|
| . |
Освен това българските банки, доставчици на интернет услуги, болници и редица други компании трябва да вземат мерки за защита на личните данни на клиентите си и да приложат съответните процедури. Такава е повелята на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защитата на физическите лица във връзка с обработването на лични данни и свободното движение на такива данни.
Тъй като материята е сложна и се завишават изискванията към т.нар. администратори на лични данни, има гратисен период за подготовка и новият регламент ще стане задължителен за всяка страна - членка на ЕС, от 25 май 2018 г.
Какви са по-важните нови моменти?
Фирмите трябва да вземат технически и организационни мерки за защита на личната информация. В определени случаи ще е необходимо назначаването на специално длъжностно лице. То може да е наето на граждански договор и да обслужва група предприятия. Шефът на IТ отдела не може да изпълнява и тази роля.
Физическото лице, за което се отнасят данните (субект на данни), има право да изиска заличаване на информация за себе си, когато прекрати отношенията си с фирмата, например при издължаване на кредит. Популярният вече термин е "правото да бъдеш забравен. Фирмите също така трябва да коригират лични данни по искане на лицето и в определени случаи да осигурят тяхната преносимост.
Общите правила за защита на личните данни въвеждат редица задължения за администраторите и за обработващите лични данни като например доставчиците на облачни услуги. Те трябва да правят оценка на въздействието, да поддържат регистри в предвидените случаи, да гарантират, че съгласието на лицата е получено изрично за всеки случай и т.н. Последното засяга всеки работодател, тъй като правилото е да не се иска изрично съгласие само за данни, чието събиране се налага от законово изискване, но на практика често се събират повече данни от предвиденото в Кодекса на труда. Регламентът предвижда страните да приемат по-конкретни правила, за да гарантират защитата на правата и свободите по отношение на обработването на личните данни на наетите лица по трудово или служебно правоотношение.
Основният принцип е свеждане на събираните данни до минимум и ограничения за последващата им обработка, когато целта е различна от първоначалната, за която е дадено съгласие. Данните се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели (освен за научни и статистически цели). Те трябва да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите на обработката.
Допустима е обработката на данни в следните случаи - при изрично съгласие, на законово или договорно основание, при защита на жизнените интереси на лицето, при задача, изпълнявана в обществен интерес, когато защитата на законовите интереси на администратора има превес над личните права или интереси.
Забранява се обработката на специфични данни -
например за здравен статус, политически убеждения, етнически произход и др. Администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране на информацията.
Предвидени са възможности за сертифициране за защита на данните и печати и маркировки за защита на данните с цел да се демонстрира спазването на регламента.
Ще бъде увеличен размерът на глобите при пробив в системата, като максималният размер достига 4% от годишния международен оборот на компанията. Фирмите ще трябва да доказват, че са взели мерки за защита.
Хората трябва да бъдат уведомявани незабавно при нарушение на поверителността на личните им данни.
Задължението за регистрация в Комисията за защита на личните данни отпада, считано от 25 май 2018 г. Това е облекчение, но не само, ако досега регистрацията се смяташе за вид индулгенция за спазване на закона, занапред фирмите трябва да са готови да докажат, че го спазват във всеки момент, когато се наложи.
ФОРУМ
За да отговори на необходимостта от навременна информация за новия регламент, еconomix.bg организира бизнес тема "Новите правила за личните данни" на 5 октомври 2017 г. Форумът се организира в партньорство с БАИТ, а СЕГА е медиен партньор.
