Как да се справим с Регламента за защита на личните данни?
От 25.05.2018 в сила влезе Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, който стана известен с наименованието GDPR. Регламентът е плод на опита на Европейския съюз да регулира по-задълбочено и същевременно по-универсално кой какви лични данни обработва и с каква цел. С него императивно се налага правилото за събиране на „минимум данни“.
Някои от членовете на Работната група по чл. 29 с гордост изтъкнаха, че текстовете на GDPR са така написани, че да остават в крак с развитието на технологиите дълго след приемането му. И макар че GDPR определено създава впечатление на регулация, насочена към онлайн бизнеса (търговия, социални мрежи, телекомуникации и т.н.), неговите разпоредби всъщност засягат всички – от международната IT корпорация до магазинчето за кафе в градинката пред блока.
Какво са „лични данни“?
Според регламента „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
И така, какво най-малко да направим, за да отговорим на изискванията на GDPR?
1. Да се запознаем с Регламента и другите правила по отношени на личните данни:
На първо място трябва да определим служител или екип служители, които да се погрижат да се запознаят с изискванията на нормативната база в областта на личните данни, а след това да запознаят и останалите служители на предприятието.
Това могат да бъдат ръководителят или служители на ръководни длъжности, служителите на IT отдела, служителите на правния отдел или други ключови служители.
Нормативната база се състои от: Регламент 2016/679 (Общ регламент относно защитата на данните), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29 (след 25.05.2018 г. – на Европейския комитет по защита на данните).
2. Да анализираме процесите и дейностите по обработка на данни в предприятието
Важно е да намерим отговорите на въпросите:
Какви категории данни обработваме – обикновени или чувствителни?
Обикновени са данни като имена, адрес, e-mail, IP адрес, образование, ЕГН/ЛНЧ, както и всякакви данни, по които едно лице може да бъде идентифицирано
Чувствителни са данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация. Тяхното обработване е забранено с изключение на определени условия.
За какви категории лица събираме данни?
Клиенти, служители, други лица …
С какви цели събираме данните? – това биха моглида бъдат търговска дейност, реклама, счетоводство, трудови правоотношения и други
На кого предоставям данните?
Публични органи – НАП, НОИ, НСИ, МВР, общини, или други
Бизнес партньори – за съвместната ни дейност, за маркетингови цели
Обработващи по мое възлагане – IT компании, подизпълнители, счетоводни и юридически кантори
Предоставям ли данни в други страни и на какво правно основание? Тези страни членки ли са на Европейския съюз?
Колко време съхранявам данните и как определям срока за съхранение?
С какви мерки за сигурност гарантирам защитата на личните данни, които събирам и обработвам?
3. Да установим длъжни ли сме да определим длъжностно лице по защита на данните
Кога би могло да възникне такова задължение – Назначаването на длъжностно лице по защита на личните данни (DPO) е задължително за публичен орган или структура, администратори, които извършват системно и мащабно наблюдение на субектите на данните, администратори, които извършват мащабно обработване на специални (чувствителни) лични данни и данни, свързани с присъди и нарушения и в други, предвидени в закон случаи.
DPO може да бъде служител в предприятието (новоназначен или съвместяващ друга длъжност, ако не възниква конфликт на интереси), външно лице, назначено по граждански договор или външна организация. DPO трябва да избера на база неговите експертни познания в областта на законодателството и практиките по защита на личните данни. Обучението на длъжностното лице е първоначално и текущо
4. Да оценим рисковете и да планираме управлението им като приложим подходящи мерки
За да направим цялостна оценка на риска в предприятието следва да оценим следните обстоятелства:
Какви рискове крие естеството, обхвата, контекста и целите на обработка на данните?
Какви са възможните рискове за правата и свободите на физическите лица и техните възможни последствия?
Какво е потенциалното въздействие при наличието на висок риск (при на профилиране, мащабно обработване на чувствителни лични данни и др.)?
Необходима ли е консултация с КЗЛД? – ако оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако не се предприемат ефективни мерки за ограничаването му, задължително трябва да извършим такава
За да отговорим на изискванията на GDPR за гарантиране на необходимата степен на защита на личните данни, следва да потърсим и приложим подходящи технически и организационни мерки. Такива биха могли да бъдат:
- Псевдонимизация и криптиране;
- Гарантиране на поверителността и устойчивостта на системите за обработване;
- Способност за своевременно възстановяване на личните данни, в случай на технически или физически инцидент;
- Водене на записи за обработването на данните в сиостемите за обработка – т.нар. “log files”
- Обучение на служителите
- Редовно изпитване, усъвършенстване и оценка на ефективността на предприетите мерки и т.н.
Заслужава си да обърнем внимание дали не трябва да се присъединим към браншови кодекси за поведение или да се сертифицираме. Тази стъпка не е задължителна, но според Регламента тези действия са белег за предоставяне на достатъчно гаранции, че обработването се извършва в съотвествие с разпоредбите.
5. На база действията, извършени до тук, да съставим план за действие
Прилагането на практика на мерките, определени като нужни на база извършените оценки и анализи на процесите и рисковете, отнемат както време, така и човешки, технически и финансови ресурси. Затова, след като сме приключили с горните стъпки е време да съставим план и да:
- Определим отговорник и екип по прилагане на мерките
- Определим етапи и срокове за изпълнение на плана
- Предвидим и осигурим необходимите ресурси
6. Да идентифицираме правните основания, на които обработваме или ще обработваме данни
Тази стъпка е изключително важна. Без нея на практика бихме били неспособни да приложим изискванията на GDPR.
Предвидените в регламента правни основания за обработка на данни са:
- Съгласие, изрично и свободно дадено от субекта на данните;
- Сключване или изпълнение на договор, по който субектът е страна;
- Законово задължение за администратора;
- Защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
- Изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
- Легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи)
Ако установим, че обработваме данни единствено на база съгласие, по всяко време трябва да сме способни да докажем, че то е свободно изразено, а не дадено под натиск. За „натиск“ се смята заплаха от неблагоприятни последици от всякаквп естество, включително отказ от извършване на услуга или нейната по-висока цена. Съгласието трябва да е дадено конкретно за всяка отделна цел, информирано, т.е. дадено на база ясна информация, представена на достъпен език и в достъпна форма, недвусмислено и дадено с активно действие, т.е. вече не съществува „мълчаливо съгласие“.
Оттеглянето на съгласието трябва да е възможно също толкова лесно и достъпно, колкото е даването му.
7. Да информираме субектите на данните, за да осигурим прозрачност на обработването
На субектите на данните задължително се предоставя информация за данните, които идентифицират на дружеството или организацията наименование и начин за контакт, включително с Длъжностното лице по защита на данните, ако има такова (адрес,електронна поща, телефон и т.н.), какви категории лични данни се събират и за какви цели се обработват, кои са категориите получатели на лични данни извън дружеството или организацията, както и дали ще се предават (трансферират) данни в трети страни извън ЕС, какъв е срока за съхранение на данните и как е определен този срок, кои са конкретните права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и какъв е реда за упражняването им, правото на субектите на данни да подадат жалба, дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени, и, ако е приложимо, дали има автоматизирано вземане на решения, включително профилиране.
На работниците и служителите трябва да предоставим по подходящ начин иформация, когато извършваме видеонаблюдение на работното място или следим средствата за електронна комуникация на работното място, предоставени от дружеството/организацията (интернет, телефон, мобилен телефон), с цел предотвратяване на злоупотреби.
8. Да познаваме правата на лицата, чиито данни събираме
- Право на коригиране или допълване на неточни или непълни лични данни;
- Право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание (изтекъл срок на съхранение, оттеглено съгласие, изпълнена първоначална цел, за която са били събрани и др.);
- Право на ограничаване на обработването – при наличие на правен спор между дружеството/организацията и физическото лице до неговото решаване и/или за установяването,упражняването или защитата на правни претенции;
- Право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат. Ако е технически осъществимо, прехвърлянето на данните може да стане пряко от един администратор към друг. Правото на преносимост обхваща само данни, предоставени лично от субекта на данни, както и лични данни, генерирани и събрани от неговата дейност;
- Право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес;
- Право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.
9. Да въведем процедура за уведомяване в случай на нарушение на сигурността на личните данни
Задължително трябва да съставим и приложим вътрешна процедура и план за действие в случай на нарушение на сигурността на личните данни. Трябва да определим отговорен служител или екип за реакция принарушение на сигурността на личните данни и да инструктираме персонала как да постъпи в такъв случай, както и да създадем на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.
10. Да документираме съответствието с принципите за защита на личните данни
Да, документирането е нужно, защото според GDPR всеки администратор е длъжен освен да прилага на практика принципите за защита на личните данни, също и да удостовери и докаже, че обработването на лични данни съответства на тези принципи. Тоест, нашето задължение не се изчерпва с ефективната защита на данните, а се простира и до документирането на тази защита.
Длъжни сме при определени случаи да поддържаме вътрешен регистър на дейностите по събиране и обработка на лични данни. Той съдържа името и координатите за връзка на администратора и, когато това е приложимо, на всички съвместни администратори, на представителя на администратора и на Длъжностното лице по защита на данните, ако има такива, целите на обработването, описание на категориите субекти на данни и на категориите лични данни, категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации, когато е приложимо – предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции, предвидените срокове за изтриване на различните категории данни и общо описание на техническите и организационни мерки за сигурност.
Трябва да приемем вътрешна политика или правила за защита на личните данни
Трябва да проверим дали договорите с обработващите лични данни съдържат всички задължителни реквизити относно защита на данните.
А какви са глобите?
Предвидените в закона санкции са изключитено сериозни – до 20 млн. евро или 4% от годишния оборот в зависимост от това дали предприятието е предприело всички възможни мерки да предотврати изтичане и злоупотреба с лични данни. Санкциите трябва да бъдат описани по-подробно и конкретно с промени в Закона за защита на личните данни. До тогава остава да се осланяме на слуховете, че максималната глоба ще бъде налагане единствено след като е отправено предупреждение за лоша практика, с което предприятието не се е съобразило.
При всички положения обаче, предвидените санкции са силна мотивация за предприятията да се съобразят с разпоредбите на GDPR. Именно това беше и целта на ЕС с въвеждането им.