Актуални новини

    • 28.05.2018
      Фирмите не обърнаха внимание на GDPR и затова не са готови
      • Според него Комисията е направила достатъчно да информира бизнеса за новия европейски регламент
      • Българските фирми не са готови да работят в съответствие с новия Европейски регламент за защита на личните данни (GDPR). Причината е, че въпреки не малкото разяснения от страна на Комисията за защита на личните данни, бизнесът не е обърнал необходимото внимание. Това каза в сутрешния блок на БНТ председателят на Комисията Венцислав Караджов.
      • „Повече от година и половина Комисията използва своята интернет страница за разяснения, а от началото на годината разяснява правилата на място. Въпросът е, че бизнесът не се интересуваше, тъй като за него регламентът не беше акт, който ще се прилага веднага, не обърна необходимото внимание навреме и затова не е подготвен в момента”, каза Караджов.
      • GDPR влезе в сила на 25 май. Новият регламент е част от пакета за реформи за защита на личните данни на ЕС, включващ още директивата за защита на данните за полицията и органите на наказателноправната система. Регламентът предвижда потребителите да имат улеснен достъп до своите данни, включително повече информация за какво се използват въпросните данни.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Как GDPR ще се отрази на работата на лечебните заведения
      • Едва ли някой читател е пропуснал новината, че от 25 май тази година влиза в сила Регламент (ЕС) 2016/679 от 27.04.2016 г., по-известен като General Data Protection Regulation (GDPR). Комисията за личните данни публикува на страницата си 10 практически стъпки за прилагане на регламента, но до този момент няма указания към отделните сектори по отношение на прилагането му.
      • Влизането в сила на този акт ще има сериозно отражение върху работата на лечебните заведения, поради което липсата на конкретни указания за прилагането му в областта на здравеопазването е сериозен дефицит. Още през 2016 г. European Hospital and Healthcare Federation излезе със серия от препоръки към държавите членки във връзка с прилагането на регламента, най-важната от които е "да се осигурят за болниците и другите лечебни заведения и организации в областта на здравеопазването специфични за сектора съвети и указания, както и обучения от националния контролен орган, които са необходими, за да се демонстрира съответствие с изискванията на регламента".
      • Заедно с "Капитал Здраве" ви представяме някои от най-важните аспекти на GDPR, които могат да ви помогнат да придобиете представа за ролята на GDPR в работата на лечебните заведения и необходимите действия, които трябва да бъдат предприети. Няма да се спираме на общата информация за GDPR, а само на специфичните за сектора отражения.
      • Лечебните заведения обработват специална категория данни, които според регламента се възприемат като чувствителни лични данни, поради което обработването е разрешено при спазването на следните правила: необходимо е да е налице едно от условията за законосъобразно обработване, посочени в чл. 6 от Регламента, едновременно с наличието на поне едно специално условие за обработване, посочено в чл. 9, пар. 2.
      • Кои са специалните условия за обработване на чувствителни лични данни?
        Наличие на изрично информирано съгласие:
        За разлика от директивата, уреждаща регулацията на личните данни преди влизане в сила на GDPR, последният въвежда по-строги изисквания за информираното съгласие. То трябва да отговаря на няколко важни условия:
        Да бъде недвусмислено, свободно и ясно изразено, а условията му да бъдат разбираемо и конкретно отделени от друга информация. Например, ако условията на информираното съгласие за обработване на лични данни представляват част от информираното съгласие за предоставяне на медицинската помощ, неговите клаузи трябва да са ясно отграничени от останалите.
      • Задължително следва да се избягват предварително маркирани съгласия, опции за мълчаливо съгласие и други подобни. Информираното съгласие трябва да предоставя конкретна информация и възможност да бъде оттеглено по всяко време. Освен това от съдържанието му или от условията, при които е предоставено, трябва да става ясно, че е дадено напълно свободно. Предоставянето му не трябва да бъде предпоставено от някакви условия (например, че няма да бъде предоставена спешна медицинска помощ, ако липсва изразено информирано съгласие за обработване на лични данни).
      • Необходимо е във всяко информирано съгласие да бъдат посочени целите, за които се обработва информацията, а в случай че са посочени различни цели, е препоръчително да се предостави възможност на субекта да изрази отделно съгласие за всяка от тях. Липсата на адекватно информирано съгласие или непредоставянето му в предвидения в регламента ред отваря вратата за сериозни санкции и уврежда доверието и репутацията на лечебното заведение. Необходимо е да се приемат адекватни механизми за съхраняването на този важен документ. В заключение следва да се отбележи, че, в случай че администраторът не може да изпълни някое от тези изисквания, е необходимо да се позове на някое от другите алтернативни специални основания. По-важните от тях и относими за дейностите на лечебните заведения са следните:
      • - Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила. Такива ще са случаите, когато данните се обработват за целите на осъществяване на правото на пациента на трансгранично здравно обслужване или за спазване на здравословни и безопасни условия на труд.
      • - За защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие. Например, когато пациентът се намира в спешно състояние и не може да изрази своето съгласие, защото е в безсъзнание.
      • - Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи. Такива ще са случаите, когато с конкретен съдебен акт се изисква информация за здравословното състояние на пациент от съда.
      • - Обработването е необходимо по причини от важен обществен интерес на основание правото на съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните. Все още липсват указания за прилагането на тази разпоредба и разбирането на понятието за обществен интерес. Препоръчвам да се избягва прилагането на тази клауза заради неясната й формулировка и споровете, които може да се породят от това обстоятелство.
      • - Обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на съюза или правото на държава членка, или съгласно договор с медицинско лице и при условие че въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на съюза или правото на държавата членка или правилата, установени от националните компетентни органи, или от друго лице, също обвързано от задължение за тайна по силата на правото на съюза или правото на държавата членка, или правилата, установени от националните компетентни органи.
      • Тази клауза ще бъде най-често приложимата в работата на лечебните заведения, тъй като дава възможност при наличие на предпоставките, посочени в чл. 6, да бъде включена като специално условие за обработване на лични данни, без да е нужно информирано съгласие. Всяка информация, която е необходима за целите на отчитането пред НЗОК, документирането на данни за здравословното състояние, необходими за провеждане на диагностично-лечебния процес и осигуряване на здравни грижи, може да бъде обработвана на това основание. Това обаче следва да се осъществява само от лица, които са задължени да спазват професионална тайна (например лекари и медицински сестри по силата на съответните кодекси за професионална етика), както и при спазване на принципа за пропорционалност при обработването.
      • - Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна. Това основание ще бъде налице в случаи на епидемии или други сериозни общественоздравни проблеми.
      • Каква документация следва да поддържа лечебното заведение?
        Регламентът задължава всеки, който обработва лични данни, да поддържа регистър със съдържание, подробно описано в чл. 30 от регламента. Изискването за наличие на регистър се отнася дори за лечебните заведения с по-малко от 250 служители, защото обработват специална категория данни.
      • Имат ли нужда лечебните заведения от длъжностно лице по защита на личните данни (Data Protection Officer)?
        Малките лечебни заведения (амбулатории за извъболнична медицинска/дентална помощ, ДКЦ и други) няма да бъдат задължени да назначават DPO. Изискването за назначаването му важи за всички публични органи или когато се извършва мащабно обработване на специална категория лични данни, сред които са и тези за здравословното състояние. По-големите структури, осъществяващи дейности в здравеопазването, е необходимо да анализират дейността си и да преценят дали не е налице условието за мащабно обработване на чувствителни лични данни, защото тогава назначаването на DPO ще бъде задължително.
      • Какви права имат пациентите при обработване на личните им данни?
        Пациентите имат право на информация относно дейността на обработващите личните данни: данните, които ги идентифицират и координатите за връзка с тях, координатите за връзка с длъжностното лице по защита на данните (ако е приложимо), целите на обработването, за което личните данни са предназначени, както и правното основание за обработването; ако обработването се извършва при наличие на законен интерес (legitimate interest), е редно същият да се посочи; предоставя се информация и за получателите или категориите получатели на личните данни, ако има такива и други важни обстоятелства. Необходимо е субектите да бъдат информирани и за начина на реализиране на отделни техни права: например по какъв начин могат да поискат личните им данни да бъдат коригирани или изтрити; как може да се оттегли информираното съгласие и възможностите за подаване на жалби.
      • За разлика от някои други сектори, в които правото да бъдеш забравен ще бъде често приложимо, в здравеопазването пациентът трудно ще има подобна възможност. Налице е сериозна заблуда, че пациентите могат да заявят пред лечебното заведение желание за изтриване на данните им и това да бъде осъществено. Правото е приложимо само доколкото същото не влиза в конфликт с някое от ограниченията в чл. 17, пар. 3 от регламента и само доколкото отговаря на изискванията в пар. 1. Например, ако личните данни са необходими за целите, за които са били събрани или обработвани по друг начин, изтриването е недопустимо. Така, ако пациентът е диспансеризиран и е необходимо непрекъснато проследяване на състоянието му, личните му данни не могат просто да бъдат изтрити.
      • Освен това обработването на лични данни в здравеопазването е свързано със спазването на редица нормативни актове, които задължават лечебните заведения да съхраняват конкретна информация за определен период от време. В този случай правото на пациента да бъде забравен няма да може да се реализира, защото обработването на тези данни е необходимо за спазване на правно задължение, което изисква обработване, предвидено в правото на съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Например такова ще бъде задължението на Главния изследовател да съхранява документацията от дадено клинично изпитване по силата на Регламент (ЕС) 536/2014 г. за срок от 25 г.
      • Правото да бъдеш забравен няма да е приложимо и в случаите, когато информацията следва да се обработва по причини от обществен интерес в областта на общественото здраве. Такива са например данни за поставени имунизации на пациенти, обработвани от общопрактикуващия лекар, или данни за донори на кръв и съответните резултати от изследвания на дарената кръв.
      • В заключение следва да се отбележи, че се очаква лечебните заведения да срещнат затруднения при изпълнение на новите регулации в областта на защита на личните данни. Това най-вече се отнася за големите лечебни заведения, през които годишно преминават десетки хиляди пациенти. Действащото законодателство в страната не регламентира ясно и последователно видовете документи, които се съставят в хода на оказване на медицинска помощ на пациентите, сроковете за тяхното съхранение и конкретните отговорности. Уредбата е разпръсната в Националните рамкови договори и приложенията им, медицинските стандарти, Закона за здравето, Закона за здравното осигуряване и множество подзаконови нормативни актове. Липсата на електронно здравеопазване и поддържане на огромен брой хартиена документация създава допълнителни рискове за правилното й и законосъобразно обработване. Следва да се обърне внимание и на обстоятелството, че санкциите за нарушения на регламента са изключително високи, а повечето служители, които обработват лични данни по силата на договор или акт на администратора, отговарят ограничено по смисъла на Кодекса на труда.
      • Необходимо е да се предприемат своевременни организационни и технически мерки, които да демонстрират спазването на регламента, които включват обучение на персонала, вътрешни одити и преглед на вътрешните правила и стандарти, действащи до този момент. Една от най-важните мерки в областта на здравеопазването е разясняването на важността от защита на чувствителните лични данни и отговорното отношение към обработването им.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Приети са нови правила за обработване на лични данни от европейските институции
      • На 23 май 2018 г., представители на Съвета на ЕС и Европейския Парламент се споразумяха за нов Регламент относно боравенето с лични данни на ниво Европейски институции и от други органи на ЕС. Новите правила са съобразени с Общия регламент за защита на данните (GDPR), който се прилага от 25 май 2018 г.
      • Новите разпоредби ще се прилагат за обработването на данни от институциите, органите и службите на Съюза. Разпоредбите ще увеличават нивото на защита на личните данни и осигурят свободния поток на данни между институциите и други органи, доколкото това е необходимо.
      • „Новите правила за защита на данните за Европейските институции допълнително обновяват режима по защита на данните в Съюза. Това е важен сигнал за гражданите: по-строгите правила по защита на данните са за всички, включително и за самите Европейски институции. Щастлива съм, че успяхме да се споразумеем относно правилата няколко дена преди влизането в сила на Общия регламент за защита на данните на 25 май 2018 г.“

        Г-жа Цецка Цачева, Министър на правосъдието на Република България

      • Също като в ОРЗД, новият регламент предлага набор от принципи, които трябва да се следват при обработването на данни и редица правила, гарантирани на индивидите, чиито данни се събират. Те включват, например, правото на достъп, на редакция или правото да бъдеш забравен. Съобразно с ОРЗД, институциите и другите органи също трябва да гарантират, че предлагат прозрачна и лесно-достъпна информация за това как данните се използват, и да предвидят ясни механизми как индивидите да упражняват правата си.
      • Новият правен инструмент също потвърждава, разяснява и подчертава ролята на Длъжностното лице по защита на данните във всяка Европейска институция и на Европейския надзорен орган по защита на данните. Целта е да се опростят процедурите в тази област.
      • В съответствие със споразумението, достигнато от съзаконодателите днес, обработването на лични данни от агенциите на Съюза в сферата на правоприлагането и съдебното сътрудничество (напр. Евроюст) е обхванато от регламента чрез конкретна глава. Правилата в тази глава са подравнени с Директива (ЕС) 2016/680. По-конкретни правила могат също така да се определят в учредителните актове на тези агенции, за да се вземат предвид специфичните им обстоятелства. Европол и Европейската прокуратура са, към момента, изключени от обхвата на регламента. Следва да се извърши преразглеждане от Комисията през 2022 г.
      • „Беше предизвикателство да имаме тези нови правила редом със стартирането на ОРЗД“, по думите на г-н Венцислав Караджов, Председател на РГ DAPIX и Председател на Комисията за защита на личните данни. Той повтори, че „новата правна рамка не само ще позволи потока на данни, но и също ще допринесе за правната сигурност. Заедно с ОРЗД и с Директива (ЕС) 2016/680, Европа се превръща в модел за подражание за целия свят.“
      • Следващи стъпки


        След потвърждение на политическото споразумение, достигнато днес от представителите на Съвета на ЕС и Европейския Парламент, текстът ще премине през лингвистична редакция и впоследствие ще бъде официално приет от двете институции. Новите правила ще се прилагат от есента на 2018 г.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      КЗЛД получи още едно признание за усилията и работата си в защита правата на физическите лица
      • С Общия регламент за защита на личните данни (GDPR), който започва да се прилага от 25 май 2018 г. се създава Европейски комитет за защита на личните данни (EDPB). Комитетът е орган на ЕС и притежава правосубектност. Съставен е от ръководителя на всеки орган за защита на данните и на Европейския надзорен орган по защита на данните (EDPS), или от съответните им представители.
      • На първото заседание на Европейския комитет за защита на личните данни (EDPB), проведено днес, за негов заместник-председател беше предложен и избран единодушно г-н Венцислав Караджов – председател на българския надзорен орган за защита на личните данни.
      • От 2014 г. до влизането в сила на Общия регламент г-н Венцислав Караджов е избиран в рамките на два мандата за заместник-председател на Работна група по чл. 29 от Директива 95/46/ЕО.
      • Комитетът ще бъде в центъра на новата рамка за защита на данните в ЕС. Той ще помогне да се гарантира, че Общият регламент се прилага съгласувано в целия ЕС и ще работи за осигуряване на ефективно сътрудничество между органите по защита на данните.
      • Изборът на г-н Караджов е признание на Европейско ниво за активното участие на КЗЛД в изготвянето на новата европейска правна рамка по защита на личните данни и подготовката за нейното прилагане.

      Виж източник

      Виж повече
      Сподели
    • 25.05.2018
      Започва прилагането на Общия регламент за защита на данните
      • От днес, 25 май 2018 г. в Европейския съюз започва прилагането на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
      • На 6 април 2016 г. ЕС постигна съгласие за осъществяването на голяма реформа в областта на защитата на данните, като прие пакета за реформа на защитата на данните, включващ Общия регламент за защитата на данните, който заменя двадесет годишната Директива 95/46/ЕО („Директива за защита на данните”) и Директивата за полицейското сътрудничество.
      • От 25 май 2018 Общият регламент за защита на данните започва да се прилага пряко, две години след неговото приемане и влизането му в сила. Като осигурява единен набор от правила, пряко приложими в държавите членки на ЕС, той ще гарантира свободното движение на лични данни между тези държави и ще укрепи доверието и сигурността на потребителите, два абсолютно необходими елемента за създаването на истински цифров единен пазар. По този начин регламентът ще открие нови възможности за бизнеса и предприятията, особено за по-малките от тях.
      • През последните две години всички заинтересовани страни − от националните администрации и националните органи по защита на данните до администраторите на данни и обработващите лични данни, участваха в редица дейности, за да се гарантира, че значението и мащабът на промените, въведени с новата рамка за защита на данните, са добре разбрани и всички участници са готови за нейното прилагане.
      • Новият регламент предвижда единен набор от правила, които ще се прилагат пряко във всички държави членки. Едновременно с това, държавите членки трябва на национално ниво да предприемат законодателни мерки в съответствие с Регламент (ЕС) 2016/679.
      • Новата правна рамка е възможност за ЕС да се превърне в световен лидер в тази област. В условията на бързоразвиваща се цифрова икономика, Европейският съюз, неговите граждани и предприятия, трябва да разполагат с всичко необходимо, за да извлекат ползите и да разбират потенциалните последици от икономиката, основана на данни. Предприятията, особено по-малките, ще могат да се възползват от благоприятен за иновациите единен набор от правила, да го използват като свое конкурентно предимство и да въведат ред в собствените си дела по отношение на личните данни с цел спечелване доверието на потребителите. Гражданите ще могат да се възползват от по-добра защита на личните им данни и да придобият по-добър контрол върху начина, по който дружествата боравят с тях.
      • Успешното прилагане на регламента изисква сътрудничество между всички участници в областта на защитата на личните данни. Ползите и възможностите, които предлагат новите правила, не се познават навсякъде в еднаква степен. Необходимо е да се повиши осведомеността и да се подпомогнат усилията, които полагат малките и средни предприятия, за да спазят изискванията.
      • От май 2018 г. нататък Европейската комисия ще следи как държавите членки прилагат новите правила и ще предприема съответни действия. Една година след влизането в сила на регламента (т.е. през 2019 г.) Европейската комисия ще обобщи натрупания в прилагането на регламента опит. Направените констатации ще бъдат включени в доклад за оценка и преглед на регламента, който Европейската комисия трябва да представи до май 2020 г.

      Виж източник

      Виж повече
      Сподели

    Страница 3 от 4

    Запитай тук