Техленд ЕООД

Осигуряване на съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR)
от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО

Информирайте се за Регламента

Общи въпроси, свързани с Регламента

GDPR (General Data Protection Regulation) или Регламент (ЕС) 2016/679 - Общ регламент за защита на данните на физическите лица в ЕС

Регламента е одобрен от Европейския парламент на 14 април 2016 г. Влиза в сила след двугодишен преходен период, датата валидна за целия ЕС е 25 май 2018 г., независимо дали има приети законови промени или не.

След като влезе в сила, на компаниите и организациите, чиято дейност не съответства на изискванията на Регламента, ще да бъдат наложени тежки глоби (до 4% от годишния си глобален оборот, или 20 милиона евро).

Според дефиницията, лични данни са "всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано, пряко или непряко, чрез идентификационен номер, или чрез един, или повече специфични признака".

Примери за лични данни са:

  • имена
  • ЕГН
  • адрес
  • телефон
  • месторождение
  • паспортни данни на лицето (физическа идентичност)
  • данни относно семейно положение и родствени връзки (семейна идентичност)
  • данни относно професионална биография (трудова дейност)
  • данни относно здравен статус, психологическо и/или умствено състояние, всякакви други медицински данни
  • данни относно расов или етнически произход, политически, религиозни или философски убеждения, всякакви други данни за обществена идентичност
  • данни относно съдебно минало (свидетелство за съдимост)
  • данни относно имотно състояние
  • данни относно финансово състояние, участие и/или притежаване на дялове или ценни книжа на дружества (икономическа идентичност) и др.

Регламентът е задължителен за всички дружества в и извън ЕС, и се прилага за всички дружества, които обработват/съхраняват лични данни на граждани на ЕС

Да, Регламента засяга всички фирми, които обработват/съхраняват лични данни на граждани на ЕС. Ако имате нещо общо с ИТ и телеком индустрията, финансовия или застрахователния сектор, здравеопазването и фармацията, практикувате онлайн продажби или разчитате на някаква съвременна форма на маркетинг, GDPR вероятно ви засяга.

DPO - Data Protection Officer - отговорник по защита на данните, DO - Data Operator - оператор/процесор на лични данни

Не, според член 37, отговорник по защита на данните трябва да бъде назначен само в някой от случайте:
а) публични органи;
б) организации, които извършват мониторинг на системи в широк мащаб;
в) организации, които извършват обработка на чувствителни лични данни в големи мащаби
DPO не е задължителна фигура за всяка фирма, но за ваше удобство е по-добре да има човек, на който са дадени тези права и задължения, и е преминал съответното обучение за да може да ги упражнява.

Според Регламента фирмите и институциите ще могат да обработват лични данни само при няколко конкретно описани сценария. Един от тях е клиентът изрично да се е съгласил на това. Това означава той да е ясно и конкретно информиран за всички цели, за които се използват данните му. Физическите лица имат право да поискат да оттеглят съгласието си и събраната за тях информация да бъде изтрита без отлагане.

Според Регламента Администраторът на лични данни е длъжен въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламента. Тези мерки се преразглеждат и при необходимост се актуализират.

Според Регламента всеки Субект има:

  1. 1. Право на достъп до личните си данни
  2. 2. Право на коригиране
  3. 3. Право на ограничаване
  4. 4. Право на преносимост
  5. 5. Право на възражение
  6. 6. Право на Жалба
  7. 7. Право "да бъдеш забравен"

Накратко има 5 стъпки:

  1. 1. Одит по сигурността и управлението на риска за личните данни
  2. 2. Предварителна оценка или GAP анализ за покриване изискванията на GDPR
  3. 3. Разработване и интегриране на системи за управление в съответствие с GDPR
  4. 4. Провеждане на обучения по защита на личните данни
  5. 5. Технологично осигуряване на защитата на личните данни

Според Проекта на Закон за изменение и допълнение на Закона за защита на личните данни, глобите са:

  • Чл. 85.
    • (1) За нарушения, посочени в чл. 83, параграф 5 и параграф 6 от Регламент (ЕС) 2016/679 и за нарушения на чл. 45, ал. 1, чл. 49, ал. 1, чл. 52, чл. 54-56, чл. 80, ал. 1, т. 1, б. „а“, т. 2, б. „б“ и б. „в“ от глава осма администраторът или обработващият лични данни се наказва с глоба или имуществена санкция от 10 000 до левовата равностойност на 20 000 000 евро.
    • (2) За нарушения по чл. 83, параграф 4 от Регламент (ЕС) 2016/679, чл. 59, чл. 62, чл. 64-69 от глава осма административното наказание глоба или имуществена санкция е в размер от 5000 до левовата равностойност на 10 000 000 евро.
    • (3) За други нарушения по този закон администраторите и/или обработващите лични данни се наказват с глоба или с имуществена санкция от 1000 до 5000 лв.
  • Чл. 88. За неизпълнение на задължително предписание на комисията се налага глоба или имуществена санкция в размер от 2 000 лв. до 200 000 лв.
  • Чл. 90. За други нарушения по Регламент (ЕС) 2016/679 се издава задължително предписание или се налага административно наказание глоба или имуществена санкция в размер от 2 000 лв. до 200 000 лв. по реда и условия, определени в чл. 84 и чл. 87.

GDPR предефинира нарушението на сигурността на лични данни:

“нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни”.

Вашите въпроси

Тук сме публикували част от Вашите въпроси, които биха били полезни за останалите потребители и за които сме получили Вашето съгласие да публикуваме в сайта.

Регламента не взима в предвид личните качества на събиращите и съхраняващите лични данни, а цели да създаде процедура по която да се събират и съхраняват данните, така че те да не могат да бъдат използвани злонамерено от трети лица. Щом сте в съответствие с регламента, личните данни на вашите клиенти са защитени и те могат да бъдат спокойни.

НЕ, това са само 2 от мерките, които са предвидени е Регламента, металния шкаф с ограничен достъп е задължителен, но ако съхранявате лични данни на ваши клиенти на компютъра си, трябва да предприемете по-сериозни мерки за опазването им, като например криптиране на папките, в които те се съхраняват.

Няма отлагане на влизането в сила на Регламента, след 25-ти май фирмите, които не са в съответствие с него подлежат на санкции, едногодишния срок важи за сертифициращия орган. В момента в ЕС няма единен сертифициращ орган и е дадено време на всяка страна членка да създаде такъв. До края на Юни месец 2018-та година се очаква да бъде приет проектозакон за изменение на Закона на личните данни, в който се казва, че основен проверяващ орган е КЗЛД, а сертификатора ще бъде определен на по-късен етап.

Не, целта на GDPR не е да фалира 60% от фирмите в ЕС, а да въведе процедури за прозрачна и сигурна работа с лични данни. През първите месеци след въвеждането на GDPR ще бъдат провеждани "случайни" проверки на фирми, като целта им не е те да бъдат наказани за несъответствие с Регламента, а да им бъдат издадени препоръки, ако са необходими. Ако откажете да се съобразите с направените препоръки, според новия проектозакон, може да ви бъде наложена глоба, в размер от 2000 до 5000 лева. Другият вид проверки, които ще се правят, са "по сигнал", това са проверки породени от съмнение за изтичане на лични данни на физическо лице, което има взаимоотношения с дадена фирма или организация. Това, което се пише по чуждестранните медии, е че при проверка "по сигнал", която е установила несъответствие или нарушение на Регламента, ще се задават много кратки срокове за привеждане в съответствие, след които ще налагат санкции.

GDPR дава такава възможност, но поради напредналия срок за въвеждане на Регламента, не ви съветвам да започвате процедурата сам, обема на документацията и процедурите за въвеждане е доста голям, има фирми, които са започнали създаване и въвеждане на процедури още преди една година и още не са в пълно съответствие с Регламента и търсят адвокатска помощ.

Не. Духът на GDPR е не да създава допълнителна административна тежест, а да въведе еднакъв за целия Европейски Съюз ред за обработка на лични данни. Нещо повече, Регламентът дори изключва задължения за водене на определени регистри за компании до 250 души персонал, именно за да намали административната тежест при тях.

Много консултанти и коментатори, които не познават добре GDPR, а може би и за да спечелят повече от страха, създават впечатлението, че спазването на Регламента е много труден за внедряване процес и много обременяващ от административна гледна точка.

Трябва да отбележим, че GDPR не се различава съществено от досега действащата Директива или нашия Закон за защита на личните данни, а просто уеднаквява правилата в целия Съюз и с огромна строгост налага тяхното спазване.

И не на последно място, нека си кажем честно, че всеки човек би искал да бъде спокоен за своите лични данни, а това може да се постигне с повече ред и строгост при всички, които ги обработват.

Да, въвеждането на регламента би бил сложен и дълъг процес, ако вие сами се заемете да изучавате GDPR, всички свързани с него насоки и указания, за да изградите и прилагате свои вътрешни правила, които да отговарят на регламента и да ви предпазят от високите глоби.
При избор на подходящ консултант, въвеждането на GDPR става с много по-малко усилия и за много по-кратки срокове – в рамките на 2-3 седмици.

Да, доскоро, докато услугите по въвеждане на Регламента бяха все още екзотика, цените бяха много високи – десетки хиляди лева и продължаващи месеци наред.

Високи са цените на консултантите, които нямат изградена стройна методология, с която бързо да предоставят необходимите решения, защото това им отнема много, много човекочасове, които клиентът трябва да заплати.

При избор на подходящ консултант с добре подготвена методология за работа, въвеждането на GDPR става на много достъпна цена и за много кратки срокове.

Не. Регламентът никъде не указва подобни изисквания.

В общия случай, достатъчно е компанията да създаде добра вътрешна организация на личните данни в лицензирани операционни системи, мрежи и приложения.

Добре подготвен консултант ще ви осигури подходящите процеси, с които личните данни да бъдат надеждно защитени, съгласно регламента, с наличните лицензирани операционни системи, мрежи и приложения.

Задайте въпрос

Какво предлагаме?

Ние от Техленд и нашите партньори от Адвокатска кантора Atalaw, и ТЮФ Норд България, изучихме задълбочено Регламента и всички насоки и указания за неговото прилагане, дадени от специалната работна група към Европейската Комисия. Това ни позволи да разберем какво е необходимо да направи един малък, среден или голям бизнес, за да изпълни изискванията на Регламента.

Ние разбираме, че за да се въведат на практика едни нови правила в една компания, е нужно те да бъдат направени илюстративно, кратки, ясни и лесни за прилагане. Затова, ние положихме усилия да разработим модел за опростени политики и процедури, за да може всяка една компания ускорено да ги приложи в своя бизнес.

Ние ще изготвим персонализирана оферта за Вашата фирма

Нашата оферта ще бъде съобразена със специфичните изисквания и особености на Вашата фирма.

Ние предлагаме пълния набор от дейности за осигуряване на съотвествие с Регламента.

Стъпки на проекта

Стъпка 1 Провеждане на интервю с цел анализиране на процесите, които са свързани с обработване на лични данни, в рамките на Вашата компания.

Стъпка 2 Изготвяне на оценка за съответствие на Вашата компания с GDPR и заключение за необходимите политики, процедури и документи, които следва да бъдат прилагани в дейността на Вашата компания.

Стъпка 3 Изготвяне оценка на въздействието при нарушаване сигурността на личните данни, по отношение на рисковете с различна вероятност и тежест за правата и свободите на физически лица, на база на която се изготвят всички политики за обработка и мерки за защита на лични данни.

Стъпка 4 В резултат на анализа за съответствието и оценката на въздействието, изготвяне на пакет от относими за Вашата компания документи за внедряване на Регламента, в т.ч. политики, процедури и документи, които следва да се прилагат и да се представят пред контролните органи, в случай на проверка.

Стъпка 5 Изготвяне на Инструкция за прилагане на предоставените във фаза 4 документи в дейността на Вашата компания.

Стъпка 6 Инсталиране и конфигуриране на лесни за работа, евтини и сигурни технически решения за защита на личните данни в електронен вид от ESET.

Стъпка 7 Обучение на всички оператори на лични данни и лица по защита на личните данни. Издаване на сертификати за преминато обучение.

Направете така, че да избегнете санкциите!

20 000 000.00 EUR или 4% от годишния глобален оборот (което от двете е по- голямо) е максималното предвидено наказание за бизнес, който не се съобразява с GDPR

80% от организациите в ЕС не са подготвени за GDPR!

Заявете персонализирана оферта