Защита на личните данни
Какво е GDPR?
Общ регламент за защита на личните данни (ОРЗД или понякога срещано ОРЗЛД, на английски език: GDPR – General Data Protection Regulation) е регулация/закон на Европейския съюз (ЕС), който е в сила на 25 май 2018г.
GDPR законът е дълъг около 88 страници в PDF формат, с не особено голям шрифт! Дори професионалистите (юристи и адвокати) може да са спестили четенето на част от тези страници. Можете да прегледате едновременно Английския текст и българския превод оттук:
eur-lex.europa.eu (EN/BG)
Оттук можете да прегледате текста в подреден вид – съдържание по раздели и точки, за да прочетете каквото ви интересува: https://gdpr-info.eu/
Регулацията/регламента е закон, който важи за всички [компании и фирми], които обработват данни на европейски граждани, така че се разпростира извън Европа.
Повече за това какво е GDPR с визуално представяне: ОРЗД на български език (ec.europa.eu), GDPR на английски език (ec.europa.eu)
Цели на GDPR! Защо се въвеждат регулации?
Целта на GDPR е да защити личните данни, като част от личната информация, която идентифицира потребителя (т.нар. Personally Identifying Information – PII) и да накара бизнеса да се придържа към високи стандарти и сигурни технологии, когато става дума за това как се събират, съхраняват и използват тези данни.
Прозрачни политики:
- ясна информация за събирането на лични данни
- уточняване на целите за обработка на лични данни
- дефиниране на правилата за запазване и изтриване на лични данни
Контрол и известяване:
- получаване на подходящо съгласие за обработка на данни
- използване на подходяща защита за съхранението на личните данни
- уведомяване на властите за нарушения във връзка с лични данни
- съхраняване на записи с подробна обработка на данните
Развитието на ИТ технологиите и интернет като мрежа, заедно с популярността на социалните мрежи, предоставя голяма възможност за кражба, съхранение и обработка на лични данни (ЛД). За да отговори на притесненията на обществото, ЕС предприе безпрецедентни мерки с въвеждането на актуалния GDPR регламент, в опит да защити личните данни на хората.
Контролът над всичко това е труден, дори невъзможен, но който бъде хванат да нарушава правилата – ще бъде наказван строго, за назидание на останалите.
Въпреки всичко, ще има много на брой търговци с лични данни, но правилата ще направят техните данни по-трудно използваеми или продаваеми (или поне не толкова лесно, както досега), тъй като обработката и употребата на лични данни, трябва да е става само след изрично съгласие на притежателя (подателя) на тези данни и това трябва да се докаже от администратора на личните данни.
Все още не е определена стратегията за онлайн идентификация, която се прави с електронен подпис – тя е специално за идентифициране като определено лице, докато настоящия закон/регламент е за защита на лични данни при съхранение и обработка.
Принципи на правилата за защита за лични данни
Основен принцип на правилата за защита за лични данни е това, че администраторът на лични данни (този, който ги събира и обработва), има задължението да защитава поверените му лични данни и носи отговорност за тях! В това влиза:
- ЛД да бъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
- ЛД да бъдат събирани за конкретни, изрично указани цели и да се обработват за тези цели;
- ЛД да бъдат ограничени до необходимото във връзка с целите („свеждане на данните до минимум“);
- ЛД да бъдат поддържани в актуален вид („точност“);
- ЛД да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период спрямо целите; личните данни могат да се съхраняват за по-дълги срокове, но проверете подробно при какви изисквания („ограничение на съхранението“);
- ЛД да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане – чрез технически или организационни мерки („цялостност и поверителност“);
Администраторът на ЛД носи отговорност и трябва да е в състояние да докаже спазването на горните задължения („отчетност“).
Обработката на лични данни за деца е при специални условия. При специални условия са и данните за етнически произход, политически и религиозни убеждения и др.
Какво означава лични данни (ЛД)? Кои данни са защитени като част от „лични данни“?
Личните данни не са дефинирани като списък. Вместо това е указано следното определение:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Личните данни включват: име, имейли, физически адрес, IP адрес, здравна информация, доходи и т.н.
За да не обработвате лични данни, определението за анонимизация, наречено „псевдонимизация“, е следното:
„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
Повече за това какво са лични данни: https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
Кой регулира GDPR?
В България това е „Комисия за защита на личните данни“ – cpdp.bg (Commission for Personal Data Protection – Republic of Bulgaria)
Какви са правата на гражданите (т.е. субектите на данните)?
Т.нар. граждани/клиенти/потребители се реферират като „субекти на данните“ („data subject“) в регламента. Правата са разписани като принципи на регламента и като права на субектите:
- Прозрачна информация, комуникация и условия/начини за упражняването на правата на субекта на данни
- Информация и условия/начини за достъп до лични данни
- Прозрачна информация, предоставяна при събиране на лични данни от субекта на данните
- Право на достъп до данните от страна на субекта на данните
- Право на коригиране
- Право на изтриване (право „да бъдеш забравен“)
- Право на ограничаване на обработването
- Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
- Право на преносимост на данните
- Право на възражение и автоматизирано вземане на индивидуални решения
- Право на възражение
- Автоматизирано вземане на индивидуални решения, включително профилиране
- Ограничения
Лицата имат право:
- на достъп до личните си данни
- да поправят грешки в личните си данни
- да изтриват личните си данни
- научат за предмета на обработка на личните им данни
- да изтеглят личните си данни
Още разяснения за правата:
- Достъп до данните: Субектите на данните (потребителите) трябва да имат достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.
- Изтриване на данните: Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.
- Профилиране: Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.
Повече информация за правата на ФЛ съгласно GDPR.
Право на Достъп – Ако съхранявате/обработвате/притежавате лични данни – трябва да можете да предоставите безплатно копие на тези данни. Лицата имат право да научат какви данни съхранявате и обработвате. Остава въпроса – какъв срок имате за предоставяне на данните?
Правото на Заличаване / Право да бъде(ш) Забравен – Субектите на данните имат право да поискат изтриване на всички техни данни. Вашите системи трябва да направят изтриването, но ако споделяте лични данни и към външни доставчици като ERP системи, Email marketing софтуер и др. – трябва да достъпвате базите данни при тях (обикновено през API) и да подадете заявка за изтриване. Вие сте администратора на ЛД и вие заявявате изтриване на ЛД към всички обработващи тези данни (3-ти лица и фирми).
Право на Преносимост на данни – лицата могат да сменят доставчиците си, при което могат да изискват данните им да бъдат прехвърлени при друг доставчик.
Право на Уведомяване (Уведомления за изтичане/кражба на личните данни (напр. при кражба, хакване и др.) – в срок до 72 часа трябва да бъде уведомена КЗЛД, а ако последиците могат да са опасни (напр. изтичане на банкови данни) – трябва да се уведомят и субектите на ЛД, за да предприемат мерки за защита от неправомерно използване на откраднатите лични данни.
Роли – Администратор (съхранява и контролира) и Обработващ лични данни
В „раздел 4 на регламента“ са указани задълженията на администратор/контрольор на ЛД и на обработващ на ЛД (лични данни). Спазвайки указаните принципи и подсигурявайки си нужния процес за защита на личните данни, можете да достигнете пълна съвместимост с GDPR регламента.
Задължения на администраторите на ЛД
- Използване на разбираем език: Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.
- Съгласие за обработване на личните данни: Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение. ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.
- Предоставяне на данните на 3-ти лица: Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.
Още информация за задълженията на администраторите.
Изисквания към организациите
За да спазите всички изисквания на Регламента, трябва да подготвите твоя бизнес:
- От правна страна – обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.
- От техническа страна – трябва да се подготви фактическото спазване на предвиденото в изготвените правни документи. Това, например, може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.
Защитата на личните данни е процес, а не е еднократна задача. За да обработвате правомерно личните данни, е необходимо:
- да изградите/осигурите ясна и защитена система/процес за обработка на личните данни
- да приемете вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
- периодично да ревизирате въведената система
- да познавате развитието на технологията и подходящите нива на защита на личните данни
Длъжностно лице по личните данни (Data Protection Officer – DPO)
Длъжностно лице по личните данни е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала. Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.
За малки и средно големи фирми обикновено не се налага да назначавате Длъжностно лице по личните данни (DPO), но всеки случай е индивидуален – направете правна консултация, ако имате съмнения.
Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.
Още за длъжностно лице по личните данни (Data Protection Officer – DPO).
Контрол и глоби
Какво става ако не спазите изискванията? Какви са глобите? В какви срокове се налагат? Как да се предпазите от големите глоби по GDPR?…
Много въпроси, но нека оставим настрана глобите и да погледнем какъв е реда (етапите) при установяване на несъвместимост с GDPR регламента:
- Предупреждение
- Порицание
- Прекратяване на обработването на данни
- Глоба – до 20 млн. EUR или 4% от общия годишен оборот
Забележете, че вие ще имате поне 2 етапа, в които ще трябва да предприемете конкретни действия. Това означава, че глоби ще се налагат само на най-значимите нарушения, при които не се предприема действие на установените нарушения или вие нарочно нарушавате правилата (обикновено тайно, но винаги може да стане публично достояние), с цел да постигнете финансови или други ползи.
Затова глобите са толкова големи, а те всъщност са малки… за нарочно нарушение би следвало да има огромни глоби и наказателна отговорност.