Кратки разяснения относно по-важните моменти, за които всеки Администратор на лични данни следва да е информиран, за да приведе дейността си в съответствие с Общия регламент за защита на личните данни (GDPR)

PDF

I. Общи положения

В края на месец май 2019г. ще се навърши една година от влизане в сила и прилагане на разпоредбите на Общия регламент за защита на личните данни (GDPR). Към настоящия момент голяма част от администраторите на лични данни не са привели дейността си в съответствие с изискванията на Регламента, а тепърва Комисията за защита на лични данни (КЗЛД) започва да прави проверки, както по сигнали и жалби, така и по своя инициатива.

На първо място, е важно да се отбележи, че всеки един (независимо дали е физическо или юридическо лице, частна или публична организация) се третира като „Администратор на лични данни“ съгласно Общия регламент за защита на личните данни, т.нар. GDPR.

Регламентът единствено не намира приложение в областите отбрана и национална сигурност.

Регламентът има пряко приложение, независимо от Закона за защита на личните данни. С измененията и допълненията в закона от началото на 2019г. се въведоха изискванията на Директива (ЕС) 2016/680, т. нар. „полицейска директива“, като по никакъв начин законът не може да преповтаря текстове от Регламента или да съдържа такива, които му противоречат.

II. Конкретни действия, които да предприемете, за да приведете дейността си в съответствие с изискванията на Общия регламент за защита на личните данни (GDPR)

  1. Оценка на текущото състояние по обработване на лични данни – може да направите това самостоятелно, като създадете вътрешна организация или да използвате услугите на външни лица, които могат да направят това вместо вас и да изготвят Анализ на съответствието, т.нар. GAP анализ. Чрез анализа се определя до колко дейностите по обработване на лични данни съответстват на изискванията на Регламента и какво следва да се предприеме, в случай на противоречие, за да синхронизирате дейността си с Регламента;
  2. Трябва точно и конкретно да определите категориите субекти, чийто лични данни събирате и да ги сформирате в отделни регистри – например регистър „Персонал“, регистър „Клиенти“, регистър „Контрагенти“ и други, в зависимост от дейността на конкретния администратор на лични данни;
  3. Следва да приемете вътрешен акт – Инструкцията за техническите и организационни мерки за воденето, поддържането и защитата на регистрите, съхраняващи лични данни, в която да са ясно разписани регистрите, които се поддържат от вас, категориите лични данни, които се събират и обработват, техническите и организационните мерки за защита на данните, сроковете за съхранение и други;
  4. Следва да се вземат конкретни технически и организационни мерки за защита на личните данни – определяне на зоните с контролиран достъп, определяне на помещенията, в които ще се обработват лични данни, заключване на шкафовете, съхраняващи лични данни, мерки за защита на автоматизираните информационни системи и/или мрежи и други;
  5. Необходимо е да поддържате регистър на обработваните лични данни;
  6. Задължително е да определите точно кои от служителите ви имат достъп до регистрите с лични данни;
  7. Важно е винаги, когато се събират и обработват лични данни да се търси легитимен интерес – законово основание, договорно основание, а не да се прибягва директно към изискване даването на съгласие от субекта на лични данни. Добре е, когато е възможно, съгласието да се избягва, като форма на законосъобразно обработване на личните данни. Случаите, в които не следва да се изисква съгласие от субекта на данни за обработването на личните му данни са, когато личните данни се събират и обработват за целите на трудово правоотношение, за изпълнение на задължение по силата на закон, напр. по силата на Закона за висшето образование, Закона за здравето и други, при сключването на договори;
  8. Законът за защита на личните данни забранява копирането на документи за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване. Такъв документ може да се копира, само ако това е предвидено със закон. Може да копирате, например свидетелство за управление на моторно превозно средство, когато заеманата от лицето длъжност го изисква – шофьор или когато упълномощавате някого да шофира служебна кола;
  9. Ако използвате видеонаблюдение на входовете, изходите и отделни помещения, задължително освен информационна табела със знака, указващ осъществяваното видеонаблюдение, следва да оповестите с изрично съобщение за видеонаблюдението;
  10. Да прецените, на базата на направения анализ на съответствието и осъществяваната от вас дейност, необходимо ли е да определите длъжностно лице за защита на личните данни.

III. С пожелание

Дадената информация е с цел да насочи и улесни всеки един, който все още не е предприел действия по привеждане на дейността си в съответствие с изискванията на Общия регламент за защита на личните данни (GDPR).

Ще се радвам да съм полезна с разясненията си и при необходимост да съдействам в процедурата по въвеждане изискванията на Регламента във вашата дейност.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *