GDPR регулира защитата на личните данни от момента, в който

Европейският парламент приема GDPR през април 2016 г.,

заменяйки остарялата директива за защита на данните от 1995 г. Тя съдържа разпоредби, изискващи от фирмите да защитават личните данни и поверителността на гражданите на ЕС за транзакции, които се извършват в държавите-членки на ЕС. GDPR също регулира износа на лични данни извън ЕС.

Разпоредбите са съгласувани във всичките 28 държави-членки на ЕС,. Това означава, че компаниите имат само един стандарт, с който да се съобразяват в рамките на ЕС. Този стандарт е доста висок и ще изисква повечето компании да направят голяма инвестиция, за да се съобразят с изискванията му.

Според доклада на Овум, около две трети от американските компании вярват, че GDPR ще ги накара да преосмислят стратегията си в Европа. Дори повече (85%) виждат, че GDPR ги поставя в неизгодно конкуретно положение спрямо европейските компании.

Кои компании са засегнати от GDPR?

Всяка компания, която съхранява или обработва лична информация на гражданите на ЕС, в рамките на страните от ЕС, трябва да спазва GDPR, дори ако няма бизнес присъствие в ЕС. Конкретните критерии, които дружествата трябва да спазват, са:

  • Присъствие в държава от ЕС;
  • Няма присъствие в ЕС, но обработва лични данни на европейски жители;
  • Повече от 250 служители;
  • По-малко от 250 служители, но обработката на данни засяга правата и свободите на субестите на данните, не е случайна или включва определени видове чувствителна лична информация. Това на практика означава почти всяка една компания. Проучване на PwC показа, че 92% от американските компании смятат, че GDPR е приоритет при защитата на данни.

Кога компанията ми трябва да бъде в съответствие с разпоредбата?

Компаниите трябва да са в състояние да покажат съответствие до 25 май 2018.

 

Кой в моята компания ще бъде отговорен за съответствието с разпоредбата?

GDPR дефинира няколко роли, които са отговорни за осигуряване на съответствието: администратор на данни, обработващ данни, и служител по защита на данните (DPO, ДЛЗД). Администраторът на данни определя как се обработват личните данни и целите, за които се обработват. Администраторът е отговорен и за това, да се увери, че външните изпълнители отговарят на изискванията на разпоредбата.

Обработващите данни могат да бъдат вътрешни групи, които поддържат и обработват лични данни или всяка външна фирма, която изпълнява всички или част от тези дейности. GDPR държи обработващите данни отговорни за нарушения на правилата за съответствие. Възможно е, както вашата компания, така и партньорът ви за обработка (като онлайн доставчик) да носят отговорност за санкции, дори ако грешката е изцяло върху партньора по обработката.

GDPR изисква администраторът и обработващия да посочат DPO /служител по защита на данни/. Той трябва да следи стратегията за сигурност на данните и спазването на разпоредбата. От компаниите се изисква да имат служител по защита на данни, в следните случаи:

  • ако обработват или съхраняват големи количества данни на граждани от  ЕС,
  • обработват или съхраняват специални категории лични данни,
  • редовно следят лични данни или са публичен орган.

Някои публични органи, като например правоприлагащите органи, могат да бъдат освободени от изискването да имат служител по защита на данни.