С развитието на свързаните технологии, Европейският съюз развива активна политика в подкрепа на информационната сигурност и защитата на правата на физическите лица по повод обработването на техните лични данни. През 2016 г. бe приет нормативен акт от ключово значение за защитата на личните данни на граждани и потребители, а именно – Регламент 2016/679 на Европейския парламент и на Съвета за защитата на физическите лица относно обработката на личните им данни (Общ регламент относно защита на данните; по-известен в публичното пространство като GDPR).

Регламентът въвежда редица нови задължения за администраторите на и обработващите лични данни и се прилага пряко в държавите-членки от 25 май 2018 г. Основава се на рисковете, които обработването на лични данни може да създаде, поради което с него се установява по-строг режим по защита на личните данни. Част от новите задължения включват: поддържане на регистри на дейностите по обработване на данни, извършване оценка за въздействието на на дейността на организациите върху правата и свободите на физическите лица, уведомяване на компетентните надзорни органи при пробив в сигурността на личните данни в срок от 72 часа след установяване на пробива и т.н.

В съответствие с въведеният принцип за отчетност, отговорните лица трябва да са в състояние на докажат, че обработват данните съгласно изискванията на Регламента. В противен случай подлежат на санкция – в размер до 20 000 000 евро или до 4% от общия годишен световен оборот за предходната финансова година, което от двете е по-голямо; при съобразяване и с националните особености относно налагане на санкции и глоби.

Инвестирането в мерки за съответствие с правните изисквания за защита на данните е не просто административно задължение за организациите. Една от особеностите на новия Регламент е свързана с отчитането на законосъобразността на дейността по защита на данните, включително по веригата доставчик – клиент – потребител. Считано от 25 май 2018 г. е в правото на контрагентите да изискват от Вас, чрез договорни клаузи, отговорност относно защитата на данните във връзка с предлаганите услуги/продукти. Физическите лица, чиито данни се обработват, също ще имат възможност по-ефективно да упражняват разширен кръг от права спрямо дейността на организациите и предоставяните от нея услуги. Ето защо изграждането на адекватна програма за защита на данните не следва да се разглежда само като нормативна тежест, от която зависи избягването на тежки финансови или репутационни загуби, а като стратегическа мярка за осигуряване на конкурентно предимство на пазара.

В отговор на тези нужди, екипът на Фондация „ЛИБРе“ комбинира специалисти с юридическа, аналитична и технологична експертиза и знания и дългогодишен опит в прилагането на принципите и спецификите на защитата на личните данни, за целите на привеждане на оперативните процеси в съответствие с тези нови изисквания. Прилагаме подход, основан на оценка на рисковете - съгласно философията на режима за защита на данните, интегрирайки в своите предложения ефективни мерки за преодоляване или минимизиране на тези рискове и гарантиране на законосъобразността на обработка.

Предлагаме следните услуги:

Може да разгледате предоставяните от нас услуги по защита на лични данни, във връзка с:

Рамкова инициатива за развитие на малки и средни предприятия – за консултации, насочени към юридически лица и индивидуални експерти

Рамкова инициатива за развитие на юридически лица с нестопанска цел – за консултации, насочени към юридически лица с нестопанска цел

Рамкова инициатива за развитие на електронното правосъдие в България и Рамкова инициатива за развитие на електронното управление в България – за консултации на публични организации и органи на съдебната власт

Рамкова инициатива за защита на личните данни в сектор „Здравеопазване“ – специфични услуги към представителите на сектор „Здравеопазване“.

В случай, че предоставяните услуги ви представляват интерес, може да потърсите екипа на Фондация „ЛИБРе“ за индивидуална оферта.



Изготвяне и внедряване на Програма за защита на личните данни

Обхватът на услугите по изготвяне на Програма за защита на личните данни за физически и юридически лица, които обработват лични данни, с изключение на дейностите, изброени в чл. 2.2 от Общия регламент относно защитата на данните - независимо от обхвата на извършвани услуги, сфера на дейност, брой служители, финансов оборот и/или брой години опериране на пазара на труда; включва:

Първоначален анализ на проблемите и рисковете и изготвяне на План за работа. Дейността включва провеждането на встъпителна среща с ръководния състав, в рамките на която се представят основните стъпки в хода на провеждане на консултацията и техните особености.

В резултат се установява краен списък на задачи, които следва да залегнат в Плана за работа, и се определя единната точка за контакт от страна на организацията-клиент. Изготвя се цялостен План за работа, като се отбелязват вътрешните срокове за работа и отговор от страна на двете страни, включително при възникване на въпроси или специфични комуникационни нужди, както и потенциалните критични точки при разработване на Програмата за защита на личните данни.

Анализ на потоците от данни (картографиране на потоците от лични данни). Има за цел да събере сведения за процесите на управление на информацията в рамките на организацията – клиент, с цел привеждане на дейностите ѝ в съответствие с българския и европейския правен режим за защита на личните данни и изготвяне на вътрешни фирмени правила и процедури в съответствие с правните изисквания за защита на личните данни и за намаляване, противодействие или цялостно елиминиране на рисковете, свързани с тази обработка. Включва правен и организационен анализ на естеството, обхвата, контекста и целите на обработване на лични данни посредством преглед на вътрешни документи и информация и експертна оценка относно: а) категориите субекти на данни; б) категориите обработвани лични данни; в) целите на обработване, включително чрез технологичното портфолио на организацията и съотношението му с обемите от информация и лични данни, които се обработват; и г) начина и средствата за обработване (описание на хранилища, потоци на данни, процеси и участници), включително информационните потоци и връзки при обмена на информация в организацията и между организацията и трети страни, мястото на обработване, сроковете на обработване и лицата, които обработват или на които се разкриват тези лични данни.

Дейността може да бъде допълнена от технологичен одит в зависимост от дейността и възможностите на организацията – клиент.

В резултат от тази дейност екипът на Фондация „ЛИБРе“ изготвя отчет-становище от извършения анализ, като данните са визуално онагледени и/или са описани в регистър на дейностите по обработване.

Резултатите от този анализ ще бъдат на разположение на организацията - клиент, за да ѝ помогнат да придобие детайлна информация и експертна оценка относно: стойността на информацията, с която разполага; рисковете от правен, етичен и икономически характер за защитата на информацията, и в частност личните данни, обработвани от организацията; и необходимостта от предприемане на конкретни технически, организационни и правни мерки за защита сигурността на информацията и обработваните лични данни, както и от назначаване на длъжностно лице по защита на данните.

Оценка на въздействието върху защитата на данните (ОВЗД). Включва оценка на рисковете от установени несъответствия. Това е процес, предназначен да опише систематично и функционално обработването, да оцени необходимостта и пропорционалността и да спомогне за управлението на рисковете за правата и свободите на физическите лица, произтичащи от обработката на лични данни чрез анализ и идентифициране на мерки за тяхното разрешаване. ОВЗД е важен инструмент за отчетността на администратора, тъй като му помага не само да спази изискванията на Общия регламент относно защитата на данните, но и да демонстрира, че са взети подходящи мерки за защита на личните данни.

В резултат от този етап се изготвя отчет-становище от извършената оценка, който включва: а) списък с потенциални несъответствия с Общия регламент относно защитата на данните, в който са указани най-сериозните рискове, които следва да се разгледат приоритетно; б) план за извършване на оценка на рисковете както за правата и свободите на субектите на данни (напр. дискриминация, непропорционално нарушаване на правото на неприкосновеност на личния живот и др.), така и за сигурността на обработването, включващ: описание на целите на оценката на риска; избор на подходяща методология за оценка на риска; и описание на процедурата за оценка на рисковете; и в) оценка на рисковете и предписания за конкретни мерки, която е документирана в докладa.

Експертната оценка на дейността на организацията – клиент, ще изведе конкретни препоръки за организационни и технологични мерки за преодоляване на идентифицираните рискове и за подобряване на сигурността на обработването.

Разработване на вътрешни правила и процедури, чрез които организацията ще функционира в съответствие с приложимите правни норми и принципи съгласно изискванията за защита на данните. Преминава на два подетапа: а) изготвяне на План за реализация на Програмата за защита на личните данни, като са отчетени особеностите на дейността на организацията, които могат да изискват съставянето на допълнителни документи и/или процедури; и б) изготвяне на необходимата за управлението на Плана документация.

В хода на разработване на необходимия пакет документи подпомагаме организацията – клиент, да изгради регистри за дейностите по обработване, политики и общи условия за предлаганите услуги по електронен път, вътрешни инструкции и процедури, политики за реакция при установяване на пробив в конфиденциалността на личните данни, процедури за вътрешен контрол, оценки за въздействието на дейностите по защитата на данните, ръководства за действие при искания, направени от субектите на лични данни за удовлетворяване на техните законови права, включително правото да бъдеш „забравен“, правото на преносимост на данните и др.

В допълнение, изготвяме шаблони на договори/договорни клаузи за трансфер на лични данни към страни извън ЕС и преформулиране на текущи или разработване на нови договори за услуги с подизпълнители в качеството им на обработващи личните данни. По този начин организацията – клиент, ще приведе отношенията си с нейните партньори в съответствие с правните изисквания за защита на личните данни, като в същото време гарантира в оптимална степен защитата на правата на физическите лица, чиито данни обработва.

нагоре...



Обучение по защита на личните данни

Екипът на Фондация „ЛИБРе“ организира вътрешнофирмени/браншово-ориентирани обучения по защита на личните данни с фокус върху основните принципи за законосъобразна обработка, задълженията на организацията като администратор/обработващ лични данни, рамката на съответствие с Регламент 2016/679 и въвеждане на необходимите технологични и организационни мерки за постигане на това съответствие.

Целта на обучението е:

а) да създаде разбиране у обучаемите относно категориите лични данни, които обработват техните организации, и как информационните потоци и връзки при обмена на информация в организацията и между организацията и трети страни влияят върху правата на техните потребители, клиенти и партньори;

б) да разясни какви са организационните, правни и технически мерки, които организациите трябва да предприемат за защита на личните данни, които обработват, и как това се отразява върху дейността на служителите и при комуникацията с контрагенти; както и

в) предоставяне на детайлна информация относно начините за постигане на съответствие с изискванията на Общия регламент относно защитата на данните.

нагоре...



Изготвяне на Кодекс на поведение по чл. 40 от Регламент 2016/679

Съгласно чл. 40 от Регламент 2016/679 държавите-членки, надзорните органи, Европейският комитет по защита на данните и ЕК насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на Регламента, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия. Придържането от страна на администратора/обработващия лични данни към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени съответните законови задължения.

Сдружения или други структури, представляващи категории администратори или обработващи лични данни, се насърчават да изготвят кодекси за поведение, в рамките на Регламент 2016/679, за да се улесни ефективното му прилагане, като се вземат предвид особеностите на обработването на данни в определени сектори и специфичните потребности на предприятията в тези сфери. По-специално, в тези кодекси на поведение може да се установят параметрите на задълженията на администраторите и обработващите лични данни, като се вземе предвид рискът, който е вероятно да произтече от обработването на данни за правата и свободите на физическите лица.

В периода 11/2017 - 04/2018, съвместно с Българската асоциация по информационни технологии, Фондация "ЛИБРе" разработи Кодекс за поведение съгласно чл. 40 от Регламент 2016/679 за защита на личните данни в процеса на разработване на софтуер.

нагоре...