Информирайте се за Регламента
Общи въпроси, свързани с Регламента
GDPR (General Data Protection Regulation) или Регламент (ЕС) 2016/679 - Общ регламент за защита на данните на физическите лица в ЕС
Регламента е одобрен от Европейския парламент на 14 април 2016 г. Влиза в сила след двугодишен преходен период, датата валидна за целия ЕС е 25 май 2018 г., независимо дали има приети законови промени или не.
След като влезе в сила, на компаниите и организациите, чиято дейност не съответства на изискванията на Регламента, ще да бъдат наложени тежки глоби (до 4% от годишния си глобален оборот, или 20 милиона евро).
Според дефиницията, лични данни са "всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано, пряко или непряко, чрез идентификационен номер, или чрез един, или повече специфични признака".
Примери за лични данни са:
- имена
- ЕГН
- адрес
- телефон
- месторождение
- паспортни данни на лицето (физическа идентичност)
- данни относно семейно положение и родствени връзки (семейна идентичност)
- данни относно професионална биография (трудова дейност)
- данни относно здравен статус, психологическо и/или умствено състояние, всякакви други медицински данни
- данни относно расов или етнически произход, политически, религиозни или философски убеждения, всякакви други данни за обществена идентичност
- данни относно съдебно минало (свидетелство за съдимост)
- данни относно имотно състояние
- данни относно финансово състояние, участие и/или притежаване на дялове или ценни книжа на дружества (икономическа идентичност) и др.
Регламентът е задължителен за всички дружества в и извън ЕС, и се прилага за всички дружества, които обработват/съхраняват лични данни на граждани на ЕС
Да, Регламента засяга всички фирми, които обработват/съхраняват лични данни на граждани на ЕС. Ако имате нещо общо с ИТ и телеком индустрията, финансовия или застрахователния сектор, здравеопазването и фармацията, практикувате онлайн продажби или разчитате на някаква съвременна форма на маркетинг, GDPR вероятно ви засяга.
DPO - Data Protection Officer - отговорник по защита на данните, DO - Data Operator - оператор/процесор на лични данни
Не, според член 37, отговорник по защита на данните трябва да бъде назначен само в някой от случайте:
а) публични органи;
б) организации, които извършват мониторинг на системи в широк мащаб;
в) организации, които извършват обработка на чувствителни лични данни в големи мащаби
DPO не е задължителна фигура за всяка фирма, но за ваше удобство е по-добре да има човек, на който са дадени тези права и задължения, и е преминал съответното обучение за да може да ги упражнява.
Според Регламента фирмите и институциите ще могат да обработват лични данни само при няколко конкретно описани сценария. Един от тях е клиентът изрично да се е съгласил на това. Това означава той да е ясно и конкретно информиран за всички цели, за които се използват данните му. Физическите лица имат право да поискат да оттеглят съгласието си и събраната за тях информация да бъде изтрита без отлагане.
Според Регламента Администраторът на лични данни е длъжен въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламента. Тези мерки се преразглеждат и при необходимост се актуализират.
Според Регламента всеки Субект има:
- 1. Право на достъп до личните си данни
- 2. Право на коригиране
- 3. Право на ограничаване
- 4. Право на преносимост
- 5. Право на възражение
- 6. Право на Жалба
- 7. Право "да бъдеш забравен"
Накратко има 5 стъпки:
- 1. Одит по сигурността и управлението на риска за личните данни
- 2. Предварителна оценка или GAP анализ за покриване изискванията на GDPR
- 3. Разработване и интегриране на системи за управление в съответствие с GDPR
- 4. Провеждане на обучения по защита на личните данни
- 5. Технологично осигуряване на защитата на личните данни
Според Проекта на Закон за изменение и допълнение на Закона за защита на личните данни, глобите са:
- Чл. 85.
- (1) За нарушения, посочени в чл. 83, параграф 5 и параграф 6 от Регламент (ЕС) 2016/679 и за нарушения на чл. 45, ал. 1, чл. 49, ал. 1, чл. 52, чл. 54-56, чл. 80, ал. 1, т. 1, б. „а“, т. 2, б. „б“ и б. „в“ от глава осма администраторът или обработващият лични данни се наказва с глоба или имуществена санкция от 10 000 до левовата равностойност на 20 000 000 евро.
- (2) За нарушения по чл. 83, параграф 4 от Регламент (ЕС) 2016/679, чл. 59, чл. 62, чл. 64-69 от глава осма административното наказание глоба или имуществена санкция е в размер от 5000 до левовата равностойност на 10 000 000 евро.
- (3) За други нарушения по този закон администраторите и/или обработващите лични данни се наказват с глоба или с имуществена санкция от 1000 до 5000 лв.
- Чл. 88. За неизпълнение на задължително предписание на комисията се налага глоба или имуществена санкция в размер от 2 000 лв. до 200 000 лв.
- Чл. 90. За други нарушения по Регламент (ЕС) 2016/679 се издава задължително предписание или се налага административно наказание глоба или имуществена санкция в размер от 2 000 лв. до 200 000 лв. по реда и условия, определени в чл. 84 и чл. 87.
GDPR предефинира нарушението на сигурността на лични данни:
“нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни”.