На 5 октомври 2017 г., в гр. София, в сграда Капитал Форт, ще се проведе конференция, посветена на новия Регламент за защита на личните данни. Конференцията е организирана от Economix.bg под бранда Бизнес тема: Новите правила за лични данни.
Събитието ще бъде открито с лекция от г-н Венцислав Караджов, председател на българския национален орган по защита на данните. В първата част на конференцията, членът на КЗЛД Цанко Цолов, ще презентира новите моменти от Общият регламент за защита на личните данни (GDPR).
Банките, доставчиците на интернет услуги, болниците и редица други компании трябва да вземат мерки за защита на личните данни на клиентите си и да приложат съответните процедури. Това предвижда Регламент(ЕС)2016/679 (GDPR) на Европейския парламент и на Съвета от 27април 2016година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
Общият регламент поставя завишени изисквания към субектите в системата за защита на личните данни, което е причина за неговото отложено прилагане, считано от 25 май 2018г.
Какви са по-важните нови моменти?
Фирмите трябва да вземат технически и организационни мерки за защита на личната информация. В определени случаи ще е необходимо назначаването на длъжностно лице и това не може да е шефът на ИТ отдела. То може да е наето на граждански договор и да обслужва група предприятия.
Физическото лице, за което се отнасят данните (субект на данни) има право да изиска заличаване на данни, когато прекрати отношенията си с фирмата– например, при издължаване на кредит (Правото да бъдеш забравен). Фирмите също така трябва да коригират лични данни по искане на лицето и в определени случаи да осигурят тяхната преносимост.
Общият регламент за защита на личните данни въвежда редица задължения за администраторите и обработващи лични данни, каквито са, например, доставчиците на облачни услуги. Те трябва да правят оценка на въздействието, да поддържат регистри в предвидените случаи, да гарантират, че съгласието на лицата е получено изрично за всеки случай и т.н. Последното засяга всеки работодател, тъй като правилото е да не се иска изрично съгласие само за данни, чието събиране се налага от законово изискване, но в практиката се събират повече данни от предвиденото в Кодекса на труда. Регламентът предвижда страните да приемат по-конкретни правила, за да гарантират защитата на правата и свободите по отношение на обработването на личните данни на наетите лица по трудово или служебно правоотношение.
Основният принцип е свеждане на събираните данни до минимум и ограничения за последващата им обработка, когато целта е различна от първоначалната, за която е дадено съгласие. Данните се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели (освен за научни и статистически цели). Те трябва да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите на обработката.
Допустима е обработката на данни в следните случаи: при изрично съгласие, на законово или договорно основание, при защита на жизнените интереси на лицето, при задача, изпълнявана в обществен интерес, когато защитата на законовите интереси на администратора има превес над правата или интересите на субекта на данни.
Забранява се обработката на специфични данни, свързани със здравен статус, политически убеждения, етнически произход и др.
Администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране.
Предвидени са възможности за сертифициране за защита на данните и печати и маркировки за защита на данните с цел да се демонстрира спазването на регламента.
Ще бъде увеличен размерът на глобите при пробив в системата, като максималният размер достига 4% от годишния международен оборот на компанията. Фирмите ще трябва да доказват, че са взели мерки за защита.
Хората трябва да бъдат уведомявани незабавно при нарушение на поверителността на личните им данни.
Задължението за регистрация в Комисията за защита на личните данни отпада, считано от 25май 2018г. Това е облекчение, но не само– ако досега регистрацията се смяташе за вид индулгенция за спазване на закона, занапред фирмите трябва да са готови да докажат, че го спазват във всеки момент, когато се наложи.