Регламент за защита на личните данни (GDPR), за образователни институции

снимка на инж. Калина Христова

Защото колеги се свързаха с нас, търсейки съдействие, по отношение описание на изискванията по Регламент за защита на личните данни (GDPR), касаещи образователните институции, приложено са насоки за прилагане.
Днес, 25 май 2018г., влиза в сила Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни, относно свободното движение на такива данни.

Защо образователните институции трябва да приложат регламента?
Европейските регламенти и директиви, имат по – висок статут на правна норми от законодателството наопределена държава. Без значение дали на територията на дадената държава, се прилагат определени закони, всички са длъжни да спазват тези международни изисквания .

По какъв начин това влияе на работата в образователните институции и публичната администрация в България?
От 25 май, този регламент трябва да бъде приложен на територията на страната във всички администрации, учебни заведения, фирми и т.н.
Образователните институции боравят с чувствителни данни ( това е термин в регламента), се изисква прецизно разписване и прилагане на пълния пакет с документи.

Какво представлява Регламент (ЕС) 2016/679?
Най – общо казано, ще има един набор от правила за защита на данните за всички образователни институции и администрации, които извършват дейност в ЕС, независимо къде са установени и функционират.

Какво ще осигури въвеждането на този регламент?
По-строгите правила за защита на данните ще осигурят:

  • по-голям контрол на хората над техните лични данни,
  • еднакви условия на конкуренция

Прилагането на регламента в образователните институции и администрации ще разглежда:

  • дейността на образователните институции; 
  • дейността на синдикатите;
  • дейността на всички органи, обществени съвети, контролни съвети, съвети назначени по определени казуси и изисквания, комисии и дисциплинарни комисии и всички звена имащи достъп до лични данни;
  • дейността на ръководството на образователните институции и местни администрации свързани с образователната институция;
  • дейността на квалификационните и преквалификационни центрове, обучаващи педагози и местна администрация.

Какви документи е необходимо да подготвим?
Първото и най – важно като документ е да създадете „Вътрешни правила“ касаещи мерките за защита на личните данни съгласно Регламент 2016/679, приети с Решение на на Педагогически съвет до 24.05.2018 г.

Какво съдържат въпросните правила и какво изисква от нас регламента?

  • Какви данни се събират?
  • Защо се събират данните?
  • Как ще ги обработваме?
  • Как ще ги съхраняваме?
  • Ще ги предоставяме ли на трети лица?
  • За колко време ще се събират и съхраняват данните?
  • Какво ще направим след като изтече този период и как ще бъдат унищожени?

За всяка една от точките има ясно разписани правила за описване и изисквания, затова тук интерпретации не могат да бъдат допускани.
Важно е не само как ще напишете този документ, но и кой ще управлява процеса след написването на документите. Това няма да са поредните документи и листи, сложени на рафта в шкафа. Тук ситуацията е сериозна, процесите свързани с тази материя са строго регламентирани и ако не се изпълнят всички изисквания, образователната институция или публична администрация, могат да бъдат подведени под наказателна отговорност. Глобите са сериозни като суми, именно затова напоследък, в цялата страна настана „паника“ относно разписването на този регламент с приложени модели за работа по ресори и типове направления в бизнеса.

За образователни институции, сме разработили целия пакет с документи по изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни, относно свободното движение на такива данни. Ако някой желае, можем да му го предоставим. От изключителна важност е разбирането, че това не са изолирани правила, а са част от общите документи по системата по качество. Системата по качество, разработена от нашия екип, е в съответствие с регламента, изискванията по международните стандари и всички национални изисквания, приложими към днешна дата.

Пакета с регламента за сигурност, изработен от "Институт по качество в образованиоето", е в съответствие с изискванията за образователни институции и включва: Вътрешни правила, протоколи за инструктажи, декларации за съгласие по групи заинтересовани, начини за набиране на доказателство за информираността на заинтересованите страни, бланки на протоколи и типови бланки на молби за унищожаване, споразумения и документи свързани с управлението на процеси, заповед за назначаване на лице отговарящо по регламента. По отношение на обученията и лицензирането на лица (организации), които да подготвят отговорниците по регламента, все още няма ясна насоки кой може да го прави това( от името на комисията). Т.к. самия регламент изисква обучение, препоръчвам да се запознаете с изискванията, но да изчакате, докато се установи кой може да провежда въпросните обучителните модули и кой ще има легитимност. Сертификатите получени извън лицензионните обучителни групи, (за сега) може и да бъдат приложени, но може да се окаже, че в последствие ще ги бъдат проведени отново, само заради лиценза. Ако някой от колегите желаят, мога да дам консултация. Разполагаме с експерти, адвокати, имаме компетентен екип работещ по GDPR, но Ви обръщам внимание, че нашата организация не провежда лицензирани обучения свързани с регламентапо сигурност, защото все още никой в България няма одобрен, официален формат, в който да води такова обучение с издаване на легитимен сертификат.

Основни въпроси и моменти свързани с регламента по сигурност.

  1. Какво означава „лични данни“?

„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо живо физическо лице. Отделни данни, които когато се съберат заедно могат да доведат до идентифициране на конкретно лице, също представляват лични данни.
Примерите за лични данни включват:

  • собствено име и фамилия;
  • домашен адрес;
  • имейл адрес, като например име.фамилия@дружество.com;
  • номер на картата за самоличност;
  • данни за местоположение (напр. функцията за данни за местоположение на мобилен телефон)*;
  • адрес на интернет протокол (IP);
  • идентификационен номер на „бисквитка“;
  • рекламния идентификатор на вашия телефон;
  • данни, съхранявани от болница или лекар, които биха могли да бъдат символ, който уникално идентифицира дадено лице.

Трябва да се уверите, че спазвате основни принципи при обработването на лични данни, като например:

  • честна и законна обработка;
  • ограничение на целта;
  • свеждане на данните до минимум и запазване на данните.
  1. Преди да обработвате лични данни, трябва да информирате физическите лица за обработването, като например за целите, видовете събрани данни, получателите и правата им за защита на данните.
  2. Задължително е да информираме заинтересованото лице защо събираме тези данни.
  3. Във всеки един момент заинтересованото лице, трябва да има възможност да получи информация какви данни се събират за него и ако пожелае те да бъдат унищожени.
  4. Документи се унищожават само ако не е заложено в законодателството изискване това да бъде „събирана“ информация по предназначение.
  5. Като образователна институция или публична администрация, сте длъжни да назначите служител по защита на данните (СЗД). Това става със заповед, в която се описват задълженията на лицето.
  6. Ако прехвърляте части от обработването на външна организация (т.нар. „обработващ данни“), трябва да има договор или друг правен акт, който да гарантира че обработващият данни предоставя достатъчно гаранции за прилагането на подходящи технически и организационни мерки, които отговарят на стандартите на регламента.
  7. В случаите, когато лични данни, които съхранявате, бъдат разкрити случайно или незаконно на неоторизирани получатели или временно са недостъпни или променени, трябва да уведомите за нарушението органа за защита на личните данни (ОЗД) без ненужно забавяне и най-късно до 72 часа, след като сте узнали за нарушението. Също така може да се наложи да информирате и физическите лица за нарушението.
  8. Заинтересованите страни (физическите лица), имат право да се противопоставят на обработването на лични данни от образователната институция, позовавайки се на съображения от обществен интерес. Заинтересованите трябва да изложат, по регламентиран процес, своите съображения, свързани с тяхната конкретна ситуация. Образователната институция може да продължи да обработва данните и по този начин да отхвърли искането им, ако демонстрира убедителни основателни причини за обработването, които имат преимущество пред интересите и правата на физическото лице, или ако данните са необходими за установяване, упражняване или защита на правни искове или са в интерес живота и здравето на обучаемите и засегнати заинтересовани страни.
  9. Кога съгласието за използване на лични данни е валидно? трябва да бъдат изпълнени няколко условия, за да бъде това съгласие валидно:
  • то трябва да бъде дадено свободно;
  • то трябва да бъде информирано;
  • то трябва да бъде дадено за конкретна цел;
  • всички причини за обработването трябва да бъдат ясно посочени;
  • то е изрично и се дава чрез положителен акт (напр. електронно поле за отметка, което физическото лице трябва да отбележи изрично онлайн, или подпис върху формуляр);
  • то е ясно и недвусмислено формулирано и ясно се вижда;
  • трябва да бъде възможно съгласието да се оттегли и този факт следва да бъде обяснен (напр. препратка за прекратяване на абонамента в края на електронен бюлетин).

За да бъде съгласието дадено свободно, физическото лице трябва да има свободен избор и трябва да може да откаже или да оттегли съгласието си, без да е в неравностойно положение. Съгласието не е дадено свободно, ако например има явен дисбаланс между физическото лице и дружеството/организацията (напр. взаимоотношението работодател/служител) или когато дружеството/организацията изисква от физическите лица да дадат съгласието си за обработването на ненужни лични данни като условие за изпълнението на договор или услуга.
За да бъде съгласието информирано, на лицето трябва да бъде предоставена най-малко следната информация:

  • идентичността на организацията, обработваща данните;
  • целите, за които се обработват данните;
  • вида на данните, които ще бъдат обработени;
  • възможността да се оттегли даденото съгласие (например: препратка за отписване в края на имейл);
  • когато е приложимо, фактът, че данните ще се използват само за автоматизирано вземане на решения, включително профилиране;
  • ако съгласието е свързано с международно предаване, възможните рискове от предаването на данните към трети страни, които не са предмет на решение относно адекватно ниво на защита и когато не са налице подходящи гаранции.

       10. Препоръчва се молбата за разглеждане на събирана информация касаеща заинтересованото лице, да се осъществява в писмена форма. Същото касае и молбата за изтриване на данни.
       11. Ако закона установи, че сме длъжни да събираме тези данни и това е регламентирано по установения начин, образователната институция или публичната администрация могат да откажат унищожаване на данните.
       12. Задължително се изготвя оценка на въздействието върху защитата на данните (ОВЗД) ОВЗД се изисква, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица. ОВЗД се изисква най-малко в следните три случая: системна и обширна оценка на личните аспекти на физическо лице, включително профилиране; обработване на чувствителни данни в голям мащаб; систематично мащабно наблюдение на обществените зони.
       13. Институция трябва да назначи СЗД, независимо дали е администратор или обработващ данни, ако неговите основни дейности включват обработка на чувствителни данни в голям мащаб или основните ви дейности включват мащабно, редовно и систематично наблюдение на физическите лица. В тази връзка наблюдението на поведението на физическите лица включва всички форми на проследяване и профилиране. На фона на изискванията по Приобщаващо образование и данните свързани с издаване на дипломи, образователните институции винаги имат задължението да назначават СЗД. СЗД може да бъде член на персонала на вашата образователна институция или да бъде външно лице, назначено въз основа на договор за услуги. СЗД може да бъде физическо лице или организация.
      14. Служителят по СЗД има ясно разписани отговорности, права и ниво на достъп до информацията. Те са описани в регламента. 

Пълната документация свързана със системата по качество, с всички прилежащи модули, бази, подсистеми, пакети, регламенти, правилници, регистри и пр., която е разработена от "Институт по качество в образованието", е оптимизирана ( особено в частта - поддръжка), лесна за управление, обхваща всички елементи гарантиращи качествен образователен процес. В нея са заложени изискванията по международните стандарти, регламенти, национални рамки и всички национални приоритети, които са приложими към днешна дата. Системата е организирана така, че да няма излишна документация. Към нея има подсигурени модули, подпомагащи процеса на внедряане. Предвидени са обучения, които можете да моделирате като структура, според Вашите необходимости и изисквания. 

Ако изпитате затруднения при изграждането на документация (Регламент по сигурност, документите към него, стратегическа документация, документация свързана със система по управление на качеството, управление на риск), ние може да разработим такава, с приложени изисквания по нормативна база, в зависимост от среда и специфики.

инж. Калина Христова
Изп. директор "Институт по качество в образованието"
e-mail: hristova@eduset.net
Тел.: 0899885167

 

Източник: https://ec.europa.eu

За автора

снимка на инж. Калина Христова

Консултант с над 15 години опит като експерт и одитор по:
"Управление на качеството ISO 9001", "Управление на риска" ISO 31000, IEC/ISO EN 31010"
Експерт с над 10 години опит в подпомагане на компании в криза, "Стратегическо планиране", "Стратегическо... Прочетете повече