25/04/2018 ssarm

Промени след въвеждането на GDPR върху публичния сектор

Когато ЕС публикува директива за защита на данните през 1995 г., социалните медии все още не съществуват и процес като цифровата трансформация звучи като фантастика. През последните 23 години станахме свидетели на напредък в технологиите и тяхното въздействие върху човечеството. Виждаме, че колкото повече технологиите се променят, толкова повече нараства нуждата от по-силна защита на данните.

От 25 май 2018 г. ще започне да се прилага Общият регламент за защита на личните данни (Регламент на ЕС 2016/679).  Той касае защитата на физическите лица във връзка с обработването на лични данни. До тази дата държавите-членки и администраторите на данни ще трябва да спазват новите стандарти за събиране, обработване и съхранение на лични данни в целия ЕС. Този единен стандарт за защита на данните е важна стъпка към Единния цифров пазар.

Общият регламент за защита на личните данни (General Data Protection Regulation  – GDPR) ще замени настоящата Директива за защита на личните данни (Data Protection Directive) и ще има предимство пред цялото национално действащо законодателство. Специфичното за GDPR е, че за пръв път въвежда някои директни задължения за обработващите лични данни.

GDPR въвежда Закона за защита на личните данни в 21-ви век, като се стреми да защити субектите на данни от неподходящо или неразрешено споделяне на техните данни. Новият регламент прави редица дейности задължителни за всички организации, като например:

  • Изискването да се актуализират политиките и процесите, за да се отразят изискванията на GDPR.
  • Data Protection Officer (DPO) – въвеждане на нова роля в организации – Длъжностно лице по защита на личните данни, чиито основни дейности изискват работа с големи количества лични данни, която да отговаря за вътрешните правила за съхранение на данни и спазването на регулацията. Това може да бъде служител от фирмата или специално назначено за тази цел лице.
  • Privacy by Design – Защита на личните данни на етапа на проектирането. Организациите трябва да включат мерки за защита на личните данни, още в етапа на проектиране на новите системи.
  • Данните трябва да се съхраняват само за целите, за които са били събрани и да бъдат изтривани, когато вече не са необходими. Право на достъп – Лицата имат право да получа информация, свързана с обработването на личните им данни, както и достъп до тях. Също така имат право да поискат да им бъдат предоставени всички данни, за да ги преместят в друга организация (преносимост на данни) или да ги изтрият (правото да бъдат забравени).  Органите от обществения сектор обаче могат да запазят данни, ако има обосновка от обществен интерес за това, дори ако отделни лица са поискали отстраняването им.
  • Отчетност (регистър на дейностите по обработването).
  • Уведомяване на контролния орган, занимаващ се със защита на личните данни КЗДЛ в рамките на 72 часа след нарушаване поверителността на данните.

Организациите от публичния сектор събират огромни количества данни, повечето от които чувствителни. Този сектор има сходни проблеми от гледна точка на новия регламент, с тези на частния сектор. Все пак, общ проблем, който също е от значение за частния сектор, е значението на данните, които те притежават. Често базите данни и системите за подаване на данни са претоварени с огромни количества остаряла и ненужна информация. Организациите трябва да преценят, с каква цел съхраняват данните, използвайки GDPR, като възможност да изчистят ненужната информация. С увеличаване на обема на данните, идва необходимостта от по-стабилни системи за справяне с големите обеми и  осигуряването на сигурна им защита.

Веднъж съвместими, следва текущото управление на правилата на GDPR. Публичните органи ще трябва да планират редовни оценки на риска, да идентифицират всички слабости в системите за обработка на данни, за да гарантират текущата им сигурност. Необходимо е публичните органи да идентифицират всички хора в рамките на организацията, които оперират с данните и да гарантират, че са добре обучени и информирани за новия регламент. Същото се отнася и за лицата, които имат по-големи права за достъп.

Регламентът ще даде възможност на лицата да упражняват контрол върху собствените си лични данни, като същевременно ще направят организациите, които се занимават с лична информация, по-отговорни за сигурността им. Често срещан проблем в обществения сектор е, че много хора не притежават цифров отпечатък, така че организациите трябва да са в състояние да дават информация на хартиен носител, както и онлайн. Процесът трябва да е лесен за разбиране, без жаргон и без изискване за компютърна грамотност.

Организациите в обществения сектор трябва да съсредоточат вниманието си върху най-важния фактор – субекта на данните, като същевременно използват възможността да изчистят ненужната информация и да осигурят по-добро, по-надеждно и по-сигурно обслужване на гражданите. Няма съмнение, че това ще бъде предизвикателство и организациите ще трябва да помислят за осигуряване на ресурси, наследствена технология, обучение и цялостни процедури като част от процеса.