Лични данни и инвентаризация
#6 | При събирането на чувствителни данни се изисква получаването на изрично съгласие за всяка категория поотделно
Иван Савов, председател
на Европейския институт
за риск политика
В предишната статия описахме използването на личните данни и задълженията на тези, които ги обработват. В тази ще се спрем по-конкретно на това кои са тези данни, които компаниите са задължени да опазват.
Личните данни са всякакъв вид информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице. Те се състоят от идентификатори и фактори, като последните могат да бъдат физически, психологически, икономически, културни, социални и мисловни.
Примери за идентификатори са: име, номер на паспорт или на лична карта, номер на социална осигуровка, ЕГН, „бисквитки“, онлайн идентификационни номера, телефонни номера, геолокация, генетични данни…
Регламентът за защита на личните данни разглежда и още една категория – т.нар. чувствителни данни, които включват: здраве, членство в синдикати и други организации, раса, политически убеждения, религия, сексуална ориентация, биометрични данни и генетични данни. За тяхното използване физическите лица трябва да дават изрично съгласие за всяка категория поотделно, като то е отделно и от съгласията за нечувствителните данни.
Типичните лични данни, които събира и обработва всяка организация или компания, включват личните данни на служителите по повод изпълнението на трудовоправните отношения; лични данни на доставчици и клиенти, съдържащи се в договорите; лични данни на представители на заинтересовани страни, членове на бордове, съвети и други.
В определени ситуации компаниите обработват значителни масиви с лични данни с цел маркетинг, анализ, извличане на информация за по-нататъшна обработка. Тези данни могат да са събрани директно от компанията или тя само да ги обработва, а те да са събрани от друга организация. Типични примери са службите за трудова медицина и счетоводните къщи, които са обработващи спрямо техните клиенти и данните са им подадени от компании, които са в ролята на администратори.
Как се прави инвентаризация на лични данни
В началото на процеса по разработването на система за защита на данните всяка организация трябва да направи инвентаризация на личните данни. Първата стъпка в този процес е идентифициране на всички категории и класове данни – служители, доставчици, клиенти, партньори, данни на администратори. След това за всяка категория се определят основни параметри, които обикновено включват: описание, собственик на данните, цел на обработката, законово основание, информирано съгласие, място на съхранение, срок на съхранение, приложени защити и контроли и други.
След като личните данни бъдат описани, организацията трябва да направи анализ на процеса на тяхното събиране, като целта е да се идентифицират налични пропуски, неточности, дублирания, неефективни процеси на обработка и др., за да се пристъпи към корекции и оптимизация. Зони, които е добре да бъдат анализирани внимателно, са например информираните съгласия (има ли такива и как са дадени); потвърждение на правните основания за обработка, сроковете за съхранение на личните данни.
Едновременно с анализа на данните необходимо е организациите да направят и анализ на риска, който да идентифицира зоните за подобрение и да подпомогне изготвянето на програма за управление на риска. Тази програма се одобрява от висшия мениджър на компанията, преди да се пристъпи към нейното изпълнение. И
В следващата публикация ще коментираме процеса на анализ на риска на личните данни и програмата за управление на риска.
Текстът е публикуван в брой 19 / 2018 г. на списание "Икономист" от 18 май, който може да закупите в разпространителската мрежа в страната. Вижте какво още може да прочетете в броя.
Абонирай се!
Абонамент за списание BGlobal може да заявите:-във фирма &bd...