Конкретни стъпки за прилагане на Регламента на ЕС за личните данни (GDPR)

Новият регламент за личните данни на ЕС ще засегне голям кръг от фирми, които работят с лични данни на клиенти. Такъв е и случаят с обектите за настаняване на туристи. Вижте тук какви конкретни стъпки може да предприемете сами за Вашия бизнес, за да сте сигурни, че изпълнявате изискванията на Регламента.

1. ЗАПОЗНАВАНЕ С НОВИТЕ НОРМАТИВНИ ИЗИСКВАНИЯ В ОБЛАСТТА НА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ

1.1 Определяне на служители или екип, които да отговарят за привеждане на дейността на дружеството в съответствие с новите изисквания

2. ВЪТРЕШЕН АНАЛИЗ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

2.1 Какви категории лични данни и на какви категории физически лица (независимо от тяхното гражданство) се обработват:

2.2. За какви конкретни цели се събират, съхраняват и обработват личните данни

2.3. На кого се предоставят или разкриват личните данни извън организацията

2.4. Дали се предават (трансферират) лични данни в други държави, в кои (държава членка на Европейския съюз или трета страна) и на какво правно основание

2.5. Колко време се съхраняват личните данни в организацията и как е определен този срок.

2.6. Какви мерки за сигурност се прилагат за защита на данните.

3. ПРЕЦЕНКА ДАЛИ Е НАЛИЦЕ ЗАДЪЛЖЕНИЕ ДА СЕ ОПРЕДЕЛИ ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

3.1. Задължение да определят Длъжностно лице по защита на данните имат следните администратори на лични данни (физически и юридически лица):

  • публичен орган или орган на местно самоуправление;
  • администратори, които извършват системно и мащабно наблюдение на субектите на данните;
  • администратори, които извършват мащабно обработване на специални (чувствителни) лични данни;
  • в други, предвидени в закон случаи.

3.2. Определяне на Длъжностно лице по защита на данните по един от следните алтернативни начини:

  • назначаване на служител в дружеството или организацията;
  • съвместяване с друга длъжност (без конфликт на интереси);
  • по граждански договор с външно за организацията физическо лице.

3.3. Квалификация на Длъжностното лице по защита на данните: да има експертни познания в областта на защитата на данните – законодателство и практика.

3.4. Обучение на длъжностното лице по защита на данните:

  • първоначално;
  • текущо.

(Препоръчително е да се определи Длъжностно лице по защита на данните преди да се премине към следващите стъпки.)

4. УПРАВЛЕНИЕ НА РИСКА ПО ОТНОШЕНИЕ НА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ

4.1. Извършване на оценка на риска на основата на:

  • естеството, обхвата, контекста и целите на обработването;
  • възможните рискове за правата и свободите на физическите лица и тяхната вероятност и тежест;
  • последиците за правата и свободите на физическите лица.

4.2. Извършване на оценка на въздействието върху защитата на личните данни при наличие на висок риск

4.3. Задължителна предварителна консултация с КЗЛД, ако оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако не се предприемат ефективни мерки за ограничаването му.

4.4. Избор на подходящи технически и организационни мерки, за да може да се гарантира и докаже спазване на Регламент 2016/679 и 33/1Д

5. ПРИЕМАНЕ НА ПЛАН ЗА ДЕЙСТВИЕ ЗА ВЪВЕЖДАНЕ НА ОПРЕДЕЛЕНИТЕ ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

5.1 Определяне на отговорник и екип.

5.2. Определяне на срокове и етапи за изпълнение.

5.3. Осигуряване на необходими финансови, технически и човешки ресурси.

6. ПРЕГЛЕД НА ПРАВНИТЕ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ, ВКЛЮЧИТЕЛНО ВЪЗ ОСНОВА НА СЪГЛАСИЕ НА ЛИЦАТА

6.1. Преглед на използваните до момента алтернативни правни основания за обработване на лични данни:

  • съгласие;
  • сключване или изпълнение на договор;
  • законово задължение за администратора;
  • защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
  • изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора;
  • легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).

6.2. Преценка дали е законосъобразно и целесъобразно обработването на лични данни – да е на основание единствено съгласието на лицето.

Мълчанието на лицето вече не може да се приеме за съгласие

6.3. Документиране на съгласието с цел доказване пред Комисията за защита на личните данни и съда (декларации и др.).

6.4. Осигуряване на практическа възможност на субекта на данните да оттегли по всяко време съгласието си толкова лесно, колкото го е дал.

7. ИНФОРМИРАНОСТ НА СУБЕКТИТЕ НА ДАННИТЕ И ПРОЗРАЧНОСТ НА ОБРАБОТВАНЕТО

7.1. Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството/организацията или по друг достъпен за субектите на данни начин относно:

  • идентифициране на дружеството или организацията – наименование и начин за контакт, включително с Длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);
  • какви категории лични данни се събират и за какви цели се обработват;
  • категориите получатели на лични данни извън дружеството или организацията, както и дали ще се предават (трансфери- рат) данни в трети страни извън ЕС;
  • срока за съхранение на данните;
  • съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
  • правото на субектите на данни да подадат жалба до КЗЛД или до съда;
  • дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;
  • (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.

8. УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

8.1 Приемане на вътрешна процедура и/или план за действие в случай на нарушение на сигурността на личните данни.

8.2 Определяне на отговорен служител/екип за реакция при нарушение на сигурността на личните данни, инструктаж на персонала, др.

8.3 Създаване на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.

9. ДОКУМЕНТИРАНЕ И ОТЧЕТНОСТ

В съответствие с принципа на отчетност всеки администратор е длъжен:

– да прилага на практика принципите за защита на личните данни, съгласно Регламент 2016/679;

– да удостовери и докаже, че обработването на лични данни съответства на тези принципи.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

^