Какво представлява новият регламент за защита на личните данни?
Както най-вероятно вече сте разбрали, от май 2018 г. ще започне прилагането на новия регламент за защита на личните данни (Общ регламент относно защитата на данните или General Data Protection Regulation) – тема, която провокира все по-големи дискусии в онлайн пространството. Основната причина за това е, че всяко дружество, което обработва лични данни от ЕС (независимо дали то самото е установено в ЕС), попада в обхвата на регламента. Това означава, че всички компании, обработващи лични данни, се налага сериозно да подобрят тяхното съхранение и защита – в противен случай предвидените от регламента санкции могат да достигнат до 20 млн. евро или до 4% от световния оборот на нарушителя.
Общият регламент за защита на личните данни беше приет от Европейския парламент през април 2016 г., а прилагането му започва от 25 май 2018 г. С наближаващия срок, компаниите търсят начини да определят дали и как тази регулация се прилага в техния случай и ако е така, какви промени е нужно да направят в своите IT процеси, за да са “в крак” с регламента. Намерението на директивата е да защити личните данни на жителите на ЕС и да стандартизира законите в страните членки. Добрата новина е, че компаниите имат много инструменти на свое разположение, които да им помогнат да извършат и документират нужните стъпки, за да отговорят на изискванията на регламента – от идентифицирането на личните данни, които трябва да бъдат защитени, до тяхната правилната защита, ефективното им управление и проследяването на потока им.
Спазването на новите разпоредби, които ще влязат в сила през май 2018 г. в рамките на Общия регламент за защита на личните данни, е огромна и сложна задача. За организациите, които събират, контролират и обработват личните данни на гражданите на ЕС, спазването на изискванията е задължително. Компаниите имат все по-малко време, в което да създадат план за идентифициране, класифициране, управление, осигуряване и документиране на защитата на такива данни чрез прилагане на правилните решения.
Лични данни
Основната цел на регламента е да защити личните данни, поради което са налага конкретно да се даде определение на този термин. Личните данни включват, но не се ограничават до: основни лични данни (име, адрес, телефонен номер, ЕГН), генетични и биометрични данни, здравна информация, интернет данни (IP адрес, местоположение, информация за “бисквитките”). Информацията за расов или етнически произход, сексуална ориентация, членство в синдикални организации, политически и религиозни убеждения се класифицират като специална категория и са обект на допълнителни протекции.
Данни, които са събрани напълно анонимно, така че лицата да не могат да бъдат идентифицирани директно или индиректно, не попадат в регламента.
Уведомяване за нарушения и поддръжка на документация
Всяка компания, която е администратор на лични данни, е задължена да уведоми КЗЛД за нарушения на сигурността на данните в рамките на 72 часа от тяхното установяване. Уведомлението включва описание на нарушението, евентуалните последици, както и информация за предприетите мерки. За нарушение се счита “нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин”. Краткият срок може да се окаже допълнително затруднение за големите компании, които е препоръчително да наложат предварително установени политики за процедиране в подобни ситуации.
Важно е да отбележим и друго съществено изискване на новия регламент!
Служителите в дадената компания трябва да имат достъп само тези лични данни, които са пряко свързани с тяхната работа. Нарушаването на това правило, дори да не е налице теч на информация извън пределите на компанията, представлява инцидент, попадащ в обхвата на новия европейски закон.
Компаниите, които са администратори или обработващи (когато обработват данни за друга компания на основание договор за услуги например), ще трябва да поддържат документация за извършените дейности с лични данни, на базата на която да докажат спазване на задълженията си. Управлението на данните се отнася до политики и процедури за управление и обработка на данни, заедно с план за тяхното прилагане. Целта е да се гарантира, че данните се управляват по сходен начин в цялата организация. Планът за управление на данните е основен аспект от изпълнението на изискванията за спазване на Общия регламент за защита на личните данни. За да бъде изпълнено това, той трябва ясно да определи ролите и отговорностите за достъп, управление и използване на лични данни.
Длъжностно лице по защита на данните
Някои организации ще бъдат задължени да назначат длъжностно лице по защита на данните (ДЛЗД) – квалифициран експерт в закони и практики за защита на данните, който ще действа и като лице за контакт с надзорния орган. ДЛЗД може да е както служител на компанията, така и да е лице, наето по договор за услуги. Това задължение се отнася както за администраторите, така и за обработващите личните данни, когато техните основни дейности се състоят от редовно и систематично наблюдение на данните в голям мащаб – напр. компании, чиито дейности са свързани с оперирането на телекомуникационна система и предоставяне на телекомуникационни услуги, онлайн дейности като установяване на местоположение (мобилни приложения), поведенческа реклама и свързани устройства. То се отнася и за тези, които събират или обработват специални категории данни или данни, свързани с наказателни присъди и престъпления.
Правото „да бъдеш забравен“
Общият регламент за защита на данните предвижда правото “да бъдеш забравен”, по силата на което лицата могат да искат данните им да бъдат изтрити, когато е отпаднало основанието за тяхното обработване или когато лицето оттегли даденото съгласие.
Въвежда се и правото на преносимост на данните, което дава право на лицето да поиска данните да бъдат прехвърлени на друг администратор. Регламентът предвижда и по-високи изисквания за съгласие на лицата за обработване на техните данни, дадено чрез изявление или ясно потвърждаващо действие.
Как да се подготвим за новия регламент?
Новият регламент за защита на личните данни изисква сериозна подготовка за всички, компании, които попадат в неговия обхват. Навременното адаптиране към новите изисквания ще улесни процеса и ще Ви даде достатъчно време за реакции при непредвидени ситуации. Но от къде трябва да започнем с подготовката?
- Внимателно анализирайте и обмислете процесите, които включват обработката на лични данни.
- Въведете политики и процедури, които да осигурят бърза реакция и спазване на краткия срок за уведомяване, за да бъдете подготвени за евентуални нарушения на сигурността. Тази стъпка включва и въвеждането на подходящи мерки за защита на данните.
- Въведете политики и процедури за документиране и отчетност.
- Подгответе се за евентуалното назначаване на длъжностно лице по защита на данните, което може да бъде служител на компанията или лице, наето по договор за услуги
Туристическият бизнес несъмнено ще бъде повлиян от въвеждането на новия регламент. Сферата на туризма се основава на непрестанна комуникация между страните, а обработката на личните данни на клиентите е неизменна част от целия процес. Нашият съвет е да обърнете специално внимание на новите изисквания и да подготвите туристическия си бизнес за предстоящите промени.