Скоро Общият регламент за защита на данните ще влезе сила в целия Европейски съюз и като страна – членка, в България също ще се наложат промени в регулациите. Докато нашите политици още мислят как да приложат новия европейски регламент на „местна почва“, ето няколко отговори на често задавани въпроси около GDPR.
Какво представлява GDPR?
General Data Protection Regulation (GDPR) в превод на български гласи Общ регламент за защита на данните. След четири години подготовка и разискване GDPR беше окончателно одобрен от Европейския парламент на 14 април 2016 г. Датата на влизане в сила за целия ЕС е 25 май 2018 г., независимо дали има локално приети законови промени, или – не. След като влезе в сила, компаниите и организациите, чиято дейност не съответства на изискванията могат да бъдат обложени с тежки глоби.
Общият регламент за защита на данните на ЕС (GDPR) заменя Директивата за защита на данните 95/46 / EО и има за цел да хармонизира законите за неприкосновеността на личните данни в цяла Европа, с цел защита и укрепване на неприкосновеността на личния живот на гражданите на ЕС и промяна на начина, по който организациите в региона третират поверителността.
Кога влиза в сила GDPR?
GDPR е одобрен и приет от Европейския парламент през април 2016 г. Регламентът ще влезе в сила след двугодишен преходен период и, за разлика от директивите, той не изисква приемането на законодателни актове, които да дават възможност на правителството да приеме решенията. Това означава, че регулацията влиза в сила през май 2018 г.
GDPR в Англия, след „Brexit“?
Ако представлявате администратор на лични данни в Обединеното кралство, може би искате да знаете дали трябва да дейностите по планиране и подготовка на GDPR. Ситуацията не е напълно изяснена, но ако обработвате данни за физически лица, с оглед продажба на стоки или услуги на граждани на други страни от ЕС, тогава ще трябва да се съобразите с GDPR, независимо дали GDPR ще влезе в сила във Великобритания след Brexit.
Малко по-неясна е ситуацията, ако вашите дейности са ограничени само до Обединеното кралство. Правителството на Великобритания посочва, че ще бъдат приложени еквивалентни или алтернативни правни механизми. Много голяма е вероятността законодателството да следва до голяма степен новия регламент, особено като предвид подкрепата, която ICO и правителството на Обединеното кралство оказаха за изграждането на GDPR като ефективен стандарт за защита на личните данни, а и защото новият регламент предоставя ясен подхдод към дигиталния пазар в Европейския съюз.
Кой ще бъде засегнат от GDPR?
GDPR не се прилага само за организации, разположени в рамките на ЕС, но и за такива, извън ЕС, ако предлагат стоки или услуги на субекти на данни в ЕС или наблюдават поведението им. Той се прилага за всички дружества, които обработват и съхраняват личните данни на субектите на данни, пребиваващи в Европейския съюз, независимо от местоположението на компанията.
Какви са санкциите за неспазване на регламента?
Организациите могат да бъдат глобени до 4% от годишния си оборот за нарушаване на GDPR, или 20 милиона евро. Това е максималната глоба, която може да бъде наложена за най-тежките нарушения, например липсата на съгласие на клиентите за обработка на данни или нарушаване на основната концепция за поверителност.
Важно е да се отбележи, че тези правила се отнасят както за администраторите, така и за преработвателите, което означава, че облачните услуги няма да бъдат изключени от прилагането на GDPR.
Какво представляват личните данни?
За лични данни се счита всяка информация, свързана с физическо лице или „субект на данни“, която може да се използва за пряко или косвено идентифициране на лицето. Тя може да бъде всичко от име, снимка, имейл адрес, банкови данни, публикации в социални мрежи, медицинска информация или IP адрес.
Каква е разликата между процесор за данни и администратор на данни?
Админитраторът е субектът, който определя целите, условията и средствата за обработка на лични данни, докато процесорът е лице, което обработва лични данни от името на администратора.
„Изрично“ или „недвусмислено“ трябва да е съгласието на субекта на данни и каква е разликата?
Условията за съгласие са утвърдени изрично, така че компаниите да нямат възможност да „прикриват“ съгласието в дълги и трудни за четене документи, пълни с термини, каквито са общите условия на уебсайтовете, например.
Искането за съгласие трябва да бъде дадено в разбираема и леснодостъпна форма, с ясна дефиниция на целта на обработка на данните, добавено към него. В този контекст, даването на съгласие трябва да е недвусмислено за потребителя.
Изрично съгласие се изисква само при обработването на чувствителни лични данни. Това означава, че не е достатъчно даването на съгласие „по подразбиране“ (неприемливи са формулировки, като „с влизането на уебсайта, се съгласявате с обработката на данни“, например). За останалата информация е достатъчно даване на еднозначно съгласие.
Искането за съгласие трябва да е ясно обособено, позиционирано отделно от други въпроси и да е предоставено в по лесен начин, в ясна и разбираема форма, като се използва достъпен език.
Оттеглянето на съгласие трябва да е също толкова лесно, колкото да бъде дадено.
Субекти на данни под 16-годишна възраст
При обработка на лични данни на лица под 16 годишна възраст, според новата регулация, се изисква съгласието на родителите за извършване на обработка за извършване на онлайн услуги.
Всяка държава – членка на ЕС може да определи по-ниска възраст за искане на съгласие от родител, но минималният праг е 13 години.
Каква е разликата между регламент и директива?
Регламентът е задължителен законодателен акт. Той трябва да се прилага в своята цялост в целия ЕС. Директивата е законодателен акт, който определя цел, която всички държави от ЕС трябва да постигнат, но от отделните страни как зависи начина на прилагане.
Важно е да се отбележи, че GDPR е регламент, за разлика от предходното законодателство, което е директива.
Трябва ли да назнача служител по защита на данните (DPO)?
Според член 37, ОЗД (отговорник по защита на данните) трябва да бъде назначен в някои от следните случаи:
а) публични органи;
б) организации, които извършват мониторинг на системи в широк мащаб;
в) организации, които извършват обработка на чувствителни лични данни в големи мащаби.
Ако вашата компания не попада в някоя от тези категории, значи не е необходимо да назначавате DPO.