cookies-icon
Ние използваме бисквитки
(Не са ядливи)
Добре или Информация
Затвори
Начало Начало Начало Търсене Facebook EN

Новини

Общият регламент относно защита на данните (GDPR) и неправителствените организации

23 Май 2018

Всички знаем за Общия регламент относно защита на данните (GDPR) и за това, че от 25 май 2018 г. той влиза в сила. За всички, включително и за гражданските организации. Ето и няколко основни положения, които трябва да знаем, за да действаме в съответствие с Регламента.

Главната цел на Общия регламент е да позволи на физическите лица да контролират по-добре личните си данни.

Регламентът се основава на съществуващите правила за защита на данните, но въвежда значителни промени. Всички промени се отнасят на общо основание за неправителствените организации – независимо дали дейностите им включват провеждане на кампании, директен маркетинг, управление на екипа, набиране на доброволци, събиране на информация за потребителите на дадена услуга и пр.

Защо? – Отговорът се крие в понятията за „лични данни“ и за „обработване“ на лични данни.

  • Под „лични данни“ се разбира всяка информация, отнасяща се до идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“), пряко или непряко, чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
  • Под „обработване“ на лични данни се има предвид всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства, като: събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

Какво трябва да направим, за да сме в съответствие с новите правила за защита на данните?

Преди всичко, трябва да можем да обясним какви лични данни и с каква цел ги обработваме. Също, дали и какви данни споделяме с трети страни (например, донори), кои са тези трети страни и с каква цел го правим. Наред с това, трябва да можем и да докажем, че обработваме данните в съответствие с новите правила.

В член 24, параграф 1 от Общия регламент се определя основната отговорност на обработващите лични данни от гледна точка на спазването на изискванията на Регламента:

“Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.“

Ето защо, наличието на подходяща вътрешна документация и правила е от значение за спазването и доказването на съответствие с новите правила за защита на данните. А именно:

1. Създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в организацията със следната информация:

·       името и координатите за връзка на администратора и на Длъжностното лице по защита на данните, ако има такова;

·       целите на обработването;

·       описание на категориите субекти на данни и на категориите лични данни;

·       категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

·       когато е приложимо – информация за осъществено предаване на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, документация за подходящите гаранции за защита на личните данни;

·       предвидените срокове за изтриване на различните категории данни;

·       общо описание на техническите и организационни мерки за сигурност.

2. Приемане на вътрешна инструкция/правила/процедури/политика за защита на личните данни в съответната организация. Когато е приложимо – преглед и актуализация на действащите такива.

3. Ако и когато е приложимо – преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните, когато съгласието на субекта на данните е единственото правно основание за обработване с цел привеждането му в съответствие с изискванията на Регламента („съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени);

4. Ако е приложимо – преглед и актуализиране на правното основание за предаване (трансфер) на данни към получатели в трети страни.

 

Като единствен надзорен орган по защитата на личните данни, Комисията за защита на личните данни (КЗЛД) има отговорността да проведе разяснителна кампания и на достъпен език да популяризира основните положения на реформата в ЕС в областта на личните данни и новата правна рамка, която създава Общият регламент за защита на данните. КЗЛД публикува няколко информационни материала, които изчерпателно отговарят на редица въпроси, свързани с новите положения в областта на защитата на данните:

·       Информационен бюлетин на КЗЛД от м. май 2018, съдържащ инструмента „Правила за дружествата и организациите“ (стр.6-35) с описание какво следва да направят организациите, за да спазват правилата на ЕС за защита на данните. Инструментът е достъпен и онлайн на: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_bg .

·       10 практически стъпки за прилагане на Общия регламент за защита на данните.

·       Практически въпроси за защита на личните данни след 25 май 2018 г.

Полезен разяснителен материал относно действието на новата регулация спрямо гражданските организации, в частност във връзка с техните кампании за набиране на средства, е разработен съвместно от Международния център за нестопанско право и Европейския център за нестопанско право. Достъпен е тук, на английски език.

Към момента тече обществено обсъждане на изменения в националното законодателство в областта – Закона за защита на личните данни. Обхватът на някои конкретни задължения (например, в кои случаи ще е задължително назначаването на длъжностно лице по защита на данните), а също и размерът на санкциите ще стане ясен след окончателното приемане на изменения в приложимото законодателство.

Не на последно място, важно е да се отбележи, че въвеждането на нови правила в областта на защитата на личните данни е шанс за всички нас – нестопански, стопански или публични организации – да повишим вниманието и отговорността си спрямо данните, с които боравим. Да въведем ясни правила, които да спазваме и които да гарантират, че: няма да обработваме данни в степен по-голяма, отколкото ни е необходима; ще държим сметка за зачитане правата и свободите на физическите лица, чиито данни използваме; ще даваме ясна, пълна и точна информация на лицата относно данните им и целите, за които ги обработваме.

назад