В епохата на нарушения на сигурността на данните и нарастващ регулаторен контрол спазването на GDPR е не само правно задължение, но и ключов компонент на репутацията на Вашата компания и доверието на клиентите. За съжаление, обхватът и важността на тази регулация на Европейския съюз е често подценявана и като следствие – недоглеждана. Нашата услуга за сертифициране по GDPR осигурява цялостен ръководен от експерти път към съответствие, като гарантира, че Вашият бизнес е изряден и защитен от санкции. Ние предлагаме цялостна подкрепа от първоначалната оценка до окончателното сертифициране и Ви помагаме да разработите ефективни процеси за обработка на данни, които са в съответствие със стандартите.
КАКВО ВСЪЩНОСТ Е GDPR?
Регламент General Data Protection Regulation (EU) 2016/679 на Европейския парламент и на Съвета (на български „Общ регламент на Европейски съюз за защитата на данните“) е приет на 27.04.2016г. и в сила от 25.05.2018г. Той регулира обработването на лични данни на физически лица в рамките на ЕС от други физически лица, дружества или организации. Във връзка с него е препоръчително дружествата да прилагат определени технически и организационни мерки още в ранните етапи (но и не само тогава) от проектиране на операциите си, така че да се гарантират обработката на лични данни, която се осъществява с най-голяма защита на неприкосновеността на личния живот и недостъпност.
ОСНОВНИ КОМПОНЕНТИ НА GDPR
Под лични данни (personal data на английски) се разбира всякакъв вид информация, свързана с живо физическо лице, което е или може да бъде идентифицирано, например: имена, адрес, ЕГН, номер на лична карта, местоположение, e-mail, IP адреси т.н.. Обработване на лични данни пък е всяко действие, което се извършва с тях: събиране, записване, организиране, структуриране, съхранение. То трябва да бъде сведено до минимум, тоест да се обработват само лични данни, които са необходими за съответната цел.
Според това кой определя как ще се обработват данните и кой реално ги обработва, едно лице може да бъде администратор или обработващ лични данни. Администраторът единствено определя за какво ще се използват данните, които се събират. Обработващият данните събира/обработва данни по заявка на администратора, като лицето, обработващо личните данни, може да бъде и администратор в някои случаи. Всеки администратор (и представител на такъв) поддържа регистър на дейностите по обработване, за които отговоря.
Обработката на лични данни се допуска: по силата на договор, по силата на закона, при наличие на легитимен интерес, със съгласието на субектите на данните, за изпълнение на задача от обществен интерес или при упражняване на официални правомощия. GDPR касае всяко дружество и институция, където съществува обработване на лични данни на клиенти или служители.
ЗАЩО GDPR Е ВАЖЕН ЗА ПРЕДПРИЯТИЯТА?
За да разберете доколко регулацията се отнася за Вашия бизнес, първо трябва да анализирате процесите в него. GDPR касае и всички сайтове, тъй като използват т. нар. „бисквитки“, а те съдържат определена анонимна информация, която идентифицира отделните потребители и следи техните предпочитания в Интернет.
GDPR се прилага не само за организации, разположени в рамките на ЕС, но и за такива извън държавите членки, ако предлагат стоки, услуги или наблюдават поведението на субекти на данни в ЕС. Регламентът се прилага за всички дружества, които обработват и съхраняват личните данни на субекти, пребиваващи в Европейския съюз, независимо от местоположението на компанията.
Важно е своевременно да бъдат предприети необходимите правни и практически действия за защита на личните данни, за да се спази GDPR регламента и да се избегнат санкции. Добра идея е да се посъветвате със специалист или сертифициращо дружество, за да Ви помогнат с изготвянето на необходимите документи и задължителни елементи, за да избегнете евентуални санкции. Те могат да бъдат в размер до 20 милиона евро или 4% от годишния оборот на дружеството.
GDPR И ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИ (DPO)
Съгласно изискванията на GDPR, в определени случаи се налага назначаването на длъжностно лице по защита на личните данни, което да вземе мерки за анонимизация, псевдонимизация и криптиране. То е с консултативни функции в областта на защитата на личните данни, надзирава спазването на регламента в организацията на администратора и обучава персонала. Длъжностното лице по защита на личните данни може да е физическо лице, външно или вътрешно за фирмата. Може да е служител на фирмата или външен експерт, например адвокат или фирма.
Лицата, обработващи лични данни, са длъжни да въведат вътрешни правила за обработването им, политика за защитата им, а в дадени случаи оценка на въздействието. Също така трябва да водят установените в закона регистри и да могат да гарантират защита на обработваните от тях лични данни. Следва да се вземат и необходимите мерки по техническата и физическа обезпеченост на обработваните лични данни.
Във връзка със своята дейност лицата, обработващи лични данни, са длъжни да предоставят следната информация на субектите:
- Информация за дружеството и за контакт;
- Целта, за която се събират данните и правното основание за обработването им;
- Лицата, на които ще се предоставят данните;
- Срока на съхранението им;
- Информация за правата на субекта;
- Информация за автоматизирана обработка и профилиране.
ОДИТ ЗА СЪОТВЕТСТВИЕ ПО GDPR
Ние от BulAdvice можем да Ви предложим одит за съответствие по GDPR, който включва:
АНАЛИЗ НА ПРОПУСКИТЕ
За да сме сигурни, че процесите в компанията отговарят на Регламента, трябва да се запознаем изцяло с Вашата база данни, да проследим процесите и да търсим пропуски в тях. Правният и организационен (GAP) анализ включва:
- Пълен анализ на личните данни, с които работите, и начина, по който се обработват;
- Анализ на обмен на лични данни на трети страни, включително споразумения;
- Анализ на ролите (администратор или обработващ) и отговорностите по отношение на обработката на лични данни;
- Анализ на процедурата, свързана с личните данни, работните инструкции и т.н.
ТЕХНОЛОГИЧЕН ОДИТ И АНАЛИЗ
- Идентифициране на структурни и неструктурни недостатъци при работа с лични данни;
- Рискове, свързани с дейности, процеси и мерки;
- Анализ на вътрешни процедури, инструкции, разпоредби и др. свързани с личните данни;
- Анализ на процеса на докладване, реагиране на инциденти и събиране на доказателства.
Имайте предвид, че не можем да анализираме мерките за сигурност в IT инфраструктурите на вашата организация.
ОРГАНИЗАЦИОННИ ПРОМЕНИ ЗА СПАЗВАНЕ НА GDPR
- Mетодология за оценка на риска при обработка на лични данни;
- Съсловия за съответствие по GDPR;
- Вътрешни правила и политики, в т.ч. политики за класифициране на информация;
- Анализ на инструментите за мониторинг на сигурността и подобрения;
- Персонализирана процедура за подаване на сигнал за нарушения на личните данни въз основа на вашите нужди;
- Обучение на персонала.
Ние не можем да извършим анализ на възможностите за криптиране, анонимизиране/псевдонимизиране и архивиране на данни.
ТЕКУЩА ОЦЕНКА
Като част от нашата услуга два пъти годишно, в периодите от 15-ти до 30-ти януари и от 1-ви до 15- ти юни, ние ще осъществяваме текуща оценка по отношение на Вашето съответствие с GDPR. Тя обхваща:
- Анализ на личните данни, с които работите;
- Анализ на нови дейности и процеси;
- Анализ за актуалност на въведените вътрешни процедури, политики, инструкции и др. свързани с личните данни;
- Контрол по спазването на въведените вътрешни процедури, политики, инструкции и др. свързани с личните данни;
- Анализ на вътрешно корпоративното действие на съответствието;
- Ефективност – степента, в която е постигнато съответствие с GDPR;
- Ефикасност – степента, в която желаните ефекти са постигнати;
- Устойчивост – степента, в която положителните практики са се запазили след въвеждането им;
- Полезност – степента, в която въведените мерки за съответствие отговарят на Вашите потребности, проблемите и въпросите, които е трябвало да бъдат удовлетворени или разрешени;
- Последователност – степента на разпространението на положителни/ отрицателни ефекти в работата на компанията;
- Приемливост – степента, в която задължените лица са приели въведените мерки за съответствие като цяло, както и предложения за актуализация.
В резултат на извършената оценка ние ще изготвим обективно заключение, което ще включва описание на началната ситуация, детайлно изследване на поставените в обхвата на оценката въпроси, както и предложения и препоръки за въвеждане/актуализиране на въведените мерки за съответствие с GDPR.
С оглед заключенията от извършената оценка, предвид необходимостта от постоянно актуализиране и надграждане ние ще организираме и проведем подходящо обучение на Вашите служители, съобразно индивидуалните потребности на компанията.
ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (DPO)
В процеса на въвеждане на съответствие с GDPR във Вашата компания ние ще преценим и ще ви информиране дали задължително следва да имате длъжностно лице по защита на личните данни (DPO) Ето какво трябва да направи то:
- Информиране, съветване и отправяне на препоръки в областта на защитата на данните;
- Участва в обучението на персонала;
- Съвети във връзка със защитата на личните данни;
- Контакт със субектите на данни.пълен спектър от услуги, свързани със спазването на регламента:
- Изготвяне на Политика за обработване и защита на личните данни;
- Информираност на потребителите за личните данни, които се обработват, и за правата им;
- Определяне на цели и срок на съхранение на лични данни;
- Изготвяне на план и организация за уведомяване на КЗЛД в случай на пробив в системата за лични данни;
- Прилагане на принципите за защита на личните данни;
- Удостоверяване и доказване, че обработването на лични данни съответства на Регламента;
- Уреждане на отношенията с трети лица;
- Внедряване на Политиката за обработване на личните данни в Интернет страница;
- Актуализиране на правилата за защита и обработка на личните данни.
Не оставяйте съответствието си с GDPR на случайността! Позволете ни да Ви помогнем да защитите бизнеса си, да спечелите доверието на клиентите си и да подобрите пазарните си позиции с нашата услуга за сертифициране по GDPR. Свържете се с нас днес, за да насрочите безплатна консултация и да направите първата стъпка към цялостна защита на данните.