АДВОКАТ
Петя Стоевска

ЗАЯВИ КОНСУЛТАЦИЯ



GDPR -Разработване на документация
Защита на лични данни

 Общият европейски регламент за защита на личните данни, известен с абревиатурата GDPR, изисква бизнесът да вземе мерки за опазването на персоналната информация, която съхранява или обработва. Неспазването на изискванията ще струва скъпо. Ето какво трябва да знаят организациите. Компаниите, които разполагат с данни на граждани на ЕС, ще трябва да се съобразят с навлизащите стриктни правила. Регламентът ще изгради нов стандарт за защита на потребителите и личната информация, която предоставят на бизнеса. Фирмите пък ще трябва да организират системите и процесите си така, че да отговарят на законовите изисквания. Поставят се въпроси и нови очаквания към IT отделите. Например GDPR разширява понятието за лични данни. Фирмите ще трябва да осигурят защита на IP адреси, информацията от „бисквитките” на същото ниво, на което пазят името, адреса и ЕГН – то на клиентите си. Голяма част от изискванията подлежат на интерпретация, т.е. оставени са на разбирането на компаниите, без да се дават точни указания как да постъпят. GDPR постановява, че те трябва да осигурят „подходящо” (reasonable) ниво на защита на личните данни, но не определя понятието. Това дава голяма свобода на контролните органи да налагат глоби при изтичане на данни или ако бъде установено неизпълнение. Голяма част от изискванията на пръв поглед нямат отношение към информационната сигурност. Обаче по – детайлно вглеждане в регламента, например това, че бизнес процесите и информационните системи (особено по – старите) трябва да отговарят на новите мерки, ще наложи преразглеждане на съществуващите протоколи за сигурност. Изискванията на регламента ще принудят много компании да променят начина, по който обработват, складират и защитават данните на клиентите. Това се позволява само ако потребителите са дали съгласие, но личната информация на потребителите се пази не до отпадане на причината, поради която тя е събрана. Например, ако договорът с даден клиент е изтекъл и законът не предвижда данните да се пазят, те трябва да бъдат изтрити. Персоналната информация на частните лица подлежи на прехвърляне от една компания в друга, но при поискване от лицето, на което са личните данни трябва да бъде изтрита. Последното е известно още като „правото да бъдеш забравен”. Има и изключения – при законово изискване организацията може да пази данните ( в случаите за заплати, кредитно досие ). Някои изисквания имат непосредствен ефект върху IT сигурността. Регламентът предвижда компаниите да осигурят „подходящо” ниво на сигурност на данните, но не е уточнено какво се разбира под „подходящо”. Също така компаниите са задължени да докладват всяко изтичане на данни на контролиращия национален орган и на засегнатите от това лица до 72 часа от момента, в който е установено нарушението. От бизнеса се ще се исква да извършва оценки на въздействието, да помага за намаляване на риска от нарушения, като установи уязвимости и състави стратегия как да се справи с тях.Най – много ще бъдат засегнати компаниите, които предоставят услуги по наемане и оценка на човешките ресурси. Ако компанията с подобен предмет на дейност бъде хваната, че не отговаря на изискванията, тя ще понесе не само глоба, но и загуба на част от бизнеса си. Механизмите за гарантиране на сигурността на личните данни включват криптиране. Това е важно за компании, които обработват голямо количество чувствителни данни, като здравни заведения, комунални дружества, мобилни оператори, доставчици на интернет и кабелна телевизия, банки и застрахователни компании. Има различни начини за постигане на съответствие с GDPR да държат във фокуса си принципа за отчетност, залегнал в регламента, и да документират стъпките, които са предприели, за да изпълнят изискванията. Адвокатска кантора „Кауза Легис” Ви предлага два вида мерки, които да са съобразени с Вашата персонална GDPR политика: 1. Изготвяне на подробен пакет от мерки, които включва проучвателен и подробна документация по GDPR, детайлно отговаряща консултативен период по технически и юридически въпроси, както и въвеждане на на особеностите във Вашата фирма. 2. Предлагаме Ви и опцията за получаване от Ваша страна на базисна документация по GDPR. Tя включва бланки на основните документи: фирмени правила, технологични мерки и декларации за съгласие.