Брой 9, 2018 XLV   вход за абонати  
bg | en           

GDPR, МСП и служители Мисия възможна


GDPR, МСП и служители - Мисия възможна

 

Миглена Панова, PHRi®, SHRM-CP

GDPR (General Data ProtectionRegulation) е новият регламент за защита на личните данни в ЕС, който влиза в сила от 25 май 2018 г. Той се отнася за всички предприятия, опериращи на територията на ЕС.

Продължение от Брой 11

Новият регламент за защита на личните данни (GDPR), в сила от май 2018 г., налага на всички организации, независимо от размера и дейността си, да спазят неговите изисквания. Но как малките и средни предприятия биха се справили с тази задача, когато са ограничени откъм вътрешни ресурси? Добрите новини са, че самият регламент, взимайки предвид особеностите и оперативния капацитет на МСП (под 250 служители), в чл. 30 определя някои изключения за тях, като назначаване на служебно лице в определени случаи, при поддържането на регистри или придокладванетона по-малки нарушения в сигурността. Важното за МСП е да разберат основните параметри на GDPR, как да се съобразят с тях, правата на субектите и необходимостта от промени в процесите и сигурността на данните. За някои МСП това ще означава актуализация на съществуващите форми, процеси и системи, за да отговорят на по-стриктните изисквания,  за други – цялостно им преработване или поставянето на началото на такива. По-долу са изложени няколко стъпки, които да направят мисията по GDPR по отношение на персонала възможна.

НАЧАЛОТО

Опишете с какви данни работите, къде и как се съхраняват, достъпът до тях. Ако предоставяте данни на трети лица (напр. външно ТРЗ), прегледайте договорите с тях и дали техните процедури съответстват на GDPR. След като се запознаете с изискванията на GDPR по обработката, съхранението и сигурността на тези данни, идентифицирайте областите във Вашата компания, които не отговарят. 

ОЦЕНКА НА РИСКА 

Открийте къде са най-големите рискове, установете дали ще е нужна само актуализация или ще трябва да започнете от самото начало. Преценете, с кое да започнете сега и кое да оставите за накрая. Ако се налага да вложите ресурси, но нямате заделен бюджет, преценете възможния разход сега и този в последствие за неспазване на регламента (глобите могат да стигнат до 20 млн. Евро). Дали си заслужава? Преценете дали може да се справите сами или ще Ви е необходима експертна помощ.

СЪГЛАСИЕ

Разгледайте начина, по който изисквате съгласие за обработка и съхранение на личните данни. 

То може да е под формата на писмена декларация или онлайн. Администраторът на лични данни трябва да може да докаже неговото наличие. Помислете и за правна основа, върху която стъпите и я включете в декларацията. Субектът трябва да бъде информиран и за последиците от отказ да си даде данните. И тъй като лицето може да оттегли съгласието си по всяко време, процесът трябва да е също толкова лесен, колкото и даването му.

ПРОЦЕДУРИ

Уверете се, че имате всички необходими процедури, които да покриват дадените права на субекта, вкл. за изтриване на данни; за достъп на субекта до данните му, по начина и в рамките на установения от регламента срок; трансфера; процедури по установяване, разследване и известяване на нарушения в сигурността и др.

ДЛЪЖНОСТНО ЛИЦЕ 

Не всички организации трябва да назначат длъжностно лице по защита на личните данни. МСП са освободени от това изискване, освен в случаите, посочени в регламента. Той/тя трябва да има експертни познания в областта, може да съвместява тази длъжност с друга в организацията. КЗЛД планира да създаде през 2018г.  тренинг център, който да осигури необходимото им обучение. Но тъй като организациите трябва да въведат процедури за постоянен одит на процесите си по GDPR, е препоръчително да имате човек, който ще поеме функциите по наблюдение на прилагането и спазването на изискванията.

ЗАЩИТА

Важна част от спазването на изискванията на GDPR е гарантиране на сигурността на личните данни. В чл. 32 се изброяват точно и ясно начина за осигуряване й. Като според специалисти, криптирането е най-лесната и постижима мярка. 

Действайте и не се колебайте да потърсите помощ от експерти. Аутсорсването  на дейностите по съгласуване на процесите и защитата на данните на експерти в областта също е вариант. Успех!

Статията не претендира да е изчерпателна и правно издържана. Целта й е да опише основните положения. 

За повече информация: www.cpdp.bg

 


 
    Share