Вътрешни правила за защита на личните данни – какво трябва да съдържат и как да ги изготвим?

Когато за пръв път се сблъсках с изискванията на GDPR, едно от нещата, което ме постави в затруднение, беше въпросът за вътрешните правила за защита на личните данни. Всички говореха за тях, но малко хора обясняваха ясно какво точно представляват, защо са задължителни и как да ги изготвя. В тази статия ще обясня всичко, което трябва да знам като администратор на лични данни – собственик на бизнес, управител или отговорно лице в организацията.

Какво са вътрешните правила за защита на личните данни?

Вътрешните правила за защита на личните данни (известни още като Политика за защита на личните данни или Privacy Policy за служители) са вътрешнофирмен документ, с който описвам как моята организация обработва лични данни. Те не са публичният документ, видим на уебсайта ми – те са вътрешни за организацията и регулират поведението на служителите и процедурите вътре в компанията.

Според Общия регламент за защита на данните (GDPR) всеки администратор на лични данни е длъжен да прилага подходящи технически и организационни мерки, за да гарантира нивото на сигурност, съответстващо на риска. Вътрешните правила са именно документалното доказателство, че тези мерки съществуват и се прилагат.

Ако искам да разбера по-добре какви са новите правила за защита на лични данни (GDPR) и как те засягат бизнеса ми, препоръчвам да започна оттам.

Защо са задължителни вътрешните правила?

Много собственици на малки и средни предприятия смятат, че GDPR документацията е нещо, от което могат да се измъкнат. Това е грешка, която може да им струва скъпо. GDPR изисква от мен да доказвам спазването на регламента – принцип, известен като отчетност (accountability). Без писмени вътрешни правила не мога да докажа нито на КЗЛД, нито на клиентите си, нито на партньорите си, че спазвам закона.

Ето конкретните причини, поради които вътрешните правила са задължителни:

• Принципът за отчетност – чл. 5, ал. 2 от GDPR изисква администраторът да може да докаже спазването на принципите за обработване на лични данни.
• Организационни мерки за сигурност – чл. 32 от GDPR задължава въвеждането на подходящи технически и организационни мерки, а вътрешните правила са документалното им въплъщение.
• Обучение на служителите – чл. 39 изисква обучение на персонала, за което трябва да имам документирана основа.
• Проверки и одити – при инспекция от КЗЛД вътрешните правила са едно от първите неща, които ще ми поискат.

За цялостно въвеждане на GDPR в бизнеса е важно да разбирам, че правилата не са просто формалност – те реално защитават и мен самия.

Какво трябва да съдържат вътрешните правила?

Съдържанието на вътрешните правила трябва да обхваща всички ключови аспекти на обработването на лични данни в моята организация. Ще разгледам всяка задължителна секция поотделно.

1. Цели и обхват на документа

Първата секция трябва да обяснява защо съществуват правилата и кого обхващат. Обхватът включва всички служители, подизпълнители, стажанти и всяко лице, което обработва лични данни от името на организацията. Целта е да бъде ясно, че документът е задължителен за изпълнение, а не просто препоръчителен.

2. Дефиниции на основните понятия

Добрите вътрешни правила съдържат речник с ключовите термини: лични данни, специални категории лични данни, администратор, обработващ лични данни, субект на данни, обработване и т.н. Това гарантира, че всички в организацията разбират едни и същи понятия по един и същи начин.

3. Принципи на обработване на лични данни

Тази секция описва шестте принципа от чл. 5 на GDPR, приложени конкретно в контекста на моя бизнес:

• Законосъобразност, добросъвестност и прозрачност – обработвам данни само на законно основание и информирам субектите.
• Ограничение на целите – данните се събират за конкретни, изрично указани и законни цели.
• Минимизиране на данните – събирам само данните, от които наистина се нуждая.
• Точност – поддържам данните актуални и коректни.
• Ограничение на съхранението – пазя данните само толкова дълго, колкото е необходимо.
• Цялостност и поверителност – осигурявам подходяща сигурност на данните.

4. Организационни мерки за защита

Организационните мерки включват всичко, свързано с хората и процесите. Тук описвам:

• Кой в организацията има достъп до кои данни (принцип на минимален достъп).
• Как се подписват споразумения за поверителност с служителите.
• Как протича обучението на новоназначените.
• Как се управляват договорите с обработващите лични данни (доставчици, изпълнители).
• Как се регулира работата от вкъщи или ползването на лични устройства.

5. Технически мерки за сигурност

Техническите мерки обхващат инструментите и системите, с които защитавам данните:

• Криптиране на чувствителни данни и устройства.
• Политика за пароли и двуфакторна автентикация.
• Резервно копиране (backup) на данните.
• Антивирусна защита и защитни стени.
• Контрол на достъпа до физически и цифрови ресурси.
• Процедури за актуализиране на софтуера.

6. Права на субектите на данни

Вътрешните правила трябва да описват как моята организация обработва исканията на хората, чиито данни се обработват. Съгласно GDPR те имат право на:

• Достъп до своите данни
• Коригиране на неточни данни
• Изтриване („право да бъда забравен")
• Ограничаване на обработването
• Преносимост на данните
• Възражение срещу обработването

В правилата трябва да е описано кой в организацията отговаря за тези искания, в какъв срок се обработват (не повече от 1 месец) и как се документират. Повече за правата на субектите на данни по GDPR може да намеря в специализирана статия.

7. Процедури при нарушение на сигурността на данните

Едно от най-важните изисквания на GDPR е задължението за уведомяване при нарушение (т.нар. data breach). Вътрешните правила трябва да описват:

• Как служителите разпознават и докладват нарушение вътрешно.
• Кой е отговорен за оценка на риска от нарушението.
• В рамките на 72 часа трябва да уведомя КЗЛД, ако нарушението представлява риск за правата на физическите лица.
• При висок риск – трябва да уведомя и самите субекти на данни.
• Как се документира всяко нарушение, дори да не се стига до уведомяване.

8. Обучение на служителите

Правилата трябва да предвиждат регулярно обучение по защита на личните данни. Препоръчително е новоназначените служители да преминат обучение при постъпване, а останалите – поне веднъж годишно. Важно е обученията да се документират, за да мога да докажа спазването на тези изисквания.

Как да изготвя вътрешните правила?

Изготвянето на вътрешни правила за защита на личните данни преминава през няколко стъпки:

1. Одит на данните – Първо трябва да знам какви лични данни обработвам, от кого ги получавам, за какви цели и на кого ги предоставям. Тази информация се вписва в Регистъра на дейностите по обработване.
2. Анализ на правните основания – За всяка операция по обработване трябва да имам правно основание (съгласие, договор, законово задължение, легитимен интерес и т.н.).
3. Изготвяне на документа – Правилата се изготвят в писмена форма, на разбираем език, структурирани с ясни секции.
4. Запознаване на служителите – Всички в организацията трябва да прочетат и подпишат, че са запознати с правилата.
5. Редовна актуализация – При промяна в дейността, в законодателството или след нарушение, правилата трябва да се актуализират.

Добра новина: Висшият адвокатски съвет (ВАдвС) е публикувал примерни образци на документи за GDPR съответствие, включително вътрешни правила. Те могат да ми послужат като отправна точка, но трябва да ги адаптирам към спецификата на моя бизнес, тъй като универсален шаблон рядко покрива всички конкретни нужди.

За защита на личните данни и разбиране на правата ми в тази сфера може да намеря допълнителна информация в специализирани статии.

Трябва ли ми длъжностно лице по защита на данните (DPO)?

Назначаването на Длъжностно лице по защита на данните (DPO) не е задължително за всички организации. Такова лице е задължително само когато:

• Организацията е публичен орган или публична структура.
• Основната дейност включва мащабно редовно и систематично наблюдение на физически лица.
• Основната дейност включва мащабно обработване на специални категории данни (здравни, биометрични, данни за деца и т.н.).

Ако не попадам в тези категории, мога да определя отговорно лице вътрешно, без да е задължително то да носи титлата DPO. Важното е да има ясно определен отговорник за GDPR съответствието в организацията.

Какво ще стане, ако нямам вътрешни правила?

Санкциите по GDPR са сериозни. При нарушения от по-лек характер – включително липса на документация – глобите могат да достигнат до 10 милиона евро или 2% от годишния световен оборот. При по-тежки нарушения – до 20 милиона евро или 4% от оборота.

Освен финансовите санкции, липсата на вътрешни правила може да доведе до задължение за преустановяване на обработването на данни, което реално означава спиране на дейността. Затова ви препоръчвам да се свържете с юрист и да изготвите персонализиран GDPR наръчник за бизнеса съобразно конкретната ви дейност.

Ако имам уебсайт или онлайн магазин, освен вътрешните правила трябва да имам и публични документи – политика за поверителност, общи условия и политика за бисквитки. За изготвяне на общи условия и политики за уебсайта ми мога да потърся специализирана помощ. Повече за задължителното съдържание на общите условия на уебсайта мога да прочета в специализирана статия. Ако пък имам въпроси за общите условия за онлайн магазин или друг тип платформа, там ще намеря отговор.

Кратко обобщение

Вътрешните правила за защита на личните данни са задължителен документ за всяка организация, обработваща лични данни. Те трябва да обхващат цели и обхват, дефиниции, принципи на обработване, организационни и технически мерки, права на субектите, процедури при нарушение и обучение на служителите. Изготвят се след одит на данните в организацията, трябва да се актуализират редовно и да бъдат познати на всички служители.

Не чакайте проверка от КЗЛД, за да се заемете с GDPR документацията. Обърнете се към специалист и осигурете пълно съответствие с регламента – за вашия бизнес и за хората, чиито данни обработвате.