Общ регламент за защита на личните данни (ОРЗД или понякога срещано ОРЗЛД, на английски език: GDPR – General Data Protection Regulation) е регулация/закон на Европейския съюз (ЕС), който е в сила на 25 май 2018г.
GDPR законът е дълъг около 88 страници в PDF формат, с не особено голям шрифт! Дори професионалистите (юристи и адвокати) може да са спестили четенето на част от тези страници. Можете да прегледате едновременно Английския текст и българския превод оттук:
eur-lex.europa.eu (EN/BG)
Оттук можете да прегледате текста в подреден вид – съдържание по раздели и точки, за да прочетете каквото ви интересува: https://gdpr-info.eu/
Регулацията/регламента е закон, който важи за всички [компании и фирми], които обработват данни на европейски граждани, така че се разпростира извън Европа.
Повече за това какво е GDPR с визуално представяне: ОРЗД на български език (ec.europa.eu), GDPR на английски език (ec.europa.eu)
Целта на GDPR е да защити личните данни, като част от личната информация, която идентифицира потребителя (т.нар. Personally Identifying Information – PII) и да накара бизнеса да се придържа към високи стандарти и сигурни технологии, когато става дума за това как се събират, съхраняват и използват тези данни.
Прозрачни политики:
Контрол и известяване:
Развитието на ИТ технологиите и интернет като мрежа, заедно с популярността на социалните мрежи, предоставя голяма възможност за кражба, съхранение и обработка на лични данни (ЛД). За да отговори на притесненията на обществото, ЕС предприе безпрецедентни мерки с въвеждането на актуалния GDPR регламент, в опит да защити личните данни на хората.
Контролът над всичко това е труден, дори невъзможен, но който бъде хванат да нарушава правилата – ще бъде наказван строго, за назидание на останалите.
Въпреки всичко, ще има много на брой търговци с лични данни, но правилата ще направят техните данни по-трудно използваеми или продаваеми (или поне не толкова лесно, както досега), тъй като обработката и употребата на лични данни, трябва да е става само след изрично съгласие на притежателя (подателя) на тези данни и това трябва да се докаже от администратора на личните данни.
Все още не е определена стратегията за онлайн идентификация, която се прави с електронен подпис – тя е специално за идентифициране като определено лице, докато настоящия закон/регламент е за защита на лични данни при съхранение и обработка.
Основен принцип на правилата за защита за лични данни е това, че администраторът на лични данни (този, който ги събира и обработва), има задължението да защитава поверените му лични данни и носи отговорност за тях! В това влиза:
Администраторът на ЛД носи отговорност и трябва да е в състояние да докаже спазването на горните задължения („отчетност“).
Обработката на лични данни за деца е при специални условия. При специални условия са и данните за етнически произход, политически и религиозни убеждения и др.
Личните данни не са дефинирани като списък. Вместо това е указано следното определение:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Личните данни включват: име, имейли, физически адрес, IP адрес, здравна информация, доходи и т.н.
За да не обработвате лични данни, определението за анонимизация, наречено „псевдонимизация“, е следното:
„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
Повече за това какво са лични данни: https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
В България това е „Комисия за защита на личните данни“ – cpdp.bg (Commission for Personal Data Protection – Republic of Bulgaria)
Т.нар. граждани/клиенти/потребители се реферират като „субекти на данните“ („data subject“) в регламента. Правата са разписани като принципи на регламента и като права на субектите:
Лицата имат право:
Още разяснения за правата:
Повече информация за правата на ФЛ съгласно GDPR.
Право на Достъп – Ако съхранявате/обработвате/притежавате лични данни – трябва да можете да предоставите безплатно копие на тези данни. Лицата имат право да научат какви данни съхранявате и обработвате. Остава въпроса – какъв срок имате за предоставяне на данните?
Правото на Заличаване / Право да бъде(ш) Забравен – Субектите на данните имат право да поискат изтриване на всички техни данни. Вашите системи трябва да направят изтриването, но ако споделяте лични данни и към външни доставчици като ERP системи, Email marketing софтуер и др. – трябва да достъпвате базите данни при тях (обикновено през API) и да подадете заявка за изтриване. Вие сте администратора на ЛД и вие заявявате изтриване на ЛД към всички обработващи тези данни (3-ти лица и фирми).
Право на Преносимост на данни – лицата могат да сменят доставчиците си, при което могат да изискват данните им да бъдат прехвърлени при друг доставчик.
Право на Уведомяване (Уведомления за изтичане/кражба на личните данни (напр. при кражба, хакване и др.) – в срок до 72 часа трябва да бъде уведомена КЗЛД, а ако последиците могат да са опасни (напр. изтичане на банкови данни) – трябва да се уведомят и субектите на ЛД, за да предприемат мерки за защита от неправомерно използване на откраднатите лични данни.
В „раздел 4 на регламента“ са указани задълженията на администратор/контрольор на ЛД и на обработващ на ЛД (лични данни). Спазвайки указаните принципи и подсигурявайки си нужния процес за защита на личните данни, можете да достигнете пълна съвместимост с GDPR регламента.
Още информация за задълженията на администраторите.
За да спазите всички изисквания на Регламента, трябва да подготвите твоя бизнес:
Защитата на личните данни е процес, а не е еднократна задача. За да обработвате правомерно личните данни, е необходимо:
Длъжностно лице по личните данни е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала. Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.
За малки и средно големи фирми обикновено не се налага да назначавате Длъжностно лице по личните данни (DPO), но всеки случай е индивидуален – направете правна консултация, ако имате съмнения.
Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.
Още за длъжностно лице по личните данни (Data Protection Officer – DPO).
Какво става ако не спазите изискванията? Какви са глобите? В какви срокове се налагат? Как да се предпазите от големите глоби по GDPR?…
Много въпроси, но нека оставим настрана глобите и да погледнем какъв е реда (етапите) при установяване на несъвместимост с GDPR регламента:
Забележете, че вие ще имате поне 2 етапа, в които ще трябва да предприемете конкретни действия. Това означава, че глоби ще се налагат само на най-значимите нарушения, при които не се предприема действие на установените нарушения или вие нарочно нарушавате правилата (обикновено тайно, но винаги може да стане публично достояние), с цел да постигнете финансови или други ползи.
Затова глобите са толкова големи, а те всъщност са малки… за нарочно нарушение би следвало да има огромни глоби и наказателна отговорност.