Настоящото ръководство е създадено, за да помогне на бизнеса да провери дали отговаря на основните изисквания на Общия регламент относно защитата на личните данни (GDPR). Отбележете всяка точка, която вече сте изпълнили:
✅ Назначен ли е отговорник по личните данни (ако е необходимо)?
Не всеки бизнес е длъжен да има длъжностно лице по защита на личните данни (ДЛЗД, DPO), но ако обработвате чувствителни данни или наблюдавате лица систематично, е задължително. Дори и да не е, определянето на лице с отговорност за данните е добра практика. Случаите, в които задължително следва да определите ДЛЗД са уредени в чл. 37, т. 1 от GDPR. ДЛЗД наблюдава спазването на правилата за защита на личните данни във фирмата, консултира ръководството и служителите, участва при оценка на риска и е контактна точка с КЗЛД.
Ползи за бзнеса: ДЗЛД ще Ви насочи как да обработвате данни законосъобразно, ще намали риска от глоби и ще Ви подготви при проверки или инциденти с изтичане на данни.
✅ Има ли ясно дефинирани политики за обработване на данни?
Всяка организация, която обработва лични данни, трябва да има вътрешни политики и процедури, които ясно описват какви данни се събират, с каква цел, как се съхраняват, кой има достъп до тях и как се защитават. Тези документи показват, че организацията е наясно с отговорностите си и действа законосъобразно.
Политиките трябва да бъдат разбираеми за служителите и да се прилагат на практика – не просто да съществуват „на хартия“. Добре разработените политики са и първата стъпка към спазване на принципа на отчетност, посочен в чл. 5, пар. 2 от GDPR, който изисква администраторът не само да спазва, но и да може да докаже спазването на всички изисквания на регламента.
Отделно, чл. 24, пар. 1 от GDPR предвижда, че администраторът трябва да прилага „подходящи технически и организационни мерки“, сред които са именно вътрешните политики, за да гарантира и може да докаже, че обработването е извършено в съответствие с GDPR.
Ползи за бизнеса: Ясните политики намаляват риска от грешки и инциденти, улесняват обучението на персонала и показват пред партньори и клиенти, че организацията приема защитата на данните сериозно.
✅ Събират ли се само необходимите данни?
Организациите имат право да събират и обработват лични данни, само когато това е наистина необходимо за конкретна, ясна и законна цел. Това означава, че не бива да се събират данни „за всеки случай“ или „ако потрябват в бъдеще“. Например, ако предлагате доставка на стоки, нужни са име, адрес и телефон – но не и ЕГН или информация за семейно положение.
Този подход е в съответствие с принципа за свеждане на данните до минимум, уреден в чл. 5, пар. 1, б. „в“ от GDPR, който изисква личните данни да бъдат „подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват“.
Ползи за бизнеса: Събирането само на необходимите данни намалява риска при пробиви в сигурността, опростява процесите и улеснява спазването на други изисквания на GDPR (напр. правото на достъп или изтриване). Освен това създава доверие у клиентите, че не се злоупотребява с личната им информация.
✅ Информирани ли са клиентите/потребителите за начина на обработване на данните?
Организациите са длъжни да предоставят на субектите на данни (напр. клиенти, потребители, служители) ясна, точна и разбираема информация относно това какви лични данни се събират, защо се събират, как ще бъдат използвани, за колко време ще се съхраняват и на кого евентуално ще бъдат предоставени. Тази информация обикновено се предоставя чрез Политика за поверителност или чрез изрични уведомления при събиране на данните (напр. при онлайн формуляр).
Това задължение произтича от принципа за прозрачност, предвиден в чл. 5, пар. 1, б. „а“ от GDPR, както и от конкретните разпоредби на чл. 13 и 14 от GDPR, които определят каква информация трябва да се предостави, кога и в какъв вид.
Ползи за бизнеса: Клиентите очакват яснота и контрол върху личната си информация. Добре написаната и лесно достъпна политика за поверителност повишава доверието и може да бъде решаваща за това дали клиентът ще избере именно вашата услуга.
✅ Има ли предприети мерки за сигурност за защита на събраните лични данни?
Организациите са длъжни да защитават личните данни от неразрешен достъп, загуба или злоупотреба. Това включва технически мерки като пароли, криптиране, двуфакторна автентикация, и антивирусен софтуер, както и организационни действия – например обучение на служители и ясни правила за достъп до данните. Изискването произлиза от чл. 32 от GDPR, според който мерките трябва да са съобразени с естеството на данните, рисковете за лицата и възможностите на организацията.
Ползи за бизнеса: Адекватните мерки за сигурност не само намаляват риска от злоупотреби, но и показват на клиентите и партньорите, че личните данни се обработват законосъобразно.
✅ Има ли установени процедури за изтриване/коригиране на данни по искане на субекти?
Съгласно чл. 16 и 17 от GDPR, всеки субект на данни има право да поиска коригиране на неточни данни или изтриване на данните си в определени случаи (напр. когато
личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин, когато личните данни са били обработвани незаконосъобразно и т.н.).
За да може субектът на данни да упражни тези свои права, следва да имате ясна вътрешна процедура – кой приема искането, как се проверява самоличността на подателя, в какъв срок се реагира и как се документира изпълнението. Добра практика е да се предостави максимално ясна информация на достъпно за субектите на данни място, която да се отнася до това по какъв начин могат да упражнят тези свои права и в кои случаи.
Ползи за бизнеса: Наличието на такава процедура не само е законово изискване, но и изгражда доверие, че бизнесът зачита правата относно защитата на личните данни на своите клиенти и партньори.
✅ Готови ли сте за уведомяване при нарушение на сигурността на данни в рамките на 72 часа?
В случай че възникне пробив в сигурността на личните данни – например загуба, изтичане или неоторизиран достъп – организацията е длъжна да уведоми Комисията за защита на личните данни (КЗЛД) в срок до 72 часа от момента, в който е узнала за нарушението, без ненужно забавяне и когато това е осъществимо. Това изискване е уредено в чл. 33 от GDPR.
Ако съществува висок риск за правата на засегнатите лица, те също трябва да бъдат информирани без ненужно забавяне (чл. 34 от GDPR).
За да реагирате навреме, е важно да имате предварително изготвен план за действия при инциденти – кой служител какви отговорности има в подобен случай, как се оценява рискът и как се документира процесът. Това намалява хаоса в критичен момент и може да ограничи щетите за бизнеса и засегнатите лица.
Ползи за бизнеса: Наличието на ясен план за действие при пробив не само помага да се спази законовият срок, но и намалява щетите за репутацията, ограничава финансовия риск и демонстрира, че организацията действа отговорно и прозрачно. Навременната реакция изгражда доверие у клиентите и партньорите, дори при възникнал инцидент.
