Как да се справим с новия регламент за личните данни (GDPR) - част втора

гост-автор: Светлозара Лазарова

И така – в първата част на статията направихме проверка на входа и на изхода на нашето дружество,  установихме какви лични данни влизат и какво се случва с тях, кой ще носи отговорността за тяхно съхранение, проверихме кой закон колко ни задължава да ги пазим и как ще ги унищожим след като вече не ни вършат работа или законовият срок за съхранението им е изтекъл.

Като финал и за да се представим добре пред надзорния орган, ако почука на вратата ни – обективирайте на хартия и в електронен вид процесите на обработване в едни правила, инструкции или както искате ги наречете. Най-добре е да ангажирате да ви ги драсне някой, който разбира от това, особено ако бизнесът ви е по-сериозен и по-голям, и ако за основната си дейност обработвате много и различни лични данни. Въпреки че винаги може да упражните копи-пейст функцията, а и с наближаването на 25 май в публичното пространство ще се появят образци на всякакви по вид и качество правила.

 

Права на субектите

Сега ни чака още малко практическа работа. Тя е свързана с правата на субектите – нашите донори на данни - служители, клиенти, потребители. Защото както уточнихме в първата част – правата на субектите, са задължения на администраторите. Съгласно Регламента правата на субектите на данни са следните:

  • право на достъп
  • право на коригиране
  • право на изтриване
  • право на ограничаване
  • право на преносимост
  • право на възражение
  • право да не бъдеш обект само на автоматизирано обработване.

За момента най-важното е да сме наясно, че те съществуват, както и да информираме субектите, че имат тези права.

Всеки от нас, който професионално ще се сблъска с Регламента, разбира се ще проучи подробно всяко от тези права, поради което няма да ги разглеждаме детайлно и да генерираме излишен спам. Понеже някои от тях станаха доста популярни, като „правото да бъдеш забравен“, малко по-надолу ще го спомена накратко.

 

Информиране на субектите

Сериозното, на което трябва да се наблегне, веднага щом приключим с въведението, където се ангажираме с модерни думи като прозрачност, съдействие, комуникация, без ненужно забавяне и предприемане на мерки, е всъщност информирането на субектите, от които ще събираме данни.

Не бъркайте информирането със съгласиетосъгласието е само едно от основанията, които ви дават право легитимно да обработвате данни, а информирането на субектите е тяхно право и наше задължение в процеса на събиране на данни.

На първо място, имайте предвид, че информирането трябва да стане още в първия досег с клиента, служителя, контрагента – „в момента на получаване на данни“ казва Регламентът. И още казва, че информационният документ (наречете го както искате – писмо, бюлетин) трябва да бъде в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено ако се отнася до деца.

Така че, викате адвоката да пише на хартия, и програмиста да ви изведе самостоятелен прозорец, пак там, на етапа преди клиентът да се регистрира в сайта, за да си поръча очила, и го информирате за следното:

  • кои сте вие,
  • защо (с каква конкретна цел – спомнете си принцип № 2) ще му събирате данните
  • кои точно данни ще му вземете
  • кое ви дава право (припомнете си основанията)
  • в кое чекмедже ще ги държите и колко време (спомнете си принцип № 4)
  • както и дали възнамерявате да ги давате на други администратори.

Също така трябва да го информирате за всичките му права, които изброих по-горе, както и пред кого има право да подаде жалба ако прецени, че му нарушавате правата.   Да не забравим – ако събирате данни на основание „Съгласие“, непременно информирайте лицето, че има право да го оттегли по всяко време.

 

Информиране относно профилирането

Има и още едно нещо, за което трябва да осведомите човека (разбира се то не важи за всички администратори, а само за тези, чийто бизнес включва извършване на профилиране), което не се откроява на пръв поглед, но лично мен ми е доста интересно в професионално отношение и съм чувствителна в личен аспект – това е профилирането. Просто смятам, че следенето на поведението и потребителските нагласи може да наруши личното пространство на индивида много по-драстично, отколкото узнаването на  ЕГН-то.

Профилирането е вид автоматизирано вземане на решения (без човешка намеса) и представлява най-общо асоцииране на идентифициран потребител със специфични за него характеристики или информация, която има за цел да го класифицира в дадена категория. Профилирането се извършва, когато се оценяват аспекти на личния живот на субекта, за да се направят всякакви прогнози за него и на тази база евентуално да се вземат решения.

Профилирането се използва в много сектори като банковата и финансова сфера, здравеопазването, директния маркетинг. То може да е по-ефективно за администратора като начин за вземане на решения, но неминуемо е по-малко прозрачно и може да има сериозни последици за отделния индивид, особено ако може да повлияе на правото му на избор или законните му права. Затова, ако вашият бизнес предполага извършване на профилиране, това също трябва да бъде сложено в информационната бюлетина до вашия клиент, със всички условности, посочени в Регламента.

 

Правото да бъдеш забравен

Две думи за „правото да бъдеш забравен“, преди да преминем нататък. Това всъщност е едно от основните права на субекта на данни, изброени по горе, а именно - правото на изтриване на лични данни. Спомнете си Пример № 3 и Принцип № 4  от първата част. Това е правото на субекта, чиито данни са събрани в минал момент за някаква конкретна цел, да поиска при определени обстоятелства и условия от администратора да изтрие тези данни, ако те вече не са необходими или е оттеглил съгласието си или администраторът не може да докаже някаква по-висша цел, за да продължава да ги съхранява.

Разбира се, трябва да се има предвид, че ако има законово задължение за съхраняване или наличие обществен интерес например в областта на общественото здраве и трансграничните епидемии или защита на правни претенции или в някои други случаи, изброени в Регламента, това право не може да бъде приложено в цялост и следва да бъде ограничено.

 

Водене на регистри

След като изяснихме правата на субектите и задължението да ги информираме за какво ли не, да преминем към другото практическо изискване – воденето на регистри на лични данни. В тази връзка искам да направя едно уточнение – чл. 30, ал. 5 на Регламента казва, че воденето на регистри не се прилага за предприятие или дружество с по-малко от 250 служители, но веднага добавя три изключения. Личното ми становище на адвокат е, че ако някое от тези три изключения е налице, то регистри следва да се водят дори от дружества с по-малко от 250 служители. Изключенията са – а) ако има вероятност да се породи висок риск за правата и свободите на субектите, б) ако обработването на лични данни не е спорадично (т.е. е на редовна база) или в) ако касае специални лични данни или лични данни, свързани с нарушения и присъди.

Счетоводителките и ТРЗ/HR специалистите да наострят уши и да си отговорят на въпроса – от време на време ли попълват име, ЕГН и адрес на служителите в трудовите досиета, виждат медицински, ТЕЛК решения, болнични листа и свидетелства за съдимост ( последните, когато се изискват за заемане на длъжността). Вероятността за „висок риск за правата и свободите“ ще я тълкуваме за всеки конкретен случай.

Според мен няма нищо страшно, защото водене на регистри има и по настоящия закон, но те се заявяват едноскратно в КЗЛД. След влизане на Регламента в сила тези регистри ще се водят при администратора. Хем ще си имаме работа, хем ще спазим Принцип № 6 – ще докажем на надзорния орган, че спазваме Регламента.

 

Зловещото DPO(Служител по защита на личните данни).

Статии бълват бомбастичнизаглавия, по форуми и професионални групи се обсъждат страховити сценарии, счетоводителки на павилиони за семки отварят щатни бройки, управители на фирми обсъждат заплати и възможности за съвместяване на длъжността, ако може нещо на половин ден, да е по-евтино.

Има разбира се и доста наброй сериозни четива в публичното пространство (написани най-вече от колеги, които имат задълбочени познания по материята), както има и сериозни четящи – затова и почти дословно копирам чл. 37, ал. 1 от Регламента, който определя трите задължителни категории администратори и обработващи, които трябва да назначат Служител по защита на личните данни:

 a)обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;  

б)основните дейности на администратора или обработващия личниданнисе състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;  

в)основните дейности на администратора или обработващия личниданнисе състоят в мащабно обработване на специалните категории даннисъгласно чл. 9и на личниданни, свързани с присъди и нарушения по чл. 10.

Следователно, ако не сте община или министерство, болница, социологическа агенция, мобилен оператор, Гугъл или Фейсбук, мисля че може да запазите известно спокойствие. Разбира се, с уговорката, че всеки конкретен случай се разглежда по отделно и се прави професионално заключение трябва ли задължително да назначите Служител по личните данни или може просто да се консултирате с адвокат и да прецените кое е най-доброто решение за вас.

В публичното пространство се изписа достатъчно за функциите, задачите и отговорностите на Длъжностното лице по личните данни, ако такова трябва да бъде ангажирано за бизнеса ви, така че аз няма да отнемам време на аудиторията.

 

Сигурност на личните данни

Бих искала да обърна малко внимание на темата за сигурността на личните данни, тъй като тя е важна за спазването на Принцип № 5, а и доста се шуми около криптирането и псевдонимизирането.

Сигурността е основно задължение на Администратора и обработващия лични данни и обхваща най-общо организационните и технически мерки, които те трябва да предприемат за защита на процесите на обработване на личните данни. Видовете мерки според Регламента трябва да са подходящи и да са съобразени с вида на обработваните данни и с рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп.

Основен принцип при сигурността е гарантирането на постоянна поверителност (неразкриване на неоторизирани лица), цялостност (да не се позволява извършването на неоторизирани промени), наличност (осигуряване на непрекъсната възможност за обработване)и устойчивост на системите и услугите за обработване.

При по-сериозна нужда от сигурност (особено когато се касае за мащабни процеси и чувствителни данни, или профилиране) и след извършена оценка на въздействието, Регламентът въвежда определени изисквания, част от които са криптирането (математически метод за защита на данни) или псевдонимизирането (логически метод за защита на данни).

Накратко – ако имате малък бизнес и събирате предимно име, ЕГН и адрес, не мисля, че на 100 % ще ви се наложи да наемате експерти по криптиране на информация.

 

Две думи за сертифицирането – моля, не го бъркайте със регистрация пред някоя държавна служба – както споменах в първата част на статията – регистрационният режим отпада от 25 май 2018 г.

Сертифицирането ще бъде доброволно и ще представлява нещо като сертификат за качество - израз на желанието на съответните администратори и обработващи лични данни  да покажат съпричастност към защитата на личните данни и с цел да се демонстрира наличието на подходящи гаранции в опазването им.

 

Средства за правна защита

За накрая съм оставила любимата си тема – средствата за правна защита. В едно изречение, за да не бъда обвинена в реклама -  недоволните субекти ще имат право да се упражняват в писане на жалби срещу администратора в две направления –

а) пред надзорния орган 

б) пред компетентния съд, ако смятат да искат обезщетение за вреди. Те ще могат да пишат до съответния съд и срещу компетентния орган, ако не са доволни от решението му по т. а).

 

Административни санкции

По отношение на административните санкции, за които толкова се тръби напоследък – преди счетоводителката ви да ви посъветва да заделите 20 000 000 (двадесет милиона) евро от оборота си за глоба, имайте предвид, че когато някой подаде жалба за нарушаване на Регламента, надзорният орган при обследване на деянието и определяне на имуществената санкция ще трябва да прецени следните обстоятелства 

а) естеството, тежестта и продължителността на нарушението, както и естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б) дали нарушението е извършено умишлено или по небрежност;

в) действията, предприети от Администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях;

д) евентуални свързани предишни нарушения, извършени от Администратора или обработващия лични данни;

е) степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж) категориите лични данни, засегнати от нарушението;

з) всякакви други утежняващи или смекчаващи фактори

 

Така че, ако сте си организирали бизнеса, по начин да спазвате принципите (което трябва да бъде перманентен процес), ако не сте действали злонамерено, ако докажете, че по някаква причина не следва да носите отговорност, ако сте съдействали на субектите за ограничаване на вредите и сте си сътрудничили с надзорния орган, нещата може да се окажат не толкова черни.

Не напразно започнах с това, че амбициозната цел на Регламента е да повиши както бизнес-културата ни, така и културата ни на потребители в процеса на даване и получаване на лични данни.

Статията няма претенции за изчерпателност. Въпреки шеговития тон, чиято единствена цел е да приемем нещата по-ведро, авторът се отнася към темата напълно професионално и отговорно.

Важно!

Съвместно с адв. Светлозара Лазарова си поставихме за задача да кажем най-важното, което трябва да се знае на първо време, за да влезем в час с правилата на новия Регламент и създадохме онлайн курс:


GDPR за малкия бизнес

  •  Курсът е насочен е предимно към малки и средни фирми, счетоводители, адвокати, HR специалисти, Служби по трудова медицина, преводачески агенции и към всички, които искат да са наясно с правилата
  •  Имате на разположение отделни модули, където лекторът разказва и обяснява, а слайдовете с текст допълват неговата презентация
     
  •  Прибавихме няколко модули с практически стъпки, които да Ви ориентират какви действия трябва да предприеме всеки Администратор на лични данни
     
  •  Може да гледате по всяко време и на всякакво устройство - стига да имате интернет и слушалки
     
  • Семинарът може да се гледа от всички служители в офиса
    Повече информация прочетете ТУК

 

-----------

Светлозара Лазарова е адвокат ,практикува в сферата на търговското, трудовото и административното право - адрес: София, 1000 ул. Княз Борис I № 99, ет. 3 тел. 089 84 89 222  e-mail: svetlozara.lazarova@lk-lawpartners.com,  www.lk-lawpartners.com

Илюстрация:Designed by Freepik


Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация

2 Коментари

  1. Avatar
    Светлозара Лазарова 2018-05-09 09:51:58

    Здравейте,
    Искането на съгласие (като едно от 6-те основания) няма пряка връзка със срока, за който съхранявате данни. Периодът, за който съхранявате данни на ваши клиенти или потенциални клиенти зависи от целта, за която ги събирате, така че първо отграничете конкретна цел, за която го правите. На следващо място, имайте предвид, че съгласието е оттегляемо – какъвто и период да сте посочили, ако съгласието бъде оттеглено, трябва да изтриете данните на този човек и да не ги съхранявате повече. На трето място – при директен маркетинг (какъвто посочвате, че правите) всеки човек има право на възражение – ако го упражни, директният маркетинг спрямо това лице трябва да се преустанови безусловно.

  2. Avatar
    Росица Михайлова 2018-05-05 01:25:42

    Благодаря ви за статията. Не се ориентирах относно необходимостта, при искане на съгласие за обработка, да се посочи обезателно краен срок на обработката. Занимавам се с e-mail маркетинг и не мога да посоча краен срок - срокът би трябвало да е докато е актуална дейността, за която са събирани данните (става въпрос за e-mail адреси). Моля ви за коментар.

Напиши коментар