Най-често срещаните GDPR грешки - какви са те?

Обслужване

Въпреки че е изминала повече от година от влизането в сила на разпоредбите относно GDPR, прилагането им все още предизвиква много съмнения. Най-популярните митове по отношение на GDPR засягат обхвата на приложение на разпоредбите и изискванията, на които трябва да отговаря един предприемач, за да защити правилно личните данни. Кои са най-честите грешки в GDPR?

GDPR е само правото на Европейския съюз

Съкращението от GDPR означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица по отношение на обработката на лични данни и за свободното движение на такива данни и отмяната на Директива 95/ 46 / ЕО (общ регламент за защита на данните). Това е правен акт, приет от Европейския съюз, но от голямо значение в целия свят (известен в чужбина под съкращението GDPR). Мит: Разпоредбите на GDPR са само разпоредби, въведени от Европейския съюз, тяхното прилагане в Полша е без значение.
Вярно: GDPR се прилага на цялата територия на Европейския съюз, също и в Полша. Правилата за защита на личните данни в Полша са допълнително регламентирани от разпоредбите на Закона за защита на личните данни. Органът, назначен да контролира спазването на разпоредбите на GDPR в Полша, е председателят на Службата за защита на личните данни. GDPR се прилага на територията на Европейския съюз. Всяка от страните-членки е длъжна да приеме свои собствени разпоредби, които регулират и уточняват принципите на защита на личните данни в дадена държава. В Полша този закон е Законът за защита на личните данни – този документ трябва да се прочете от всеки предприемач. Органът, назначен да контролира спазването на разпоредбите, е председателят на Службата за защита на личните данни, който отговаря за провеждането на административни производства, свързани с GDPR в Полша (например, разглеждане на жалби на физически лица за нередности при обработката на техните лични данни , сертифициране, провеждане на образователни дейности, налагане на наказания и др. ).

Противно на общоприетото мнение, GDPR се прилага и за юридически лица, базирани извън Европейския съюз, ако обработват в някаква степен данните на физически лица в ЕС.

GDPR не означава една формула за сигурност

Разпоредбите на GDPR посочват само общите цели и принципи на действие, свързани с необходимостта от защита на личните данни. Те не налагат единна процедура за обработка на данни за всички субекти. Мит: GDPR означава сложна процедура за обработка на данни, към която всеки предприемач трябва да се адаптира.
Истината: Всеки предприемач сам решава кои защитни механизми да въведе в своята компания. Изборът на метода за защита зависи от вида и обхвата на обработваните данни.

Въпреки че разпоредбите на GDPR се отнасят до отделни инструменти за защита на личните данни (напр. анонимизация и псевдонимизация), а също така налагат ограничения върху обработката на конкретни категории данни (напр. биометрични данни), те оставят избора на метода на защита към процесора на данни. Поради тази причина всеки предприемач трябва, преди да приложи конкретни решения, да извърши одит, който позволява оценка на съхраняваните данни, техния брой и вид, както и нуждите от защита.

GDPR обхваща не само клиентски данни, т.е. най-често срещаните грешки в GDPR

Защитата на данните се отнася до данните на физически лица, независимо от това как търговецът получава техните данни и независимо от естеството на взаимоотношенията с търговеца, който обработва данните. Мит: GDPR се прилага само за потребителски данни.
Истината: Разпоредбите на GDPR защитават данните на всички физически лица, включително клиенти, служители и други предприемачи.

Съгласно определението, дадено в регламента, личните данни следва да се разбират като информация за идентифицирано или идентифицируемо физическо лице. Идентификацията може да бъде пряка или непряка (например чрез идентификационен номер, данни за местоположение, онлайн идентификатори или други специфични фактори). Естеството, в което дадено физическо лице действа във взаимоотношения с предприемач, няма значение – те могат да бъдат клиенти, служители или изпълнители. Последната от тези категории може да породи съмнения, но трябва да се приеме, че оставането в бизнес отношения с предприемач, обработващ лични данни, не лишава физическо лице от правото да защитава личните си данни. Примерите включват предприемачи-физически лица, извършващи еднолично търговско дружество или съдружници в съдружници.

GDPR работи и между компании

Много предприемачи погрешно смятат, че принципите за защита на личните данни трябва да се прилагат само между предприемача и физическото лице (например служител или клиент). Подобно действие не е правилно, тъй като необходимостта от защита на личните данни възниква във всеки случай, в който се обработват данните на физическо лице, дори ако обработването се извършва без прякото участие на това лице. Мит: GDPR работи само в преки отношения между предприемач и физическо лице.
Вярно: Разпоредбите за защита на личните данни се прилагат във всеки случай, в който се обработват данните на физически лица - дори когато данните на тези лица се прехвърлят между предприемачи.

Изключително често обработването на лични данни на физически лица се извършва без прякото участие на субектите на данни – например, когато предприемачът използва услуги, предлагани от външни субекти (например фирми за набиране на персонал, счетоводни кантори, маркетингови компании и др.) . Ако предприемачът прехвърли данните на физически лица на друг предприемач, тези данни се обработват допълнително. Подобна дейност предизвиква необходимостта от сключване на споразумение за поверяване на лични данни, както и от извършване на други необходими процедури, свързани с необходимостта от осигуряване на прехвърляните данни с подходящо ниво на сигурност (например използване на подходяща ИТ сигурност).

Започнете безплатен 30-дневен пробен период без прикачени условия!

Не във всички случаи се изисква съгласието на лицето

Според общото мнение GDPR изисква получаване на съгласие за обработка на лични данни от всяко физическо лице, чиито данни се обработват от предприемача и във всеки отделен случай на обработка. Това не е вярно – разпоредбите на наредбата предвиждат редица случаи, в които изискването за съгласие не се прилага. Мит: Обработването на лични данни може да се осъществи само въз основа на съгласието на субекта на данните.
Вярно: GDPR съдържа списък с условия, които трябва да бъдат изпълнени, за да бъде обработването на данни законосъобразно. Съгласието на физическо лице е едно от тях, но не и единственото. Необходимостта от изпълнение на договора също легитимира обработването на лични данни на физическо лице.

Разпоредбата на чл. 16 от GDPR съдържа списък с условия, които трябва да бъдат изпълнени за обработването на лични данни по законосъобразен начин. Списъкът е изключителен, но е достатъчно да изпълните само едно от условията за правилна обработка. Освен съгласието на физическото лице, най-важното условие е необходимостта от изпълнение на договора. Според регламента обработването е законно, когато е „Необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключване на договор“.

От горното следва, че ако предприемачът сключи с клиента например договор за покупко-продажба и получаването на лични данни на неговия клиент е необходимо за изпълнение на договора (например получаването на адресни данни е необходимо за изпращане на закупените от него стоки до купувач), предприемачът не трябва да получава отделно съгласие за обработка на данни. лични. Аналогично е и в случай на изпращане на информация за офертата на предприемача, ако инициативата за получаване на тази информация е от потенциален клиент. Въпреки това, ако предприемачът извършва маркетингови дейности, състоящи се в изпращане на оферта до лице, което не е поискало тази информация, тогава той трябва да получи съгласието му за обработка на личните му данни.