Наръчник за защита на личните данни в бизнеса
Наръчникът е съобразен е с актуалните правила за защита на личните данни, включително ЗЗЛД и
Регламент 2016/679 на ЕС (GDPR).
Въведение
Целта на настоящия наръчник е да даде конкретни указания и препоръки
за привеждане на Вашия бизнес в съответствие с правилата за защита на лични
данни, валидни за целия Европейски съюз.
Съдържание
Наръчникът е разделен на три части. Съветваме Ви да се запознаете с
тях в последователността, в която са изложени, а именно:
Част I - Дефиниции и
категоризиране на бизнеса
В тази част са обяснени термините, които се използват най-често в
законодателството за защита на личните данни. Дефинираме и качеството на Вашия
бизнес съгласно GDPR.
Част II - Задължения,
указания и препоръки
В тази част, на база вече извършеното дефиниране на Вашия бизнес, са
посочени конкретни задължения, които законът налага на бизнеса. За всяко
задължение са дадени указания и препоръки.
Част III - Приложения
Част от задълженията във връзка с прилагането на GDPR изискват
Вашият бизнес да използва в своята дейност определен набор от документи. Към
наръчника сме подготвили примерни бланкови документи, които могат да се
използват за тази цел.
Имате нужда от допълнителна помощ?
Ние сме тук да бъдем полезни! Можете да се
свържете с GDPR екипа на тази страница.
Част I -
Дефиниции и категоризиране на бизнеса
В тази част обръщаме внимание на най-важните термини, които се
използват в защитата на личните данни. Важно е да се запознаете с тях и да
разберете значението им преди да преминете напред.
Лични данни: Това са данни, които по
един или друг начин могат да доведат до идентифицирането на едно лице. Разбира
се в тях се включват име, ЕГН, данни от документ за самоличност. Освен тях
обаче има и други – телефонен номер, адрес, email адрес, ip адрес, снимка.
Лични са и данните, които са свързани с личния живот – образование, трудов
стаж, етнос, религия и други.
Лични са данните само на физически лица (на хората). Данните за
юридически лица като фирми, сдружения и организации (БУЛСТАТ, адрес, телефон,
имейл) не са лични данни.
Специални (чувствителни лични данни): Има
една категория лични данни, които GDPR третира по по-особен начин. Това са
специални лични данни, които в предишното законодателство се наричаха
“чувствителни данни”. Те включват информация, разкриваща:
·
расов или етнически произход;
·
политически възгледи;
·
религиозни или философски
убеждения;
·
членство в синдикални
организации;
·
генетични данни и биометрични
данни;
·
здравословното състояние;
·
сексуалния живот или
сексуалната ориентация;
·
присъди и извършени нарушения
Обработване на лични данни: Обработване
на лични данни е всяко действие, което се извършва с тези данни – събиране,
използване, изменяне, предаване, а също и заличаване.
Когато някой извършва едно то тези действия, това е обработване на
лични данни.
Директен маркетинг: Директен маркетинг е
форма на предлагане на продукти на клиенти лично от търговеца. В контекста на
обработването на лични данни това означава използването на данни като телефон
или имейл за пряка връзка с клиента.
Пример: На своя личен имейл получавате известие от авиокомпания, че
в рамките на една седмица можете да закупите евтини самелотни билети до Лондон.
Това действие е директен маркетинг - търговско съобщение, изпратено на Вашия
имейл.
Профилиране: Този термин е по-сложен за
обяснение. Той е свързан с автоматизираното (т.е. не ръчно) обработване на
лични данни. Профилирането означава създаване на профил на определено лице по
предварително определен алгоритъм въз основа на определени лични данни за това
лице. Така, например, потребителите на определен уебсайт могат да бъдат
групирани в различни профили в зависимост от това кои страници са посетили.
Освен създаването на профил, профилирането трябва да включва и конкретни
действия спрямо тези профили. Например, потребителите, посетили една страница,
получават реклама за продукт А, а потребителите, посетили друга страница -
реклама за продукт Б.
Накратко профилирането се изразява в комбинация от две действия:
1. Разделяне на потребителите на групи по определен признак;
2.
Извършване на различни действия
спрямо всяка от групите
Администратор на лични данни и обработващ лични данни: В зависимост от начина, кой определя как ще се обработват данните и
кой реално ги обработва, едно лице може да бъде администратор на лични данни или
обработващ лични данни. Администраторът е лице, което само определя за какво ще
се използват данните, които се събират. Обработващ данните пък е лице, което
събира/обработва данни по заявка на администратора. Вашият бизнес може да има и
двете качества, но за това по-надолу.
Без значение дали Вашият бизнес ще действа като администратор или
като обработващ на данни, за него възникват сходни задължения.
Ако желаете да научите повече за двете
различни роли, можете да направите това от този линк.
Пример: Счетоводна къща, която обслужва свои клиенти. Счетоводната
къща обработва личните данни на клиенти въз основа на договор, като
администраторът (клиентът на счетоводната къща) определя за какво (например за
изпълнение на задълженията по Закона за счетоводството или за извършване на
масови плащания) и как ще се обработват личните данни. В същото време обаче
счетоводната къща е и Администратор на лични данни на своите служители.
Едно важно уточнение: обработващият лични данни не е служител на
администратора. Служителите във Вашия бизнес обработват данни, но правят това
от името на фирмата. Тя е администратора на данните. Обработващ личните данни
може да бъде лице, което е външно за фирмата, например Google, ако използвате
имейл адрес в Gmail.
Ролята на Вашия бизнес
На база Вашите отговори от въпросника, Вашият бизнес се явява
администратор на лични данни. Обработката на лични данни е спомагателна, а не
основа дейност за бизнеса. Предмет на обработване са обикновени, но не и
специални (чувствителни) лични данни. Дейността на бизнеса включва използването
на лични данни за директен маркетинг. Личните данни, които се използват, могат
да бъдат обект на профилиране. Данни на потребители се обработват и в интернет
пространството. Бизнесът не споделя личните данни, които обработва, с трети
лица.
Част II -
Задължения, указания и препоръки
Това е най-важната част от наръчника за съобразяване на правилата на
GDPR. Тук сме описали задълженията, които Вашият бизнес трябва да изпълнява
съобразно новия регламент за защита на личните данни.
Общи
задължения
Тези задължения са валидни без значение от ролята на бизнеса и
категориите лични данни, които се обработват. Ще обърнем внимание на всяко едно
от тях поотделно. По-долу сме ги посочили накратко. Бизнесът е длъжен:
1. Да обработва лични данни само когато има право на това.
2. Да предоставя определена информация на гражданите.
3. Да приеме правила за работа с лични данни.
4. Да осигури възможност на потребителите да упражнят своите права по
отношение на личните си данни.
5.
Да вземе необходимите мерки за
защита на обработваните лични данни.
По всяко от посочените задължения има предоставена повече информация
по-долу в наръчника.
Кога могат да се обработват лични данни:
За да може Вашият бизнес да обработва лични данни, е необходимо да
има основание за това. Основно правило в GDPR е, че лични данни се обработват с
конкретна цел. Тази цел трябва да бъде предварително известна, т.е. не може да
се събират лични данни под предлог, че в бъдеще те могат да бъдат полезни за
бизнеса. Събраните данни трябва да се изпозлват единствено за постигане на целта.
Допустимо е лични данни да се събират за повече от една цел. Така, например,
търговец на електронни книги може да използва имейла на свой клиент, на първо
място, за да изпрати дадена книга на клиента и, на второ място, за да изпраща
на клиента съобщения за други свои книги и промоции.
Целта, въз основа на която се обработват личните данни, има
отношение към основание за тяхното обработване. Личните данни се обработват с
правно основание. Това е законовата предпоставка, която прави обработването на
лични данни правомерно, т.е. законно.
В закона има различни основания, но огромната част от случаите
попадат в една от следните четири категории:
·
Обработване на данни по силата
на договор;
·
Обработване на данни със
съгласието на лицето, за което те се отнасят.
·
Обработване на данни, изискуемо
по закон;
·
Легитимен интерес от
обработване на данните
В първия случай Вашият бизнес събира лични данни, за да може да
изпълни договор с клиент. Ако, например, е необходимо фирмата да достави на
едно лице мебели по поръчка, то за изпълнението на договора е необходимо да се
знае адреса на лицето и неговия телефон.
Във втория случай данните се обработват, защото дадено лице се е
съгласило с това. Например, клиент се абонира, за да получава рекламни новини
от Вас и предоставя имейла си. В този случай той дава съгласие фирмата да
работи с неговия имейл адрес, за да му изпраща съобщения.
В третия случай фирмата обработва лични данни, защото законът
изисква това. Когато, например, на даден клиент следва да бъде издадена
фактура, по необходимост фирмата трябва да вземе неговите име, ЕГН и адрес.
В последния случай - при легитимен интерес на Вашия бизнес - лични
данни се обработват, защото Вашата фирма има интерес от това. Пример за това е
видеонаблюдение на каса в търговски обект. Видеонаблюдението не се извършва по
силата на договор. За него не се взима съгласие от лицата, посещаващи обекта,
нито пък е изискуемо по закон. То обаче помага на бизнеса като гаранция за
предотвратяване на кражби и злоупотреби. Когато данни се обработват на това
основание, трябва да се направи преценка за това дали интересът на бизнеса е
по-важен от правата на потребителите.
Възможно е лични данни на едно лице да се обработват и на различни
основания в различни периоди от време, а дори и по едно и също време. Най-лесно
би било да илюстрираме това с пример:
Искате да наемете служител за новия си офис. За да направите това,
събирате автобиографии на кандидати. В тях има много лични данни. Те се
обработват въз основа на съгласието на съответния кандидат. Той трябва да се
съгласи да предостави данните си на фирмата за нуждите на процеса по подбор. След
като подборът приключи нямате право да запазите данните на кандидатите, които
не са одобрени.
В следващ момент вече имате избран кандидат и сключвате с него
трудов договор. По закон работодателят трябва да издава ведомости за заплати и
да декларира данни във връзка с трудовия договор пред НАП и НОИ. Това е
свързано с обработването на лични данни, но е законово изискване и
работодателят трябва да се съобрази с него.
В договора със служителя е описано, че ще изплащате възнаграждение
по банков път. Това е договорно задължение. Необходимо е да вземете и съхраните
данни за банковата сметка на служителя. Те също са лични данни. Обработват се
въз основа на трудовия договор и поетото задължение на работодателя да прави
плащания по банков път.
Даване на съгласие
Даването на съгласие е един от основните акценти на новия регламент
за защита на личните данни. Правилата относно съгласието са необходимо, когато
личните данни се обработват въз основа на съгласие, а не на друго основание.
Ето един пример за това: Решавате да организирате томбола между
клиентите на своя бизнес, които направят поръчка на даден продукт в определен
от Вас период. На определена дата се ангажирате да изтеглите на случаен принцип
името на един от всички клиенти, закупили продукта, и да му изпратите подарък -
ваучер за своите услуги по имейл.
Дори и вече да имате името и имейл адреса на клиентите си на друго
основание, например поръчка, която са направили към Вас, не можете просто да ги
използвате за своята томбола. Тези данни са събрани с друга цел. Необходимо е
да вземете изрично съгласие от клиентите, че данните им ще бъдат използвани и
за томбола.
За да използвате данните в томболата, клиентът трябва изрично да
заяви, че е съгласен Вие да запишете неговите име и имейл адрес, за да
проведете томбола на определена дата.
За да бъде едно съгласие дадено законосъобразно, лицето, което го
дава, трябва да се съгласи със следното:
·
Кои негови лични данни ще се
обработват.
·
По какъв начин ще се обработват
данните.
·
За какви цели ще се обработват
данните.
·
Колко време ще бъдат
съхранявани личните данни.
В горния случай се обработват име и ЕГН. Начинът на обработка е:
съхраняване на данните в база-данни и избор на един от множество записи на
случаен принцип. Целите на обработка са провеждане на томбола. Данните се
съхраняват колкото е необходимо за изпълнение на целта. Т.е. след приключване
на томболата данните се заличават.
Законът забранява администраторите на лични данни да отказват услуги
на дадено лице, само защото то отказва да предостави личните си данни, които не
са необходими за изпълнение на договора.
Така, например, Вашият бизнес не може да откаже да предостави на
клиентите си съответния продукт, ако те не желаят данните им да се обработват
за нуждите на томболата.
Основно правило е, че съгласието се дава изрично. Това означава, че
то не може да бъде част от общи условия и клиентът да се съгласява с
обработването на данни заедно с още голямо количество свои задължения.
Изразяването на съгласие трябва да бъде ясно, т.е. Да не е завоалирано под
форма, която да може да заблуди потребителите.
Съгласието на потребителя е важно, но то не е единственото условие
за обработване на лични данни. Нежеланието на даден потребител неговите данни
да бъдат обработвани не винаги означава, че трябва да се съобразите. Ето един
пример, в който можете да откажете услуга, ако потребителят не желае да
предостави свои лични данни: Вашият бизнес е свързан с предоставяне за ползване
на спортни зали. Достъпът до залите се предоставя с поименни карти на клиенти.
Когато клиент дойде, Ваш служител проверява негов документ за самоличност, за
да установи дали лицето е действителният собственик на картата. Клиентът може
да откаже да представи документ за самоличност под предлог, че това би било
обработване на лични данни и да настоява, че не може да му откажете услугата
(достъп до залата) само на основание, че не дава съгласие за обработка на
данни. Вашият легитимен интерес обаче налага да имате възможност да проверявате
за злоупотреби с картите за достъп. В този случай имате право да откажете
достъп до залата, ако клиентът не удостовери самоличността си.
Предоставяне на информация на потребителите
Едно от основните задълженията, които GDPR налага на лицата,
обработващи лични данни, е предоставянето на определена информация на
потребителите. Законът изисква да се предоставят данни относно:
·
Информация за фирмата
Това са име на фирмата, ЕИК, адрес, телефон/имейл за връзка. Може да
се посочат и данни за представител на фирмата.
·
Целта, за която се събират
данните
Защо личните данни на потребителя са необходими – за какво ще се
използват.
·
Лицата, на които ще се
предоставят данните
Ако има лица, на които личните данни на потребителите ще се
предоставят, това трябва да е указано. Например, при управление на онлайн
магазин може да се налага Предоставяне на лични данни на потребители на трети
лица – доставчици/куриери, за да могат да се изпращат на клиенти закупени
продукти. Ако данните се предоставят в страни извън Европейския съюз, това също
трябва да е ясно на потребителите.
·
Срока за съхранение на данните
Личните данни не могат да се пазят безгранично. Те са необходими
само в рамките на определен срок, след което се трият.
·
Информация за правата на
потребителите
По-долу в наръчника сме обяснили подробно правата на потребителите.
Тук само ще ги посочим, защото те са част от информацията, която трябва да се
предоставя при събиране на лични данни. Потребителите имат следните права:
1. Право на достъп до своите данни;
2. Право да искат коригиране и изтриване на лични данни;
3. Право на ограничаване на обработването;
4. Право на преносимост на данните;
5. Право на възражение срещу автоматично обработване;
6.
Право на жалба пред надозрен
орган
По-долу всяко от правата е разяснено в детайли. Като приложение към
наръчника сме сложили бланков документ с необходимото разяснение на
потребителите за техните права.
·
Информация за автоматизирана
обработка и профилиране
Обработката на лични данни е автоматизирана, когато тя се случва
машинно по даден алгоритъм. По този начин най-често се обработват лични данни
на много голямо количество потребители – правят се анализи на поведението на
потребителите, за да се постигне определена цел. Последица от автоматизираната
обработка може да бъде профилирането, което сме обяснили по-горе.
Приемане на правила за работа с лични данни
Има два основни документа, които трябва да изготвите и използвате в
дейността си:
·
Вътрешни правила за обработване
на лични данни;
·
Политика за защита на личните
данни;
Вътрешните правила установяват вътрешния ред в бизнеса за работа с
лични данни. Те не са предназначени за потребителите, а за служителите на
фирмата. Уреждат начина, по който лични данни се съхраняват и използват.
Правилата трябва да съдържат също така и мерки за защита на личните данните.
Тези правила трябва да бъдат сведени до знанието на всички служители
във фирмата, които да бъдат обучени да ги спазват. Често вътрешните правила до
голяма степен са административна формалност, но все пак такива трябва да има.
Като приложение към наръчника ние сме подготвили бланкови правила, които могат
да се използват за почти всички сфери на бизнеса.
Освен вътрешните правила, е добре бизнесът да има и политика за
защита на личните данни. Тя, за разлика от вътрешните правила, е насочена към
клиенти и потребители. Тъй като Вашият бизнес има засилено присъствие онлайн,
наличието на такава политика е задължително.
Примерна политика за защита може също да бъде открита към
приложенията на този наръчник. Документът е много важен за дейността на
бизнеса, но е трудно да бъде създадена една политика за защита на лични данни,
която да приляга на всяка фирма. Документът, който сме приложили към наръчника
е базов и може да послужи добре в много ситуации. Нашият екип е на линия да
съдейства с политика за защита на лични данни, която да бъде създадена
специално за нуждите на Вашия бизнес.
Ако желаете да поръчате изготвянето на
специална политика за защита на личните данни, можете да направите това от .
Водене на регистър на дейностите като администратор на лични данни
Това е още един документ, който GDPR налага да бъде създаден от
бизнеса в някои хипотези. Тъй като Вашата фирма има по-малко то 250 служителя и
не обработва чувствителни лични данни, тя не е длъжна да има приема такъв
документ, но все пак може да го направи.
В регистъра на дейностите се съдържа обобщена информация за данните,
които се обработват, целите на това обработване, срокът на съхранение и отново
данни за администратора. Примерен регистър може да бъде открит като приложение
към наръчника.
Осигуряване на
възможност на потребителите да упражнят своите права
Право на достъп до личните данни
Във всеки един момент дадено лице, за което Вашият бизнес обработва
лични данни, има право да знае какви негови лични данни се обработват, по какъв
начин и на какво основание. GDPR нарича това право “право на достъп”.
Ваше задължение е, когато едно лице поиска информация за това какви
негови лични данни обработвате, да му предоставите тази информация по начин.
Най-често исканията за достъп до лични данни идват в електронен
формат – по имейл. В тези случаи информация за потребителя трябва да се
предостави по същия начин, т.е. по електронен път.
Преди да се предостави отговор е необходимо лицето, което иска
достъп до данните да бъде идентифицирано. Достъп до лични данни се предоставя
единствено на лицето, чиито лични данни се обработват.
Срокът за удовлетворяване на искане на потребителя е един месец.
Този срок е напълно достатъчен, за да бъдат събрани данните, които се
обработват за едно лице. Ако обаче срокът не е достатъчен, той може да бъде
удължен с още 2 месеца като потребителят бъде уведомен за това и за причините,
които го налагат.
Право да се иска коригиране или изтриване на лични данни
Това всъщност са две права, но със сходен характер. От една страна
потребителят може да иска неточни за него лични данни да бъдат коригирани. От
друга, той може да поиска и заличаването на данни, които вече не са актуални
или пък обработването им вече не е необходимо. Второто право е известно като
“правото да бъдеш забравен”.
Личните данни, които се обработват за дадено лице, трябва да бъдат
актуални, т.е. верни. Разбира се, това понякога трудно може да бъде гарантирано
от администратора, особено когато данните се предоставят от самото лице. Поради
това законът предвижда възможността лицата, за които се събират лични данни, да
искат тяхното актуализиране.
Пример за това може да бъде промяна на фамилното име на съпруга при
сключване на граждански брак.
Потребителите имат право също така да искат техните лични данни да
бъдат заличени. Това може да се случи в различни хипотези, но най-често са
следните:
1. Личните данни се обработват единствено въз основа на съгласие на
лицето и това лице оттегля съгласието си;
2.
Личните данни са събрани
неправомерно, т.е. изначално не е имало основание да се обработват.
Отново трябва да бъде дадена възможност на лицето да отправи искане
за корекция или заличаване на данните и то трябва да бъде удовлетворено в срок
от един месец.
Не всяко искане на потребител за заличаване на лични данни ще бъде
основателно. Правото да бъдеш забравен не е абсолютно. Понякога законовите
интереси на Вашия бизнес са по-силни. Така, например, може договорът с даден
клиент да е изпълнен и данните вече да не са необходими за конкретно тази цел.
Възможно е обаче в последствие клиентът да направи рекламация или пък да
образува дело, твърдейки неизпълнение на договора. В този случай запазването на
данни е необходимо именно за управление на този риск. Това обаче трябва да бъде
обяснено на потребителя.
Право да се иска ограничаване на обработването
Да се ограничи обработването означава временно да се спрат
действията си лични данни без те да се заличават. Тази хипотеза е доста рядка,
затова няма да се спираме на нея в детайли. Възможно е да се стигне до нея,
когато потребител твърди, че личните му данни са неточни. Друг вариант е
данните да са събрани незаконосъобразно, но потребителят да не иска изтриването
им, а само обработването.
Право на преносимост на данните
Правото на преносимост означава, че даден потребител може да иска от
Вашия бизнес да прехвърли всички негови лични данни, които са събрани, на друга
фирма. Това е валидно единствено, когато данните се обработват въз основа на
договор или на съгласие от потребителя, а не при законовото основание.
Най-добрият пример за такова право е аналогията с преносимост на
телефонен номер при мобилните оператори.
Право на възражение срещу автоматично обработване и профилиране
По-горе в наръчника обърнахме по-специално внимание на това какво е
профилирането като процес по обработване на лични данни. Законът третира тази
дейност по-особено от другите такива, затова и потребителите имат повече права
във връзка с нея. Ако извършвате профилиране, е необходимо да дадете възможност
напотребителите да се възразят срещу това изрично.
Право на жалба пред надзорния орган
Законът дава още едно право на потребителя – правото да подаде жалба
до надзорния орган срещу незаконосъобразни действия на твоя бизнес във връзка с
обработването на лични данни. Ваше задължение е да уведомите потребителя за
това му право. Надзорен орган в България е Комисията за защита на личните
данни.
Други
препоръки
Предаване на данните на трети лица
Понякога в бизнеса се налага личните данни на едно лице да бъдат
предоставени от страна на администратор на лични данни на друго лице, което да
ги ползва. Такъв е примерът, който използваме по-горе в наръчника с услугите на
куриерска фирма за извършване на доставки.
Отговорност на администратора е да гарантира, че лицата, на които
споделя лични данни на потребители, са предприели необходимите мерки за защита
на личните данни.
По-особено е споделянето на лични данни извън България. Това се
случва по-често отколкото мислите, особено когато изпозлвате услугите на големи
компании, включително и за реклама (например Google и Facebook). Можете
спокойно да споделяте лични данни на територията на Европесйкия съюз, както и
със списък от държави и територии, които са извън ЕС, но прилагат идентични
стандарти за работа с личните данни. Европейската комисия поддържа актуален
списък, който към момента е:
·
Андора
·
Аржентина
·
Канада (за търговски
организации)
·
Фарьорски острови
·
Гърнзи
·
Изразел
·
Остров Ман
·
Джърси
·
Нова Зенландия
·
Швейцария
·
Уругвай
·
САЩ (ограничено до Privacy
Shield)
Прехвърлянето на данни в други страни не е забранено, но при
нарушаване на правата на потребителя във връзка със защита на личните данни от
получателя на данните, Вие ще носите отговорност.
Отношения между администратор и обработващ лични данни
Отношенията между администратор и обработващ личните данни се
уреждат с договор. В повечето случаи, когато бизнесът използва услугите на
обработващ лични данни, това се случва на базата на общи условия на
обработващия. Ако, например, използвате електронна пощата от Google, Google се
явява обработващ лични данни, а именно данни, които се съдържат в имейл
съобщенията. Разбира се, не може да очаквате от Google да сключи индивидуален
договор с Вас. Разчитате на техните общи условия. Същата, но вече с по-локално
приложение е ситуацията с куриерите, която дадохме за пример.
В някои случаи обаче отношенията няма да са уредени с общи условия.
При тези ситуации е необходимо да бъде сключен писмен договор. В него се
посочват задължения на обработващия по отношение на личните данни, например
какво следва да се случи с данните след прекратяване на договора. Обработващият
данни може да възложи функцията по обработване на друг обработващ данни, когато
е получил предварително писмено разрешение от администратора на данни.
В секцията с приложения сме сложили примерен договор между
администратор на лични данни и обработващ, който можете да изпозлвате.
Назначаване на длъжностно лице по защита на личните данни
Едно особено задължение на бизнеса във връзка с прилагането на GDPR
е назначаването на длъжностно лице по защита на личните данни. В практиката е
възможно да се срещне като Data Protection Officer (DPO).
Длъжностното лице може да бъде физическо лице, външно или вътрешно
за фирмата. Възможно е да бъде служител на фирмата, а може да бъде и външен
експерт, например адвокат. Комисията за защита на личните данни допуска като
длъжностно лице по зашита на данните да бъде назначена и друга, фирма, например
адвокатско дружество.
Два са случаите, в които трябва да назначите длъжностно лице по
защита на личните данни:
1. Вашата основна дейност се изразява в обработване на данни и
систематичен мащабен мониторинг на субектите на тези данни;
2.
Вашата основна дейност се
състои в мащабно обработване на специалните категории данни, които посочихме
по-горе.
Тук трябва да изясним какво значат понятията “мониторинг” и
“мащабно”. Българският превод на GDPR всъщност говори за “наблюдение”, а не за
мониторинг, но се има предвид постоянното следене на лицата, за които се
отнасят данните. Най-лесно ще бъде да пробваме с примери.
Видеонаблюдението се счита за дейност по обработване на лични данни.
По своята същност то се извършва непрекъснато, т.е. е и системно. В случая с
офиса обаче не е мащабно, тъй като става въпрос само за служители. Всъщност все
още няма дефиниция на това кое обработване е мащабно, затова не може да се даде
ясен критерий за разграничаване. Най-добре е да пробваме със сходен пример:
В голям търговски обект се извършва видеонаблюдение от охранителна
фирма. В обекта влизат хиляди хора на ден и техните действия се записват от
камери. Тук можем да приемем, че обработването е мащабно, защото става въпрос
за наистина голямо количество хора. Също така видеонаблюдението е сред
основните дейности на охранителната фирма.
При втората хипотеза отново основната дейнсот на фирмата трябва да е
свързана с обработване на специални категории данни. Ако например, искате от
своите служители представяне на свидетелство за съдимост, това е обработване на
данни, свързани с присъди. То обаче не е основна дейност на фирмата, нито е
мащабно. Ако обаче Вашият бизнес е свързан със социлогически проучвания и
правите маркетингови изследвания, които изследват поведението на потребителтие
от различни етноси, тогава вече извършвате обработване на специални катевгории
данни по занятие и това може да бъде мащабно.
Длъжностното лице по защита на личните данни има следните функции:
·
Съветва бизнеса по въпроси,
свързани с обработването и защитата на лични данни;
·
Следи за спазването на
Регламента за защита на личните данни от страна на администратора;
·
Контактува и сътрудничи с
Комисия за защита на личните данни.
Длъжностното лице трябва да има задълбочени познания в сферата на
защитата на лични данни. Към момента няма конкретни изисквания от страна на
КЗЛД за образование, но се приема, че това може да бъде адвокат или адвокатско
дружество.
Ако искате да назначите някой служител от фирмата за длъжностно лице
по защита на личните данни, то това трябва да се направи с допълнително
споразумение към трудовия договор или пък направо с друг договор. В договора
трябва да се уговори ,че лицето приема да изпълнява функцията на длъжностно
лице по защита на личните данни по отношение на съответната фирма заедно с
всички произтичащи от закона задължения. Лицето може да получава
възнаграждение, но такова изискване не е посочено в регламента.
Длъжностното лице по защита на личните данни не е необходимо да
прекарва време във Вашия офис. То може спокойно да бъде и от друг град.
Задължения на
бизнеса онлайн
Когато бизнесът оперира онлайн, възникват някои специфични
задължения. Те са свързани с това, че много често при управлението на един
уебсайт се събират изключително много данни на потребители. В долните параграфи
ще разгледаме някои важни особености.
Използването на биксвитки/cookies
Биксвитките са малки файлове, които се запазват на устройството на
потребителя. Те, най-общо казано, съдържат данни за това кои страници е посетил
потребителят. Използват се основно за маркетинг цели. Ако изпозлвате бисквитки
на Вашия уебсайт, е необходимо да вземете предварително съгласие за това от
потребителя, да му дадете възможност да оттегли съгласието и да му обясните как
да направи това. Вариантът, който можем да препоръчаме е да използвате готов
„cookies consent kit“.
Такъв има разработен от Европейската комисия
на този линк.
Приемане на политика за защита на личните данни и даване на съгласие
На своя уебсайт е необходимо да публикувате Политика за защита на
личните данни. Примерна такава можете да намерите като приложение към
наръчника. Потребителтие трябва да се съгласят с нея. Това може да се постигне
с поставянето на отметка на специално място с текст „Съгласявам се личните ми
данни да бъдат обработвани съобразно Политиакта за защита на лични данни“.
Когато изпозлвате личните данни за директен маркетинг, например за
имейл кампания, е необходимо изрично да вземете съгласието на потребителя и за
това. Изрично означава, че потребителят трябва да се съгласи специално с това,
а не то да бъде поместено като клауза в общите условия. Същото важи и за
профилриането. Ето един примерен текст, който да използвате при директен
маркетинг: „Съгласен съм личние ми данни да бъдат изпозлвани за нуждите на
директен маркетинг, за да получавам рекламни съобщения по имейл/телефон.“
Мерки за защита на личните данни
Ще разделим мерките за защита на личните данни на правни и физически
такива. Правните мерки са свързани основно с предвиждането на процедури за
изпълнение на задълженията на бизнеса по GDPR и изпозлването на набор от
документи, относими към защитата на лични данни. Физически са мерките, които
осигуряват физическа защита на данните – криптиране, анонимизация,
класифициране и подреждане в помещения със защитен достъп и други.
Правни мерки
1. Да се създаде възможност потребителите да упражняват своите права
във връзка със своите лични данни;
2. Да се обработват лични данни единствено на посочените основание и за
конкретни цели;
3. При необходимост да бъде назначено длъжностно лице по защита на
личните данни.
4.
Да се приемат документи, които
да се използват в бизнеса – вътрешни правила, политика за защита на личните
данни и други;
Съществува още една правна мярка, която в някои случаи може да бъде
приложима към Вашия бизнес. Това е извършването на оценка на въздействието.
Тази оценка се прави основно при внедряването на нови технологии, когато те
създават риск правата на гражданите техните данни да бъдат нарушени. Оценката
на въздействието върху личните данни представлява анализ на личните данни в
твоята фирма като цяло или само за отделен проект. Препоръчваме да направите оценката
за конкретен проект, за да може максимално точно и ясно да се отговори на
поставените въпроси. Това ще Ви донесе и максимална сигурност при проверка от
Комисията за защита на личните данни.
Оценка за въздействието се изисква, когато има вероятност
обработването на лични данни да доведе до висок риск за правата и свободите на
физическите лица.
Задължително се изисква Оценка на въздействието в следните случаи:
1. системна и обширна оценка на личните аспекти на физическо лице,
включително профилиране;
2. обработване на чувствителни данни в голям мащаб;
3.
систематично мащабно наблюдение
на обществените зони.
Към наръчника сме включили документ "Оценка на
въздействието", който можете да използвате при необходимост.
Желателно е да предвидите процедура, при коятo да се изпраща
уведомление до потребилите и до Комисия за защита на личните данни в случай на
изтичане на лични данни или нарушаване на правата на потребителите. „Изтичане“
на лични данни означава те да станат достъпни за лица, за които не са били
предназначени.
Като правна мярка за защита на личните данни е необходимо да
предвидите и поставяне на клаузи за поверителност в трудовите и граждански
договори на фирмата. Ето примерен текст, който можете да добавите към
договорите или пък просто да подпишете в анекс:
Служителят (или
Изпълнителят) се задължава при изпълнение на договора да спазва правилата за
защита на лични данни, установени с Регламент (ЕС) 2016/679 и Закона за защита
на личните данни, в това число да не споделя лични данни, станали му известни
при или по повод изпълнение на служебните му задължения, освен ако няма
значение за това.
Физически
мерки за защита
Физическите мерки, които трябва да бъдат взети при обработването на
лични данни са такива, които гарантират сигурността на данните. Те трябва да
минимализират риска правата на потребителите да бъдат нарушени. Едно от
основните правила на регламента е, че мерките трябва да се заложат в основата
на всички бизнес процеси, а не да бъдат като добавка. Разбира се, когато вече
имате своя бизнес модел, мерките могат да бъдат само добавени. За напред,
когато планирате нова процедура, нов софтуер, алгоритъм или процес, трябва да
имате предвид защитата на личните данни още в тяхното изграждане.
Най-популярните технически (дигитални) мерки за управление на
рисковете, когато се работи с дигитални лични данни, са криптирането и
анонимизирането. Анонимизиране означава личните данни, които се обработват да
бъдат приведени във вид, който да не позволява идентифициране на лицето, за
което се отнасят. Това е приложимо най-често при статистически анализ на голямо
количество данни.
Задължителни мерки, които трябва да се възприемат са осигуряването
на контролиран достъп до данните. Ако данните се съхраняват в дигитален формат,
до тях трябва да достигат само определени служители на фирмата чрез достъп с
парола.
Друга мярка, която трябва да се предприеме, е осигуряването на
backup файлове – такива файлове, на които се съхранява резервно копие от
личните данни в случай на случайно заличаване.
Освен дигитални, мерките могат да бъдат и чисто физически. Те са
приложими при обработка на лични данни на хартиен носител. Когато личните данни
се обработват на хартия, е препоръчително те да бъдат държани в помещение с
контролиран достъп и да бъдат назначени конкретни служители или лица, които да
могат да работят с данните. Понякога съхранението на хартиени носители в шкаф с
ключ също е достатъчно, ако достъпът до шкафа е контролиран.
Друга мярка за защита на личните данни на хартиен носител е те да
бъдат сканирани или дигитализирани по-друг начин. Това увеличава риска от
„изтичане“ на данните, но намалява опасността от тяхното изгубване. Назначаване
на длъжностно лице по защита на личните данни.
Документи и
приложения
Към настоящия наръчник сме подготвили примерни документи, които
могат да бъдат използвани в рамките на дейността на твоя бизнес като лице,
работещо с лични данни. Това са следните документи:
1. Вътрешни правила за
обработване на лични данни
Те се използват за вътрешни нужди. Фирмата трябва да приеме такива и
да запознае служителите си с тях. Правилата трябва да се спазват, а при
необходимост да се покажат при проверка. Правилата са вътрешни. До тях не се
дава достъп на потребителтие и не се публикуват на уебсайта на фирмата.
2. Регистър на дейностите
като администратор на лични данни
Това също е документ за вътрешни нужди. Той съдържа информация за
фирмата като администратор на лични данни. При проверка следва да се покаже на
контролните органи. Не се публикува на уебсайт и не се представя на
потребителите.
3. Политика за защита на
личните данни
Клиентите на фирмата и потребителите на нейн уебсайт, ако има такъв,
трябва да имат достъп до този документ. Неговата функция е да обясни на
потребителя как се обработват неговите лични данни. Ако иамте уебсайт,
публикувайте този документ там.
4. Декларация за даване на
съгласие за обработка на лични данни
Когато лични данни се обработват въз основа на съгласие от
потребителя, а не на друго основание, един лесен начин това съгласие да се
запази е с писмена декларация. Към наръчника сме подготвили такъв документ,
който може да се използва с тази цел. Тази декалрация може да бъде
имплементирана като съдържание и на Вашия уебсайт, когато е необходимо да
искате съгласие от потребители.
5. Договор между
администратор на лични данни и обработващ лични данни
Съставили сме примерен договор, който да използвате във Вашата
дейност. Договорите, които сключвате остават за Ваше ползване. Не е необходимо
да ги представяте на потребителите.
6. Оценка на въздействието
върху защитата на лични данни
Единственото, което трябва да направите, е да отговорите на
поставените в документа въпроси. Постарали сме се те да бъдат максимално ясни и
конкретни.
Вече имате други документи и искате да ползвате тях?
Документите, които ние сме изготвили са примерни. Те, също така, до
голяма степен са бланкови и са пригодени за широка употреба от различни по
големи и сфера на дейност бизнеси. Ако към момента използвате Ваши документи и
желаете да продължите работа с тях, уверете се, че те отговарят на изискванията
на GDPR.
При нужда от съдействие на тема лични данни (GDPR) може да се
свържете с нас на 0888 047 188 или на pitai@advokatami.bg