лицето, при условие че няма убедителни законови основания за обработването, имащит предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;
- право да не е обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в голяма степен.
8.2. Разпишете вътрешни процедури за приемане, разглеждане и отговаряне в 1-месечен срок на искания от ФЛ за упражняване правата им като субекти на лични данни и създайте организация за тяхното практическо прилагане.
9. Уредете уведомяването за нарушение в сигурността на личните данни
9.1. Приемете вътрешна процедура и/или план за действие при нарушение в сигурността на личните данни.
9.2. Определете отговорни служител или екип, които да имат грижата да реагират при нарушение в сигурността на личните данни, да проведат инструктаж на персонала и т.н.
9.3. Създайте вътрешна организация за уведомяване на КЗЛД до 72 часа от узнаването за нарушението.
10. Уредете документирането и отчетността
В съответствие с принципа на отчетност всеки администратор има задължението да:
- прилага практически принципите за защита на личните данни според Регламент 2016/679;
и
- удостовери и докаже, че обработването на лични данни става в съответствие с тези принципи.
Дейностите по документиране и отчетност обхващат, като минимум, следните мерки и стъпки:
10.1. Създайте и редовно актуализирайте вътрешен регистър на дейностите по обработване на лични данни в организацията. Регистърт трябва да съдържа следната информация:
- името и координатите за връзка на администратора и, в случай че това е приложимо, на всички съвместни администратори, на представителя на администратора и на ДЛЗД, при наличе на такива;
- целите на обработването;
- описание на категориите субекти на данни и на категориите лични данни;
- категориите получатели, пред които са или ще се разкриват личните данни, вкл. получателите в 3-ти държави или международни организации;
- когато е приложимо – предаването на лични данни на 3-та държава или международна организация, вкл. идентификацията на тази 3-та държава или международна организация, документация за подходящите гаранции;
- предвидените срокове за изтриване на различните категории данни;
- общо описание на техническите и организационни мерки за сигурност.
10.2. Приемете вътрешни инструкция/ правила/ процедури/ политика за защита на личните данни в организацията.
10.3. В случай че е приложимо – направете преглед и актуализация на договореностите с обработващите лични данни, за да включите в тях всички задължителни реквизити според чл. 28 от Регламент 2016/679.
10.4. В случай че е приложимо – направете преглед и при нужда актуализирайте декларациите или другите форми за документиране съгласието на субекта на данните, при положение че съгласието на субекта на данните е единственото правно основание за обработване с цел привеждането му в съответствие с изискванията на чл. 4, пар. 11 от Регламент 2016/679.
10.5. В случай че приложимо – направете преглед и актуализирайте правното основание за предаване на данни към получатели в 3-ти страни.
източник: cpdp.bg
БЕЗПЛАТНО приложение portaltrznormativi.bg
Бъдете в крак с всички решения, предложени от специалистите.
Абонирайте се сега в бюлетина на PortalTRZnormativi.bg и получете специален PDF "9 експертни решения за трудовоправни отношения"!
Подобни статии от категория Лични данни
04Май2023
Изискване на свидетелство за съдимост от служители с НКПД 96210001
от Аспасия Петкова
на 04 Май 2023
07Апр2023
Обработване на лични данни на трети лица (членове на домакинството на работника или служителя) от работодателя
от доц. д-р Андрей Александров
на 07 Апр 2023
21Март2022
Нарушение на GDPR при достъп на главен счетоводител до компютър и имейл на счетоводител
от доц. д-р Андрей Александров
на 21 Март 2022
30Авг2021
Правно основание за съхраняването на копия от шофьорските книжки на водачите на служебни автомобили
от доц. д-р Андрей Александров
на 30 Авг 2021
26Авг2021
Практически проблеми на предварителното проучване на кандидатите за работа
от доц. д-р Андрей Александров
на 26 Авг 2021
03Ноем2020
Относно осведомеността на персонала за установен случай на коронавирус в предприятието
от доц. д-р Андрей Александров
на 03 Ноем 2020