Какви първи стъпки трябва да предприеме бизнесът във връзка с Регламента за защита на личните данни?

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Регламентът въвежда редица нови изисквания към бизнеса, а процесът по привеждане на дейността на дадена компания в съответствие с новата уредба може да бъде сложен и отнемащ много време. Откъде е най-добре да се започне? С този въпрос се обърнахме към адвокат Таня Стивасарева. Тя е мениджър в Адвокатско съдружие „Ърнст и Янг“, с повече от 10 години опит в консултиране на клиенти по въпроси, свързани със защитата на личните данни, трудово право и защита на конкуренцията. Адвокат Стивасарева е съпредседател на Комитета по човешки ресурси на КРИБ, участва активно в експертни групи по промяна на законодателството в България и има международна сертификация за специалист по защита на личните данни за Европа (CIPP/E). Ето какво сподели тя пред екипа на Economy.bg:

Адвокат Стивасарева, администраторите на лични данни трябва да приведат дейността си в съответсвие с изискванията на Регламента. Откъде бихте ги посъветвали да започнат?
На първо място да направят анализ на всички процеси, които са свързани с обработка на лични данни. Този анализ трябва да включва преглед на основанието, на което се обработват всички процеси, и преценка дали то е законосъобразно. Освен това следва да се прецени какви данни са събират за конкретната цел и дали някои от тях не са излишни, както и дали някои не се използват за различна цел. Трябва да се създадат нови уведомления за личните данни, които да се дават на лицата, преди започване на обработката. Компаниите трябва да въведат достъпен процес по получаване на жалби от физическите лица и адресиране на техните искания за поправка или изтриване на данни. Следва да се прегледат договорите със служители, клиенти, доставчици. Трябва да се определи кога компанията действа като администратор и кога като обработващ и да се подпишат нови договори, които отговарят на изискванията на регламента.

Какво трябва да променят компаниите в качеството си на работодатели?
Би следвало да прегледат и да усъвършенстват всичките си договорни клаузи със служителите, от една страна. Регламентът съдържа конкретни изисквания за това как в един договор следва да бъдат позиционирани клаузите за личните данни. Клаузи, които са твърде общи, тези, които обхващат всичко, са недопустими. Трябва да бъдат конкретни. Трябва ясно да се виждат. Регламентът определя точно каква информация трябва да се даде на лицата. Ако се искат данни, които не са изискуеми по закон, следва да се получи изричното съгласие на лицето за предоставянето им и то по такъв начин, че то да може да направи избор да ги предостави или не и този избор да няма негативни последици за него.

Как най-лесно работодателите биха могли да включат клаузите за лични данни в договорите?
Може да бъде изведена цялата информация за личните данни в отделен документ. Даже е препоръчително, предвид изискването на Регламента клаузите за личните данни да бъдат разбираеми, разграничими от останалото съдържание. Така че няма никакъв проблем да бъде под формата на анекс или декларация. Има най-различни форми, които ние сме виждали. Най-важното е какво е съдържанието на този документ.

А какво трябва да променят компаниите по отношение на своите доставчици, обработващи лични данни?
Много важна новост в Регламента е отговорността на обработващите лични данни. Това са именно счетоводните компании, payroll фирмите, всички тези доставчици на работодателите, които доставят на тях услуги и във връзка с това обработват лични данни на техни служители, клиенти, партньори или доставчици. До момента нямаше много ясно дефинирани разделения какви са отговорностите на администратора и на обработващия лични данни. Сега е доста по-ясно разписано това разделение. Има изрично изискване за съдържанието на договорите с обработващите. Има определена информация, която трябва да се предостави на лицата във връзка с обработващите. Ако обработващият е установен извън Европейското Икономическо Пространство има и допълнителни изисквания за фирмите да предоставят трансгранично данни на европейски граждани.

Какво трябва да направят работодателите с данните, за които установят, че обработват без законосъобразно основание?
Един такъв преглед е може би първото нещо, което всички компании трябва да направят. Да се уверят, че знаят точно какви данни обработват и на какво основание. А данните, за които стигнат до извода, че нямат основание да обработват – трябва да преустановят тяхната обработка и да ги заличат. Добър пример е копие на личната карта в трудовото досие.

Кой трябва да се включи в целия този процес?
Освен че трябва да се прегледат политиките, процедурите, документите, договорите, много е  важно да се съобразят техническите средства за защита. Затова юристите можем да помогнем. Тук трябват технически лица, които познават добре IT средата в компанията. Различни отдели от компанията трябва да вземат участие, за да може процесите да бъдат така създадени, че да вземат предвид защитата на личните данни.