Loading

С влизането в сила, през май 2016 г., на РЕГЛАМЕНТ (ЕС) 2016/679 General Data Protection Regulation (GDРR), относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/EО, се въвежда единна правна рамка, която ще уеднакви законодателството, защитаващо личните данни на европейските граждани.
Регламентът (GDРR) ще се прилага след 25 май 2018 г. и има за цел да улесни свободното движение на потоци от лични данни в ЕС и извън него, свързано с международна търговия и международното сътрудничество, като осигури механизми за защита от нарушаване на неприкосновеността на личните данни при използване на автоматизирани и други средства за обработката им.
След 25.05.2018 г. правата на физическите лица и задълженията на администраторите и обработващите данните, по отношение неприкосновеността и защитата на личните данни, ще трябва да се вземат в предвид още на етап планиране на конкретна дейност, попадаща в обхвата на GDРR.
Промените, въведени с GDРR, водят до изменения в регулаторните политики и в механизмите за прилагането им.

• Задължение за искане на съгласие за обработка и съхранение на лични данни. Въвеждат се изисквания за текстовете, свързани с искането на съгласие, а именно те да са:
– ясни, кратки, лесноразбираеми (да не се ползват неразбираеми термини от правния жаргон);
– да се различават от други теми/въпроси;
– достъпни за целите на обработката.
Ще трябва да се гарантира, че оттеглянето на съгласието се извършва толкова лесно, колкото и предоставянето му.• Права на физическите лица: GDPR предоставя правото на субекта на данните да получава потвърждение, относно:
– целта на обработването;
– категорията на данните;
– получателите на данните;
– срока или критериите за определяне на срока за съхранение;
– правото на възражение срещу обработката;
– съществуването на автоматизирано вземане на решения, включително профилиране.
– правото за искане за коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, право за предявяване на жалба до надзорен орган; узнаване на източниците на данни, когато същите не са получени от субекта;
– правото за получаване на копие от личните данни, в достъпен електронен формат.

• Правото да бъдеш забравен: Субектът на данните получава право, което му позволява да поиска, от администратора на лични данни, изтриване на личните данни и да се прекрати по-нататъшното им разпространение и обработка на данните. В член 17 на GDPR условията за заличаване, включват данните, които вече не са от значение за предвидената обработка или е постъпило искане за оттегляне. При разглеждане на такива искания се взема под внимание дали ще бъде засегнат общественият интерес по отношение на наличието на такива данни.

• Преносимост на данните: Въвежда се правото на субекта на данните да получава личните си данни, структурирани в широко използван и пригоден за машинно четене формат, с цел да ги прехвърли на друг администратор.

• Задължение за уведомяване на Компетентния надзорен орган (КНО). GDPR въвежда задължение за уведомяването на КНО при установени нарушения, свързани със сигурността на личните данни. Администраторът ще трябва да извърши уведомяването без излишно забавяне до 72 часа след узнаването

• Сигурност. Неприкосновеността на личния живот и сигурността на личните данни при прилагането на механизми за контрол или наблюдение са в основата на съществуващата към настоящия момент декларация за приложимост, използвана при сертифицираните системи за управление за сигурност на информацията (ISO 27001). Използването на технически и организационни механизми, от администратори и обработващи лични данни, осигуряващи сигурността на данните ще бъде законово изискване след 25 май 2018 г. Механизмите трябва да са съобразени с нивото на риск и неговата тежест върху правата и свободите на физическите лица (напр. псевдонимизация и криптиране на личните данни; способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването).