Статията е взета от печатното издание - "Защита на личните данни: наръчник за счетоводители и ТРЗ служители". Повече по темата четете тук >>
Под "обмен на лични данни" се има предвид разкриване на лични данни от една или повече организации на трета/ трети страна/ страни. Обмен на данни може да стане под формата на систематична размяна на информация, в който случай споделянето на едни и същи набори от данни между организациите става с определена цел; несистематичният обмен на данни може да става въз основа на решения за това, които са непредвидими и включват единствено ограничен брой субекти на данни.
Трябва да знаете, че споделянето на данни може да приеме една от следните форми:
- взаимен обмен на данни;
- една или повече организации да предоставят данни на трето лице/ трети лица;
- няколко организации да споделят информация и да предоставят една на друга;
- няколко организации да споделят информация и да я предоставят на трета страна или на трети лица;
- по изключение, обмен на данни може да се случи еднократно, например при непредвидени и извънредни ситуации; или
- различни звена на една и съща организация обменят данни помежду си.
Следователно регламентът обхваща два основни вида обмен на данни:
- систематичен рутинен обмен на данни, при който същите данни се споделят между едни и същи организации за определена цел; този обмен може да включва група организации, които сключват споразумение за взаимен обмен на данни и за обработка на данните за конкретни цели; и
- несистематичен (нерегулярен) обмен на данни въз основа на решение за споделяне. Голяма част от ситуациите на обмен на данни се осъществяват по предварително планиран и рутинен начин въз основа на правила и процедури. Организациите обаче могат да решат или да поискат обмен на данни в ситуации, които не са обхванати от рутинно споразумение за споделяне. В някои случаи това може да се налага от форсмажорни обстоятелства и кризисни ситуации.
Споделяне на лични данни с упълномощено лице
Въпреки че обменът на данни се осъществява главно между администраторите на данни, където и двете организации определят целите и начина на обработка на личните данни, ние сме в процес на обмен на лични данни и ако администратор споделя данни с друга страна, която обработва лични данни от негово име. Тези организации са известни като оправомощени лица или още оператори.
Регламентът прави разграничение между обмена на данни, осъществяван от администратора на данни с друг администратор, и обмена от администратор на данни с оператор – упълномощено лице. Когато администраторът на данни обменя лични данни с упълномощено лице, трябва в писмен вид да документира, че:
- упълномощеното лице оператор действа само по нареждане на администратора на данни; и
- при оператора се гарантират адекватни условия за сигурност, еквивалентни на тези, наложени от администратора на данни.
Следователно, упълномощеното лице, участващо в обмена на данни, няма директни отговорности по отношение на защитата на данните, всички от които се налагат от администратора на данни на договорна основа.
Аспекти, които да имате предвид:
- Трябва да имате ясна представа за целта на обработката на личните данни. Знаейки това, ще сте наясно какви данни трябва да споделите и с кого. Добра практика е това да се документира, за да може да се докаже при нужда.
- Не трябва да споделяте всички лични данни, които имате за някого, ако са необходими само някои данни, за да постигнете целите си. Например, може да се наложи да споделите само името и адреса на определено лице, въпреки че имате и друга информация за него;
- Само организациите, които се нуждаят от личните данни, трябва да имат достъп до тях, като достъпът се осигурява само на оторизирания за това персонал в тези организации. Това се отнася и до ограниченията за обмен на данни с трети страни;
- Препоръчва се да документирате всичко, свързано с обмена на данни, например дали обменът е рутинен или ще се прави само в отговор на определени събития;
- Това включва определянето на мерки за осигуряване на сигурността на предаването или достъпа до данни и установяването на общи правила за сигурност между страните;
- За да проверите дали споделянето е достигнало желаната цел, ще трябва да прецените дали то все още е необходимо и да потвърдите, че мерките за сигурност на споделянето все още съответстват на рисковете пред него;
- Трябва да сте наясно с рисковете, свързани със споделянето на лични данни. Например, има ли някой, който може да бъде засегнат от споделянето? Има ли някой, който може да възрази? Може ли това да подкопае доверието на хората в организациите, притежаващи записи с личните им данни?
- трябва да прецените дали целите Ви могат да бъдат постигнати без обмен на данни или чрез тяхната анонимност. Не е подходящо да се използват лични данни за планиране на предоставяне на услуга, например, когато това може да се направи с информация, която не представлява личните данни;
- Трябва да сте сигурни, че споделянето е записано във Вашия регистър;
- Ако данните ще бъдат прехвърлени извън ЕС, трябва да се гарантира, че изпълнявате своите задължения по прехвърлянето.
GDPR изисква от организациите да отговарят на едно или повече условия за легитимността на обработката на лични данни.
Съгласието за обработването на чувствителни лични данни е едно от условията. Регламентът за защита на личните данни определя даването на съгласие от субекта на данните за обработването на данните му като недвусмислено действие, което изразява свободно, конкретно и информирано съгласие към дадена организация да обработва данните му, като за целта субектът може да се произнесе устно, в писмена декларация или в декларация в електронен формат.
Следователно трябва да има активни форми на комуникация, когато се изисква съгласието на съответния субект на данните....за пълен преглед по темата - "Защита на личните данни: наръчник за счетоводители и ТРЗ служители" тук >>
Свързани статии
Проследени новини
Абонамент за newsletter
Абонирайте се БЕЗПЛАТНО за Newsletter clubtrznormativi.bg
за да получавате най-новата информация и анализи по темите, които Ви интересуват!
Коментари
0 Коментари