GDPR И ЗАДЪЛЖЕНИЯТА НА ОРГАНИЗАЦИИТЕ ЗА ЗАЩИТА НА ДАННИТЕ НА ПОТРЕБИТЕЛИТЕ

Велиян Димитров

GDPR налага непрекъснато обучение на обработващите лични данни. Магистратура управление на защитата на личните данни.

Резюме

Директивите и регламентите от вторичното законодателство на ЕС, които са свързани с GDPR съдържат специфични разпоредби. Свързани са с прилагането на защитата на личните данни.

Обхващат

  • институциите, органите, службите и агенциите на ЕС;
  • секторите икономика, здравеопазване, услуги, образование, финанси;
  • застраховане, сигурност, въздушен и наземен транспорт;
  • е-управление, комуникации, правоприлагане;
  • ютилити – електроснабдяване, газоснабдяване, топлофикация,
  • областите кибер сигурност, ценни книжа, образование, онлайн услуги,
  • търговски дружества,  пенсионни институции и други.
  • мрежата EURES.

В настоящата работа е направен анализ на моментите от РЕГЛАМЕНТ (ЕС) 2016/679, предполагащи въвеждането на обучителни форми във висшите училища на базата на съдържанието му и потребностите на пазара.

ВЪВЕДЕНИЕ 

Философията на GDPR

Европейският съюз призна ново основно човешко право. С което  потребителите вече ще имат контрол над собствените си данни. С публикуването на

РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) право, известен и като General Data protection Regulation (GDPR).

Икономическата и социална интеграция, произтичаща от функционирането на вътрешния пазар, доведе до съществено увеличение на трансграничните потоци от лични данни. Нарасна обменът на лични данни между публични и частни участници, включително физически лица, сдружения и предприятия в Съюза. Правото на Съюза предвижда националните органи в държавите членки да си сътрудничат и обменят лични данни. Така ще са в състояние да изпълняват своите задължения или да изпълняват задачи от името на орган на друга държава членка.

Бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни

Значително нарастна мащабът на обмена и събирането на лични данни. Технологиите позволяват а организациите да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Физическите лица все по-често оставят лична информация, която е публично достъпна и в световен мащаб. Технологиите преобразиха както икономиката, така и социалния живот. Те следва да улесняват свободното движение на лични данни в Съюза и предаването на данни до трети държави. Същевременно е необходимо да се гарантира високо ниво на защита на личните данни.

Потребителите вече ще имат контрол на собствените си данни

GDPR дефинира правото на преносимост на данни в член 20, параграф 1, както следва: Субектът на данните има право да получи личните данни, отнасящи се до него, които той е предоставил на администратора на лични данни, в структуриран, често използван и машинно четен формат и има право да предава тези данни на друг администратор безпрепятствено от администратора, на който са предоставени данните [1].

 

  • МЕТОДОЛОГИЯ

В статията са използвани методи за преглед, сравнение, класификация, анализ на отражението на институционалния РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016, който по същество отговаря на належаща социална заявка и усложняващата се обстановка с управлението на данните и положението, в което се намират субектите на данните.

РЕЗУЛТАТИ

GDPR налага непрекъснато обучение на ръководния състав и обработващите данни

Анализът на GDPR и произтичащите от този регламент документи показва, че висшите училища може да се фокусират върху създаването на програми за бакалаври, магистри и общо насочени курсове, тъй като внедряването на GDPR засяга широк кръг служители на всички нива във всички организации. За възприемането на изискванията и последващото им приложение е необходимо да се преработят организационните процеси и съпътстващата документация в компаниите и институциите. Тъй като те са засегнати функционалните задължения на служителите от всички нива.

НЕПРЕКЪСНАТО ОБУЧЕНИЕ

В Насоките за ДЛЗД (Длъжностно лице по защита на данните, Data Protection Officer, DPO) [4] изрично е препоръчано: “Непрекъснато обучение. На длъжностните лица по защита на данните трябва да бъде дадена възможност да следят развитието в областта на защитата на данните. Целта следва да бъде непрекъснато повишаване на нивото на експертност на ДЛЗД и те следва да бъдат насърчавани да участват в курсове за обучение по защита на данните и други форми на професионално развитие, като участие в форуми, семинари и др.”.

Насоките са издадени от Работната група, която съгласно регламента ще прерасне в Европейски комитет за защита на данните (25 май 2018), който от своя страна ще е съставен от ръководителите на по един надзорен орган от всяка държава членка (за България – Комисията за защита на личните данни, КЗЛД) и Европейския надзорен орган по защита на данните, или от съответните им представители заедно с представител на Европейската комисия (ЕК).

Този комитет ще издава периодично редица документи и ще подготвя документите, издавани от ЕК.

Документите, издадени от този комитет въз основа на или във връзка с Директивата [5], която се отменя с GDPR, са общо 1069, от който:

– 111 становища (Европейски надзорен орган за защита на данните, ЕНОЗД);

– 19 решения за изпълнение (ЕК);

– 17 делегирани регламента, 1 делегирано решение, 1 рамково решение;

– 17 международни споразумения;

– 23 приключили дела, а има и още няколко неприключени (Съд на ЕС), общо позовавания – 49;

– и други.

Ако изхождаме от аналогията с Директива 95/46/EО [5], то през 2018-2019 следва да очакваме поне 100 документа, свързани с прилагането на GDPR. В момента той се споменава в 116 документа, а реформата в ЕС е още в началото си.

МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ

За да се подготвят за GDPR, организациите трябва да разширят мерките за защитата на данните, които досега прилагаха поради изискванията на Директива 95/46/EО (Общ регламент относно защитата на данните) и стратегиите си за кибер сигурност и да обхванат прозрачността и контрола на данните. Изборите, които правят относно данните на клиентите си, все повече се отразяват не само на действията на служителите по защита на данните, но и на целият им бизнес модел. Отговорът на рисковете на доверието на потребителите със сигурност е нещо, което може да подобри бизнеса, по-важен въпрос е дали компаниите може да си го позволят.

Регулаторните цели на GDPR са защита на личните данни с възможност за избор и контрол от страна на субектите на данните и укрепване на упражняването на основните права  на личен живот на лицата и връщане на контрола върху личните им данни в собствените им ръце.

Прилагането на GDPR ще изисква около 75 000 целево подготвени експерти за ЕС, но смятам, че тази оценка е занижена, тъй като по мое мнение само институциите, които регулират прилагането на регламента ще имат потребност от поне половината от този контингент.

Въпреки че член 37, параграф 5 не уточнява професионалните качества, които следва да бъдат взети предвид при определянето на ДЗД (Длъжностно лице по защита на данните), релевантният елемент е, че длъжностните лица по защита на данните трябва да имат опит в националните и европейските закони и практики за защита на данните и задълбочено разбиране на GDPR.

  • Ключови промени вследствие на GDPR

Целта на GDPR е да защити всички граждани на ЕС от нарушаване на неприкосновеността на личния живот и данни в един все по-задвижван от данни свят, който се различава значително от времето, през което беше създадена директивата от 1995 г. Въпреки че ключовите принципи на неприкосновеността на личните данни продължават да са в съответствие с предишната директива, много промени са предложени в регулаторните политики. Ключовите моменти от GDPR, както и информация за въздействията, които ще има върху бизнеса.

  • Разширяване на дефиницията на понятието лични данни

GDPR разширява дефиницията за лични данни с визията за защита на неприкосновеността на личния живот. В обхвата на понятието попадат чувствителните данни, свъзаните с финанасите, PII (Personal Identification Information), данни, които може да разкрият по косвен начин подробности от личния живот на човека, както и тези, за които са въведени понятия за генетични данни и биологични данни. Данните на децата се поставят под особена закрила.

  • Принципи за обработване на лични данни

Съгласно Член 5 Принципи [1], свързани с обработването на лични данни личните данни са:

a)обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
б)събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели
в)подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват;
г)точни и при необходимост да бъдат поддържани в актуален вид;
д)съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;
е)обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни.
  • Разширяване на териториалния обхват

Може би най-голямата промяна в регулаторния смисъл на неприкосновеността на личните данни е свързана с разширената юрисдикция на GDPR, тъй като се прилага към всички дружества, обработващи личните данни на субектите на данни, пребиваващи в Съюза, независимо от местоположението на компанията. Тази тема е възникнала в редица високопоставени съдебни дела. GPDR прави ясна приложимостта си – тя ще се отнася до обработката на лични данни от администраторите и преработвателите в ЕС, независимо дали обработката се извършва в ЕС или не. GDPR ще се прилага и за обработката на лични данни на субектите на данни в ЕС от администратор или преработвател, който не е установен в ЕС, където дейностите се отнасят до: предлагане на стоки или услуги на граждани на ЕС (независимо от това дали се изисква плащане) наблюдението на поведението, което се осъществява в рамките на ЕС. Дружествата извън ЕС, които обработват данните на гражданите на ЕС, също трябва да назначат свой представител в ЕС.

  • Санкции

При GDPR организациите в нарушение на GDPR могат да бъдат глобени до 4% от годишния глобален оборот или 20 милиона евро (което е по-голямо). Това е максималната глоба, която може да бъде наложена за най-тежките нарушения, например липсата на достатъчно съгласие от страна на клиентите за обработка на данни или нарушаване на основната концепция за поверителността на дизайна. Има фиксиран подход към глобите, напр. едно дружество може да бъде глобено с 2%, за да не има свои записи (член 28), като не уведоми надзорния орган и субекта на данните за нарушение или не извърши оценка на въздействието. Важно е да се отбележи, че тези правила се отнасят както за администраторите, така и за обработващите данните, което означава, че “облаците” няма да бъдат изключени от прилагането на GDPR.

 

  • Волята на субектите на данните

Съгласие. Настъпва краят на дългите нечетливи условия, чрез които потребителите се съгласява и предоставят данните си за обработване. Според GDPR искането за съгласие трябва да бъде дадено в разбираема и леснодостъпна форма, а обработването на данни е свързано с него. Съгласието трябва да е ясно и различно от други въпроси и да се предоставя в разбираема и лесно достъпна форма, като се използва ясен и ясен език. Трябва също толкова лесно да се оттегли съгласието, колкото да се даде.

  • Права на субекта на данни

Съобщение за нарушение Съгласно GDPR, нотификацията за нарушение ще стане задължителна във всички държави-членки, където нарушението на данните може да доведе до “риск за правата и свободите на физическите лица”. Това трябва да се направи в рамките на 72 часа, след като за пръв път се установи нарушението. Обработващите данните също ще трябва да уведомяват своите клиенти, администраторите, “без неоснователно забавяне”, след като за първи път узнаят за нарушение на данните.

Право на достъп. Част от разширените права на субектите на данни, очертани от GDPR, е правото на субектите на данни да получат от администратора на данни потвърждение дали личните данни, отнасящи се до тях, се обработват или не, къде и за каква цел. Освен това администраторът предоставя безплатно копие от личните данни в електронен формат. Тази промяна е драматично преминаване към прозрачност на данните и оправомощаване на субектите на данни.

Право да бъдеш забравен. Също така известно като Data Erasure, правото да бъде забравен дава възможност на субекта на данни да изиска от изтриване на личните данни от админнистратора на данни, да прекрати по-нататъшното разпространение на данните и евентуално да преустанови третирането на данните от трети страни. Условията за изтриване, както е посочено в член 17, включват данните, които вече не са свързани с първоначалните цели за обработка, или субектите на данни, които оттеглят съгласието си. Следва също така да се отбележи, че това право изисква от администраторите да сравняват правата на субектите на “обществения интерес към наличието на данните”, когато се противопоставят.

 

  • Преглед на инициативите свързани с GDPR в университетите

Прегледът на сайтовете на множество университети показва две линии по които се възприема GDPR от академечната общност:

  • провеждане на мероприятия за внедряване на изискванията на регламента и
  • подготовка и предлагане на образователни продукти по теми от него на пазара.

Следващите три примера илюстрират тези линии на поведение в крайните състояния на спектъра от бизнес възможности за образованието, които са свързани с GDPR.

University of Derby предлага кратък курс по GDPR за висши служители и нетехнически мениджъри, които отговарят за организационните, управленските и оперативните процеси, касаещи общите правила за защита на данните, както и за лицата, натоварени с мениджмънта на корпорациите.

Курсът е от интерес за лидерите в областта на човешките ресурси, маркетинга и обслужването на клиентите, особено в частния сектор и в МСП. Той също така ще бъде от интерес за тези, които се занимават с управление на корпоративния риск и системни интегратори [2].

Курсът, mредлаган от Karlstads Universitet, е насочен към студенти по информатика и инженеринг, IT специалисти и ИТ мениджъри, професионалисти в областта на ИТ сигурността и служители в областта на защитата на личните данни и неприкосновеността на личния живот, които управляват цифрови услуги в частния и обществения сектор [6].

В University of Reading се създава работна група (GDPR Working Group), която да подготви привеждането на информационните системи в съответствие с изискванията на регламента за защита на личните данни.

Работна група по GDPR, председателствана от университетския секретар, е създадена, за да разгледа въздействието върху процесите по обработване на данни в университетските информационни системи и да наблюдава изпълнението на всички необходими промени.

В нея са включени водещи  от следните структури: IMPS (The Information Management and Policy Services office); мениджмънта; техническо обслужване; правни услуги; доставки; изследвания и предприемачество; студентски услуги; човешси ресурси; планиране и стратегия; кампании и ангажираност на поддръжници [3].

 

  • ЗАКЛЮЧЕНИЕ

Анализът на въздействието на Регламент 2016/729 показва

Институционалната философия на ЕС е насочена към един сериозен дългогодишен пропуск в индустрията за ИКТ. Където обществения фокус беше в информационната сигурност и кибер сигурността.

При досегашните схващания организациите рядко фокусираха стратегиите си за сигурност в опазването на данните. Въпреки изследванията по темата, изключая финансовия сектор.

Стратегиите за сигурност, които се възприемаха най-често бяха базирани на

  • оценката на риска,
  • анализ на заплахите,
  • периметрова сигурност,
  • откриване и запушване на уязвимости и слаби места в защитата
  • и по-рядко фокусирани в сигурността на данните.

Засилва се тенденцията за недостиг на кадри поради тясната връзка на GDPR с информационната сигурност и в частност кибер сигурността и признатия дефицит на кадрови ресурс в тези области.

Пазарът е гладен за подготвени кадри и в същото време съществуват превъзходни условия за предлагане на образователни услуги в областите на GDPR и киберсигурност.

 

.ИЗТОЧНИЦИ

[1]       За Европейския парламент Председател M. SCHULZ За Съвета Председател J.A. HENNIS-PLASSCHAERT. РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

[2]            https://www.derby.ac.uk/online/cpd-professional-development-course/gdpr-managing-new-data-protection-corporate liability. The gdpr: Managing new data protection corporate liability.

[3] https://www.reading.ac.uk/internal/imps/DataProtection/imps-gdpr information.aspx. General data protection regulation (gdpr).

[4]       Adopted on 13 December 2016. Article 29 data protection working party 16/en wp 243. Guidelines on Data Protection Officers.

[5]       За Европейския парламент Председател K. HÄNSCH За Съвета Председател L. ATIENZA SERNA. ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.

[6]       Maria Wahl. New university course about the general data protection regulation 2017-05-31, Published: 2017-05-31.