Един модел  за прилагане на GDPR в организациите

Един модел за прилагане на GDPR в организациите

ЦАНКО ЦОЛОВ                                                                                                                                                                                                                                                      Член на Комисията за защита на личните данни

 

zx620y348_3161602

За какво да си говорим
• Общо за Регламента – философия                                                                                                                                                                                                                          • Как да демонстрираме съответствие с Регламента                                                                                                                                                                                            • Как да си помогнем сами
Нещо се промени около нас

Технологичен скок;                                                                                                                                                                                                                                                Big Data – обем, скорост, разнообразие; •                                                                                                                                                                                                         • Промени се: • Икономиката • Пазарът • Организациите •                                                                                                                                                                   Трябва да се създадат правила за употреба на информацията                                                                                                                                                                 • За държавата – класифицирана информация; • За хората – личните данни • За организациите – не личните данни                                                       • За комуникацията между тях –

Регистри на дейностите по обработката
• името и координатите за връзка на администратора и на длъжностното лице по защита на данните; • целите на обработването; • описание на категориите субекти на данни и на категориите лични данни; • категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации; • документация за подходящите гаранции при предаване на лични данни на трета държава или международна организация; • предвидените срокове за изтриване на различните категории данни; • общо описание на техническите и организационни мерки за сигурност.


• Регистри обработвани данни и правното основание; • Субекти на данни и категории лични данни; • Цели и принципи на обработката; • Процедури по обработване на лични данни; • Случай при които обработката се основава на съгласие; • Документиране на обработката; • Организационни и технически мерки при обработката; • Нарушения на сигурността • Предоставяне на лични данни на трети страни; • Оценка на въздействието • Унищожаване на данните

Политика за неприкосновеност Privacy Notice
• Общо представяне на организацията • Кои сме ние • Къде се прилагат тези политики • Информация която събираме • Бисквитки • Как използваме информацията • Как споделяме информацията • Трансфери на лични данни
• Вашите права • Точност на информацията • Как защитаваме Вашата информация • Докога съхраняваме Вашата информация • Личните данни на деца • Кога можем да променим нашата политика • Как да се свържете с нас

Длъжностни характеристики и договори
• Длъжностни характеристики • Длъжностно лице по защита на личните данни; • Администратори на БД, системни администратори; • Изпълнители, участващи в процеса на обработката; • Договори • Клиенти – гаранции за предприетите мерки за защита, гаранции за спазване на права на субектите (при предоставяне на данни) • Обработващи – естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни.

Наръчник за упражняване на правата съдържа процедурите и формите за упражняване на права от субектите на данни • Информираност – данните, които идентифицират администратора и координатите за връзка с него; координатите за връзка с длъжностното лице по защита на данните; целите и правното основание за обработването; съответните категории лични данни, които се обработват; получателите или категориите получатели на личните данни; намерението на администратора да предаде данните на трета държава или на международна организация. срока, за съхраняване на личните данни; законните интереси, преследвани от администратора или от трета страна; право да се изиска от администратора упражняване на права или оттегляне на съгласие; правото на жалба до надзорен орган; източника на личните данни; съществуването на автоматизирано вземане на решения • Право на достъп до обработваната информация – целите на обработването; съответните категории лични данни; получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни; предвидения срок, за който ще се съхраняват личните данни; коригиране или изтриване на лични данни или ограничаване или да се направи възражение; правото на жалба до надзорен орган; източник на данните; автоматизирано вземане на решения; • Коригиране и изтриване • Ограничаване на обработката • Уведомяване – промяна; пробив • Преносимост на данните • Възражение при автоматизирано вземане на решение

Оценка на въздействието върху защитата на данните и предварителни консултации • Анализ на риска • Профилиране – финансово, поведенчески • Автоматизирано решение • Систематично наблюдение – публична зона или социални мрежи (система, организирано, методично, част от общ план по единна стратегия) • Чувствителни данни – политически възгледи, здраве, местонахождение • Мащабна обработка – публична зона, национални БД, BD технологии; • Съчетаване на набор от данни – обработвани за различни цели или от различни администратори • Данни за уязвими субекти – хора в неравностойно положение, търсещи убежище, възрастни хора, деца • Иновативно използване на мерки за защита • Обработка с възпрепятстване на субектите да упражнят правата си – достъп до национални база за проверка • Оценка на въздействието • Определяне сценарии при които се извършва оценка – наличие на 1 или повече критерии • Оценката включва: • Опис на операциите, постигащи целите на обработката; • Пропорционалност на обработката • Оценка на рисковете за правата на субекта • Мерки за минимизиране на риска и демонстриране на съответствие • консултация

Инструкция за организационно технически мерки за защита
1 . индивидуализиране на администратора на лични данни; 2. общо описание на поддържаните регистри – категории лични данни и основание за обработване; 3. технологично описание на поддържаните регистри – носители на данни, технология на обработване, срок за съхранение и предоставени услуги; 4. определяне на длъжностите, свързани с обработване и защита на лични данни, правата и задълженията им; 5. оценка на въздействие и определяне на съответно ниво на защита съгласно глава трета; 6. описание на предприетите технически и организационни мерки; 7.действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.); 8. предоставяне на лични данни на трети лица – основание, цел, категории лични данни; 9. срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им; 10. определяне на ред за изпълнение на задълженията за информиране при пробив
Какво е КОДЕКС
• Кодексите на поведение са добри или лоши практики които се задължаваме да прилагаме или никога да не използваме; • Кодексите за поведение имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

ФИЛОСОФИЯ на КОДЕКСИ НА ПОВЕДЕНИЕ
Кодекс на поведение
Наблюдаващ ОРГАН
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
ЕВРОПЕЙСКИ БОРД ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Регистър на наблюдаващите
Какво включва КОДЕКСА НА ПОВЕДЕНИЕ
• добросъвестното и прозрачно обработване; • законните интереси, преследвани от администраторите в конкретни аспекти; • събирането на лични данни; • псевдонимизацията на лични данни; • информирането на обществеността и на субектите на данни; • упражняването на правата на субектите на данни; • информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето; • мерките и процедурите за неприкосновеност по подразбиране и проектиране както и сигурност на обработването; • уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни; • предаването на лични данни на трети държави или международни организации; или • извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването.

Какво още ни трябва за да функционира КОДЕКСЪТ • КОДЕКСЪТ се наблюдава от акредитиран орган; • Към кодекса могат да се присъединяват трети страни (при използване механизма на двустранен договор) и извън територията на трети страни; • Кодексът е одобрен от националния надзорен орган; • Кодексът е одобрен от Комитета когато засяга повече от една държава членка; • Одобряващият орган осигурява публичност на КОДЕКСА
Какви са големите ползи от КОДЕКСА
• Може да се използва като основание за трансфер на данни; • Може да се използва като доказателство за използването на подходящи мерки за доказване на съответствието; • Може да гарантира спазването на изискването на регламент 2016/679 от обработващите; • Може да установява параметри на задълженията на администратора и обработващия; • Може да докаже отчитането на мнението на субектите на данни; • Може да послужи като буфер между субекта на данни и надзора; • Може да се използва като доказателство за намаляване на потенциални глоби и санкции • Може да ограничи правата на субектите при разследване нарушение на кодекса
МИТОВЕ ЗА GDPR • Регулацията не се отнася за нас; • GDPR е защита от външни атаки – преди всичко права и задължения – „неприкосновеност # сигурност“; • GDPR не е само борба с хакерите – GDPR е свободно движение на данни при зачитане на правото на защита. • Съгласието винаги е изрично – не то е недвусмислено; • Въвеждането на Регулацията е отговорност на IT отдела – преди всичко на бизнеса; • GDPR са санкции – не това е начин на правене на бизнес; • Регулацията няма да започне да действа на 25 май 2018г.; • Не се отнася до мен защото съм само обработващ на лични данни; • Съответствието с GDPR веднаж постигнато е „достатъчно“ – съответствието е процес; • Правата на лицата са абсолютни – не и ако съществува друго законово задължение за обработка; • Профилирането изисква съгласие – не ако не произвежда „правни последствия“ или „значително ви засяга“; • Псевдоанонимизираните данни се обработват като всички останали данни – не ако те са надеждно псевдоанонимизирани.

А Model for GDPR Implementation BHRA
download

 

Share on FacebookShare on Google+Tweet about this on TwitterPrint this page
Facebook