Правно-организационни консултации за технологични стартап и утвърдени компании


Фондация „ЛИБРе“ предоставя правно-организационно консултиране на технологични стартапи и утвърдени компании за прилагането на законодателството в областта на информационните технологии за развитие на обхвата на техните услуги и продукти, включително, но не само: развитие на ИТ системи и приложения, разработване на политики в областта на електронната търговия и предоставяне на услуги онлайн, консултации по въпроси в областта на неприкосновеността на личния живот и защитата на личните данни, интелектуалната собственост, и т.н.

По-специално предоставяме консултации в областите:

Електронна търговия и услуги на информационното общество:

(правни) консултации и анализи по приложното поле на Закона за електронната търговия относно изискванията към доставчиците на услуги на информационното общество и защита на потребителите;

(правни) консултации и анализи във връзка с реализирането на права и задължения на доставчици и потребители при използването на електронни средства за комуникаци;

изготвяне на общи условия за онлайн платформи и/или софтуерни продукти, използвани от доставчиците на услуги на информационното общество.

Електронни разплащателни инструменти:

(правни) консултации относно задълженията на доставчиците на платежни услуги, изисквания към презгранични плащания, извършвани по електронен път, и електронни пари;

(правни) консултации при реализиране на „smart contracts“.

Интелектуална собственост:

(правни) консултации относно авторски права върху софтуерни приложения и изготвяне на договори за предоставяне на права на използване;

(правни) консултации относно авторски и сродни права върху обекти на авторско право в електронното пространство (музика, филми, електронни книги) и изготвяне на договори за предоставяне на права на използване;

(правни) консултации относно регистрация на национални търговски марки и търговски марки на ЕС.

Консултации във връзка с изготвяне на аудио-визуално рекламно съдържание в съответствие с изискванията на националното право и правото на ЕС.

Защита на личните данни:

(правни) консултации относно защитата на личните данни на етапа на проектиране на софтуерни приложения и/или вградени технологии за сигурност и контрол на достъпа до информация и ресурси;

(правни) консултации относно изготвянето на политики и програми за защита на личните данни за администратори на лични данни, длъжностно лице по защита на данните като услуга, и др.;

консултации относно изготвяне на правни документи и процедури, гарантиращи правата на субекти на лични данни, вкл. Кодекси на поведение по чл. 40 от Регламент 2016/679, политики за защите на лични данни за уебсайтове, политики за използване на „бисквитки“ и др.;

изготвяне на цялостна Програма за защита на личните данни за съответствие с Общия регламент относно защитата на данните.

Редизайн на правни документи в областта на електронната търговия, защитата на личните данни и др. с помощта на графични елементи, които илюстрират нагледно съдържанието на документа, правата и задълженията на адресата му, както и развитието на правоотношенията от възникването и развитието до прекратяването им, чрез създаването на алтернативна, достъпна за широката публика версия на документа, която дава ясна представа на съответния потребител за правата и задълженията, които възникват за него.

Правно-организационни анализи при проектиране, разработка и внедряване на приложен софтуер във връзка с нормативните изисквания на съответната индустрия и приложените изисквания на правото на информационните технологии.

Комплексни консултации по въпроси на административното право и правото на информационните технологии, насочени към софтуерни компании, работещи с публични институции. Консултациите могат да включват:

предоставяне на устни и писмени консултации и становища по въпроси в областта на електронното управление и свързани сфери;

изготвяне на проучвания от правно, технологично и/или организационно естество при подготовката на технически оферти по обществени поръчки за софтуерни разработчици, предоставящи услуги за административни органи на централно, областно или общинско ниво;

анализ на съществуващи административни процеси и текущо състояние на предлагани услуги и изготвяне на препоръки за тяхното подобряване, създаване на оптимизационен модел на процеси и услуги чрез унифицирани дефиниции на процедури, създаване на съответстващите им вътрешни правила и документи;

анализ на предпоставките и изготвяне на план за интегриране на информационни системи към инфраструктурата на електронното управление (правен одит на съществуващи информационни системи или такива в процес на разработка, мерки във връзка с реорганизация на работните процеси и тяхната нормативна обезпеченост, технически мерки, организационни и обучителни мерки, развиващи човешкия потенциал), и др.

Вече над 30 частни организации се довериха на нашата експертиза. В случай, че предоставяните услуги ви представляват интерес, може да потърсите екипа на Фондация „ЛИБРе“ за индивидуална оферта за бъдещо сътрудничество.



Изготвяне и внедряване на Програма за защита на личните данни

Обхватът на услугите по изготвяне на Програма за защита на личните данни за физически и юридически лица, които обработват лични данни, с изключение на дейностите, изброени в чл. 2.2 от Общия регламент относно защитата на данните - независимо от обхвата на извършвани услуги, сфера на дейност, брой служители, финансов оборот и/или брой години опериране на пазара на труда; включва:

Първоначален анализ на проблемите и рисковете и изготвяне на План за работа. Дейността включва провеждането на встъпителна среща с ръководния състав, в рамките на която се представят основните стъпки в хода на провеждане на консултацията и техните особености.

В резултат се установява краен списък на задачи, които следва да залегнат в Плана за работа, и се определя единната точка за контакт от страна на организацията-клиент. Изготвя се цялостен План за работа, като се отбелязват вътрешните срокове за работа и отговор от страна на двете страни, включително при възникване на въпроси или специфични комуникационни нужди, както и потенциалните критични точки при разработване на Програмата за защита на личните данни.

Анализ на потоците от данни (картографиране на потоците от лични данни). Има за цел да събере сведения за процесите на управление на информацията в рамките на организацията – клиент, с цел привеждане на дейностите ѝ в съответствие с българския и европейския правен режим за защита на личните данни и изготвяне на вътрешни фирмени правила и процедури в съответствие с правните изисквания за защита на личните данни и за намаляване, противодействие или цялостно елиминиране на рисковете, свързани с тази обработка. Включва правен и организационен анализ на естеството, обхвата, контекста и целите на обработване на лични данни посредством преглед на вътрешни документи и информация и експертна оценка относно: а) категориите субекти на данни; б) категориите обработвани лични данни; в) целите на обработване, включително чрез технологичното портфолио на организацията и съотношението му с обемите от информация и лични данни, които се обработват; и г) начина и средствата за обработване (описание на хранилища, потоци на данни, процеси и участници), включително информационните потоци и връзки при обмена на информация в организацията и между организацията и трети страни, мястото на обработване, сроковете на обработване и лицата, които обработват или на които се разкриват тези лични данни.

Дейността може да бъде допълнена от технологичен одит в зависимост от дейността и възможностите на организацията – клиент.

В резултат от тази дейност екипът на Фондация „ЛИБРе“ изготвя отчет-становище от извършения анализ, като данните са визуално онагледени и/или са описани в регистър на дейностите по обработване.

Резултатите от този анализ ще бъдат на разположение на организацията - клиент, за да ѝ помогнат да придобие детайлна информация и експертна оценка относно: стойността на информацията, с която разполага; рисковете от правен, етичен и икономически характер за защитата на информацията, и в частност личните данни, обработвани от организацията; и необходимостта от предприемане на конкретни технически, организационни и правни мерки за защита сигурността на информацията и обработваните лични данни, както и от назначаване на длъжностно лице по защита на данните.

Оценка на въздействието върху защитата на данните (ОВЗД). Включва оценка на рисковете от установени несъответствия. Това е процес, предназначен да опише систематично и функционално обработването, да оцени необходимостта и пропорционалността и да спомогне за управлението на рисковете за правата и свободите на физическите лица, произтичащи от обработката на лични данни чрез анализ и идентифициране на мерки за тяхното разрешаване. ОВЗД е важен инструмент за отчетността на администратора, тъй като му помага не само да спази изискванията на Общия регламент относно защитата на данните, но и да демонстрира, че са взети подходящи мерки за защита на личните данни.

В резултат от този етап се изготвя отчет-становище от извършената оценка, който включва: а) списък с потенциални несъответствия с Общия регламент относно защитата на данните, в който са указани най-сериозните рискове, които следва да се разгледат приоритетно; б) план за извършване на оценка на рисковете както за правата и свободите на субектите на данни (напр. дискриминация, непропорционално нарушаване на правото на неприкосновеност на личния живот и др.), така и за сигурността на обработването, включващ: описание на целите на оценката на риска; избор на подходяща методология за оценка на риска; и описание на процедурата за оценка на рисковете; и в) оценка на рисковете и предписания за конкретни мерки, която е документирана в докладa.

Експертната оценка на дейността на организацията – клиент, ще изведе конкретни препоръки за организационни и технологични мерки за преодоляване на идентифицираните рискове и за подобряване на сигурността на обработването.

Разработване на вътрешни правила и процедури, чрез които организацията ще функционира в съответствие с приложимите правни норми и принципи съгласно изискванията за защита на данните. Преминава на два подетапа: а) изготвяне на План за реализация на Програмата за защита на личните данни, като са отчетени особеностите на дейността на организацията, които могат да изискват съставянето на допълнителни документи и/или процедури; и б) изготвяне на необходимата за управлението на Плана документация.

В хода на разработване на необходимия пакет документи подпомагаме организацията – клиент, да изгради регистри за дейностите по обработване, политики и общи условия за предлаганите услуги по електронен път, вътрешни инструкции и процедури, политики за реакция при установяване на пробив в конфиденциалността на личните данни, процедури за вътрешен контрол, оценки за въздействието на дейностите по защитата на данните, ръководства за действие при искания, направени от субектите на лични данни за удовлетворяване на техните законови права, включително правото да бъдеш „забравен“, правото на преносимост на данните и др.

В допълнение, изготвяме шаблони на договори/договорни клаузи за трансфер на лични данни към страни извън ЕС и преформулиране на текущи или разработване на нови договори за услуги с подизпълнители в качеството им на обработващи личните данни. По този начин организацията – клиент, ще приведе отношенията си с нейните партньори в съответствие с правните изисквания за защита на личните данни, като в същото време гарантира в оптимална степен защитата на правата на физическите лица, чиито данни обработва.

нагоре...



Длъжностно лице по защита на данните като услуга

Общият регламент относно защитата на данните въвежда задължение към администраторите и обработващите лични данни да определят длъжностно лице по защита на данните в редица хипотези на обработка на лични данни.

Необходимостта от специфични експертни познания в областта на законодателството и практиките в областта на защитата на данните от правен и технологичен характер предполага отделяне на сериозни усилия и финансов ресурс за обезпечаване на тази позиция като вътрешна за организацията.

Екипът на Фондация „ЛИБРе“ предлага комплексно реализиране на дейностите на длъжностното лице по защита на данните като абонаментна услуга в условията на липса на конфликт на интереси, независимост, конфиденциалност и при спазване на професионална тайна. Тази услуга може да включва:

информиране и регулярни консултации на ръководния персонал на организацията и нейните служителите за техните задължения по силата на Общия регламент относно защита на данните и на свързани разпоредби на европейско или национално ниво;

наблюдение спазването на изискванията на Общия регламент относно защита на данните и на свързани разпоредби на европейско или национално ниво и на политиките на организацията по отношение на защитата на личните данни, включително възлагане на отговорности, повишаване на осведомеността и обучение на персонала, участващ в операциите по обработване, вътрешни одити и др.;

консултиране и подпомагане прилагането на програми и процедури за защита на личните данни и на свързаните системи за сигурност, и въвеждането на механизми за мониторинг;

консултиране и подпомагане прилагането на процедури за вътрешен контрол, регистриране и отчитане на нарушения при защитата на лични данни в организацията, анализ на въздействието на тези нарушения и предлагане и/или прилагане на ефективни превантивни мерки;

предоставяне на съвети и консултации, когато се изисква, по отношение на оценката на въздействието върху защитата на данните и наблюдение при извършването на такива оценки, при внедряване на нови или изменения при вече използваните технологични решения и/или процедури на работа;

консултиране и подпомагане процеса по администриране на заявления за достъп до лични данни, обработвани за пациенти/клиенти, или заявления за достъп до информация на пациенти/клиенти от външни и вътрешни източници, приоритизиране на исканията и осигуряване на ефективното им разглеждане и изпълнение в срок, в съответствие с действащото законодателство и етични норми; и поддържане на съответните регистри;

комуникация с партньори и с ръководството на организацията по въпроси в областта на защита на личните данни;

сътрудничество с националния надзорен орган (за България това е Комисията за защита на личните данни) и изпълнение на ролята на точка за контакт пред надзорния орган по въпроси, свързани с обработването; и

консултации по всякакви други въпроси, по целесъобразност.

нагоре...



Изготвяне на Кодекс на поведение по чл. 40 от Регламент 2016/679

Съгласно чл. 40 от Регламент 2016/679 държавите-членки, надзорните органи, Европейският комитет по защита на данните и ЕК насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на Регламента, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия. Придържането от страна на администратора/обработващия лични данни към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени съответните законови задължения.

Сдружения или други структури, представляващи категории администратори или обработващи лични данни, се насърчават да изготвят кодекси за поведение, в рамките на Регламент 2016/679, за да се улесни ефективното му прилагане, като се вземат предвид особеностите на обработването на данни в определени сектори и специфичните потребности на предприятията в тези сфери. По-специално, в тези кодекси на поведение може да се установят параметрите на задълженията на администраторите и обработващите лични данни, като се вземе предвид рискът, който е вероятно да произтече от обработването на данни за правата и свободите на физическите лица.

нагоре...