КАКВО ТРЯБВА ДА ЗНАЯТ АДМИНИСТРАТОРИТЕ НА ЛИЧНИ ДАННИ ЗА ЗАДЪЛЖЕНИЯТА СИ ПО РЕГЛАМЕНТ 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА ОТ 27 АПРИЛ 2016
- От кога ще започне да се прилага новия Общ регламент за защита на личните данни?
Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) е обнародван в Официален вестник на Европейския съюз на 4 май 2016 г.
Общият регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни, което е причина за неговото отложено прилагане, считано от 25 май 2018 г.
- Ще се прилага ли новият Регламент за администратори на лични данни, които обработват данни извън територията на Европейския съюз?
Да, с новия Регламент се разширява териториалният обхват на европейските правила за защита на личните данни и те ще важат и за администратори, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС. Това ще важи в случаите, когато дейностите по обработване на данни от страна на такива администратори, са свързани с:
– Предлагането на стоки и услуги на физически лица, намиращи се в съюза, независимо дали от субекта на данни се изисква плащане;
или
– Наблюдението на тяхното поведение, доколкото това поведение са проявява в рамките на съюза.
- Какво представлява фигурата „съвместни администратори“?
Понятието „съвместни администратори“ означава, че двама или повече администратори съвместно определят целите и средствата на обработването на лични данни. Физическото лице, за което се отнасят данните (субект на данни), може да упражнява своите права в областта на защитата на личните данни по отношение всеки и срещу всеки от администраторите. Съвместните администратори са длъжни да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си по регламента.
- Кои са задълженията за администраторите и обработващите лични данни спрямо новия Общ регламент за защита на данните?
Общият регламент за защита на личните данни въвежда редица задължения за администраторите и обработващи лични данни, някои от които са изцяло нови и непознати в досега действащата правна уредба. Те са :
– Обработване на данните в съответствие с принципите за защита на личните данни, заложени в регламента, като е в състояние да докаже това (отчетност);
– Осигуряване на защита на данните на етапа на проектирането и по подразбиране;
– Определяне на длъжностно лице по защита на личните данни в изрично посочените от регламента случаи, поддържане на регистър на дейностите по обработване, за които отговаря;
– Уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, както и да документиране на всяко нарушение на сигурността на личните данни, в т. ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението;
– Извършване на оценка на въздействието върху защитата на данните;
– Провеждане на предварителна консултация с надзорния орган преди обработването, когато оценката на въздействието покаже, че обработването ще породи висок риск, ако АЛД не предприеме мерки за ограничаване на риска
– Прилагане на подходящи технически и организационни мерки за осигуряване на сигурност на данните. В регламента са посочени и конкретни технически и организационни мерки за сигурност, като:
- Псевдонимизация;
- Криптиране;
- Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки.
- Сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълже