GDPR е нова регулация в Закона за защита на личните данни
Въвежда се правото „да бъдеш забравен“ както и изричното даване на съгласия за събиране и обработване на техните лични данни
Повечето от вас, които се занимават с онлайн търговия, най-вероятно са чували за така наречения GDPR. Това са новите разпоредби в Закона за защита на личните данни, които влизат в сила през месец май на 2018-та година. Но знаете ли какви точно са тези разпоредби и правила, които ще трябва да спазват бизнесите у нас? Новите регулации се отнасят за всеки бизнес, който под една или друга форма се развива онлайн или има дейност на територията на Европейския съюз. Нека първо започнем със самата абревиатура:
GDPR – General Data Protection Regulation
Тази регулация се отнася за всички страни, членки на Европейския съюз, сред които е и България. Основната цел за въвеждането на регулацията е да защити правата и на двете страни в онлайн търговията. От едната страна е бизнесът, а от другата – самите потребители. Задачата не е никак лесна, защото новият механизъм, по който се работи още от 2016-та година, ще улесни потоците от информация от и за международната търговия в Европейския съюз. Едновременно с това, ще се въведе нов общ механизъм за всички страни членки на ЕС, който да защитава личните данни на потребителите по сигурен начин.
Какво представляват личните данни?
Но преди да продължим нататък, нека първо уточним какво точно са личните данни. Според ЗЗЛД (Закон за защита на личните данни) за физическите лица, лични данни са: имена, ЕГН, адрес, телефон, месторождение, паспортни данни на лицето (физическа идентичност); семейно положение и родствени връзки (семейна идентичност); професионална биография (трудова дейност); здравен статус, психологическо и/или умствено състояние, сексуална ориентация (медицински данни); расов или етнически произход, политически, религиозни или философски убеждения (обществена идентичност); имотно състояние, финансово състояние, участие и/или притежаване на дялове или ценни книжа на дружества (икономическа идентичност) и други. Всички останали понятия и термини, които биха могли да ви бъдат полезни, можете да откриете тук: https://goo.gl/RJTWf4 Не забравяйте, че едно физическо лице, може да е част от юридическо лице.
Какво означава това за бизнеса и потребителите?
Всъщност новите регулации за защита на личните данни на потребителите, в по-голяма степен, съществуват и днес. Целта на въвеждането на GDPR за страните членки на ЕС е уеднаквяването на процеса, като всяка една страна ще има право да въвежда собствени изключения, изрично описани в Закона за защита на личните данни. Това е напълно логично следствие, което се дължи на реални дела, уреждани от Европейския съд.
В резултат на новите регулации, уеб порталите ще бъдат подсигурени срещу злонамерени нападения и проникване в личната им база данни. От друга страна, се ограничава изпращането на непоискани търговски съобщения до потребителите. Всеки един потребител на даден уебсайт ще трябва изрично да заяви своето съгласие за използване на неговите лични данни. В това число се включват име, години, имейл адрес, местожителство и други, които вече изброихме по-горе.
Потребителите ще имат право да поискат техните лични данни да бъдат изтрити от дадена база данни на онлайн магазин или друг уебсайт. В Закона, това е упоменато като „Правото да бъдеш забравен“.
Друга промяна, която ще настъпи е, че „мълчанието“ или липсата на отговор по никакъв начин не би могла да означава съгласие, както много фирми тълкуваха до този момент. Ако един потребител заяви съгласието си за ползване на личните му данни, това трябва да е некрасноречиво, на ясен и прост език, който не поражда двусмислие. Във всички останали случаи, ползването на личните данни на дадено лице би било в разрез с GDPR.
Има и друга опция. Ако вие, например, сте клиент на даден онлайн магазин и сте съгласен личните ви данни да се ползват с цел обработване на вашата поръчка онлайн, можете да откажете друго ползване. Какво имаме предвид под „друго ползване“? Това означава, че имате право да откажете вашите данни да се ползват за общо профилиране на клиентите на този магазин или да се ползват за друго автоматизирано обработване.
Какво трябва да направи един бизнес, за да отговаря на новите изисквания?
В най-голяма степен, тези изисквания обхващат правните и IT аспектите на дадена фирма. Въвежда се задължителното определяне на служител, който да се грижи за правилното съхранение на личните данни на потребителите. Това може да бъде настоящият уеб администратор на даден онлайн магазин или друго лице (но не управителя). Задължително е този човек да подпише договор, в който ясно се посочва, че лицето носи отговорност относно съхранението на личните данни. Допуска се това да бъде и юридическо лице – фирма или организация, която да събира и съхранява личните данни според изискванията. Те ще се съхраняват в отделен регистър. Ако все още се чудите през какви етапи ще премине един бизнес, за да покрие изискванията, ето ги и тях:
- Първоначален GAP анализ – това е анализ, който ще покаже до каква степен в момента бизнесът Х покрива изискванията на GDPR. Напълно вероятно е, до голяма степен и в момента да покривате част от изискванията. Целта на GAP анализа е не да ви плаши, а да ви даде възможно най-точни и конкретни препоръки относно това, което трябва да направите в своята фирма, за да покриете GDPR изискванията напълно;
- Въвеждане на нови мерки и технически процеси, които да се грижат за сигурното съхраняване на личните данни (в случаи, в които до момента това не се е практикувало). Тук е изключително важно, освен въвеждането на тези механизми, обучението на служителите, които ще се грижат за това.
- Въвеждане на нови механизми за мониторинг – чрез тях ще се следи ефективността на действията, ще се следи за изтичане на данни и съставянето на рапорти при евентуални нарушения;
- Обучение на служителите относно правилната употреба и съхранение на лични данни, както и осведомяване на целия персонал на компания Х. Тук имаме предвид не само служителите, които пряко участват в процеса на съхранение, а всички служители във вашата компания.
ЕС предлага ли подобни обучения?
Да, Европейският съюз предлага обучения по GDPR, макар и те да НЯМАТ задължителен характер. Целта на предлаганите курсове и последващото сертифициране на физически и юридически лица е компаниите да демонстрират лоялност и коректност пред гражданите. Чрез тези обучения се цели и създаването на доверена връзка между бизнеса и клиентите.
През последните няколко месеца, голяма част от корпоративния сектор активизира действията си спрямо GDPR. Много от българските компании са в процес на предварителен анализ, като това включва и тестове за устойчивост на онлайн платформите срещу хакерски атаки. Тези тестове се провеждат чрез симулирането на реална опасност, т.е. злонамерено влизане или разбиване на онлайн платформа за електронно пазаруване или корпоративен уебсайт. Това са възможно най-добрите тестове за сигурност, коментират голяма част от специалистите не само у нас, но в цяла Европа.
Влизане в сила и санкции
Новите регулации, описани в GDPR влизат в сила от 25.05.2018 година. До този момент, дейността бе предмет на директива, приета през 1995 година, но с развитието на електронния пазар се налага актуализирането на директивата и преобразуването и в регламент. Пълната директива, влязла в сила през 1995 година, можете да видите тук: https://goo.gl/CdaerP.
Воденето на новите регистри няма да се прилага при компании с по-малко от 250 служители. Изключения, разбира се, има. Ако се счете, че има реална опасност или вероятност за неправилно или спорадично обработване на данни и други. На практика, това означа, че GDPR регулациите са задължителни за абсолютно всички. При отчитане на нарушение, санкциите в момента варират между 1 000 и 100 000 лева. След въвеждането на новите регулации, те ще бъдат до 20 000 000 евро или до 4% от общия годишен световен оборот на организацията за предходната финансова година, като се използва по-голямата сума.
Също така, ако дадена компания констатира нарушение в сигурността на личните данни, които обработва, е длъжна да информира Комисия за защита на личните данни в срок не по-голям от 72 часа. В противен случай, ще бъде санкционирана.
Отчетност
Освен всичко изброени до момента, новата регулация налага и строга отчетност, която всяка фирма би следвало да води. Отчетността е задължение на новоназначения администратор на лични данни, който е задължен във всеки един момент да може да докаже, че събира и обработва информация по указания от закона начин и с изричното съгласие на потребителите. Макар това да звучи стряскащо на пръв прочит, отчетността не е нищо повече от съвкупността на всичко изброено по-горе. Но нека преговорим отново. Правилното водене на отчетност се изразява в следното:
- Назначаване на длъжностно лице, което да обработва лични данни;
- Изискване на съгласие от страна на потребителите за обработване и съхраняване на техните лични данни;
- Правилното съхранение и поддържане на база данни, съдържаща информация за лични данни на потребителите;
- Оценяване на риска при евентуална „атака“ и сигурността на информацията за потребителите;
- Уведомяване на Комисията за защита на личните данни при евентуално нарушение;
- Доброволно създаване и прилагане на механизми за сертифициране на фирми и служители.
Надяваме се, че сме ви били максимално полезни и сме ви информирали възможно най-достъпно за това що е GDPR и как да го приложите във вашата фирма.
Възползвайте се от 10% ОТСТЪПКА от услугата на advokatami.bg с проко код “TENDRIK”.
Ако все пак имате нужда от помощ или искате да приложите новите регулации за вашия бизнес сами – открийте как да го направите ТУК. Това е чудесен наръчник, който след попълването само на няколко въпроса, ще подготви всички необходими документи, така че GDPR-a да ви се стори лесен като детска игра. Не забравяйте да ползвате промо кода за вашата отстъпка!
А ако имате нужда от помощ с изпълнението на техническите задачи (да, има и такива), не се колебайте да се свържете с нас. Необходимо е само да ни изпратите запитване в нашата форма за контакти ТУК.