Page 1 of 6
С помощта на въпросите представени по-долу ще преценим вида услуги, които са адекватни за вашия бизнес и ще предоставим възможно най-точна ценова оферта.
Въпросите са на тема:
  1. Обща информация за бизнеса.
  2. Видове лични данни, цели и обработка.
  3. Контакти за връзка с цел предложение на оферта и решение.

(напр. изпълнение на поръчки; договорни задължения; законови задължения; за целите на директния маркетинг и т.н)

(напр. медицинска информация, биометрични данни, данни за семейно положение, имотно състояние, данни относно етническа принадлежност, сексуална ориентация, политическа принадлежност и др.)

(напр. спедитори, външни счетоводни фирми, правни кантори, ИТ обслужване и т.н)

(напр. извършвате маркетинг услуги за други фирми; предоставяте счетоводни услуги, набиране на персонал и т.н)

Контакти
Въведи данни за контакт и ние ще се свържем в срок до 24 часа.

ПОНЯТИЯТА КОИТО НИ ТРЯБВАТ ЗА ДА РАЗБИРАМЕ ГДПР

От 25 май 2018 г. започва да се прилага Общия Регламент за защита на лични данни (“Общия регламент” или “GDPR”). С оглед широкия обхват на действие, ВСЕКИ БИЗНЕС, КОЙТО РАБОТИ С ЛИЧНИ ДАННИ НА ФИЗИЧЕСКИ ЛИЦА, Е ЗАДЪЛЖЕН ДА СПАЗВА изискванията на Общия регламент. Всяко предприятие следва да идентифицира процесите, свързани с обработка на лични данни, да направи оценка на текущото ниво на защита и неговото съответствие с GDPR и да въведе нужните вътрешни правила и процедури за законосъобразно събиране и обработване на лични данни.

Нека разгледаме  и обясним основните субекти и принципи установени в Общия регламент.

Ролята и задълженията на Администратора и Обработващия лични данни

Администратор на данни

Най-вероятно обработвате данни от различни източници. Събирате е-мейл адреси от хора, които четат интернет страниците ви, или които посещават ваши събития, търсите потенциални клиенти в Търговския регистър, LinkedIn или други професионални и бизнес платформи.

По този начин вие притежате информацията – вие я събиратеимате достъп до нея, и я обработвате по специфични начини. Следователно, вие администрирате данните. Това ви прави администратор на данни в светлината на Общия регламент. Вие определяте целите, средствата и обхвата на обработването.

Обработващ лични данни

Ако бизнесът ви представялва платформа, или софтуер, на който потребителите качват различни категории лични данни, вие се превръщате в обработващ – вие не администрирате данните лично, а обработвате данните от името на администратора.

Като обработващ лични данни, вие не определяте обхвата и целите на обработването. От друга страна, ако бъдете сигнализирани че ваш потребител (клиент/партньор) нарушава някои от правилата установени в Общия регламент, вие сте задължени да противодействате на това нарушение.

Препоръчително е да се подготвите за такъв сценарии, като опишете подробно, както в Общите условия, така и в Политикита за поверителност, какви действия ще предприемете, в случай че бъдете уведомени за нарушение на правилата установени в ГДПР.

ЗАЩИТА НА ЛИЧНИ ДАННИ, ПРИНЦИПИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ, И КАК МОГАТ ДА ПОВЛИЯАТ НА БИЗНЕСА ВИ

Законосъобразност, добросъвестност и прозрачност

Във всеки един момент трябва да може да отговорите на въпроса:

“Как съм получил конкретните лични данни ?”

Например: Съхранявате е-мейл адрес в списък за директен маркетинг. Трябва да знаете как, кога и за каква цел потребителят го е предоствил и да сте определили срок, в който може да го използвате. Дори и да сте получили информацията от външна фирма, която осъщестява подобни услуги, трябва да сте добре информани за процеса по събиране на данните, за да сте сигурни, че обработването, което извършвате е законосъобразно“

Обработването е законосъобразно, само ако администраторът има законова основа за обработването на данните. Поне едно от тези основания трябва да се прилага във всеки конкретен случай:

1)      Договорно основание  2) Съгласие 3) Правно задължение 4) Обществен интерес  5) Жизненоважен интерес 6) Легитимен интерес

Пропорционално на целите обработване

Съгласно Чл.5 от Общия регламент, личните данни могат да се събират само за конкретни (дефинирани), изрични (ясни) и легитимни (въз осова на валидно правно основание), опредлени към момента на събирането цели. Освен това, личните данни трбява да се обработват само по начин, съвместим с тези цели. Например, не може да използвате телефонния номер на субекта на данни за директен маркетинг, ако го е предоставил за целите на изпълнение на доставка от ваша страна.

Принцип на точност

Трябва да осигурите процедури в организационен и технически аспект, които да гарантират, че данните които обработвате се поддържат в актуален вид. За да осъществите това задължение, субектите на данни трябва да разполагат с възможност лесно да променят предоставените им лични данни.

Още един пример с е-майл маркетинг: Изпращате е-майл съобщение с есклузивно предложение до лица, които са използвали или са проявявали интерес към вашите услуги в миналото. В е-майл съобщението трябва да включите ясен текст с правото им на достъп до данните, правото да коригират и искат изтриването на тези данни.

Ако желаете да променим данните, които използвахме, за да се свържем с вас или желаете да изтрием тези данни от списъка ни с лоялни клиенти, натиснете тук.

Срок на обработването

Съгласно Чл. 5, параграф I, д) от Общия регламент – не трябва да обработвате лични данни за период по-дълъг от необходимото за целите на обработването.

GDPR не посочва как да определим времето, което е „необходимо за целите на обработка на личните данни“. На практика при преценка периода на обработване трябва да оцените следните критерии : как сте получили личните данни, по какъв начин ги обработвате, каква връзка имате с притежателя на данните и налице ли са законови срокове, в които трябва да съхранявате предоставените лични данни.

Пример: „Публикувате обява за работа в jobs.bg. Информацията, която сте получили от кандидатите за позицията (СВ, мотивационно писмо, референции) съдържа лични данни. От общо 100 кандидата, избирате 10, които най-много отговарят на вашите изисквания и ги каните на интервю. Личните данни на останалите 90 следва да бъдат изтрити след първия подбор, тъй като целта, за която са обработвани е преустановена. Назначавате един от десетте кандидата, личните данни на останалите кандидати може да съхранявате за максимален срок от 6 месеца. Приема се, че това е един допустим срок, в който същите лица може да имат интерес към публикуваната от вас позиция.“

Минимизиране на даните (“Data Minimization”)

Принципът на свеждане до минимум на данните по същество съдържа идеята, че с изключение на някои особени случай, дадена компания трябва да обработва само тези лични данни, които са и необходими за целите на обработката.

Принцип на отчетност

Този принцип е свръзан със задължението ви като администратори или обработващи лични данни да поддържате документация във връзка всички действия и процеси свързани с обработването на лични данни. Съгласно Чл. 24 от Общия регламент, администраторите ледва да прилагат подходящи Политики за защита на данните.

Препоръчваме на всеки един бизнес да създаде и управлява Регистри на дейностите по обработване на данните – не само защото предоставят отчетност при евентуална проверка от Комисията за защита на личните данни, но и помагат да се идентифицират потоците на информация в организацията и да се октрият по-слабите звена.

Права на субектите на лични данни

Права на информация към момента на събиране на данните (Чл.13 и Чл.14 от ГДПР) цели на обработването; правно основание; данни на администратора и ДПО, получателите или категориите получатели (ако има такива), срока за който ще се съхраняват или критерии за неговото определяне; правото да се оттегли съгласието по всяко време (ако данните са събрани на това правно основание); правото на жалба до Комисия за защита на личните данни;

Право на достъп и копие от личните данни, които администратора обработва (Чл. 15 от ГДПР).

Субектите на данни имат право да поискат коригиране, ограничаване на обработването и заличаване на  личните им данни „правото да бъдеш забравен“ от администратора/обработващия. (Чл. 16, Чл. 17 и Чл. 18 от ГДПР)

Право на възражение срещу обработването на лични данни (Чл. 21 от ГДПР) – най-късно в момента на първото осъществяване на контакт със субектана данните, той изрично се уведомява за съществуването на правото на възражение, по ясен начин и отделно от всяка друга информация. (например: „за целите на директния маркетинг, профилиране“)

Длъжностно лице по защита на данните (“ДЛЗД”) 

Ролята на ДЛЗД – да оказват съдействие на администраторите и обработващите лични данни за спазване правилата на Общия регламент.

Кога е задължително да назначите ДЛЗД?

  • Когато обработването се извършва от публичен орган или структура
  • Когато основните дейности на администратора или обработващия се състоят в операции по обработване, които поради своето естество, обват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни
  • Когато основните дейности на администратора или обработващия се състоят в мащабно обработване на специалните категории данни или на лични данни, свързани с присъди и нарушения

Изисквания към ДЛЗД – може да бъде както служител на компанията, така и да изпълнява задачите въз основа на договор за услуги. Не трябва да има “конфликт на интереси”

ЗАЩИТА НА ДАННИТЕ С ГДПР ПЪТЕВОДИТЕЛ

Комплексът ни от услуги е насочен към различен тип бизнеси, както малки, така и средни предприятия. Броя на услугите, които са изброени по-долу не е изчерпателен и зависи от сложността на  бизнес процесите свързани с обработване на лични данни, броя на служителите, броя на клиентите, обема и вида на данните, които се обработват. Цените също се определят на база големина на бизнеса, обем и вид данни, които обработва и на база поставените към нас задачи. Ориентировъчни цени са публикувани на следващата страница.

Изпълнението на услугата към Вас (“Клиента”) преминава през следните стъпки:

Среща с Клиента, за да ни запознае с бизнеса си, а ние да го запознаем най-общо с Общия регламент (“ГДПР”)

Събираме информация за преглед и анализ на процесите по обработване на лични данни от Клиента и на предприетите организационни и технически мерки (разглеждани от правна гледна точка)

Анализ на предоставената информация с оглед съответствие с GDPR и идентифициране на рискове и несъответствия, които биха могли да доведат до санкции след 25 май 2018 г;

Преглед и анализ на най-основните договори на Клиента във връзка с обработване на личните данни;с оглед резултатите от анализа, идентифициране на действията и документите, които следва да се осигурят/изменят с цел съответствие GDPR

Изготвяне на писмен доклад, документиращ резултатите от анализа по-горе, а именно:

  • Съпоставяме текущото положение и изискуемото спрямо GDPR относно всеки един от процесите свързани с обработка на лични данни в компанията.
  • Анализ и преценка на действително положение спрямо всеки един от принципите установени в Общия регламент и изготвяне на препоръки за осигуряване на необходимото съответствие.
  • Препоръки за отстраняване или минимизиране на установените несъответствия и рискове във всеки един процес на обработване на лични данни на Клиента;
  • Обсъждане на алтернативни подходи

Изготвяне на Фирмена политика за събиране и обработване на лични данни (правила за законосъобразно обработване на лични данни);

Изготвяне на Политика за поверителност, която информира всички посетители и клиенти на Дружеството за предстоящото обработване на лични данни и техните права при постъпване на интернет страницата на Дружеството

Изготвяне на бланкови документи във връзка с изпълнение на някои от задълженията на Клиента като администратор на лични данни, например:

–  форми за предоставяне на информация и съгласие на субектите на данни

–  специални клаузи за защита на лични данни в трудови договори

–  декларации за конфиденциалност на служителите;

–  протокол за периодична проверка на обработваните данни по регистри с оглед срока и основанието за тяхното обработване;

–  протоколи във връзка с унищожаване на лични данни, чието основание или срок за обработване са изтекли/отпаднали;

–  протоколи във връзка с тестване на нови програмни продукти;

–  протокол от обучение и тренировка.

Обучение на работниците/служители и на ръководството

Информационен одит на компютърните устройства и сървъри