Готови за новите изисквания на GDPR?

Подготви бизнеса си за новите правила за защита на личните данни. Не рискувай огромни глоби – 20 млн. евро или 4% от годишния оборот на твоята компания.

Какво е GDPR?

GDPR European Union

GDPR (General Data Protection Regulation)

Това е Регламент, приет от Европейския съюз, който се прилага пряко в България. За бизнеса това означава много нови правила за защита на личните данни. Личните данни в модерния бизнес свят са изключително важен актив. Целта на Регламента е да гарантира защитата на личните данни на всеки човек, като въведе поредица от задължения за бизнеса (администраторите на лични данни).

GDPR European Union

GDPR Лични данни

Какво са “лични данни” за бизнеса?

Личните данни са един от ключовите активи за всеки бизнес. Личните данни може да се възприемат като нещо, което е предоставено временно на бизнеса. Те не му принадлежат, а са предостъпени от потребителя за временно ползване и само за определени цели.

GDPR Europe

Териториален обхват

Регламентът се прилага в България, в целия Европейски съюз, както и извън него, когато се засягат права на граждани на ЕС.

GDPR Europe

Санкции

Кой ще следи за спазването на Регламента?

Контролът върху защитата на личните данни ще се извършва от Комисията за защита на личните данни. Очаква се Комисията да бъде все по-активна в дейността си. Освен Комисията има и органи на европейско ниво.

 

Какво ще стане, ако не спазвам Регламента?

Регламентът започва да се прилага в България от 25 май 2018 г. и всеки ще бъде длъжен да отговаря на неговите изисквания. Глобите, предвидени в Регламента са огромни – 20 млн. евро или 4 % от годишния оборот на твоята компания. Неспазването на изискванията на Регламента могат да доведат до огромни загуби за бизнеса ти.

Ключови промени с GDPR

GDPR Политики

Прозрачни политики

  • ясна информация за събирането на лични данни
  • уточняване на целите за обработка на лични данни
  • дефиниране на правилата за запазване и изтриване на лични данни

GDPR Политики

GDPR контрол и известяване

Контрол и известяване

  • използване на подходяща защита за съхранението на личните данни
  • уведомяване на властите за нарушения във връзка с лични данни
  • получаване на подходящо съгласие за обработка на данни
  • съхраняване на записи с подробна обработка на данните

GDPR IT и обучения

IT и обучения

  • обучения на служители, които обработват лични данни
  • одит и актуализиране на политиките за лични данни
  • назначаване на DPO – служител по защита на данните (ако е необходимо)
  • сключване и управление на договори с доставчици в съответствие с GDPR

Виж нашия GDPR Наръчник

GDPR IT и обучения

Лични данни

Какво са личните данни?

Лични данни са данните, чрез които едно лице може да бъде идентифицирано, като име, пол, възраст, ЕГН, имейл, снимка, банкови данни, IP адрес и др. Стойността на личните данни често се подценява, но всъщност те са един от най-ценните активи за всеки бизнес.

Чувствителните лични данни

Има определени категории лични данни, които се ползват с по-високо ниво на защита. Такива са данните за здравето, биометрични данни, данни отнасящи се до расов или етнически произход, политически възгледи и др. Обработването и съхранението на посочените категории лични данни е забранено, но забраната може да се преодолее чрез получаване на изрично съгласие от субекта на данните.

Лицата имат право

  • на достъп до личните си данни
  • да поправят грешки в личните си данни
  • да изтриват личните си данни
  • научат за предмета на обработка на личните им данни
  • да изтеглят личните си данни

Принципи на GDPR

GDPR Принципи

Законосъобразно, добросъвестно и прозрачно обработване

Личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

Събиране само за определени цели

Личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

Свеждане на данните до минимум

Не могат да се обработват данни “просто така”, необходимо е обработката на данните да отговаря на целите на обработката.

GDPR Принципи

Точност и поддържане в актуален вид

Личните данни трябва да са точни и да бъдат поддържани в актуален вид.

Ограничение на съхранението

Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват.

Цялостност и поверителност

Обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни.

Права

GDP достъп до лични данни

Достъп до данните

Субектите на данните (потребителите) трябва да имат постоянен достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.

GDP достъп до лични данни

GDPR Изтриване на лични данни

Изтриване на данните

Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.

GDPR профилиране

Профилиране

Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.

GDPR профилиране

Задължения към администраторите

GDPR Разбираем език

Използване на разбираем език

Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.

GDPR Разбираем език

GDPR Съгласие от потребител

Съгласие за обработване на личните данни

Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение.

ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.

GDPR предоставяне на данните на трети лица

Предоставяне на данните на 3-ти лица

Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.

GDPR предоставяне на данните на трети лица

Изисквания към организациите

За да спазиш всички изисквания на Регламента, трябва да подготвиш твоя бизнес

От правна страна

Обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.

От техническа страна

Трябва да подготвиш фактическото спазване на предвиденото в изготвените правни документи. Това например може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.

Защитата на личните данни е процес, не е еднократна задача.

За да обработваш правомерно личните данни, е необходимо:

  • да изградиш стройна и ясна система за обработка на личните данни
  • да приемеш вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
  • периодично да ревизираш въведената система
  • да познаваш развитието на технологията и подходящите нива на защита на личните данни

Длъжностно лице по личните данни (Data Protection Officer – DPO)

Длъжностно лице по личните данни или Data Protection Officer (DPO)

Това е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала.

Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.

Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.

GDPR Наръчник

Интерактивният наръчник работи така: попълваш онлайн въпросник за дейността ти на база отговорите системата ни автоматично генерира необходимите документи, клаузи, информация и указания за въвеждане на GDPR правила.

Този продукт е подходящ за клиенти, които не желаят да ползват консултанти и предпочитат сами да внедрят GDPR, на ниска цена.

Цена: 299 лв. с ДДС.

СВАЛИ GDPR НАРЪЧНИК

Или поискай оферта от консултантския ни екип

GDPR консултантски екип

Събрахме екип от най-добрите правни и технически експерти, които можем да намерим.

Как помагаме?

  1. Попълваш кратък онлайн въпросник за твоя бизнес, личните данни и степента на обработка.

  2. Екипът ни се свързва с теб за доуточняващи въпроси (ако има такива).

  3. Правим анализ и предлагаме оферта с решение.

  4. Ако офертата те устройва – екипът ни от правни и технически експерти се заема.

  5. Успех! Вече спазваш на 100% GDPR правилата.

 

Поискай оферта

GDPR екипът работи на цена от 150 лв. на час.

Дистрибуторска мрежа

Имаш клиенти или познати, които трябва да въведат GDPR правилата?
Стани наш дистрибутор – изплащаме 10% комисионна.
Свърже се с нас за повече информация:

Въпросите, които получаваме

Дигитална агенция, разработваща уеб-платформи, поддържаща социални мрежи, SEO както и други дигитални услуги за компании по целия свят, трябва ли да спазва Регламента? Ние или клиентите ни отговарят за спазването на GDPR?

И дигиталната агенция, и клиентите й отговарят на собствено основание. Трябва да се има предвид, че този бранш е най-засегнат от промените и на практика е задължително да се направи задълбочено проучване относно личните данни, които се обработват.

Регистриран съм в Комисията за защита на личните данни. Какво е отношението между новия регламент и регистрацията като администратор на лични данни в КЗЛД?

Регистрацията към Комисията за защита на личните данни не гарантира, че се спазват новите правила. Прилагането на Регламента започва от 25.05.2018 и ще промени основно уредбата на защитата на личните данни. За да се спазват правилата на Регламента, ще е необходимо да се направи анализ на личните данни във фирмата.

Как се съвместява даването на изрично съгласие за обработка на лични данни с предоставянето на комплексно административно обслужване в администрациите?

Съгласието е само едно от основанията за обработване на лични данни. Не е нужно съгласие, когато обработването на лични данни е предвидено в закона например.

Как се удостоверява, че съм администратор на лични данни и как на практика се изготвя документ за съгласие на лицата, предоставили ми личните си данни, така че да бъда защитена при проверка?

Към момента всички администратори на лични данни са длъжни да се регистрират към Комисията за защита на личните данни. С новия Регламент това задължение ще отпадне. Не може да се даде еднозначен отговор какъв документ е необходим, защото това зависи от целите, основанията и начина на обработката на личните данни. За да сте сигурни, че отговаряте на изискванията на Регламента, трябва да извършите анализ на всички лични данни, които обработвате и съответно да приведете това обработване според новите правила.

Като фотограф мога ли да се освободя от отговорност, ако моделите подпишат декларация? Мога ли да изпозлвам снимките, които правя, комерсиално?

Не може да се освободиш от отговорност за обработване на лични данни. Ако имаш договорни отношения с моделите, може да се договорите как имаш право да ползваш техните снимки.

Ако фирмата се състои само от двама съдружници и един счетоводител, трябва ли да има човек, който да отговаря за личните данни?

Ако се има предвид дали трябва да се назначи Длъжностно лице по защита на личните данни (DPO), най-вероятно не е задължително. Все пак, трябва да се направи анализ на конкретния случай, за да се каже със сигурност.

Ако на сайта има форма за коментари, чрез който в базата данни се записва някакво име (може и да не е реално), имейл и IP на потребителя, собственикът на сайта води ли се за администратор на лични данни? Малкият бизнес засяга ли се от промяната?

Да, всеки, който обработва лични данни, е длъжен да спазва Регламента. Това важи и за малките бизнеси.

Осъществяваме консултантска дейност чрез договори за изработка съгласно ЗЗД. Следва ли да сме в обхвата на този регламент и да назначаваме специален служител за защита на лични данни?

Най-вероятно няма нужда да се назначава Длъжностно лице по защита на личните данни. Все пак, за да се каже със сигурност, трябва да се направи анализ на личните данни във фирмата.

До каква степен имейлът представлява лични данни? Всеки ползващ електронна поща, има имейлите на всички лица и фирми, с които си кореспондира. Освен това милиони имейли са налични в общественото пространство, което би означавало, че всеки който ги ползва, следва да се регистира като администратор на лични данни?

Имейлите са лични данни. Какви правила ще се прилагат за този случай, зависи от начина на използване на тези имейли.

Откраднаха ми личните данни в чужбина - какво мога да напрявя?

Може да се докладва казусът на Комисия за защита на личните данни.

Advokatami.bg е отразен в медиите: Bulgaria ON AIR Вестник 24 часа