Обяснение на Общия регламент относно защитата на данните (GDPR)

Какво означава европейският Общ регламент за защита на данните (GDPR) за физическите лица и предприятията

На 25 май 2018 г. беше въведен Общият регламент относно защитата на данните (ОРЗД), който важи за всички компании по света, ако те управляват или съхраняват данни на граждани на ЕС. Съществуват някои правила, които трябва да се спазват, и е препоръчително да ги прилагате, в противен случай може да ви бъдат наложени тежки санкции.

На 25 май 2018 г. влезе в сила Общият регламент за защита на данните (ОРЗД). Този регламент замени Закона за защита на личните данни от 1995 г. в Европейския съюз. ОРЗД е отговор на дигиталната ера и има за цел да предостави на физическите лица по-голям контрол върху техните лични данни и начина, по който те се използват.

ОРЗД важи за всяко дружество, което обработва лични данни на физически лица в Европейския съюз, независимо от това къде се намира дружеството. Това включва и дружества, базирани извън ЕС, които обработват данни на граждани на ЕС. Този преглед и ръководство ще ви помогнат да разберете GDPR и как той засяга вас и вашата организация.

Какво представлява Общият регламент за защита на данните (ОРЗД)?

Общият регламент за защита на данните (ОРЗД) е набор от правила, които защитават вашите лични данни. Това включва неща като вашето име, адрес и имейл. Регламентът гласи, че компаниите трябва да получат вашето разрешение, преди да могат да събират и използват тази информация. Освен това те трябва да ви информират как планират да я използват и да ви дадат възможност да промените решението си.

ОРЗД беше приет от Европейския парламент през април 2016 г. и влезе в сила на 25 май 2018 г. Регламентът важи за всяко дружество, което обработва или възнамерява да обработва данни на физически лица в Европейския съюз. Това включва и компании, базирани извън ЕС, стига да предлагат стоки или услуги на хора в ЕС.

ОРЗД заменя Директивата за защита на данните от 1995 г. Директивата беше приета преди широкото използване на интернет и не засягаше новите технологии. ОРЗД актуализира тези правила, така че да отразяват начина, по който данните се събират и използват днес.

Някои критикуват ОРЗД за това, че е прекалено бюрократичен и налага ненужни ограничения на предприятията. Въпреки това той се разглежда като стъпка в правилната посока към по-добра защита на личните данни на физическите лица онлайн.

Още за четене: Какво означава Общият регламент относно защитата на данните (ОРЗД) за компаниите извън ЕС?

3 ключови принципа на ОРЗД

Основните принципи на ОРЗД, посочени в член 5, са свеждане на данните до минимум, цялостност и поверителност (сигурност) и отчетност. Тези принципи имат за цел да защитават личните данни на гражданите на ЕС.

Минимизирането на данните означава, че организациите трябва да събират и обработват само минималното количество данни, необходими за изпълнение на техните цели. Това има за цел да предотврати събирането от организациите на прекомерно количество данни, от които те не се нуждаят.

Цялостност и поверителност (сигурност) означава, че организациите трябва да предприемат мерки за защита на личните данни, които събират, от случаен или неразрешен достъп, промяна или унищожаване. Това включва гарантиране, че данните се криптират по подходящ начин, когато се съхраняват или прехвърлят.

Отчетност означава, че организациите трябва да могат да докажат, че спазват принципите на ОРЗД. Това включва проследяване на това как се събират, обработват и съхраняват личните данни.

ОРЗД за физически лица

GDPR установява строги правила за това как трябва да се събират, използват и защитават личните данни. Той дава на физическите лица правото да знаят какви лични данни се събират за тях, правото да поискат изтриване на тези данни и правото да възразят срещу използването им. Той също така изисква от дружествата да получат изрично съгласие от лицата, преди да събират или използват техните данни.

ЕС-ОРЗД дава на всяко физическо лице основни права върху личните му данни:

  1. Право да знае какви лични данни се събират
  2. Право на изтриване на тези данни
  3. Право да възрази срещу използването им
  4. Право да изисква от дружествата да получават изрично съгласие от физическите лица

Съответствие с ОРЗД за компании

ОРЗД важи за всички компании, които обработват лични данни на граждани на ЕС, независимо от това къде се намира компанията. Дружествата, които обработват лични данни на граждани на ЕС, трябва да спазват ОРЗД, освен ако не могат да докажат, че отговарят на определени условия.

На дружествата, които не спазват ОРЗД, могат да бъдат наложени глоби в размер до 4 % от глобалните им годишни приходи или до 20 млн. евро (което от двете е по-голямо), в зависимост от това кое от двете е по-голямо.

Съществуват няколко стъпки, които компаниите могат да предприемат, за да се съобразят с ОРЗД:

  1. Проверка на дейностите си по обработване на данни и определяне кои от тях подлежат на GDPR.
  2. Изготвяне на проект на политика за защита на данните, който да отразява съответствието на компанията с ОРЗД.
  3. Прилагане на подходящи технически и организационни мерки за защита на личните данни, които се обработват.
  4. Обучение на служителите как да спазват ОРЗД.
  5. Преглеждане на договори с доставчици на услуги от трети страни, за съответствие с ОРЗД.
  6. Изграждане на механизъм, чрез който физическите лица да упражняват правата си съгласно ОРЗД.
  7. Извършване на редовен одит на системите, за да осигуряване на непрекъснато съответствие с ОРЗД.

ОРЗД на ЕС може да се разглежда и като възможност за компаниите. По-добрата защита на данните е добра новина и за клиентите, улеснява се обменът на данни между отделните места, а единният стандарт създава и доверие.

10 важни точки от Общия регламент за защита на данните (ОРЗД)

  1. Прилагат се и принципите за обработване на данни като прозрачност, ограничаване на целта и пропорционалност.
  2. Трябва да е налице валидно съгласие и да е възможно то да бъде оттеглено по всяко време.
  3. Обработката на данни изисква обосновка или съгласие.
  4. Субектите на данни трябва да бъдат информирани пряко или, ако това не е възможно, чрез публикация, например уебсайт (EU-DSGVO определя минимално съдържание).
  5. Субектите на данни имат широки права на информация, връщане, коригиране, допълване или заличаване на техните данни. Възможно е също така да възразяват срещу определена обработка (напр. маркетинг).
  6. Техническите и организационните мерки трябва да гарантират, че личните данни са защитени; обработката на данни трябва да бъде проектирана по такъв начин, че да се гарантира спазването на Закона за защита на личните данни (Privacy by Design) и се приема, че стандартът на всички настройки вече защитава данните (Privacy by Default).
  7. Нарушенията, свързани със защитата на данните, трябва да бъдат докладвани на компетентните органи в рамките на 72 часа, а ако има сериозни последици, тези нарушения трябва да бъдат докладвани и на засегнатите лица. Тук трябва да се води и дневник на грешките.
  8. За високорискови проекти се изисква оценка на въздействието върху защитата на данните и уведомяване на компетентния надзорен орган, ако въпреки това съществуват високи рискове от предприетите мерки.
  9. Предаването на данни на други държави, които нямат признати законови разпоредби за защита на данните, е разрешено само при определени условия.
  10. Договорите с външни лица, обработващи данни (напр. ИТ аутсорсинг, външни анализи на данни), трябва да отговарят на изискванията на ОРЗД. За агентите се изисква право на одобрение или право на вето с предварителна информация.

Назначаване на длъжностно лице по защита на данните

Ролята на длъжностното лице по защита на данните (ДЛЗД) е нова съгласно ОРЗД. ДЛЗД отговаря за това организацията да спазва ОРЗД и трябва да има адекватни познания за ОРЗД и неговите изисквания. ДЛЗД отговаря също така за обучението на персонала относно изискванията на ОРЗД и за провеждането на одити на данните. ДЛЗД играе жизненоважна роля в осигуряването на съответствие с ОРЗД и трябва да разполага с необходимите ресурси, за да изпълнява тази роля. Ако вашата организация отговаря на критериите за назначаване на ДЛЗД, уверете се, че сте назначили лице, което има необходимите знания и опит, за да изпълнява тази важна роля.

ДЛЗД трябва да бъде назначено от ръководството на организацията и да докладва директно на най-високото ниво на управление. ДЛЗД трябва да е независим и от други отдели в организацията.

Критерии, при които е необходимо да се назначи длъжностно лице по защита на данните (ДЛЗД):

  • Организацията трябва да има повече от 250 служители
  • Организацията трябва да обработва личните данни на повече от 5000 лица годишно
  • Организацията трябва да има основни дейности, които се състоят в обработване на данни от специална категория или данни за присъди

Ако вашата организация отговаря на някой от тези критерии, ще трябва да назначите ДЛЗД. При назначаването на ДЛЗД трябва да помислите за лице, което има необходимите познания и опит, за да изпълнява тази роля. Трябва също така да се уверите, че ДЛЗД разполага с достатъчно време, което да посвети на тази роля, и че е независим от други отдели в организацията.

Назначаването на ДЛЗД е ключова стъпка в осигуряването на съответствие с ОРЗД. Назначавайки ДЛЗД, вие поемате отговорността да гарантирате, че вашата организация спазва ОРЗД. Това е важен ангажимент, на който трябва да се гледа сериозно.

Специална тема: Съответствие с изискванията за бисквитки

Много хора се питат как да спазват изискванията за бисквитките на уебсайтовете, особено заради неотдавнашното решение на ЕС, което забранява използването на Google Analytics. Бисквитките са малки файлове, които се поставят на вашия компютър или мобилно устройство, когато посещавате даден уебсайт. Те се използват, за да помагат на уебсайтовете да запомнят кои сте и какво сте направили на сайта, например да попълните формуляр.

Съществуват два вида съответствие на бисквитките: на първа и на трета страна. Бисквитките от първа страна се задават от вашия уебсайт за управление на входни данни, езикови настройки или по други технически причини. Бисквитките от трета страна се задават от друг уебсайт, например от рекламна компания. Тези „бисквитки“ се използват за проследяване на дейността ви в различни уебсайтове и се задават от Google, Facebook или други трети страни.

Новото решение на ЕС гласи, че уебсайтовете трябва да получат изрично съгласие от потребителите, преди да зададат бисквитки на трети страни. Това означава, че при посещение на даден уебсайт ще виждате съобщение като това:

„Този уебсайт използва бисквитки, за да подобри вашето преживяване. Продължавайки да разглеждате този сайт, вие се съгласявате с използването на бисквитки от наша страна. „

Можете да изберете да приемете или да откажете бисквитките, като щракнете върху съответния бутон по-долу. Ако откажете, няма да бъдат зададени бисквитки на трети страни на вашето устройство, но някои функции на сайта може да не работят според очакванията.

Ако не сте сигурни дали сайтът използва бисквитки на трети страни, можете да използвате онлайн инструмент като Cookiebot, за да разберете това.

Допълнителна информация

Повече информация можете да намерите в официалните документи на Европейския съюз.
Тази статия е публикувана първоначално през 2017 г., преди въвеждането на GDPR, но оттогава е актуализирана, за да съдържа най-новата информация

Benjamin Talin, a serial entrepreneur since the age of 13, is the founder and CEO of MoreThanDigital, a global initiative providing access to topics of the future. As an influential keynote speaker, he shares insights on innovation, leadership, and entrepreneurship, and has advised governments, EU commissions, and ministries on education, innovation, economic development, and digitalization. With over 400 publications, 200 international keynotes, and numerous awards, Benjamin is dedicated to changing the status quo through technology and innovation. #bethechange Stay tuned for MoreThanDigital Insights - Coming soon!

Comments are closed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More