Още регулация на личните данни: бреме или възможност
Още регулация на личните данни: бреме или възможност
Новият регламент на Европейския съюз (2016/679) изведе личните данни на предни позиции в приоритетите на бизнеса. Макар в голямата си част да затвърждава вече съществуващи положения на действащото законодателство и съдебната практика, новият регламент значително повишава риска за компаниите, тъй като предвижда санкции до 4% от световния оборот. Наред с това се разширява териториалният обхват на европейското законодателство за защита на личните данни, което ще се прилага и към предлагането на стоки или услуги на потребители от съюза от компании, които не са установени в ЕС.
Регламентът налага метода на саморегулирането въз основа на отчетност, оценка на риска и задължение за назначаване на лице по сигурността на данните. Целта е намаляване на административната тежест за бизнеса и риск базиран контрол. Отпада общото задължение за уведомяване на надзорния орган за обработване на данни. Спазването на законодателството ще се гарантира чрез по-широки права на физическите лица, задължението за уведомяване на надзорния орган при пробив на сигурността и не на последно място, високите санкции.
Длъжностно лице по защита на данните
Една от новостите на регламента е задължението за назначаване на длъжностно лице по защита на данните (ДЛЗД). Задължението ще се приложи за бизнеси, чиято основната дейност предполага систематично наблюдение на физически лица или обработка на чувствителни данни в голям мащаб. Примери за такава дейност са опериране на телекомуникационна система и предоставяне на телекомуникационни услуги, онлайн дейности като установяване на местоположение (при мобилни приложения), поведенческа реклама и свързани устройства.
ДЛЗД ще следи за спазването на закона и ще действа като лице за контакт с надзорния орган. То може да е както служител на компанията, така и да е наето по договор за услуги. Идеята за ДЗЛД не е новаторска. Такава регулация вече се прилага в някои държави – членки на ЕС, и много компании ползват услугите на ДЗЛД на доброволен принцип. Дългогодишната практика показва положителни резултати. ДЗЛД подпомага процесите по изготвяне на оценка на въздействието, обучение на персонала, повишава ефективността на политиките и процедурите по обработка на данни.
Оценка на въздействието върху защитата на данните
Друг съществен момент от новата регулация е изготвянето на оценка на въздействието върху защитата на данните. Компаниите ще са задължени да извършват такава оценка при обработка на данни с висок риск за правата на лицата, включително в случаи на обработка на чувствителни данни, наблюдение на публично достъпна зона, профилиране и употреба на нови технологии. На местно ниво се очаква КЗЛД да приеме списък с видовете обработка на данни, за които ще се изисква или няма да се изисква оценка.
Добрата практика предполага оценка на въздействието да предшества определянето на мерките за сигурност, които съответната компания ще прилага. Българското законодателство към днешна дата изисква извършване на оценка на всеки две години от всички администратори.
В дългосрочен план оценката е възможност за анализ и преоценка на процесите, свързани с обработка на данни, с цел опростяване и идентифициране на възможни нарушения (като прекомерна обработка на данни), спестяване на излишни разходи и, най-важното, превенция на накърняване на репутацията и доверието на клиентите, което евентуален пробив в сигурността може да има.
Уведомяване на КЗЛД за нарушения на сигурността в срок от 72 часа
Компаниите ще са задължени да уведомят КЗЛД за нарушение на сигурността на данните в рамките на 72 часа. Уведомлението трябва да съдържа информация за нарушението, евентуалните последици и предприетите или предложени от администратора мерки. Този срок може да се окаже непосилно кратък, особено за големи организации, което налага предварителното установяване на политики и процедури за спешна реакция в случай на нарушения на сигурността.
Компаниите, действащи в качеството на администратори или обработващи (когато обработват данни за друга компания на основание договор за услуги например), ще трябва да поддържат документация за извършените дейности с лични данни, на базата на която да докажат спазване на задълженията си.
Права на субектите на лични данни
Регламентът разширява правата на физическите лица, което налага предварително въвеждане на политики и процедури, по които да се обработват исканията на физическите лица.
Физическите лица имат право да не бъдат обект на решения, основаващо се единствено на автоматизирано обработване, включително профилиране. По смисъла на регламента профилиране е всяка форма на автоматизирана обработка, изразяваща се в използването на лични данни за анализиране или прогнозиране на икономическо състояние, здраве, лични предпочитания и местоположение. Автоматизирани решения могат да се използват само с изричното съгласие на субекта на данни.
Регламентът установява правото “да бъдеш забравен”, по силата на което лицата могат да искат данните им да бъдат изтрити, когато е отпаднало основанието за тяхното обработване или когато лицето оттегли даденото съгласие. Въвежда се и правото на преносимост на данните, което дава право на лицето да поиска данните да бъдат прехвърлени на друг администратор в случаите на промяна на доставчик на услуги например. Регламентът залага и по-високи изисквания за съгласие на лицата за обработване на данните. То следва да е дадено чрез изявление или ясно потвърждаващо действие, което изключва възможността за предварително зададени настройки (претикнати кутийки).
Всичко това налага правилата за защита на личните данни да се съблюдават при вземането на техническите решения за оперативните процеси във всеки бизнес, т.нар privacy by design – въвеждане на мерки за защита на личните данни още на етапа на проектиране.
Осем стъпки, за да бъдете в крак с новостите
Колкото по-рано адаптирате бизнеса си спрямо новите изисквания, толкова по-голяма преднина ще имате пред конкурентите.
1. Анализирайте процесите, които включват обработка на лични данни.
2. Въведете подходящи мерки за защита на данните.
3. Подгответе се за нарушения на сигурността, като приемете политики и процедури, които да осигурят бърза реакция и спазване на краткия срок за уведомяване.
4. Прегледайте отношенията си с контрагенти.
5. Въведете политики и процедури за документиране и отчетност.
6. Прегледайте съществуващите политики за поверителност и съгласия на субекти на данни.
7. Подгответе се да отговорите на исканията на субектите на данни.
8. Прегледайте основанията за трансфер на данни.