Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
Регистрация
6 апр 2018, 13:25, 11092 прочитания

GDPR в 10 стъпки

Пълен списък за подготовка на бизнеса преди въвеждането на новата регулация за защита на личните данни

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
GDPR в 10 стъпки

Преглед на оригинала

Автор: Капитал

Още по темата

Законът срещу корупцията е пълен с пороци

Фондация "Програма Достъп до информация" представи годишния си доклад за 2017 г.

22 май 2018

GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018

Новият щит за лични данни на колекторските компании

Индустрията инвестира в ИТ системи, нови служители и въвеждане на различни нива на достъп до информацията

6 апр 2018

Без паника

Какво трябва да знае всеки бизнес за личните данни преди 25 май

6 апр 2018

Професия "Пазител на данните"

В кои случаи фирмите трябва да назначат служители за защита на данните и какви са техните задачи

6 апр 2018

GDPR - въпроси и отговори

Какво трябва да знаят фирмите за новия регламент за личните данни

29 мар 2018
Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

1. Запознаване с правилата

- Кой ще отговаря за GDPR?
Избор на служител или екип - правен отдел, IT отдел, отдел "Човешки ресурси" или друг?
Има ли нужда от отделен служител за защита на личните данни - т.нар. data protection officer? Мога ли да наема външна фирма за това? (виж стъпка 3)

- Кои закони трябва да познава?
(Европейският Регламент 2016/679 (Общ регламент относно защитата на данните или GDPR), Закон за защита на личните данни (ЗЗЛД) и подзаконовите му актове, насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29, а след 25 май 2018 г. – на Европейския комитет по защита на данните.)

2. Анализ на бизнес процесите



- Какви данни събирам?
Какви категории информация използва моята фирма (обикновени - име, адрес, имейл, IP адрес; чувствителни - расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация)?
За какви категории хора събирам тази информация (клиенти, служители или друго)?

- С каква цел събирам информацията?
За какви ми е нужно да събирам, съхранявам и обработвам личните данни (трудови отношения, счетоводство, търговска дейност, реклама, законово определени цели, журналистическа дейност)?

- Кой има достъп до данните?
Предоставям ли ги на публични органи (Национална агенция за приходите, Национален осигурителен институт, Министерство на вътрешните работи, съдебни органи, контролни органи, органи на местното самоуправление)?
Възлагам ли на някой да ги обработва (счетоводна къща, IT компания поддържаща информационната система, подизпълнители по договор и др.) Предоставям ли ги на бизнес партньори (за целите на директен маркетинг, съвместни продукти и услуги и др.)?

- Какво се случва с данните?
Предоставям ли ги на трети лица в други държави и на какво правно основание?
За колко време ги съхранявам и защо именно за такъв срок?
Как гарантирам тяхната сигурност?

3. Нужда от експертна помощ

- Налага ли се да назнача служител по защита на личните данни (DPO)?
(Задължително за: публичен орган или орган на местно самоуправление; фирми и институции, които обработват особено големи масиви с лични данни; фирми и институции, които обработват чувствителни лични данни; фирми и институции, които извършват видеонаблюдение)

- Как да намеря DPO?
Като назнача нов служител в организацията; по съвместяване с друга длъжност (без конфликт на интереси); по граждански договор с външно лице; като възложа на външна организация. Обучение на длъжностното лице по защита на данните: първоначално; текущо.

4. Управление на риска

- Какви са рисковете въз основа на естеството, обхвата, контекста и целите на обработка на данните?

- Какво е потенциалното въздействие при наличие на висок риск (при профилиране, обработка на чувствителни данни, видеонаблюдение, използване на биометрични данни)?

- Има ли нужда да се консултирам с КЗЛД? (В случай на висок риск при обработка на данни)

- Какви технически и организационни мерки се налагат, за да спазя GDPR?
Псевдонимизация на данните; криптиране на информацията; гарантиране на сигурността на системите за обработване; водене на записи за обработката; обучение на служители.

- Какви мерки "по подразбиране" при събиране на данните трябва да въведа?

- Трябва ли да се присъединя към браншови кодекси за поведение или да се сертифицирам?

5. План за действие и организация

- Определяне на отговорник и екип
- Определяне на етапи и срокове за изпълнение
- Осигуряване на ресурси: финансови, технически и човешки

6. Преглед на правните основания

- Какви основания за събиране на данни използвам до момента?
Съгласие на потребител; сключване на договор; законово задължение; защита на жизненоважни интереси на субекта на данните; изпълнение на задача от обществен интерес; упражняване на официални правомощия; легитимен интерес, който е по-голям от личните права на субекта

- Само на база съгласие на потребителя ли събирам данни?
Задължително трябва да докажа: че той се е съгласил свободно, а не под натиск; съгласил се е за всяка конкретна цел, за която ще използвам данните; съгласил се е, след като е напълно информиран за моите цели и методи; съгласил се е недвусмислено, а не по подразбиране; съгласил се е активно, а не чрез мълчание или бездействие.

- Водя ли архив със съгласията на потребителите?

- Може ли потребителят да оттегли съгласието си по всяко време и толкова лесно, колкото го е дал?

7. Прозрачност и информираност

- Предоставям ли кратка и лесно разбираема информация на клиенти и потребители онлайн?
Коя е моята организация и кое е лицето за защита на личните данни; какви категории лични данни събирам и за какво ги използвам; на кого предоставям личните данни; за какъв срок ги съхранявам; какви права имат потребителите (достъп до данните, корекция, изтриване, ограничаване на обработването, възражение срещу обработването, трансфер на данните към друга организация); информирани ли са, че могат да сигнализират КЗЛД; знаят ли потребителите, ако предоставянето на данни е задължително по силата на закон или договор и последствията ако откажат предоставянето; прилагам ли автоматизирано взимане на решения, базирано на лични данни?

- Предоставям ли кратка и лесно разбираема информация на служителите си?
Уведомявам ли служителите си, ако извършвам видеонаблюдение на работното място, следя служебните им имейли и телефони, с цел предотвратяване на злоупотреби?

8. GDPR на практика

- Познавам ли правата на лицата, чиито данни събирам?
Те имат право да коригират и допълват неточни данни; да поискат изтриване при незаконосъобразно използване или при изтекъл срок, оттеглено съгласие, изпълнена цел и др.; да ограничат използването на данните си при правен спор; да поискат трансфер на данните към други организации; да възразяват; да не бъдат субект на изцяло автоматизирано взимане на решение, ако то го засяга в значителна степен или поражда правни последици.

9. Уведомяване при проблем

- Въвел ли съм процедура, в случай на нарушаване на сигурността на личните данни?

- Кой е отговорен за реакция в такива ситуации?

- Кой е длъжен да уведоми КЗЛД в рамките на 72 часа?

10. Отчетност

- Имам ли вътрешен регистър на дейностите по събиране и обработване на лични данни?
Включва ли той: името и координатите на администратора и длъжностното лице по защита на лични данни; целите на обработването; описанието на категориите субекти и категориите данни; описаните на хората и организациите с достъп до данните; предвидените срокове за изтриване на различните категории данни; описание на техническите и организационните мерки за сигурност.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Крайният срок е
27 май!


Повече подробности на capital.bg/next

Остават броени дни до крайния срок за участие в конкурса за млади бизнес лидери Next Generation 2018!



“Капитал” и “Кариери” търсят активните, вдъхновени и вдъхновяващи мениджъри и предприемачи.

За да разкажем историите им.
И да ги наградим с EMBA стипендии от City College - международния факултет на The University of Sheffield.

Кандидатствай или номинирай Next Generation мениджър или предприемач!


Конкурсът се провежда с подкрепата на Trelleborg.

Прочетете и това

Речник на термините в GDPR 3 Речник на термините в GDPR

6 апр 2018, 2952 прочитания

Новият щит за лични данни на колекторските компании 1 Новият щит за лични данни на колекторските компании

Индустрията инвестира в ИТ системи, нови служители и въвеждане на различни нива на достъп до информацията

6 апр 2018, 2591 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

Развод на 20-ата година

Развалянето на догворите с ТЕЦ "Контур Глобал Марица изток 3" и ТЕЦ "Ей И Ес Гълъбово" ще е сложно

Как да платим по-малко банкови такси

Пакетните услуги могат да помогнат да пести от тях, но трябва да се пресметне добре потреблението на банкови услуги

"Слънчо" поглежда отвъд хоризонта

С проект по "Конкурентоспособност" за 1.6 млн. лв. компанията ще започне да изнася детски храни в региона

Българки от ново време

Две авторки, които изследват женската природа, спорните традиции и какво остава недоизказано между нас и най-близките ни

Календар и домашно кино

Интересните събития през уикенда и следващата седмица

K:Reader

Нов и модерен инструмент, който пренася в дигитална среда усещането от четенето на хартия.

Прочетете целия вестник или списание без да търсите отделните статии в сайта.
Капитал, брой 20

Капитал

Брой 20 // 19.05.2018 Прочетете
Капитал PRO, "Мобилтел" вече е А1, КЗК най-накрая започва да разглежда сделката за "Нова тв", без екотакса за електромобили

Емисия

DAILY @7AM // 23.05.2018 Прочетете