Какво е GDPR?

обяснение

Накратко

GDPR (General Data Protection Regulation) или Общ регламент относно защитата на данните (ЕС 2016/679) на Европейския парламент и на Съвета на Европейския съюз представлява Европейски регламент валиден за всички страни членки, включително България, касаещ обработката на лични данни.

Основна информация

Защитата на личните данни и защитата на данните са две права, залегнали в Договорите на Европейския Съюз и в Хартата на основните права на ЕС. Хартата съдържа изрично право на защита на личните данни (член 8) и в същото време Договора за функционирането на Европейския съюз (ДФЕС) задължава ЕС да установи правила за защита на данните при обработката на лични данни. Европейския Съюз е уникален в предоставянето на такова задължение в своята конституция.

Защо?

За да отговори на новите промени, които се дължат на бързия технологичен прогрес, както и на новите дигитални канали и среда за бизнеса в наше време, през Април, 2016 Европейския парламент прие нов регламент наречен: “Общ регламент относно защитата на данните (ЕС 2016/679) на Европейския парламент и на Съвета на Европейския съюз”, който налага нови правила в обработката на лични данни.

Кога?

GDPR става напълно приложим в целия ЕС, включително България, на 25 май 2018 г. България може да адаптира закона, като може да приложи мерки, които само да засилят съществуващите вече изисквания.

GDPRТест Доклад

Обхват

GDPR е най-всеобхватното и прогресивно законодателство в областта на защитата на данните в света, актуализирано по възможно най-адекватния към момента начин, за да се справи с последиците от цифровата ера. Регулацията се прилага и за организации или компании, които не са установени в ЕС, но които предлагат стоки и услуги на физически лица в ЕС или наблюдават тяхното поведение. Той създава нови права за хората в цифровата среда и няколко нови и подробни задължения за сътрудничество между страните в и извън Европейския съюз.

GDPRТест Икона

Ключови моменти

„Администратор“ и „Обработващ лични данни“

За обработващите възниква пряко задължение да носят отговорност да спазват регламента и да могат да докажат че са осигурили достатъчно гаранции за въведени технически и организационни мерки за защита на обработваните лични данни. Всички договорните отношения между администратори и обработващи лични данни ще трябва да бъдат ревизирани и/или изготвяне в посока съответствие с тези изисквания.

Разширен обхват

GDPR ще засегне и компании и организации, установени извън ЕС, които имат досег с лица от ЕС и техните лични данни – напр. рекламират, предлагат и продават стоки и услуги на такива лица. В зависимост от вида данни, които обработват са предвидени различни изисквания за спазване на регламента.

Съгласие на субекта на лични данни

По отношение на Съгласието се въвежда много стриктно изискване във връзка с начина, по който е дадено. То трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие. Оттеглянето на съгласие трябва да бъде също толкова лесно, колкото и даването му.

Защита на личните данни на етапа на проектиране и по подразбиране

Това означава, че защитата на личните данни трябва да бъде част от бизнеса изобщо, а не просто формалност. GDPR изисква въвеждането на подходящи технически и организационни мерки, както към момента на определянето на средствата за обработване, така и към момента на самото обработване. Да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването – т.е да се сведат до минимум. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Да е ясно по подразбиране, че без намеса от страна на субекта данните не са достъпни за неограничен брой физически лица.

GDPRТест Икона

Организационни и технически мерки

Регламента предвижда интегриране на политика по сигурност при обработката на личните данни от страна на организациите. В същото време се изисква оценката на риска за съответните типове лични данни да отчита нивото на технологичното развитие и прилагането на технически мерки, които гарантира тяхната защитата.

GDPRТест Снимка
  • При обработката е необходимо да се гарантира постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване.
  • Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент.
  • Процеси за редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки.
  • Задължителната поддръжка на регистри от страна на обработващия лични данни и отпадане на задължителния режим по регистрация.
  • • Въвежда се регистър за нарушения, който трябва да се поддържа регулярно и е предвиден срок за задължително уведомяване при установено нарушение на защитата на лични данни от 72 часа.
  • Въвежда се фигурата на длъжностно лице по защита на личните данни. DPO – Data Protection officer.
GDPRТест Икона

Значителни санкции

Рисковете от това да не предприемете своевременни мерки са огромни и могат да се окажат пагубни за вашия бизнес. Съгласно Член 83, параграф 4 и параграф 3 от регламента се предвиждат следните наказания.

Първи вид нарушения

Предвижда се административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, а в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока при нарушенията на следните разпоредби:

  • Принципи, свързани с обработването на лични данни;
  • Законосъобразност на обработването;
  • Условия за даване на съгласие;
  • Обработване на специални категории лични данни;
  • Предаването на лични данни на получател в трета държава или международна организация;
  • Всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

В допълнение, според регламента носите отговорност за материални и нематериални щети причнинени на физическите лица в резултат нарушения на регламента, за суми до над 20М Евро за всяко едно от физическите лица.

Втори вид нарушения

Предвижда се административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, а в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока при  нарушенията на следните разпоредби:

  • Условия, приложими за съгласието на дете във връзка с услугите на информационното общество;
  • Обработване, за което не се изисква идентифициране;
  • Защита на данните на етапа на проектирането и по подразбиране'
  • Съвместни администратори;
  • Представители на администратори и обработващи лични данни, които не са установени в Съюза;
  • Обработващ личните данни;
  • Обработване под ръководството на администратора или обработващия лични данни
  • Регистри на дейностите по обработване
  • Сътрудничество с надзорния орган
  • Изискванията в Раздел 2 -Сигурност на личните данни
  • Изискванията в Раздел 4 - Длъжностно лице по защита на данните
GDPRТест Икона

Предизвикателствата пред компаниите

Днес всички говорят, за това колко сложен е регламента, колко е комплексен и колко голяма е необходимостта от високо ниво експертни консултантски услуги и кои са най-добрите и прецизни технологични средства, които е необходимо да внедрите. Ние създателите на GDPRтест сме на мнение че прилагането на регламента не трябва да е сложно и скъпо и да отнема време и ресурси. Прилагането и спазването трябва да е лесно, достъпно и бързо, затова събрахме знанието и създадохме една интелигентна експертна система, която може да Ви преведе през комплексността на GDPR.

Стъпките които една организация е необходимо да предприеме за постигне устойчиво съответствие с изискванията на регламента в най-общ план са следните:

  1. Оценка на нивото на готовностза прилагането на GDPR.
  2. Дизайн и оценка на възможните решения, юридически, бизнес, организационни или технологични.
  3. Избор на ефективно за организацията решение на база цена и евентуални ползи
  4. Внедряване/разработка на възможни решения
  5. Поддръжка на устойчиво ниво на съответствие, защото съответствието с регламента не е еднократно действие за организацията Ви. 
GDPRТест Снимка
GDPRТест Лого

GDPRТест предоставя бърз, умен и лесен подход (раз, два, три) за оценка и общ анализ на несъответствията и е първата стъпка по пътя за постигане на устойчиво съответствие с регламента. С GDPRТест получавате:

  • Оценка и анализ на несъответствията
  • Общи препоръки за решения: юридически, бизнес процеси и IT
  • Общ план за действие

Традиционен подход

В случай че изберете да предприемете действия за постигане на съответствие с изискванията на регламента на база традиционния подход то стъпките и услугите които са необходими са следните:

  • Вземане на решение относно необходимостта за прилагане на мерки за постигане на съответствие с регламента;
  • Избор на ръководител на проекта вътрешен или външен за организацията;
  • Избор на консултант за оценка на нивото на съответствие на организацията с изискванията на регламента.
  • Създаване на съвместен екип с представители на организацията (правен отдел, информационни технологии, информационна сигурност, съответствие, сигурност, бизнес и операции) които да участват в процеса по оценка.
  • Провеждане на интервюта и попълване на въпросници.
  • Събиране и предоставяне на необходимата инфорамция за оценката.
  • Изготвяне на доклад анализ за нивото на съответствие.
  • Представяне на доклада
  • Взимане не решение за предприемане на последващи действия за отстраняване на евентуалните несъответствия.
  • Избор на консултант за “оценка и избор на мерки за отстраняване на съществуващите в организацията несъответствия”
  • Оценка на цената и евентуалните ползи на бъдещите решения
  • Избор и процес на избор на решения
  • Избор на внедрител на организационните и/или технологични решения за отстраняване на съществуващите несъответствия
  • Приемане и изпитване на внедрените организационните и/или технологични мерки
  • Назначаване на експертен персонал за поддръжка на решенията
  • Обучение на персонала

В случай, че Вашата организация е решила да предприеме изброените стъпки, не се колебайте да се свържете с нас, за да ви насочим към консултанти, консултантски фирми, технологични компании или юридически кантори. За нашия екип най-важното е постигането на съответствие с регламента в изключително кратките срокове.

GDPRТест Икона
GDPRТест Платформа

Гореща линия за информация и запитвания: (02) 494 06 26

Започни днес

GDPRТест е най-добрият избор за привеждане на Вашата организация в съответствие с GDPR. Ние Ви даваме  абсолютно всичко необходимо – попълнено, персонализирано и готово. Приключете с GDPR за един ден. 

Контакт

Ул Асен Разцветников 6
1700 София
България

  • Email:contact@gdprtest.bg
  • Viber: (02) 494 06 26
Навигация
Социални медии