Датата 25 май, от която и у нас ще започне да се прилага
Регламент ЕС 2016/679, се превърна в плашило за бизнеса - най-вече
заради страховитите глоби в милиони евро, които въвежда регламентът.
Но всъщност място за страх няма - още повече, че голяма част от правилата въобще не са нито нови, нито кой-знае колко трудни за осъществяване.
Затова да поговорим практично: какво трябва да направи една малка фирма, за да продължи да работи спокойно.
Започваме с най-простичките неща: какво ще де разбира занапред под "лични данни" и кой има задължения да ги опазва. И ще продължаваме напред със задълженията, едно по едно, фокусирайки се най-вече върху "малките" играчи на пазара.
Част 6: Как да се справим сами със задълженията по регламента: първо, второ, трето... Или какво практически трябва да предприеме малка фирма, за да спази регламента?
Първо трябва да съберете екипа, на който ще възложите подготовката за спокойното посрещане на "сакралната дата" 25 май, от която ще влезе в действие регламентът и за нашата страна.
Първо трябва да съберете екипа, на който ще възложите подготовката за спокойното посрещане на "сакралната дата" 25 май, от която ще влезе в действие регламентът и за нашата страна.
В този екип задължително трябва да има юрист /юрисконсултът на предприятието ще се окаже ключовата фигура в този екип, но ако нямате такъв - потърсете юридически съвет отвън/.
Счетоводителят и служителите /или поне този от тях с ръководни за дейността функции/ от личния състав - задължително трябва да се включат.
Системният администратор - без него също няма да може, защото повечето от конкретните мерки за защита на данните със сигурност ще се окажат свързани именно с неговите компетенции и специфични познания в областта на компютърните технологии.
Шефовете на различните отдели - реклама, маркетинг, администрация и човешки ресурси/ако има такива/, продажби и др. Те също трябва да присъстват в екипа - най-малкото, за да очертаят кръга от данни, с които се работи при тях, начините, по които те се обработват и сроковете, в които се съхраняват.
Това най-общо ще е вашият екип. И пак да повторим: с особена важност за него е юристът.Какво първо трябва да направи този екип
Най-първата му задача е да се запознае с новите нормативни изисквания. Голяма част от нормите в Регламента всъщност не са и нови, те съществуват и в сегашното ни законодателство. Но трябва да се познават.
Нормативната уредба, с която екипът трябва да се "сбори", задължително включва: Регламент 2016/679 (Общ регламент относно защитата на данните), Закон за защита на личните данни (ЗЗЛД) и измененията, които ще бъдат направени в него вероятно до броени дни, както и подзаконовите актове по прилагането му. Освен това: ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29 от регламента, а след 25.05.2018 г. – на Европейския комитет по защита на данните.
Второто нещо, което екипът трябва да направи, е анализ на всички дейности по обработване на лични данни.
Второто нещо, което екипът трябва да направи, е анализ на всички дейности по обработване на лични данни.
Какво значи това?
Най-простичко обяснено: на един лист всеки от изброените по-горе отговорни фактори в екипа, да запише:
Най-простичко обяснено: на един лист всеки от изброените по-горе отговорни фактори в екипа, да запише:
- какви категории лични данни постъпват в хода на работата в неговия отдел: имена на клиенти, имена на служители, ЕГН, адреси, снимки, данни за здравословното състояние и т.н., като се разделят на две групи - обикновени лични данни или "чувствителни", каквито са данните за сексуалния живот, биометрични данни политически възгледи и др.,
- на какви категории физически лица са тези данни: гражданство, възраст /пълнолетни или непълнолетни/, клиенти, служители и т.н.,
- с каква цел се събират и съхраняват тези данни - защото законът изисква това /като се посочва кой закон/, за сключване на договор, за уреждане на трудови правоотношения, за реклама, за бъдещо предлагане на нови продукти и др.,
- предоставят ли се на някого тези лични данни и на кого:
...на публични органи /НАП, НОИ, МВР, съд и др./, както и на какво основание се прави това - съобразно закон или по силата на договор,
...на обработващ лични данни /физическо или юридическо лице, външно за конкретната фирма, което обработва данни по силата например на договор - най-честият пример за такъв обработващ са външната счетоводна къща и компанията, която поддържа компютърната информационна система на фирмата/,
...на бизнес партньори – за целите на директен маркетинг, съвместни продукти и услуги,
- дали се предават лични данни в други държави, в кои (държава членка на Европейския съюз или трета страна) и на какво правно основание,
- колко време се съхраняват личните данни в организацията и как се определя този срок - от закона и кой точно, или по преценка на ръководството на фирмата - плюс мотивите защо е необходимо да се пазят точно в този срок,
- къде и как се съхраняват данните - отдел, конкретна стая, на хартиен носител или в електронен вид, на отделна компютърна конфигурация или мрежа и т.н.,
- кой от служителите има достъп до тях и на какво основание,
- какви мерки за сигурност се прилагат за защита на данните - описват се взетите мерки за защита на данните в електронен вид и тези на хартиен носител, нарични ли са антивирусни програми, пароли и кодове за достъп, има ли сигнално-охранителна система или физическа охрана, охранителни решетки и др.,
Всичко това трябва да се запише подробно и да се събере на едно място. Това представлява всъщност анализът на положението със сигурността на данните във фирмата към момента. Той се прави за ден или максимум за няколко дни, стига екипът да е наясно с нормативната уредба.
А след като сте наясно със съществуващото положение - лесно ще можете да преминете напред: да видите какво трябва да направите, за да приведете дейността си в съответствие с изискванията на регламента за защита на личните данни.
Очаквайте част 7: Какво следва после?
Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.
В случай, че се нуждаете от юридически консултации и помощ - телефонът ми е 0887/626 006. Но съм длъжна да предупредя: адвокатските услуги не са безплатни.
Повече за Регламента четете на:
Очаквайте част 7: Какво следва после?
Разясненията, които четете тук, нямат характер на адвокатска консултация. Тяхната цел е просто да помогнат на "малките" играчи на пазара да разберат какви са новите им задължения, за да могат да се изправят пред тях без излишна паника.
В случай, че се нуждаете от юридически консултации и помощ - телефонът ми е 0887/626 006. Но съм длъжна да предупредя: адвокатските услуги не са безплатни.
Няма коментари:
Публикуване на коментар