Какво означава спазване на GDPR и кои компании са задължени да го прилагат?
Регламентът за защита на личните данни – Регламент (ЕС) 2016/679 (GDPR) – е приет през 2016 г. и се прилага пряко във всички държави членки на ЕС от 25 май 2018 г. Неговата основна цел е да осигури еднакво ниво на защита на личните данни в целия Европейски съюз и да даде реален контрол на физическите лица върху информацията за тях.
На практика GDPR поставя ясни правила за това как Вие като компания можете да събирате, използвате и съхранявате лични данни, както и какви права имат лицата, чиито данни обработвате.
Кои компании попадат в обхвата на GDPR?
GDPR се прилага за всяка компания, която обработва лични данни, независимо от нейния размер, ако:
е установена в ЕС; или
не е установена в ЕС, но предлага стоки или услуги на лица в ЕС или наблюдава тяхното поведение.
Това означава, че дори малка фирма, онлайн магазин, стартъп или консултантска практика попада в обхвата на GDPR, ако обработва данни на клиенти, служители, контрагенти или посетители на уебсайт.
Митът за „250-те служители“
Често се смята, че компании с по-малко от 250 служители не са обвързани със сериозни задължения по GDPR. Това не е вярно.
Наистина Регламентът предвижда ограничено изключение относно воденето на регистър на дейностите по обработване, но то не се прилага, когато:
обработването е редовно или системно;
засяга специални категории лични данни (напр. здравни данни);
съществува риск за правата и свободите на физическите лица.
В практиката повечето компании, независимо от размера си, нямат право да разчитат на това изключение.
Какво означава реално „спазване на GDPR“?
Спазването на Регламента не се изчерпва с формални документи. За Вашата компания това означава, че Вие трябва:
ясно да определите дали сте администратор или обработващ лични данни;
да обработвате данни само на валидно правно основание;
да информирате лицата по прозрачен начин (политики за поверителност);
да осигурите упражняването на правата им – достъп, корекция, изтриване, възражение;
да въведете подходящи технически и организационни мерки за сигурност;
при определени случаи – да назначите Длъжностно лице по защита на данните (DPO).
Неспазването на тези задължения може да доведе до значителни административни санкции, както и до репутационни и договорни рискове.
Как можем да Ви помогнем?
Ако Вашата компания попада в обхвата на GDPR, ние можем да Ви съдействаме с:
анализ на дейностите по обработване на лични данни;
изготвяне или преглед на вътрешни правила и политики;
оценка на необходимостта от DPO;
подготовка за проверки от Комисията за защита на личните данни;
практични решения, съобразени с реалния Ви бизнес, а не само с теорията.