Например, име; телефон; адрес; имейл; номер на кредитна карта; автомобилен номер;IP адрес; записи от видеонаблюдение и т.н. Освен това, знаете ли кога за първи път получихте тази информация и въз основа на какво основание . Много е лесно да се подцени обема данни, които обработвате, но съгласно GDPR, данните трябва да се управляват правилно и законосъобразни или ще ви бъдат наложени сериозни санкции.

Всяко действие или съвкупност от действия, които могат да се извършват по отношение  на лични данни – събиране, съхраняване, използване, прехвърляне, изтриване

Също така трябва да знаете от къде сте получили данните и къде се съхраняват, за да можете да получите достъп до тях и да докажете, че ги обработвате на законно основание, при евентуална проверка или отправено искане съгласно GDPR. Например, ако някой иска да се позове на правото да бъде забравен, да оттегли съгласието си или да получи информация за данните, които съхранявате, трябва да сте в състояние да отговорите на тези искания и да го направите своевременно. Например, на искане за достъп отправено от субекта на данни трябва да бъде отговорено в рамките на 30 дни от отправяне на искането, съгласно Общия регламент.

Този принцип има за цел да осигури високо ниво на сигурност в настройките на всеки нов продукт или услуга, преди да стигнат до потребителя. Освен това, най-строгите настройки за поверителност следва да се прилагат по подразбиране, без ръчно въвеждане от потребителя.

Пример: Иван се регистрира в социална мрежа и открива, че много по-голяма  част от потребителския му профил е споделена по подразбиране, отколкото е очаквал. В този случай, компанията, която е създала и управлява социалната мрежа не е спазила принципа за защита на личните данни на етапа на проектирането и по подразбиране.

Този принцип включва всички защити целящи да предотвратят неразрешено или незаконно обработване на лични данни, както и тяхната загуба, унищожаване или повреда.

Пример: Служител на вашата компания използва личната си флаш памет за прехвърляне на документи от сървъра към персоналния си компютър. Използваното устройство не включва криптиране на информацията, лесно става обект на хакерска атака и информацията попада в чужди ръце. В този случай, вашата компания като работодател носи отговорността, защото не е приложен принципа за сигурност на обработването като е допуснато служител да използва незащитена флаш памет за прехвърляне на лични данни.

Определянето на техническите мерки е пропорционално на нивото на защита, което компанията ви следва да осигури. Примери за технически мерки – съхраняване на информацията на локален защитен сървър, редовно архивиране на информацията, антивирусен софтуер за защита в реално време, защитни стени, управление на достъпа до потребител и т.н.

Съгласно Общия регламент, две са правните основания за законосъобразно обработване на данни за целите на директния маркетинг – съгласие от субекта на данни или легитимен интерес.

GDPR изисква от вас да осигурите прозрачност в процесите по обработване на лични данни, да документирате тези процеси и да може да представите доказателства при евентуална проверка от регулаторния орган.

GDPR признава, че директният маркетинг често е „легитимен интерес“ на администратора на данни (легитимния интерес е основание,  което не се базира на съгласието на индивида) и следователно съгласие за директен маркетинг често не се изисква. (Точка 47 от Преамбюла към Общия регламент)

„Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради легитимен интерес”  

Въпреки това, преди да решите да базирате обработването на данни за конкретна маркетингова кампания на легитимния ни интерес, трябва да извършим оценка на риска.

Кои са критериите за извършване на оценка?

  • дали интересите на вашата компания не нарушават основни права и свободи на субекта на данни;
  • имате ли изградени взаимоотношение със субекта;
  • очаква ли индивида да получи съобщение от вас;
  • осигурили ли сте му възможност да се откаже от получаването на подобни съобщения в бъдеще.

Когато са били наети? Чрез какъв канал са наети? Къде се пази цялата им информация? Ще може ли да докажете всичко това? Можете ли да предоставите имейл кореспонденция между вас и този служител?

Служителите имат право да получат тази информация, ако подадат искане за достъп в писмен вид, така че трябва да можете да отговорите на всички въпроси адекватно и своевременно.

Анонимизирането необратимо унищожава всеки начин за идентифициране на субекта на данните. Анонимните данните не се считат за лични данни.

От друга страна, псевдонимизацията представлява техника на обработване, при която информацията на субекта на данните се разделя по такъв начин, че всяка от тези данни сама по себе си не може да доведе  до идентифициране на субекта.

Например:  Когато плащате комунални услуги, често операторът ви издава идентификационен номер, които може да стои на документа за плащане – този номер сам по себе си не може да ви идентифицира, но когато въведете този идентификационен номер в системата на оператора, то тогава могат да бъдат намерени и останалите ваши данни.

Начин за защита срещу неразрешено или незаконно обработване на данни. Използва  се ключ, който кодира данните, така че само потребителите с достъп до този ключ могат да прочетат информацията

Автоматизирана форма на обработване на лични данни, която цели да оцени лични аспекти на физическото лице.

Когато администраторът събира личните данни с цел профилиране, задължително следва да обоснове своя законен интерес на основание – съгласие от субекта на данни.

Да. Ако обработвате лични данни, то тогава трябва ясно да обясните на посетителите на вашия уеб сайт как обработвате техните данни. Съгласно Общия регламент, трябва да предадете информацията на ясен и разбираем език, и безплатно.

Ако обработвате данни на деца, то тя трябва да бъде написана по начин, разбираем за тях.

Когато основните дейности на компанията ми се състоят в операции по обработване, които поради своето естество, обват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни       
-Когато основните дейности на компанията ми се състоят в мащабно обработване на специалните категории данни или на лични данни, свързани с присъди и нарушения

Да информира и образова бизнеса и служителите ми за техните задължения по силата на Общия регламент и правата на субектите на данни,да съблюдава спазването на ГДПР, да действа като първо лице за контакт на въпроси от Комисията за защита на личните данни и лица, чиито данни се обработват

На официалния сайт на Европейския съюз за ГДПР

GDPR на български език в различни формати на документи от EUR-Lex.

Отделете време, за да отговорите на горепосочените въпроси. Те ще ви помогнат да прецените точно къде са пропуските във вашата организация и мерките, които трябва да предприемете. Дайте приоритет на тези от тях, които представляват най-голям риск за вашата организация. Ако имате нужда от консултация, ние сме на ваше разположение.

FAQ
Оценете тази статия!