Новият Регламент от 25.05.2018 за ЗЛД

Никой няма яснота още. Аз доколкото четох и ходих на два семинара, нещата още не са регламентирани и нормативно от вътрешните законодателства на страните от ЕС(не само нашето), като последните не са синхронизирани с този регламент. Според тълкуванията, цялата отговорност по организацията на защита и ползването на лични данни ще бъде вменена на обработващите данните, които ще си носят последствията от организацията и реда за обработката им, а Комисията ще има само контролни(наказващи) функции, като ангажимента по регистрация на администратори отпада. Работодателите(казано обобщено), определят какъв обем данни ще събират, по какъв ред, за каква цел, как ще ги администрират, съхраняват и пазят. Като цялата тази работа ще бъде подчинена на "добри практики, методики, сертификати и прочие". Което силно навява мисъл да едни нови фирмички от рода на СТМ, които раздават папчици с листчета...
Общо взето всеки ще е в правото си да се оплаче за каквото му е кефнало, като с голяма доза вероятност може да докара солена глоба, декларациите за даване на съгласие за обработка на данни имат условна стойност, физическите лица могат да имат претенции какво точно да предоставят за обработване и по какъв ред...

На 22.02 се повтаря този семинар:
http://eventspro.bg/sabitie/seminar-novata-regulatsiya-za-zashtita-na-lichnite-danni/
Общо взето тези семинари за мен породиха повече въпроси, отколкото отговори ми дадоха. Някаква амалгама от досегашния Закон, правилника и общи приказки как щяло да бъде в светлината на регламента - вероятно. За момента, поради мъглявата нормативна рамка, самата информация е оскъдна и условна. Какво как ще се прави, как ще се регулира... Нещата обаче са сериозни и предразполагащи към потенциални проблеми.
Не знам доколко и външна фирма или лице са решение - те ти дават папката с добрите практики, становища, оценки на въздействие, някакви инструкции и правила за обработка на данните и си "измиват ръцете". Вероятно ще се акредитират по някакъв начин, за да продават сертификати(колкото и елементарно да звучи), като фирмите по ИСО, че отговаряш на определени критерии като комплексни условия и алгоритъм на работа с данните, а като стане нещо ще свият рамене и ще кажат "М'чи нарушил си правилата за работа с личните данни - оправяй се..."

Голям недостатък на подобни семинари е, че просто преразказват нормативите, без да се дават достатъчно практически насоки, документи и т.н.

Статията е от днес.
GDPR - изисквания, факти и срокове

Подготвя се закон, който съответства на регламента, коментира Цанко Цолов от Комисията за защита на личните данни. Проектът ще бъде внесен в Народното събрание през някое от ведомствата, защото институцията няма право на законодателна инициатива. Очакванията са, това да стане месеци преди влизането в сила на регламента. (Проверка на сайта на Народното събрание към 16.01.2018 установи, че за момента проектът не е внесен.) Но независимо дали промените ще бъдат приети от Народното събрание до края на май или не, след 25 май 2018 г. всички български фирми са задължени да се съобразят с изискванията на регламента.

Новосъздадена фирма ООД през м.10.2017г /без персонал/ няма регистрация като администратор на лични данни. Тъй като тази регистрация ще отпадне/доколко съм разбрала/ то има ли смисъл сега да я правим въобще.

Комисията за защита на личните данни организира поредица от безплатни разяснителни кампании, свързани с реформата в ЕС в областта на личните данни и новата правна рамка, която създава Общият регламент за защита на данните – General Data Protection Regulation (GDRP).

График за провеждане на събитията:


16 февруари 2018 г. – гр. Пловдив - местата са изчерпани

6 март 2018 г. – гр. Велико Търново

19 април 2018 г. – гр. Варна

20 април 2018 г. – гр. Бургас

 

Какви са съветите и решенията на Комисията за защита на личните данни за всички оператори на лични данни след влизането в сила на GDPR на 25 май 2018?

С новата правна рамка се разширява териториалният обхват на европейските правила за защита на личните данни и те ще важат и за администратори, които не са установени в ЕС, но обработват лични данни на граждани, които се намират в ЕС. Това ще важи в случаите, когато дейностите по обработване на данни от страна на такива администратори, са свързани с предлагането на стоки и услуги на физически лица, намиращи се в Съюза, независимо дали от субекта на данни се изисква плащане или наблюдение на неговото поведение, доколкото това поведение се проявява в рамките на Съюза.

Общият регламент за защита на личните данни въвежда редица нови моменти. Това са обработване и отчетност на данните в съответствие с принципите за защита на личните данни, осигуряване на защита на данните на етапа на проектирането и по подразбиране, определяне на длъжностно лице по защита на личните данни в изрично посочените от регламента случаи и поддържане на регистър на дейностите по обработване, за които ще отговаря.

Задължение на администраторите е уведомяване на надзорния орган и субекта на данни в случай на нарушаване на сигурността на личните данни, което вече трябва да се прави в срок от 72 часа след пробив на системата. Трябва да се документира всяко нарушение на сигурността на личните данни, в т.ч. фактите, свързани с нарушението, последиците от него, предприетите действия за справяне с нарушението, както и извършване на оценка на въздействието върху защитата на данните.

Във връзка с въпросите относно бъдещото приложение на Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, след влизане в действие на Общия регламент за защита на данните (GDPR) от 25 май 2018 г., Наредбата ще бъде актуализирана и трансформирана в Методическо ръководство.

В горецитираната наредба са  дефинирани целите на защита (поверителност, цялостност и наличност на данните), както и процедурата Оценка на въздействието. Създадени са алгоритъм и критерии за нивата на въздействие, които администраторът би получил при различните ситуации. В зависимост от нивата на въздействие са препоръчани необходимите технически и организационни мерки за защита по различните видове сигурност – физическа, персонална, документална, сигурност на автоматизираните информационни системи и криптографска сигурност.

Вече 5 години Наредбата помага на администраторите на лични данни да създават своя Инструкция относно техническите и организационни мерки за защита на данните, каквато изисква действащия Закон за защита на личните данни.

Приканвам Ви да се включите в разяснителните кампании на КЗЛД, които ще се проведат в четири града в България – Пловдив, Велико Търново, Варна и Бургас в месеците от февруари до април 2018 г., съгласно графика по-горе.  Събитията имат за цел постигане на широка обществена осведоменост по всички въпроси, свързани с реформата в ЕС в областта на личните данни и новата правна рамка, която създава Общият регламент за защита на данните – General Data Protection Regulation (GDRP). Те са насочени към широката публика, администраторите на лични данни и към всички заинтересовани лица. В хода на събитията КЗЛД ще представи основните моменти в новата правна рамка и необходимите практически стъпки за администраторите с цел въвеждане в дейността им на новоприетите стандарти за защита и обработване на личните данни.

 

С оглед на по-добра организация и координация на информационно - разяснителните събития, участието в тях ще се осъществи след предварителна „Регистрация”, като изпратите имейл на Комисията за защита на личните данни на: halaminov@cpdp.bg с информация за Вас и фирмата.
 

Предвид големия интерес се предвижда ограничение до двама представители на администратор на лични данни.

 

За повече информация в Комисията за защита на личните данни – г-н Христо Аламинов: +359 2 915 35 34, halaminov@cpdp.bg

170917091709, защото е имало вече в София.
https://www.cpdp.bg/index.php?p=news_view&aid=1182