Текст презентация – лектор Константина Велкова, управител на Инфо-М ООД
ОСНОВНО СЪДЪРЖАНИЕ:
Програмата на обучението обхваща следните аспекти на Регламента:
- Въведение: Относно необходимостта от повишаване на знания и умения по отношение защита на обработваните лични данни.
Обучението е насочено към всички, които имат отношение към процесите или имат досег с лични данни: управители, финансисти, мениджъри “Човешки ресурси”, IT специалисти и други представители на бизнеса, за които предложената тематика представлява интерес.
Всяко едно юридическо лице и организация (публична, частна, нестопанска и др.) трябва да се съобразява с GDPR/ ОРЗД/, ако събира лични данни на граждани на ЕС, независимо от локацията на организацията.
- Правни аспекти на GDPR:
- Цел на реформата
Хронология на законодателството , обхващащо личните данни
-Директива 95/46/ЕО на Европейския парламент от 1995 г.
– Закон за личните данни от 2001 г. (стара версия)
– Общ регламент за защита на данните /GDPR/, приет 2016 г. , влиза в сила 25 май 2018 г.
– Закон за защита на личните данни (обновен и променен), последна промяна от 4.05.2023 г.
Съществуваща законова рамка и новите изисквания на Регламента:
Досега имаше фрагментирано законодателство , всяка директива трябва да се транспонира в националното законодателство, за да влезе в сила а регламента има пряко действие /равнозначно на националния закон / и започва да се прилага при всички положения от 25 март
2018 г. Новите технологии започнаха да излизат от контрола на нормативната уредба /социалните мрежи, големите интернет гиганти/. Това породи нуждата от регламент с пряко действие с цел правна сигурност .
Целите :
– Личните данни да се обработват по-прозрачно, да се осигури еднаква защита на данните за всички граждани на ЕС
– Въвеждат се повече права на гражданите и повече задължения за администраторите
– С отпадането на регистрацията в КЗЛД на администратори на данни à всичката отговорност и тежест се пада на администратора
– Защитата на данните вече не е еднократен акт/регистрация/, а процес , който трябва да спазваме ежедневно
-Очакваше се закона да се приеме до края на 2017 г., но го обновиха 2019г, дотогава нещата си бяха същите от гледна точка на новите ни задължения и отговорности. В националния закон не се преповтарят постановленията на регламента, даже това е нарушение, а се допуска да се доуточняват някои дефиниции на регламента на база на вътрешното законодателство. Единственият срок, който се добави беше 6 месеца за обработка на лични данни за кандидати за работа.
Регламентът няма да се прилага за обработване на лд от физически лица в хода на домашни и лични дейности /така беше и преди/, не се отнася за починали /това е новост /, не се отнася за полицейски, наказателни дейности и отбрана – за тях има отделна Директива / тя трябва да се имплементира в националното законодателство/
Нови критерии , заложени от Регламента:
– обхват – Регламентът е всеобхватен , обхваща администратори и обработващи данни на територията на ЕС и на администратори от трети страни, които обработват данни на граждани в ЕС/ вкл. наблюдение онлайн/
– Отговорността на организациите / администратори на лд, обработващи лд -напр. някой ви е поръчал да се занимавате със счет.дейност / е еднакво споделена между всички.
– Oтпадане на регистрационния режим – Адмистраторите на лични данни няма вече да се регистрират и тази регистрация да е еднократен акт. Поверителността на личните данни се превръща в динамичен процес, който организацията трябва да спазва, развива и документира и на базата на който ще доказва , че е предприела необходимите мерки за защита на данните;
– Длъжностно лице по защита на личните данни ( ДАЛД /DPO);
– Правото да бъдеш забравен;
– Нарушения на сигурността. Какви мерки трябва да се предприемат- до 72 часа;
– Валидно съгласие за обработване/ изрично , недвусмислено, заявено с утвърдително действие, независимо /
- Съдържание на основните понятия – дефинирани са в чл.4 на GDPR
-ЛИЧНИ ДАННИ – всяка информация, свързана с физическо лице („субект на данни“), което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер / егн/, или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, включително нововъведените – данни за местонахождение /геолокация/, онлайн идентификатори / ip адрес и др./
Видове лични данни:
– обикновени – име, адрес, телефон, личен електронен адрес, нови: геолокация, ip адрес, бисквитки, онлайн поведение,
*ЕГН – изведено е като самостоятелна категория, националното законодателство може да го доуточни (национален унификатор) изисква завишена защита , да се изисква само когато законът изрично го изисква !
*Копия от лични карти се правят само ако има ЗАКОНОВО ОСНОВАНИЕ – това е първото , което комисията ще проверява , ако дойде на място.
– специални – здраве, етническа, религиозна, политическа, сексуална ориентация и др. Те са със специален режим на обработка, допуска се обработка само при изрично съгласие на субекта, по силата на закон / напр. трудовото право/, или в други изключителни случаи.
-ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ – всяка операция, извършвана с лични данни като събиране, записване, съхранение, употреба, предаване, изтриване или унищожаване;
– АДМИНИСТРАТОР НА ЛД – ФЛ, ЮЛ или публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;
-ОБРАБОТВАЩ ЛД – ФЛ, ЮЛ или публичен орган, агенция или друга структура, която обработва лични данни от името на администратора, за цели на администратора.
-НАДЗОРЕН ОРГАН – означава независим публичен орган, създаден от държава членка, който е отговорен за наблюдението на прилагането на настоящия регламент /може да е повече от един/ – В България ще бъде КЗЛД , като се предвижда да има и регионални структури в областните градове.
– Има още дефиниции, може да се прегледат в чл.4 от GDPR/ ОРЗД/
3.Принципи на Регламента при обработка на ЛД
– Законосъобразност – определени са законовите основания точно в чл.6 и в чл.9 на Регламента/ за спец.категории данни/;
-Добросъвестност и прозрачност – по отношение на субекта на данни;
– Ограничение на целите – могат да се обработват само в рамките на конкретната легитимна цел и не се обработват за следващи несъвместими цели;
– Свеждане на данните до минимум – не трябва да бъдат повече от необходимите за изпълнение на целта
– Точност – трябва да са предвидени мерки за актуализиране и коригиране на данните
– Ограничение на съхранението – за период, не по-дълъг от необходимото за целите / изключение за целите на архивирането/;
– Цялостност и поверителност – трябва да се обработват сигурно и защитено с подходящи технически и организационни мерки;
– Отчетност – администраторът носи отговорност и трябва да може да докаже , че е спазил принципите , на базата на отчетност на мерките , които е предприел;
4.Основания за законосъобразно обработване на лични данни – 6 основания с еднаква сила , ако съществуват обработката е законосъобразно
4.1. съгласие – за една или повече конкретни цели / това е предпочитано от администраторите, но е несигурно и въвежда допълнителни задължения за администраторите , трябва да бъдат изпълнени определени условия , разликата с досега уредбата е, че вече съгласието не може да бъде дадено по принцип и предварително – то трябва да е конкретно, прозрачно, ясно и недвусмисленои свободно дадено/ . *Съгласието не може да бъде основание за несключване на договор и непредоставяне на услуги , ако не следва да се предоставя услугата – трябва да се намери алтернатива или друго основание. Например ако не желаят да предоставят данни за контакт в онлайн форма, следва да има друг алтернативен начин за контакт.
4.2. Договор и преддоговорни отношения
4.3. Законово задължение на администратора – винаги трябва да е в определен закон споменато
4.4. За защита на жизненоважни интереси на субекта – свързани със живота и здравето, /например е в безсъзнание – и трябва да му видят документите/
4.5. Обществен интерес – в регламента няма дефиниция , държавите могат да го формулират в нац.законодателства, но понятието е абстрактно и зависи от конкретния момент, политически, културни , социални интереси на дадено общество , на практика това понятие не може да бъде дефинирано като обща дефиниция, може да бъде само за конкретен случай , така че в Б-я също няма да бъде дефиниран, КЗЛД ще преценя в конкретните казуси и жалби дали има такова основание.
4.6. Законните интереси на администратора / когато имат преимущество пред интересите на ФЛ/ – Това трябва да може да докаже от администратора / например ако лицето не си плати стоката , и решим да си потърсим правата по съдебен ред – като му дадем данните в съда /
Визиране на опасностите и отговорностите, свързани с незаконосъобразно обработване на личните данни
5.Обработване на специални категории лични данни
Видове специални категории лични данни, ограничения и изисквания към обработването
6.Права на субекта на данни
6.1 Право на информация – администраторът трябва да предостави писмено, с електронни средства или устно / по достъпен за субектите начин / кратка и разбираема информация, относно:
– Идентифициране на дружеството
– Категории лични данни и цели на обработка на данните
– Категории получатели
– Срок на съхранение
– Права на субектите на данни
– право на жалба до КЗЛД
– Задължение въз основа на закон или договор
– Автоматизирано вземане на решения, вкл. профилиране
6.2. Право на достъп до личните данни – администраторът следва да предостави информация дали съхранява данни на субекта , как ги съхранява , и да предвиди възможност за предоставяне на копие с всички данни , които обработва.
6.3. Право на коригиране – при неточност или актуализация на данните, следва без ненужно забавяне те да се коригират или да се допълнят от администратора
6.4. Право на изтриване / право “да бъдеш забравен”/ – това право следва да се употреби при оттегляне на съгласие или наличие на друго обстоятелство по чл.17 от GDPR/ ОРЗД
6.5. Право на ограничаване на обработването
6.6. Право на преносимост на данните – Субектът на данните има право да получи личните си данни, в структуриран, широко използван и пригоден за машинно четене формат, само ако те са обработвани на базата на съгласие или договорни отношения и обработването се извършва по автоматизиран начин.
6.7. Право на възражение срещу обработване , вкл. профилиране;
6.8. Право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;
6.9. Право на жалба до надзорен орган;
7. Задължения на администратора и обработващия лични данни
– Да предприеме подходящи технически и организационни мерки и да докаже съответствие – принцип на отчетност – Да се направи инвентаризация на дейностите и обработката на данните да бъдат сведени до минимум, техническите мерки са подходящи и в достатъчна степен, когато осигуряват добро съхранение на данните , тези технически мерки трябва да могат да се докажат от администратора пред надзорния орган . Това е много важен принцип , защото администратора ще е сигурен , че е въвел подходящи и документирани мерки и може винаги да ги докаже и да покаже законосъобразността – трябва да е описана всяка стъпка, всеки процес
– Да спазва принципите на защита на данните на етапа на проектирането и по подразбиране
– privacy by design- защита на данните на етапа на проектирането -Това означава, че защитата трябва да е заложена/ проектирана предварително в системите, а не да се въвеждат ограничения
– privacy by default – защита на данните по подразбиране
– Задължение за уведомяване на надзорния орган и субектите на данни при нарушение на сигурността на данните
– Да поддържа регистри на дейностите по обработване
– Да сътрудничи на надзорния орган
– Да уведоми надзорния орган до 72 часа – ако има пробив в данните/ от момента на установяване/, както и субекта на данни / ако е възможно/
– Да назначи Длъжностно лице по защита на данните, при определени критерии:
- Ако е публичен орган;
- Ако основната му дейност е мащабна обработка на лични данни , включваща систематично наблюдение на субектите
- Ако основната му дейност е мащабна обработка на специални категории лични данни
В проверките КЗЛД ще гледа дали има ясна следа по документи – всичко трябва да се документира и да може да се докаже
-Задължение за оценка на въздействието – чл.35- само при обработка с висок риск , мащабно обработване , систематично профилиране , наблюдение на публична достъпна зона / напр. видеонаблюдение в мол/
- Отговорност и санкции
– Отговорност за вреди пред субекта на данни
– Административнонаказателна отговорност
-Проверките от КЗЛД ще протичат както до сега .
– Санкции по текущия Закон за защита на личните данни – глава 8-ма/ проект за изменение – глава 9-та – варират между 5000 до до левовата равностойност на 20 000 000 евро.
– Право на ефективна защита – всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган
– Всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни, като той има право да поиска от другите администратори или обработващи лични данни, участвали в същата операция по обработване на лични данни, да му възстановят част от платеното обезщетение, съответстваща на тяхната част от отговорността за причинената вреда.
9.E-PRIVACY – Какво трябва да знаем за защитата на личните данни в електронна среда. – Разширяване на понятието “лични данни”, за да обхване онлайн идентификатори, като идентификационни номера на “бисквитки”, рекламни идентификатори, IP адреси или дори данни за местоположението: По този начин всички съвременни форми на онлайн и проследяващи технологии като синхронизация на “бисквитки” онлайн поведенческата реклама и много други технологии за насочване, ще бъдат предмет на законодателство за защита на данните в бъдеще.
– Въвеждане на гранулиран избор.
– Изменение на съобщенията за поверителност – трябва да съдържат реквизитите по чл.13
III. Технически аспекти на GDPR:
- Нови изисквания към техническите мерки за сигурност на личните данни
– Анализ на текущо състояние на ИТ инфраструктура
– Инвентаризация на данните от ИТ гледна точка- да прегледаме входни
точки на данни /напр.определен компютър/, какви външни носители използваме, напр. флашката не е сигурна, а може да бъде dvd / със защита/
– Оценка на риска
– GAP анализ
– Избор на подходящи практики, софтуерни / хардуерни инструменти и решения за намаляването на идентифицирания риск, като: криптиране; псевдонимизация; анонимизация; нива на достъп, мултифакторна автентификация в системите и др./
– Изготвяне на вътрешнофирмена политика за информационна сигурност , която описва риска и механизмите за управление на риска, рискът се изчислява за всяка информационна система, например: сървър, мейл сървър, crm / erp, други;
-Непрекъснат мониторинг и откриване на заплахи
– Сигурност в основата на бъдещи внедрявания и разработки (security by design)
-Механизми за известяване при компрометиране на данни
– Роли и отговорности , нива на потребителски достъп
– Ограничаване на вътрешно фирмените ресурси – забрана на определени сайтове или платформи ( например facebook, viber , skype и т.н)
– Демонстриране на съответствие чрез контрол на достъпа и одитна следа /логове/
11.Организационни аспекти:
-Определяне на служители или екип, които да отговарят за привеждане на дейността на дружеството или организацията
– Вътрешен анализ на дейностите- Какви категории лични данни и на какви категории физиче-
ски лица (независимо от тяхното гражданство) се обработват, за какви цели, на ого се предоставят, колко време се съхраняват, къде се съхраняват, какви мерки за сигурност се прилагат.
-Преценка за задължение за назначаване на ДЛЗД / критериите споменахме по-рано/
– Оценка на риска по отношение на защитата на личните данни
– Оценка на въздействието върху защитата на личните данни при наличие на висок риск / ако е приложимо/
– Избор на подходящи организационни мерки, за да може да се гарантира и докаже спазване на Регламент 2016/679 и ЗЗЛД. Възможни подходящи мерки могат да бъдат:
-псевдонимизация и криптиране на личните данни;
– гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
– водене на записи (log files) на дейностите по обработване на данни в системите за автоматизирано обработване;
– обучение на служители и др.
-мерки за защита на данните на етапа на проектирането и по подразбиране:
– присъединяване към кодекси за поведение и/или сертифициране (незадължително).
– Документиране и одитна следа – разработка на политики/процедури за всякакви казуси в обработката на личните данни / политика на поверителност, задължителни фирмени правила и инструкции, процедура при пробив, при оттегляне на съгласие и т.н
– Изработка на план за действие
– Преглед на правните основания за обработка на лични данни
–Организация на процес по събиране на съгласие за различни комуникационни канали в съответствие с GDPR/ако е приложимо/;
– Преразглеждане на общите условия и договорите с партньори и контрагенти от гледна точка на защитата на данните и разпределяне на отговорността при обработката им
– Решение – какво ще направим със събраните досега данни, за да не ги загубим; подлежат на изтриване или на ново документирано съгласие от страна на субектите.
–Осигуряване на механизъм за бърз и лесен достъп до личните данни, които обработваме за клиентите/служителите си;
-Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството/организацията или по друг достъпен за субектите на данни начин относно обработката на данните им, съгласно чл.13
– Информиране по подходящ начин на работниците и служителите в дружеството/ организацията в случай, че работодателят:
- извършва видеонаблюдение на работното място;
- следи средствата за електронна комуникация на работното място, предоставени от дружеството/организацията (интернет, телефон, мобилен телефон), с цел предотвратяване
на злоупотреби.
– Познаване от страна на администратора и неговите служители на правата, които Регламент 2016/679 предоставя на лицата – Разписване на вътрешни процедури за приемане, разглеж-
дане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни
– Обучение на отговорните служители
-Приемане на вътрешна процедура и/или план за действие в случай на нарушение на сигурността на личните данни.
-Дейности по документиране и отчетност обхващат, като минимум, следните мерки и стъпки:
- Създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни
- Приемане на вътрешна инструкция/правила/процедури/ политика за защита на личните данни в съответното дружество/организация.
- Ако е приложимо – преглед и актуализиране на договореностите с обработващите лични данни с цел включване в тях на всички задължителни реквизити по чл.28 от Регламента;
- Ако е приложимо – преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните, когато съгласието на субекта на данните е единственото правно основание за обработване
- Ако е приложимо – преглед и актуализиране на правното основание за предаване (трансфер) на данни към получатели в трети страни.
12.Практически насоки:
– Разполагайте винаги с уведомлението за поверителност на Вашата организация , за да може да го използвате във всеки момент на събиране на лични данни.
– Избягвайте събиране на лични данни на физически лица , служители във фирми, с които работите, изисквайте служебна идентификация – служебен телефон, служебен имейл, еик на фирмата/ без егн на управител/, само 2 имена на управителя, лице за контакт във връзка с фирмени правоотношения
– Може да изисквате визитна картичка – Тези данни се предоставят доброволно за контакт, давайки своята визитка очакваме да ни потърсят спрямо нашите легитимни очаквания за контакт /например да ни потърсят служебно , а не лично/
– Не изисквайте документи за самоличност и не им правете копия освен ако няма изрично ЗАКОНОВО ОСНОВАНИЕ – това е първото , което комисията ще проверява , ако дойде !!!
– Не изисквайте ЕГН – изисква завишена защита , само когато законът изрично го изисква !
– Съхранявайте личните данни физически защитени – трябва те да са заключени, защитени и да има ограничен достъп до тях, трябва данните трябва да бъдат в цялост , ако някой поиска
всички данни , които пазим за него.
– Трябва да имате организация на посетителите, така че те да нямат пряк досег с местата за съхранение на личните данни;
-Спазвайте политиката на „чистото бюро” и „чист екран” – без документация с лични данни на видими места
– Спазвайте принципът „необходимост да се знае” – служители с достъп до класифицирана или друга чувствителна информация не трябва да я споделят с други неоторизирани служители или външни лица
-Защитете мобилните си устройства, използвани за служебни цели.
– Не обработвайте лични данни извън регламентираните от организацията методи / например на личен профил във viber, facebook, личен имейл/
– При телефонни разговори – не забравяйте да проверите в качеството на какво представителство се обаждат – ФЛ или ЮЛ и ако е физическо лице, го уведомете в кратка устна форма за основните неща, включени в уведомлението за поверителност на организацията.
– Поставете уведомлението за поверителност в подписа на служебния имейл на всеки мейл клиент.
– Изпращайте рекламни съобщения само след валидно писмено съгласие.
– Унищожете всякакви лични данни , които волно или неволно сте запазили до момента и нямате основание да съхранявате.
– Задължително ползвайте пароли за достъп към всички устройства в организацията.
– Не копирайте и не пренасяйте лични данни на външни носители , ако е твърде наложително , използвайте защити, като парола и криптиране.