GDPR

Преглед

Общият регламент за защита на данните (GDPR) е основният камък на законодателството на ЕС за защита на данните. Той замени Директива 95/46/ЕО за защита на данните и значително засили правата на физическите лица върху техните лични данни, като същевременно наложи всеобхватни задължения на администраторите и обработващите данни.^[1]

GDPR се прилага за всяка организация, която обработва лични данни на лица в ЕС, независимо къде е установена организацията. Този извънтериториален обхват направи GDPR де факто глобален стандарт за защита на данните.^[2]

Кой трябва да се съобразява

• Администратори на данни: Организации, които определят целите и средствата за обработка на лични данни
• Обработващи данни: Организации, които обработват лични данни от името на администраторите
• Неприложими за ЕС субекти: Всяка организация, предлагаща стоки/услуги на жители на ЕС или наблюдаваща тяхното поведение
• Всички сектори: Прилага се във всички индустрии с ограничени изключения за правоохранителни органи и национална сигурност

Основни изисквания за разработчиците

Законно основание за обработка

Всяка операция по обработка трябва да има валидно законно основание съгласно член 6:^[3]

1. Съгласие: Свободно дадено, конкретно, информирано и недвусмислено
2. Договор: Необходимо за изпълнение на договор с лицето, чиито данни се обработват
3. Правно задължение: Изисквано от закон на ЕС или държава членка
4. Жизненоважни интереси: За защита на живота на лицето или друго лице
5. Обществен интерес: Необходимо за изпълнение на задача от обществен интерес или упражняване на официална власт
6. Легитимни интереси: Балансирани спрямо правата на лицето (не се прилага за публични органи)

Технически изисквания

• Минимализиране на данните: Събирайте само необходимото за посочената цел
• Ограничение на съхранението: Съхранявайте личните данни само толкова дълго, колкото е необходимо
• Цялостност и поверителност: Прилагайте подходящи мерки за сигурност
• Поверителност по дизайн и по подразбиране: Вграждайте защита на данните в системите от самото начало (член 25)^[4]

Права на субектите на данни

Приложенията трябва да поддържат следните права:

Уведомяване за нарушения

• До надзорния орган: В рамките на 72 часа след установяване (член 33)^[5]
• До субектите на данни: Без неоправдано забавяне при висок риск за права и свободи (член 34)
• Документация: Водете записи за всички нарушения, независимо от изискването за уведомяване

Наказания

GDPR установява двустепенна структура на наказанията:

• По-нисък етап: До 10 милиона евро или 2% от годишния световен оборот, което е по-голямо
• По-висок етап: До 20 милиона евро или 4% от годишния световен оборот, което е по-голямо^[6]

Основни наложени глоби включват:

• Amazon (Люксембург, 2021): 746 милиона евро
• Meta/Facebook (Ирландия, 2023): 1.2 милиарда евро
• Google (Франция, 2022): 90 милиона евро

Контролен списък за внедряване

• Идентифицирайте всички дейности по обработка на лични данни
• Установете законно основание за всяка операция по обработка
• Внедрете управление на съгласията, където е приложимо
• Създайте уведомления за поверителност, отговарящи на изискванията за прозрачност
• Изградете механизми за обработка на искания от субектите на данни
• Прилагайте подходящи мерки за сигурност
• Установете процедури за откриване и уведомяване за нарушения
• Провеждайте оценки на въздействието върху защитата на данните при високорискови обработки
• Назначете служител по защита на данните, ако е необходимо
• Поддържайте записи на дейностите по обработка (RoPA)