Актуални новини

    • 02.08.2021
      Кибер-измама с възстановяване на пари от НЗОК

      Онлайн-измама с възстановяване на пари от НЗОК засипва електронните адреси на множество българи в последните дни. Е-писмото претендира да е изпратено от nhif.bg, сайта на НЗОК.


      В заглавието е посочено, че получателят има право на възстановяване на известна сума „след проверка на [неговото] здравноосигурително досие”. Сумата е определена на 209,90 лева.

      Получателите са призовани да попълнят лични данни във „формуляр”, до който могат да стигнат чрез кликване на подаден линк. 


      https://technews.bg/article-133598.html

      Източник и автор: TechNews.bg

      Виж повече
      Сподели
    • 02.08.2021
      Кои са най-привлекателните сектори за кибератаки

      Кибератаките през 2020 година са били насочени към няколко ключови индустрии, разкрива нов доклад на NTT. В него подробно се описва степента, до която глобалната „дестабилизация“ предоставя на кибер-нападателите възможности да натрупат парични „постижения“.


      Най-често обект на прицел са били отрасли като здравеопазването, производството и финансовите услуги. При тях увеличението на атаките е съответно 200%, 300% и 53%. Тези три големи сектора са привлекли общо 62% от всички атаки, реализирани през 2020 г.


      Удобни възможности

      Атаки, специфични за дадени приложения, и кибер-нападения, прицелени към конкретни уеб приложения – това са областите, в които изследователите отчитат драстично нарастване. Обяснението е в стремежа на организациите да осигурят отдалечен достъп за служителите си чрез използване на различни клиентски портали.

      Атаките от тази категория обхващат две трети от всички кибер-посегателства, според NTT. Цифрата се е удвоила през последните две години. Най-силно засегната е здравната индустрия.

       

      Възход на крипто-копачите

      Според доклада на NTT, крипто-копачките са най-често срещаният злонамерен софтуер в глобален мащаб. Използването на определени варианти като червеи и троянски коне не е изчезнало, то обаче е насочено срещу специфични индустрии.

      Червеите се появяват по-често във финансовия и производствения сектор. Троянците с отдалечен достъп са по-разпространени в здравната индустрия. 

      Крипто-копачите са най-популярни в образователния сектор, поради популяризирането на криптовалутите сред ученици, които използват незащитени инфраструктури.


      https://technews.bg/article-134014.html

      Източник и автор: TechNews.bg 

      Виж повече
      Сподели
    • 26.05.2021
      3 години GDPR! Равносметката...

      Какво научихме за три години GDPR?

                                 

      Правилният път към спазване на европейските правила за защита на данните е постоянно информиране за новите изисквания и внедряването им на практика


      През пролетта на 2018 г. едно четирибуквено съкращение беше навсякъде - GDPR (от английското General Data Protection Regulation - Общ регламент за защита на данните). Темата за защитата на личните данни изведнъж се превърна във водеща, хората започнаха да обръщат повече внимание на това как и защо се обработват данните им, а бизнесите в Европейския съюз (ЕС) и извън него - да разучават новите изисквания и да се опитват да приведат дейностите си в съответствие. Причината бе, че от 25 май 2018 г. започна да се прилага новият европейски регламент за защита на данните. Той въведе по-строги изисквания за обработването на лични данни, придружени със сурови санкции за нарушения.

                                                                                                                                                                              

      Какво се промени три години след като новите правила на GDPR започнаха да се прилагат и какво научихме?                                                                                                                                                                                                                                                               

      1. GDPR не е равнозначен на забрана да се обработват лични данни

      Три години по-късно вече знаем, че макар GDPR да въвежда множество изисквания, той не е равнозначен на забрана за обработване на лични данни. Всеки от нас присъства в обществото със своето име, професия и професионален опит, външен облик, знания, компетенции и мнение и обработването на тези данни е необходимо за нашето идентифициране, за да можем пълноценно да участваме в обществения живот и да бъдем различавани от другите. В допълнение, всеки от нас ежедневно има досег до лични данни и няма как това да се избегне, независимо дали попада в обхвата на GDPR или не. Нещо повече - няма бизнес или публичен орган, който в хода на нормалната си дейност да не обработва лични данни - за служители, за клиенти или техни представители/служители, за граждани и т.н.

      2. "Пълното съответствие" е продължителен процес

      В последните три години често се говори за "пълно съответствие" (full compliance) на един бизнес с GDPR и представата обикновено е за набор от документи, който трябва да бъде изготвен еднократно и с който може да се гарантира съответствието занапред. За съжаление изпълнението на изискванията на GDPR не е еднократно усилие по изготвяне на документи. Както всеки бизнес се развива, така и извършваните операции по обработване на лични данни се развиват и променят и прилаганите документи и процедури се нуждаят от редовен преглед и актуализация. Отделно от това, важно е не само администраторът (който определя защо и как се обработват лични данни) да разполага със съответните документи, но и да ги прилага ефективно в максимална степен. Дори една организация да има чудесни документи, ако на практика не ги спазва и това бъде установено от Комисията за защита на личните данни (КЗЛД) (като например нарушение на сигурността или събиране на данни без основание), тя ще бъде санкционирана въпреки приложимите по документи процедури. Както воденето на счетоводство е динамичен процес и предполага осчетоводяването на всяка стопанска операция, така и всяко обработване на лични данни следва да бъде документирано, в компанията да е ясно защо се извършва обработването и какви правила и гаранции трябва да се прилагат, за да се спазват изискванията на закона.                                                         

      3. Научихме що е то "отчетност" по GDPR

      GDPR въведе нов принцип при обработването на лични данни - този на отчетността. Това означава, че администраторите на лични данни трябва да могат да докажат, че спазват всички принципи на GDPR (законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност). Какво означава това на практика? Най-често за целите на отчетността служат вътрешни документи на администратора, в които горните принципи намират място. Пример за такива са вътрешни правила, в които се определят задълженията на служителите по обработването на лични данни, политики за съхранение на лични данни, инструкции за спазване на технически и организационни мерки за обработване на лични данни, както и задължителните за почти всички администратори регистри на дейностите по обработване. В тези регистри се отразяват спецификите на основните процеси по обработване на данни - отношения с персонал, кандидати за работа, клиенти, доставчици, видеонаблюдение и др. Във връзка с принципа за прозрачност администраторът следва да информира лицата, чиито данни обработва, за извършваното от него обработване, като им предостави детайлна и лесно разбираема информация за това какви данни обработва, какви цели преследва с това и на какво основание. Субектите на данни трябва да са информирани и за какви срокове се пазят данните им, на кого могат да се разкриват, какви права имат хората и как могат да ги упражнят ефективно. В допълнение, администраторите трябва да прилагат процедури за разглеждане на искания за упражняване на права и за съобщаване в случай на нарушаване на сигурността (когато се изисква), съществени промени в обработването и всяка друга информация, която засяга значително хората.

      4. Какво е длъжностно лице по защита на данните

      GDPR въведе една нова фигура - на длъжностното лице по защита на данните (ДЛЗД). ДЛЗД не е задължително за всяка организация, обработваща данни, а само в някои случаи, очертани от GDPR. Такива са публичните органи (с изключение на съдилищата за съдебните им функции) и администраторите и обработващите, чиито основни дейности се състоят в редовно и систематично мащабно наблюдение на хора или в мащабно обработване на "чувствителни" лични данни (като данни за здравето, биометрични данни, генетични данни и др. изчерпателно посочени в член 9 GDPR) и на лични данни, свързани с присъди и нарушения.

      На първо място, всеки администратор в България е необходимо да уведоми КЗЛД за назначеното от него ДЛЗД. Това се случва чрез формуляр, публикуван на интернет страницата на КЗЛД, който може да бъде подаден и електронно с квалифициран електронен подпис.

      Три години по-късно вече е значително по-ясно кой може да изпълнява функциите на ДЛЗД и кой - не. Като за начало няма пречка ДЛЗД да е служител на компанията, но също така е възможно да е външен за организацията човек или дори юридическо лице, което предоставя изпълнението на функцията "ДЛЗД" като услуга. Когато ДЛЗД е служител, най-същественото е, че не трябва да има конфликт между функциите му на ДЛЗД и другите му трудови или служебни функции, ако съвместява такива. Най-честият пример за конфликт е, когато за ДЛЗД е назначен човек с управленчески функции в организацията, който на практика взема решения за това как да се обработват лични данни. Подобно назначение би било в противоречие със задължението ДЛЗД да е независим консултант и наблюдател за спазването на задълженията по GDPR и да посредничи и да си сътрудничи с надзорните органи. Иначе казано, в такава ситуация ДЛЗД би трябвало да контролира сам себе си, което е конфликт на интереси. Затова не може главният счетоводител, главният юрисконсулт, главният IT специалист, ръководителят на човешки ресурси, управителят и др. под. ръководни длъжности да бъдат определени и за ДЛЗД. При сключване на договор с юридическо лице за изпълнение на функциите на ДЛЗД най-същественото е, че макар да има сключен договор с дружество, за възложителя, ползващ услугите му, трябва да се посочи конкретно физическо лице, което ще бъде отговорно за неговото обслужване. Това се налага, тъй като формулярът за уведомяване за назначаване на ДЛЗД изисква попълване на данните на физическо лице, а и КЗЛД публикува изрични указания в този смисъл.

      5. Администраторите вече не се регистрират

      Преди GDPR да започне да се прилага, законът предвиждаше всеки администратор на лични данни да се регистрира пред КЗЛД, преди да започне обработването. С GDPR се въведе нов режим, при който всяка организация може да обработва лични данни, без да се регистрира. Това означава, че всички изисквания на GDPR се прилагат автоматично към всеки администратор и обработващ личните данни, стига обработването да попада в обхвата на Регламента. Не се искат формалности и допълнителни стъпки, за да се започне обработването. В същото време обаче организациите по всяко време носят тежестта да докажат, че спазват законовите изисквания за обработване на лични данни (виж т. 3 по-горе за отчетността).

      6. Дори минималното обработване на лични данни поражда задължения по GDPR

      Често срещан въпрос е в какъв мащаб обработването на лични данни поражда задължения по GDPR. Отговорът е, че макар GDPR да предвижда изключения от обхвата си, нито едно от тях не е свързано с обема или вида на обработваните данни. Например уебсайт, който събира единствено имейл адреси от потребителите, желаещи да получават бюлетин, се счита за администратор на данни и трябва да се съобрази с всички приложими правила на GPDR. Нещо повече - с решение от 2016 г. (C-582/14, по-известно като "Breyer") Съдът на ЕС приема с известни условности, че динамичните IP адреси, обработвани от уебсайт, са лични данни, тоест всеки уебсайт, достъпен в интернет, би могъл да се приеме за администратор на лични данни, дори и да не събира каквито и да било други лични данни. 


      Източник :  Капитал

      Автори : Радослава Макшутова, доц. д-р Мартин Захариев

      https://www.capital.bg/politika_i_ikonomika/pravo/2021/05/24/4212465_kakvo_nauchihme_za_tri_godini_gdpr/

      Виж повече
      Сподели
    • 17.07.2020
      Подкрепа на средни предприятия за справяне с последиците от COVID - 19

      Скъпи клиенти и приятели,

      По повод на извънредната ситуация, породена от COVID – 19, Главна дирекция „Европейски фондове за конкурентоспособност” - Управляващ орган на Оперативна програма „Иновации и конкурентоспособност“ 2014-2020 отвори програма за „Подкрепа за средни предприятия за преодоляване на икономическите последствия от пандемията COVID-19“. Крайният срок за подаване на документи за кандидатстване е 24 август, а размерът на безвъзмездната помощ е от 30 000 лв до 150 000 лв.

      Ние от „Дейта Корп“ ООД можем да Ви помогнем в подготвянето , подаването и администрирането на изискваните документи към Агенцията по електронен път.


      Доверете се на нашия юридически и технически професионализъм и опит!


      Виж повече
      Сподели
    • 15.01.2020
      СПАМ атака! "КАТ" Ви връчва фиш?! НЕ се подлъгвайте и НЕ отваряйте имейла!

              От ГДБОП предупреждават гражданите за възникнала нова СПАМ атака! Имейлът съдържа вирус, който "краде" Вашите пароли и лични данни, съдържащи се на усторйствата Ви! Бъдете внимателни! НЕ отваряйте имейла - изтрийте го! 


      Линк към новината от пресцентъра на МВР: 

      https://www.mvr.bg/press/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%B0-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%B0-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%BE/%D0%BF%D1%80%D0%B5%D0%B3%D0%BB%D0%B5%D0%B4/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%BE/%D0%B3%D0%B4%D0%B1%D0%BE%D0%BF-%D0%BF%D1%80%D0%B5%D0%B4%D1%83%D0%BF%D1%80%D0%B5%D0%B6%D0%B4%D0%B0%D0%B2%D0%B0-%D0%B7%D0%B0-%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0-%D1%81%D0%BF%D0%B0%D0%BC-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0?fbclid=IwAR2JlfMGhZpXsKMMhRq_6xa99gawV-fACVzcW6hzAJ0VemaCqkEXF0rFNkQ 

      Виж повече
      Сподели
    • 09.09.2019
      НАП - приложение за проверка на разпространени данни

      От 05.09.2019 г. вече е активно приложението за проверка на личните данни, които са изтекли от Национална Агенция за Приходите. На посочения линк може да направите справка като въведете своя ПИК или КЕП - https://check.nra.bg/ . От НАП са предоставили и няколко полезни съвета, с които апелираме да се запознаете и да спазвате, особено тези в раздел "КАКВО ДА НЕ ПРАВИТЕ?". 

      Виж повече
      Сподели
    • 08.07.2019
      Данни на над 5 млн. граждани и фирми са изтекли от НАП

      57 папки с близо 11GB информация за милиони българи бяха разпространени от анонимни хакери в понеделник до редица медии по електронната поща. Това е най-голямото познато изтичане на лични данни в страната. „Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно“, пишат хакерите.


      По техни думи информацията е добита от сървър на Министерство на финансите, а характерът на данните навежда на мисълта, че те произхождат от Националната агенция по приходите (НАП), пише „Капитал“


      „НАП и специализираните органи в МВР и ДАНС проверяват сигнал за потенциална уязвимост на компютърната система на Националната агенция за приходите. В момента се извършва проверка реални ли са данните на посочената връзка, за които се твърди, че са на МФ. Допълнителна информация ще бъде предоставена по-късно“ – това се казва в официалния отговор на финансовото ведомство след запитване на вестника. 


      Информацията в изтеклите файлове датира от над десет години назад във времето. Любопитното е, че в някои от тях личат и актуални вписвания от този юни, което подсказва, че пробивът скорошен. 


      Относно съдържанието на файловете – те са в CVS формат, личат кодови имена и кратки обяснения. За да бъдат разгадани, е нужен шифър. 


      Имената на папките обаче подсказват източника им. Така например има папки AZ (Агенция по заетостта), BACIS (Българска акцизна централизирана информационна система), NZOK (Национална здравноосигурителна каса), AUAN (Актове за установяване на административни нарушения) и др., както и няколко, включващи NRA или NAP.


      Налични са и огромни файлове с мисиви от лични данни. В един файл, кръстен GRAO, има 1.4 млн. реда, всеки от които съдържа само три имена и ЕГН. В случая вероятно става дума за справка от ГРАО за попълване на данни на НАП. 


      Има и файл, където срещу над 1.1 млн. ЕГН-та стоят месечни доходи и вноски за доброволно пенсионно и здравно осигуряване към неизвестен момент, пише още медията.


      В писмото на хакерите се посочва, че тези 57 папки са част от общо 110 компрометирани бази данни. Не стана ясно защо точно тези са направени публично достояние. „Над 5 млн. български и чуждестранни граждани, както и компании са засегнати“, оценяват анонимните хакери, като призовават медиите да търсят свободно сред данните и да си правят собствени разследвания. От мейла става ясно още, че целият теч е около 21 GB данни.


      Източник на новината: https://www.economic.bg/bg/news/11/danni-na-nad-5-mln-grazhdani-sa-iztekli-ot-nap.html


      Виж повече
      Сподели
    • 08.07.2019
      Глобяват "British Airways" с рекордните 183 000 000 паунда
      Виж повече
      Сподели
    • 14.05.2019
      Що е то GDPR и има ли почва у нас?

      Датата 25 май 2018 г. разбуни духовете в българския малък и среден бизнес. Това е датата, в която Регламент  (ЕС) 2016/679 влезе в сила и грубо казано „стартира“ своето задължително действие за всички държави-членки на ЕС. Общият Регламент за защитата на данните въвежда изисквания, касаещи потока на лични данни в публичния и частния сектор. Прилагането на разпоредбите, които се съдържат в Регламент 2016/679, предизвика повдигането на много и основателно задавани въпроси от страна на адресатите на нормите. Такива са „Длъжен ли съм да го правя – нали няма закон?!“, „Каква е целта на GDPR?“, „Това не е ли поредната бумащина, с която държавата иска да натовари бизнеса?“, „Поредната палка на властта ли е това?“, „Има ли изобщо смисъл от GDPR?“, „Аз трябва ли да направя нещо?“, „Кой пък ще тръгне да ме проверява точно мен?“ и др. подобни. За да се даде отговор на тези въпроси ще започнем от малко по-далеч, а именно – що е то това Регламент като правен акт и какво е неговото действие.

                  С приемането на България в Европейския съюз през 2007 г. в националния ни правопорядък се появи т.нар. „наднационално право“, или иначе казано правото на ЕС. Договорите, с които са създадени европейските общности, по своето естество представляват международни споразумения. Чрез тези споразумения държавите-членки създават квази-правителствени органи, на които предоставят нормотворчески, административни и съдебни суверенни права, ограничавайки своите такива в определени области. Тези институции са независими от националните държавни органи. Тяхната цел е да се създаде една общност, с единна правна регламентация и правов ред, чрез вменяване на задължения и предоставяне на права на държавите-членки и физическите и юридическите лица. Тези международни споразумения формират първичното право на Европейския съюз, или иначе казано те представляват „Конституцията“ на ЕС. Такива са „Договора от Маастрихт“ („Договора за Европейския съюз“), „Договора от Амстердам“, „Договора от Ница“ и други. За да функционира и да постигне своите цели първичното право налага необходимостта от приемането на различни актове, с които се конкретизират, тълкуват, прилагат и въвеждат нови правила. Такива актове са регламенти, директиви (чл. 288 от ДФЕС - Договор за функционирането на Европейския съюз), резолюции, програми, решения и други. Те формират т.нар. производно право на ЕС и притежават различна правна сила и действие, което обвързва държавите-членки и налага приоритетното им прилагане.

                  Описаната по-горе организирана съвкупност от правни норми представлява общностния правопорядък, който обвързва както държавите-членки, така и техните граждани. Тези норми стават действащо право на държавите-членки, без да е необходимо предприемането на каквито и да е било национални мерки, които да го допускат, обуславят или опосредяват.


      За целта на настоящото изложение ще направим кратко разяснение на Регламента като правен акт и неговата приложимост.


                  Регламентът е основният нормативен акт в европейското право. Неговата роля е съпоставима със закона в нашето национално право. Отнася се до неограничен и неопределен кръг субекти, съдържа норми с общ характер и има действие по отношение на всички държави-членки и абстрактно по отношение на всички частни лица. Регламентът установява нормативни принципи, определя условията за приложението им и произтичащите от тях правни последици. Предназначението му е да урежда обществените отношения в рамките на държавите-членки, с ежедневна непосредствена приложимост, с директен ефект и действие спрямо всички. Съдържа общи неадресирани разпоредби, които засягат директно правната сфера на частните лица. Неадресирани означава, че адресатите на разпоредбите не са индивидуализирани, а са абстрактно определен кръг от субекти. Чрез регламентите ЕС директно урежда обществени отношения. Те са задължителни в своята цялост – това ги разграничава от директивите, които са задължителни само по отношение на резултата, който предписват (по-долу ще се направи препратка към новата директива за киберсигурност). Всяка държава-членка е длъжна да изпълнява регламентите. Тя не може избирателно или частично да прилага регламент, независимо от това каква е била позицията ѝ при приемането на акта. Друг съществен елемент е, че никоя държава-членка няма право със собствен акт да изменя или допълва регламент. Тя е длъжна да санкционира всяко негово нарушение или неизпълнение, независимо дали нарушител е държавен орган, или частно лице. Основното качество на регламента е неговата непосредствена приложимост и директен ефект, които се съдържат в принципа на примата на Общностното право, нормативно закрепен в чл. 288 от ДФЕС. Това означава, че всякакви национални мерки по обнародване, транспониране и въвеждане следва да се считат за забранени. Противното е възможно да доведе до разлика в приложението на регламента в държавите-членки, а неговата цел е да уреди едновременно по един и същ начин един и същ вид обществени отношения. От това следва да се направи изводът, че ако Общностното право не се ползва с примат то би било лишено от своята ефективност и смисъл. Няма регламент без норми с директен ефект, но не всички норми са с директен ефект. Той се преценява винаги конкретно за всяка отделна норма към момента на прилагането ѝ. Преценката се прави най-просто като се даде отговор на следните 3 въпроса: Кой? (кой е субектът на задължението); Какво? (какво поведение се изисква от субекта); Кому? (на кого дължи това поведение субектът). Другият вид норми, които могат да се открият в даден регламент са такива, които налагат предприемането на национални изпълнителни мерки. Наличие на подобни норми има и в Регламент (ЕС) 2016/679 (GDPR), например за минималното съдържание и вида на изискуемите регистри, органът и начинът по който длъжностните лица по защита на личните данни ще се сертифицират и др.

      Тук е моментът да се спомене за отговорността, която държавите-членки носят пред ЕС, за прилагането на Общностното право, както част от необходимите стъпки за неговото приложение. По правило държавите прилагат регламентите само в условията на обвързана компетентност (друго е при директивите, които са задължително по отношение на резултата). Ако една държава - членка не прилага правилно и коректно даден регламент, всеки засегнат има право да отнесе въпроса пред компетентния съд в ЕС и тя да бъде осъдена. Никакви политически или административни (липсата на орган, компетентни кадри, незнание за наличието на регламент) пречки не могат да се ползват като оправдание за неприлагането или неизпълнението на даден регламент. Държавата-членка е длъжна да вземе всички необходими правни, бюджетни или административни  мерки и да осигури процедурите, с които да се гарантира изпълнението на регламента своевременно, независимо дали от нея се изисква действие по самия регламент, или се изисква да се погрижи за правилното му приложение.

                  С това въведението за регламента като институт на правото приключва. В горното мисля, че се даде и конкретен отговор на първия въпрос – „… нали няма закон?!“ Закон има, просто трябва да претърпи корекции и да бъде съобразен с изискванията на новия ред. Нещо, което всички чакаме да се случи от известно време…, но същевременно нещо, което не бива да спира работата по привеждането на бизнеса Ви в съответствие с разпоредбите на GDPR!


      Нататък в изложението ще Ви разкажем за случаи от нашата практика и ще представим становището на „Дейта Корп“ ООД, като по този начин ще разберете, че ние не просто имаме решение на Вашия проблем, ние Ви даваме сигурност!


      „Каква е целта на GDPR, или какво е наложило неговото приемане?“

      Отговорът на този въпрос се съдържа още в първите редове на Регламент (ЕС) 2016/679 и по-конкретно в изречение второ на съображение № 2:

      (Съображенията представляват изложение на мотивите – законови, политически, обществени и икономически, които са наложили вземането на решение да се приеме обсъжданият акт. Съображенията са неразделна част от Регламента и намират своето място преди общите му разпоредби.)

      „Настоящият регламент има за цел да допринесе за изграждането на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален напредък, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората.“

      Това е крайната „заветна“ цел на Европейския съюз, а в частност и на GDPR. Тя трябва да бъде подплатена, гарантирана с и в съответствие с принципите, правилата и ПРАВОТО на защита на личните данни на физическите лица, намиращи се на територията на ЕС. Предметът и целите на Регламент (ЕС) 2016/679 се съдържат в общите му разпоредби и по-специално от чл. 1 до чл. 3. Причините за поставянето на тези цели – да се гарантират сигурността и защитата на личните данни на хората са неизчерпателно изброени от съображение (4) до съображение (7), включително. Просперитетът на технологиите и икономиката са създали нови предизвикателства пред сигурността на личните данни на физическите лица, като едновременно трябва да се гарантират и всички права и свободи на човека. Именно тук се намесва GDPR. „Той“ няма за цел да преустанови или забрани обмена и събирането на лични данни, а да го регламентира и канализира по начин, който да гарантира сигурността на данните. Прилагайки необходимите процедури за защита ще бъде по-лесно да се установи изтичането на лични данни и да се преустанови, или ограничи нерегламентираният достъп. Всеки достъп, трансфер или обработка следва да остави своята следа. Вземете за сравнение счетоводството - то няма за цел да спре паричния оборот, а да го контролира и „обяснява“. Много хора именно това ги спира и стряска.


      При лични срещи, много клиенти ни питат: „Какъв е смисълът? – Поредната бюрократщина, бумащина и тежест за бизнеса ли е?“ и „Каква е ползата от GDPR?“

      Дали е бумащина или не зависи от това, в какво състояние е била документацията за бизнесът Ви досега. Да, ще отнеме време да се направи. Да, ще се наложи да се поразровите и поразхвърляте, но в крайна сметка ще постигнете ред и сигурност. А ако всичко Ви е било изрядно подредено – това е чудесно! Сега ще се наложи само да гарантирате неговата сигурност и неприкосновеност. Да сведете до минимум риска от нерегламентиран достъп, пробив и изтичане на информация.

      Ако погледнете на нещата като необходима възможност, а не задължение, всичко ще се случи бързо и лесно.

      Смисълът се явява в това да се знае във всеки един момент какво се случва с личните данни на физическите лица – кой ги обработва, от къде ги има, защо ги обработва, на кого ги предоставя. Тук идва и моментът с киберсигурността – как ги съхранява и пази. Освен това, имайте предвид, че самият Тим Кук (изпълнителен директор на „Apple“) вижда ползите на Регламент (ЕС) 2016/679 и посъветва членовете на Конгреса на САЩ също да състави и приложи подобен акт, макар и в Щатите от години да съществува законодателство за защита на личните данни.

                  Практиката ни показва, че масово бизнесът е изпаднал в един хаос от документи от всякаквъв вид. В повечето случаи се губят документи и по „Закона на Мърфи“ се появяват точно, когато вече не са Ви необходими. Една от идеите на Регламента и Директивата за Киберсигурността е да се въведе ред във всичко – подреждане на документите, архивирането им, качването им на електронни носители, запазването им в сървърни и клауд – устройства, ограничаване на свободния достъп до тях, както и най- важното – криптирането им.

                  Затова бихме казали – да, първоначално е тежко за всеки бизнес да интегрира новите правила, но в последствие всичко се опростява и работата тръгва „като по вода“, а накрая ясно се вижда смисълът на всичко това. Дори ще си задавате въпроса как и защо не сте се сетили по-рано за това и защо не е имало някой да Ви покаже ползите и да Ви помогне да ги интегрирате в дружеството си. 


      Друг често задаван въпрос от клиентите ни по време на среща е „Кога ще започнат проверките и налагането на глоби?“

      Всъщност, проверките и налагането на глоби вече започнаха, като се очаква с всеки изминал ден те да се увеличават. Дори вече имаше казус с наш клиент – беше подаден сигнал и благодарение на съвестната и качествената му работа, както и на нашата такава, с оглед на разписаната документация и процедури – КЗЛД (Комисията за защита на личните данни) взе аргументирано решение, че не е установено налично нарушение и отказа да наложи санкция. Впрочем, по този начин ще опитат да процедират много дружества. Основната идея, според нас, ще е да дестабилизират и притискат основните си конкуренти, което е възможно да се превърне в порочна практика. Точно затова нашата практика е индивидуална към всеки от клиентите ни – целта е да намерим всички възможности за пробив и да подсигурим документално и технически сигурността на дружеството, относно работата му с лични данни на физически лица.


      Наскоро ни попитаха „Този Регламент важи ли за мен?“. 

      Той важи за абсолютно всички, които обработват лични данни. Основните са юридическите лица, но в това число влизат и физическите лица – например хората на свободна практика – лекари, адвокати, одитори и т.н. Всеки трябва да има ясно писани правила и политики, във връзка със защитата на личните данни на своите клиенти и служители. В този смисъл са и текстовете от член първи до член четвърти включително от GDPR. Все пак става въпрос за защита на личните данни на физическите лица, а едно ЮЛ е изкуствено създаден институт и неговото съществуване без физическо лице е немислимо.


       „Поредната палка на властта ли е това и трябва ли аз да направя нещо?“

      Макар и грубо зададена първата част от въпроса не е лишена от смисъл и основание. Тук ще се въздържим от коментар за доверието на хората и бизнеса в държавата. Силно се надяваме, а и сме сигурни, че не би следвало да има подобни опасения. КЗЛД е един административен орган с контролни и административно - наказателни функции. Неговата дейност няма да се сведе до това да изнудва бизнеса и да се налагат огромни глоби с цел фалит на дружества. Все пак, този Регламент действа за целия Европейски съюз и контрол по неговото изпълнение може да бъде прилаган и от него. Към този момент самата Комисия действа плахо и несигурно. Обемът от работа е огромен и ще се разраства. Нещото, което може да се направи е да се съдейства на КЗЛД да осъществява своята дейност по контрол прозрачно, добросъвестно и законосъобразно. Как? – като приведете навреме бизнеса си в съответствие с разпоредбите на GDPR, съответно като не давате повод за проверки и санкции, а при евентуална проверка представите всичко необходимо и съблюдавате да се спазват правата Ви. Както вече уточнихме, Регламентът няма за цел да позапълни „дупките“ в държавните бюджети, нито цели фалита на мнозинството от бизнеса. Целта е, чрез страх от наказание (превантивна мярка), компаниите да бъдат стимулирани да предприемат всички необходими мерки по опазването на личните данни, които събират, обработват, съхраняват и трансферират.


      „Кой ще тръгне да ме проверява точно мен?“

      Този въпрос винаги предизвиква усмивка на лицата ни! Той обаче не е предизвикан от работата на КЗЛД или от приложението и съдържанието на разпоредбите на Регламент (ЕС) 2016/679. Неговата основа и основание се крие дълбоко в разбиранията и възгледите на българската народопсихология.

      Затруднени сме с даването на отговор и опита да Ви убедим в противното, но ще се постараем! Дори и да сте убедени, че сте неуязвими и непоклатими ще си позволим да Ви дадем съвет – не винаги евтиното излиза евтино! Макар и в застрахователните среди вече да се говори и за застраховка, която покрива защитата на личните данни и киберсигурността, никой не може да Ви гарантира, че няма да станете обект на проверка. Още повече - дори и да нямате „теч“ на данни и проверката да не е насочена към Вас, е възможно да се окажете „свързано лице“ с проверяваната компания и да предизвикате интерес у КЗЛД. На следващо място бихме искали да Ви уверим, че „солените“, предвидени в GDPR, глоби далеч не са единственият разход, който е възможно да се наложи да поемете при едно евентуално установено нарушение. Такива са обезщетенията, административните такси по производствата, както и временната или пълна забрана за обработване на лични данни, което е равносилно на прекратяване на бизнес процесите, а от там и печалбите Ви.

      Затова нашият призив към Вас е – бъдете разумни, а не самоуверени!


      Друга много важна тема, която трябва да се засегне е и новият закон за киберсигурност.

      Съставен с оглед на приемането на Директива (ЕС) 2016/1148 и обнародван на 13.11.2018г., Законът за Киберсигурност е пряко свързан с Регламент ЕС 2016/679 и до голяма степен се припокриват двата акта. Целта им е да се въведат високи мерки за сигурност на мрежите и информационните технологии. Но дори и без тези актове на Европейския Парламент и българския законодател всеки бизнес трябва да обърне сериозно внимание на компютърната си и софтуерна инфраструктура, поради множеството пробиви, които се случват от там и многократното покачване на риска от изтичане на информация – лични данни и търговки тайни и практики. Точно поради тази причина, ние от „Дейта Корп“ ООД имаме и екип от ИТ- специалисти, които виждат слабостите на нашите клиенти и се погрижват те да бъдат защитени и по тази линия. В днешно време от първостепенно значение е информацията на Вашето дружество да бъде превилно и сигурно събирана, изпращана, пазена и архивирана. Затова съветваме да бъдат интегрирани лицензирани и доказани софтуерни продукти, антивирусни програми, рутерни устройства и т.н. Много е важно във всеки един момент да се знае и да се оставя отпечатък кой е достъпвал личните данни на Вашите клиенти и служители, защо ги е достъпил, как ги е използвал и дали и на кого ги е разпространил – това би осигурило Вашата защита при евентуален непозволен достъп и/или увреждане от Ваш служител или трето, външно лице.   

      Виж повече
      Сподели
    • 16.04.2019
      ВАЖНО! Нерегламентирани обучения в областта на защитата на личните данни

      Във връзка с постъпилите множество запитвания относно обучения в сферата на защита на личните данни, предлагани от редица организации, включително под формата на сертификационни обучителни курсове, Комисията за защита на личните данни информира, че не е оторизирала нито една организация или обучителен център да провежда обучения в областта на защитата на личните данни от нейно име, нито е одобрявала обучителни програми за това. КЗЛД извършва разяснителната си кампания самостоятелно.

      Важно е да се отбележи, че администраторите нямат задължение да участват в такива обучения, включително по отношение на задълженията на длъжностните лица по защита на данните. Те биха могли да участват в обучения по своя преценка и според конкретните си потребности. Решението и отговорността са на самите администратори.

      https://www.cpdp.bg/?p=news_view&aid=1410

       


      Виж повече
      Сподели
    • 12.10.2018
      Twitter с първо разследване за нарушения по GDPR

      Регулаторът в Ирландия е започнал да разследва Twitter във връзка със съмнения, че пристъпва правилата за неприкосновеност на личния живот, заложени в Общия регламент за защита на личните данни (GDPR). Поводът е, че компанията е отказала да даде подробности за това каква информация за потребителите събира, когато те кликнат върху линк в някой туит.  


      Когато човек пусне връзка към друг сайт в своя публикация в Twitter, платформата използва своя услуга за съкращаване на линка – t.co. Според компанията това ѝ помага да измерва колко пъти е било кликнато върху нея, а също така и в борбата със злонамерен софтуер, препращащ към измамни сайтове. 


      Изследователят Майкъл Вейл от university College London обаче подозира, че инструментът има и още едно предназначение – да помага на Twitter да получава повече информация за потребителите, които са кликнали и например да може след това да проследява дейността им от сърфирането в интернет. 


      Позовавайки се на новите правила, влезли в сила с GDPR от май тази година, Вейл е поискал от Twitter да му предостави информация за всички лични данни, които мрежата има за него като потребител. Компанията обаче е отказала да му каже какви подробности събира с мотива, че изпълнението на поръчението ще ѝ коства непропорционални усилия. 


      Отказът мотивирал Вейл да подаде жалба към ирландската комисия за защита на данните. Този четвъртък стана ясно, че органът е стартирал официално разследване по случая. 


      Twitter, както и повече големи технологични компании, са позиционирали европейското си седалище в Ирландия, затова и по казуса е сезиран местният регулатор. 


      Сега предстои да се уточни дали Twitter е изпълнила задълженията си по Регламента, който изрично казва, че потребителите имат право да изискват наличната за себе си информация от компаниите. 


      Жалбата вероятно ще бъде разгледана и от новия Европейски съвет за защита на личните данни – орган, който помага на националните регулатори в прилагането на GDPR. Случаят на Вейл е специфичен с това, че „включва трансгранична обработка“. 


      Виж повече
      Сподели
    • 23.07.2018
      Комисията за личните данни ще може да влиза в медии и да претърсва компютрите им
      • Комисията за защита на личните данни (КЗЛД) ще може да извършва проверки в медии с право да влиза във всички помещения на редакцията и на достъп до всеки компютър и друго техническо средство за предаване на данни, както и право да изисква достъп до всички данни и до цялата информация, с едно-единствено изключение – няма да има право да иска разкриване на източниците на информация. Това става ясно от проекта за промени в Закона за защита на личните данни (ЗЗЛД), който правителството внесе в парламента в края на миналата седмица.
      • В него са направени някои корекции спрямо първоначалния вариант, които отразяват част от критиките по време на общественото обсъждане преди приемането му от Министерския съвет. Същевременно обаче там продължават да стоят редица тревожни текстове, не всички основателни критики са съобразени, нещо повече – при редакцията са се появили нови текстове и варианти, които пораждат нови опасения. В законопроекта има много неясни разпоредби, даващи възможност за широко тълкуване и произвол, както и казуистично търсени разрешения.Това е оценката на част от експертите, участвали в първоначалното обсъждане на проекта за промени в ЗЗЛД, който в края на тази седмица бе публикуван на сайта на парламента. Законопроектът е мащабен – близо 80 страници текст, от които само четири страници мотиви. Само по себе се това е крайно несериозен подход, още повече, че мотивите почти изцяло са посветени на значимостта на въвеждането на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (т. нар. GDPR), но не и за отделните текстове по същество.Опасения за цензура и натиск върху медии
      • Едно от сериозните опасения са, че и новата редакция на законопроекта дава широка възможност за цензура и натиск върху медии и журналисти. По време на обсъждането бе коментирано, че журналистическата дейност трябва изрично да се изключи от приложното поле на ЗЗЛД, тъй като нейният регламент е другаде – Етичен кодекс, Конституция, закони, практика на Конституционния съд, на Европейския съд по правата на човека и др. Вместо това законопроектът прави опит да дефинира журналистическото изразяване и се дават казуистично изброени критерии за преценка дали то не нарушава законодателството за защита на личните данни. Към тези критерии остава като самостоятелна позиция "други обстоятелства, относими към конкретния случай", което е твърде общо и оставя възможност за всякакви интерпретации. Това обезсмисля останалите критерии и на практика оставя преценката на добрата воля на надзорния орган, което в българския контекст на отношение власт – медии не е добра идея.
      • Нещо повече, в проекта се е появил нов текст – чл. 25д, ал. 4, който дава ясни индикации, че КЗЛД ще извършва проверки в медии, като ще има правото на достъп до всички помещения на медията, до всяко оборудване и всяко средство за обработване на данни (т.е. до всеки компютър и друго техническо средство за предаване на данни), включително достъп до всички данни и до цялата информация, с едно-единствено изключение – комисията няма право да иска разкриване на източниците на информация.Текстът на чл. 25д, ал. 1 поставя сериозно въпроса за баланса между правото на изразяване и зщитата на личните данни и неприкосновеността на личния живот, казва адвокат Александър Кашъмов. Там се казва, че "обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот". Така, както е формулиран този текст, няма баланс, а императивно изискване за зачитане на правото на неприкосновен личен живот, независимо от останалите обстоятелства и критерии, казва Кашъмов. Подобен императив е резултат от неверен превод на директивата, където балансът е водещ принцип, казва той.
      • Професионалната тайна остава незащитена
        На следващо място – въобще не е решен проблемът със защитата на професионалната тайна пак с оглед правомощието на КЗЛД да влиза в помещения, да има достъп до оборудване и да иска всички данни и информация. Проблемът бе остро поставен от адвокатите, тъй като те по закон са задължени да опазват тайната на клиента. Действително към чл. 12а, ал. 1 е добавено изречение, че когато при проверките на комисията и изискването на достъп може да се наруши задължение за опазване на професионална тайна или друго равностойно задължение за опазване на тайна, произтичащо от закон, то тогава администраторът на данни отказва да даде достъп, но само "до информацията, защитена като тайна". Съществуват цели информационни масиви, които представляват тайна, каквито са например адвокатските книжа по Закона за адвокатурата, това са делата на адвокатите, но същевременно вече има прецеденти на прекомерно упражняване на власт от КЗЛД спрямо адвокатите, казва адвокат Кашъмов. (Той има предвид натиска адвокатите да се регистрират като администратори на лични данни, ВАС обаче прие, че Законът за адвокатурата в случая е специален и това не е необходимо.) Според Кашъмов специално заради спецификата на адвокатските архиви, свързани с правото на защита на гражданите, би следвало целият този масив да е защитен от проверки, а не да се налага при всеки един случай да се обяснява защо е тайна, при положение че това е записано в закона.
      • При всички положения работата по проекта в парламента ще започне след ваканцията, което означава, че ще има достатъчно време той да се прочете и осмисли от всеки, който може да бъде засегнат от новото законодателство.

      Виж източник

      Виж повече
      Сподели
    • 03.07.2018
      Google превърна стотици фирми в нарушители на GDPR
      • Стотици фирми се оказваха нарушители на Общия регламент за защита на личните данни (GDPR) заради спорни действия от страна на интернет гиганта Google. За това алармираха представители на рекламния бизнес, пише Reuters.
      • Казусът се заплита след решението на Google да отложи влизането си в консорциум от компании, предлагащи реклама в интернет. Ходът на гиганта се отрази пряко и върху устрема на останалите членове да се съобразят с новите европейски правила, са споделили пред изданието шестима души, част от програмата.
      • Те обръщат внимание, че някои фири са изложени на опасност от глоби. Най-застрашени са неосведомените собственици на уебсайтове и приложения, които получават приходи от реклама, насочена към тях според механизмите на Google. Според гиганта те са отговорни за това да предоставят на европейските си потребители опция за информирано съгласие за получаване на таргетирани търговски послания.
      • Казусът показва нагледно как решенията на търсачката предизвикват каскада от последици в цялата рекламна индустрия. А тя е огромна – оценява се на 200 млрд. долара и за никого не е тайна, че е доминирана от бизнес звеното на Alphabet.
      • Казусът

        Данните за идентификация на посетителите на даден уебсайт може да преминат през дузина компании по веригата преди дадена реклама да се зареди. Според изискванията на GDPR обаче всяка една от тях трябва да е получила съгласие от потребителя.
      • На 25 май, когато Общият регламент влезе официално в сила, стотици компании за рекламни технологии близо месец вече използваха инструмент за потвърждение. На 22 май обаче Google изненадващо обяви, че няма да се присъедини към програмата на индустрията до август.
      • Компанията разработи временно решение, което според мнозина е несъвършено и в резултат на това се оказва, че някои от клиентите на Google насочват реклами към потребители, които не са дали съгласието за персонализиран маркетинг.
      • Към момента гигантът отказва да коментира въпроса. Известно е обаче, че нарушенията на правилата по GDPR се наказват строго. Най-плашеща за всички е потенциалната глоба в размер на до 4% от глобалните годишни приходи на фирмата. Все пак трябва да се има предвид, че опасността действително е залегнала в Регламента, но би се стоварила трудно върху бизнеса, ако той все пак полага усилия дейността му да е приведена към новите изисквания.
      • Все пак действията на Google застрашават редица фирми. В тази връзка мениджъри настояват регулаторите да се съобразят с казуса и да вземат предвид, че търсачката не поддържа технологията на консорциума.

      Виж източник

      Виж повече
      Сподели
    • 28.05.2018
      Фирмите не обърнаха внимание на GDPR и затова не са готови
      • Според него Комисията е направила достатъчно да информира бизнеса за новия европейски регламент
      • Българските фирми не са готови да работят в съответствие с новия Европейски регламент за защита на личните данни (GDPR). Причината е, че въпреки не малкото разяснения от страна на Комисията за защита на личните данни, бизнесът не е обърнал необходимото внимание. Това каза в сутрешния блок на БНТ председателят на Комисията Венцислав Караджов.
      • „Повече от година и половина Комисията използва своята интернет страница за разяснения, а от началото на годината разяснява правилата на място. Въпросът е, че бизнесът не се интересуваше, тъй като за него регламентът не беше акт, който ще се прилага веднага, не обърна необходимото внимание навреме и затова не е подготвен в момента”, каза Караджов.
      • GDPR влезе в сила на 25 май. Новият регламент е част от пакета за реформи за защита на личните данни на ЕС, включващ още директивата за защита на данните за полицията и органите на наказателноправната система. Регламентът предвижда потребителите да имат улеснен достъп до своите данни, включително повече информация за какво се използват въпросните данни.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Как GDPR ще се отрази на работата на лечебните заведения
      • Едва ли някой читател е пропуснал новината, че от 25 май тази година влиза в сила Регламент (ЕС) 2016/679 от 27.04.2016 г., по-известен като General Data Protection Regulation (GDPR). Комисията за личните данни публикува на страницата си 10 практически стъпки за прилагане на регламента, но до този момент няма указания към отделните сектори по отношение на прилагането му.
      • Влизането в сила на този акт ще има сериозно отражение върху работата на лечебните заведения, поради което липсата на конкретни указания за прилагането му в областта на здравеопазването е сериозен дефицит. Още през 2016 г. European Hospital and Healthcare Federation излезе със серия от препоръки към държавите членки във връзка с прилагането на регламента, най-важната от които е "да се осигурят за болниците и другите лечебни заведения и организации в областта на здравеопазването специфични за сектора съвети и указания, както и обучения от националния контролен орган, които са необходими, за да се демонстрира съответствие с изискванията на регламента".
      • Заедно с "Капитал Здраве" ви представяме някои от най-важните аспекти на GDPR, които могат да ви помогнат да придобиете представа за ролята на GDPR в работата на лечебните заведения и необходимите действия, които трябва да бъдат предприети. Няма да се спираме на общата информация за GDPR, а само на специфичните за сектора отражения.
      • Лечебните заведения обработват специална категория данни, които според регламента се възприемат като чувствителни лични данни, поради което обработването е разрешено при спазването на следните правила: необходимо е да е налице едно от условията за законосъобразно обработване, посочени в чл. 6 от Регламента, едновременно с наличието на поне едно специално условие за обработване, посочено в чл. 9, пар. 2.
      • Кои са специалните условия за обработване на чувствителни лични данни?
        Наличие на изрично информирано съгласие:
        За разлика от директивата, уреждаща регулацията на личните данни преди влизане в сила на GDPR, последният въвежда по-строги изисквания за информираното съгласие. То трябва да отговаря на няколко важни условия:
        Да бъде недвусмислено, свободно и ясно изразено, а условията му да бъдат разбираемо и конкретно отделени от друга информация. Например, ако условията на информираното съгласие за обработване на лични данни представляват част от информираното съгласие за предоставяне на медицинската помощ, неговите клаузи трябва да са ясно отграничени от останалите.
      • Задължително следва да се избягват предварително маркирани съгласия, опции за мълчаливо съгласие и други подобни. Информираното съгласие трябва да предоставя конкретна информация и възможност да бъде оттеглено по всяко време. Освен това от съдържанието му или от условията, при които е предоставено, трябва да става ясно, че е дадено напълно свободно. Предоставянето му не трябва да бъде предпоставено от някакви условия (например, че няма да бъде предоставена спешна медицинска помощ, ако липсва изразено информирано съгласие за обработване на лични данни).
      • Необходимо е във всяко информирано съгласие да бъдат посочени целите, за които се обработва информацията, а в случай че са посочени различни цели, е препоръчително да се предостави възможност на субекта да изрази отделно съгласие за всяка от тях. Липсата на адекватно информирано съгласие или непредоставянето му в предвидения в регламента ред отваря вратата за сериозни санкции и уврежда доверието и репутацията на лечебното заведение. Необходимо е да се приемат адекватни механизми за съхраняването на този важен документ. В заключение следва да се отбележи, че, в случай че администраторът не може да изпълни някое от тези изисквания, е необходимо да се позове на някое от другите алтернативни специални основания. По-важните от тях и относими за дейностите на лечебните заведения са следните:
      • - Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила. Такива ще са случаите, когато данните се обработват за целите на осъществяване на правото на пациента на трансгранично здравно обслужване или за спазване на здравословни и безопасни условия на труд.
      • - За защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие. Например, когато пациентът се намира в спешно състояние и не може да изрази своето съгласие, защото е в безсъзнание.
      • - Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи. Такива ще са случаите, когато с конкретен съдебен акт се изисква информация за здравословното състояние на пациент от съда.
      • - Обработването е необходимо по причини от важен обществен интерес на основание правото на съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните. Все още липсват указания за прилагането на тази разпоредба и разбирането на понятието за обществен интерес. Препоръчвам да се избягва прилагането на тази клауза заради неясната й формулировка и споровете, които може да се породят от това обстоятелство.
      • - Обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на съюза или правото на държава членка, или съгласно договор с медицинско лице и при условие че въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на съюза или правото на държавата членка или правилата, установени от националните компетентни органи, или от друго лице, също обвързано от задължение за тайна по силата на правото на съюза или правото на държавата членка, или правилата, установени от националните компетентни органи.
      • Тази клауза ще бъде най-често приложимата в работата на лечебните заведения, тъй като дава възможност при наличие на предпоставките, посочени в чл. 6, да бъде включена като специално условие за обработване на лични данни, без да е нужно информирано съгласие. Всяка информация, която е необходима за целите на отчитането пред НЗОК, документирането на данни за здравословното състояние, необходими за провеждане на диагностично-лечебния процес и осигуряване на здравни грижи, може да бъде обработвана на това основание. Това обаче следва да се осъществява само от лица, които са задължени да спазват професионална тайна (например лекари и медицински сестри по силата на съответните кодекси за професионална етика), както и при спазване на принципа за пропорционалност при обработването.
      • - Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна. Това основание ще бъде налице в случаи на епидемии или други сериозни общественоздравни проблеми.
      • Каква документация следва да поддържа лечебното заведение?
        Регламентът задължава всеки, който обработва лични данни, да поддържа регистър със съдържание, подробно описано в чл. 30 от регламента. Изискването за наличие на регистър се отнася дори за лечебните заведения с по-малко от 250 служители, защото обработват специална категория данни.
      • Имат ли нужда лечебните заведения от длъжностно лице по защита на личните данни (Data Protection Officer)?
        Малките лечебни заведения (амбулатории за извъболнична медицинска/дентална помощ, ДКЦ и други) няма да бъдат задължени да назначават DPO. Изискването за назначаването му важи за всички публични органи или когато се извършва мащабно обработване на специална категория лични данни, сред които са и тези за здравословното състояние. По-големите структури, осъществяващи дейности в здравеопазването, е необходимо да анализират дейността си и да преценят дали не е налице условието за мащабно обработване на чувствителни лични данни, защото тогава назначаването на DPO ще бъде задължително.
      • Какви права имат пациентите при обработване на личните им данни?
        Пациентите имат право на информация относно дейността на обработващите личните данни: данните, които ги идентифицират и координатите за връзка с тях, координатите за връзка с длъжностното лице по защита на данните (ако е приложимо), целите на обработването, за което личните данни са предназначени, както и правното основание за обработването; ако обработването се извършва при наличие на законен интерес (legitimate interest), е редно същият да се посочи; предоставя се информация и за получателите или категориите получатели на личните данни, ако има такива и други важни обстоятелства. Необходимо е субектите да бъдат информирани и за начина на реализиране на отделни техни права: например по какъв начин могат да поискат личните им данни да бъдат коригирани или изтрити; как може да се оттегли информираното съгласие и възможностите за подаване на жалби.
      • За разлика от някои други сектори, в които правото да бъдеш забравен ще бъде често приложимо, в здравеопазването пациентът трудно ще има подобна възможност. Налице е сериозна заблуда, че пациентите могат да заявят пред лечебното заведение желание за изтриване на данните им и това да бъде осъществено. Правото е приложимо само доколкото същото не влиза в конфликт с някое от ограниченията в чл. 17, пар. 3 от регламента и само доколкото отговаря на изискванията в пар. 1. Например, ако личните данни са необходими за целите, за които са били събрани или обработвани по друг начин, изтриването е недопустимо. Така, ако пациентът е диспансеризиран и е необходимо непрекъснато проследяване на състоянието му, личните му данни не могат просто да бъдат изтрити.
      • Освен това обработването на лични данни в здравеопазването е свързано със спазването на редица нормативни актове, които задължават лечебните заведения да съхраняват конкретна информация за определен период от време. В този случай правото на пациента да бъде забравен няма да може да се реализира, защото обработването на тези данни е необходимо за спазване на правно задължение, което изисква обработване, предвидено в правото на съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Например такова ще бъде задължението на Главния изследовател да съхранява документацията от дадено клинично изпитване по силата на Регламент (ЕС) 536/2014 г. за срок от 25 г.
      • Правото да бъдеш забравен няма да е приложимо и в случаите, когато информацията следва да се обработва по причини от обществен интерес в областта на общественото здраве. Такива са например данни за поставени имунизации на пациенти, обработвани от общопрактикуващия лекар, или данни за донори на кръв и съответните резултати от изследвания на дарената кръв.
      • В заключение следва да се отбележи, че се очаква лечебните заведения да срещнат затруднения при изпълнение на новите регулации в областта на защита на личните данни. Това най-вече се отнася за големите лечебни заведения, през които годишно преминават десетки хиляди пациенти. Действащото законодателство в страната не регламентира ясно и последователно видовете документи, които се съставят в хода на оказване на медицинска помощ на пациентите, сроковете за тяхното съхранение и конкретните отговорности. Уредбата е разпръсната в Националните рамкови договори и приложенията им, медицинските стандарти, Закона за здравето, Закона за здравното осигуряване и множество подзаконови нормативни актове. Липсата на електронно здравеопазване и поддържане на огромен брой хартиена документация създава допълнителни рискове за правилното й и законосъобразно обработване. Следва да се обърне внимание и на обстоятелството, че санкциите за нарушения на регламента са изключително високи, а повечето служители, които обработват лични данни по силата на договор или акт на администратора, отговарят ограничено по смисъла на Кодекса на труда.
      • Необходимо е да се предприемат своевременни организационни и технически мерки, които да демонстрират спазването на регламента, които включват обучение на персонала, вътрешни одити и преглед на вътрешните правила и стандарти, действащи до този момент. Една от най-важните мерки в областта на здравеопазването е разясняването на важността от защита на чувствителните лични данни и отговорното отношение към обработването им.

      Виж източник

      Виж повече
      Сподели

    Страница 1 от 2

    Запитай тук