Общ регламент относно защитата на данните

от Уикипедия, свободната енциклопедия
Направо към навигацията Направо към търсенето

Общият регламент относно защитата на данните (ОРЗД), известен също с английското си съкращение GDPR (на английски: General Data Protection Regulation) е регламент за защита на личните данни. Официално е заведен като регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на Европейския съюз и влиза в сила от 25 май 2018 г. Той засяга и компании извън ЕС, които обработват данни на европейски граждани. Неговата основна цел е да върне на гражданите контрола върху техните лични данни.

За разлика от досегашната директива регламентът: - разширява обхватът на личните данни; - въвежда задължения и за обработващите лични данни; - въвежда строги изисквания за валидност на съгласието като основание за обработване; - въвежда нови права на субектите на данни, например, преносимост; - въвежда строги изисквания за прозрачност и отчетност.

Регламентът е свързан със сериозна административна тежест за администраторите и обработващите лични данни, които трябва да извършат информационен одит, очертаване на потоците данни, преглед на законовите основания и договорите и въвеждане на персонални, организационни и технически мерки за защита на личните данни.

Всяка една организация, която обработва един или друг вид лични данни на европейски граждани, е задължена да спазва последните GDPR изисквания. Примери за подобни дейности са събиране на данни на клиенти, партньори, служители и дори кандидати за работа.[1] Често, индустрията или сектора, в която една организация оперира, не е от голямо значение и единствено определя дали същата организация трябва да спазва и други, по-високи изисквания за защита на личните данни. Пример за това са наличието на Длъжностно Лице по Защита на Личните Данни, специални мерки за сигурност и други подобни рестрикции. Често, индустрията или сектора, в която една организация оперира, не е от голямо значение и единствено определя дали същата организация трябва да спазва и други, по-високи изисквания за защита на личните данни. Пример за това са наличието на Длъжностно Лице по Защита на Личните Данни, специални мерки за сигурност и други подобни рестрикции.

ОРЗД задължава както частни организации, като ЕООД, ООД или други по-големи корпорации, така и всички публични, държавни и административни органи.

Спазване на GDPR[редактиране | редактиране на кода]

Спазването на ОРЗД не е еднократна задача, а по-скоро процес, който трябва да бъде изграден във всяка една организация. Това може да бъде направено с помощта на адвокати, специални GDPR консултанти или нови по-иновативни решения. В днешно време, пазарът вече предлага нови софтуерни решения, които автоматично генерират всички задължителни документи, създават нужните процеси и напълно решават проблема със спазването на GDPR, без нуждата от адвокати, скъпи специалисти или хиляди левове. Същевременно, времето което трябва да бъде отделено от една организация за да започне да спазва регламента се намалява значително от седмици или месеци до няколко работни часа.

Първата стъпка по спазването на Наредбата, назависимо дали това се извършва от адвокат или специален софтуер, е изготвянето на задължителната основна GDPR документация. Тя наджлежно описва всички дейности, които една организация извършва със събираните от нея лични данни. Примери за това са какви данни се събират, къде се складират, кой ги ползва и за какви цели, дали се предават/продават на трети страни, дали се изпращат в други държави и много други. Нужната документация има за цел да уведоми клиенти, партньори и служители относно какво се случва с личните им данни и правата и задълженията свързани с тях.

Втората стъпка е изготвянето на задължителни Регистри, който да описват процесите на една организация и потока от данни към подизпълнители, външни организации и др. Този процес има за цел да опише потока от информация към всяка една вътрешна и външна допирна точка и да гарантира, че правилните страни и лица имат достъп само до разрешената за тях информация.

Третата и последна стъпка е подържането и актуализирането на вече създадените документи и регистри, в случай че вашата организация променя някоя от своите дейности. Тази стъпка е често пренебрегната от много организации, които ползват адвоакти за да изготвят нужната документация. В много случай обаче, глобите за неспазване на ОРЗД произлизат точно от такъв тип пропуски и несъответствия.

Две години след влизането му в сила, много бизнеси и организации все още отказват да следват новите изисквания, защото не разбират какви точно са те и дали се отнасят за конкретната дейност. За да се разберат доколко спазват новата GDPR наредба, управителите и собствениците на тези организации могат автоматично да анализират своята дейност чрез новите безплатни онлайн въпросници без нуждата от наемане на адвокати или други специалисти. В случай, когато са налични пропуски или нарушения, същите лица вече знаят кои аспекти от тяхната дейност са в несъответствие, какви са потенциалните глоби и препоръчани действия и мерски за поправяне на грешките.

Принципи[редактиране | редактиране на кода]

  1. Законосъобразност, добросъвестност и прозрачност
  2. Минимум данни
  3. Ограничение на целите
  4. Ограничение на съхранението
  5. Цялостност и поверителност
  6. Точност на данните
  7. Отчетност

Основания за обработване[редактиране | редактиране на кода]

  1. Съгласие
  2. Изпълнение на договор
  3. Законово изискване
  4. Обществен интерес
  5. Жизненоважни интереси на субекта на данни или трети лица
  6. Легитимен интерес на администратора или трети лица

Права на гражданите[редактиране | редактиране на кода]

Регламентът въвежда и кодифицира различни права на субекта на лични данни, а именно:

  1. Право на достъп до информацията
  2. Право на корекция
  3. Право на заличаване (да бъдеш забравен)
  4. Право на ограничаване на обработването
  5. Право на възражение
  6. Право на преносимост на данните
  7. Право на жалба пред надзорния орган

Вижте също[редактиране | редактиране на кода]

Външни препратки[редактиране | редактиране на кода]