To read this article in English, click here. 

На 25.05.18г. новата регулация на Европейския съюз за защита на личните данни (GDPR) ще влезе в сила. Около пет години ЕС работи върху тази общоевропейска реформа. В момента е в сила Директивата за защита на личните данни от 1995г. (директива 95/46/EC), но технологичните промени в последните години налагат ревизирането й – все пак интернет беше още малък през 1995г. В наши дни защитата на лични данни в ЕС трябва да се бори с големи данни, роботика, четвърта индустраилна революция и изкуствен интелект, което значи че има въпиюща нужда от нова регулация. Ще я видим в сила през май.

GDPR има една цел – да унифицира регулацията на данни в Европа. Това повдига 2 основни въпроса на компаниите: „Какво представляват новите регулации?“ и „Какво трябва да направят компаниите и уебсайт операторите по въпроса?“. С влизането на регулацията през май, много промени ще бъдат направени в онлайн търговията и защитата на данните на служителите в компаниите. Малко по-надолу сме направили обобщение на новата регулация.

Не е директива – регулация е!

Когато става въпрос за бюрокрация в ЕС, законите отнемат много време. Дори когато официално са влезли в сила. След дълги дебати в парламента в Брюксел на 28-те страни-членки често биват давани щедри преходни периоди, за да бъде внедрен даден закон в съответното законодателство. Може да мине още повече време, докато натиска от влизането на закон в сила повлияе на отделни компании.

Освен директивата, има и друг вид европейски закон – регулацията. Те почтни нямат гратисен период, ако става въпрос за съдържание и период на влизане в експлоатация. Те свързват всички страни-членки почти мигновено. Точно затова GDPR е регулация.

През май 2016г. GDPR влезе в сила за преходен период от 2 години и на 25 май 2018 влиза окончателно в сила, ставайки официалният закон за защита на личните данни в рамките на ЕС, което го прави по-висш от местното законодателство. След тази дата всички компании и власти, работещи с лични данни са длъжни да се съобразят с новата регулация, без отлагане.

Навлизането на новия закон не е известно на всички компании: анкета, направена от Битком сред повече от 500 компании, показва, че една на всеки три компании все още не се е сблъсквала с GDPR. Само 19% от компаниите смятат, че ще могат да се справят с внедряването на законовите изисквания навреме. Това ще им струва милиони евро.

Тези цифри са изненадващи, като се има предвид високите глоби, които заплашват при нарушение – до 20 млн евро или 4 процента от световния оборот за предходната фискална година.

Въвеждащи клаузи

Европейските регулации имат предимство пред местните закони, включително и в случай на противоречие. Някои въвеждащи клаузи в GDPR позволяват на страните да отслабят или засилят някои правила за защита на данните.

Съвет: Можете да намерите цялата регулация на уебсайта eugdpr.org.

Европейска единност по отношение на защитата на личните данни

Основната цел на GDPR е хармонизрането на Европейската защита на личните данни. Директивата от 1995г беше приложена различно във всяка държава от ЕС, но новата регулация е ограничила тези своеволия до минимум. В интерес на истината България е една от малкото страни-членки, които са приели директивата почти без изменения, което донякъде улеснява сегашната ни работа.

Вторият основен аспект, отнесен към GDPR се свързва с сериозните технологични промени, настъпили през последните 25 години, както и бъдещите такива – много предизвикателства относно защитата на данни все още са пред нас. За пример може да се даде задължителното събиране на биометрични данни от служители, които работят с определени типове интелигентни машини. Ако компанията е чувствителна относно подобни данни, това не е проблем, но ако тази информация бъде използвана за други цели, като например следене на производителността на даден служител, тук GDPR също трябва да може да се намеси.

Съдържание: развиване на доказани принципи

Всяко обобщение на GDPR първо трябва да се адресира към промените, свързани с личните данни. Там са заложени основните промени, в сравнение с последната директива.

Например, отчетността на компаниите се разширява. В бъдеще ще има по-всеобхватни задължения, отнасящи се до документирането на данните и доказване на данните, които фирмата действително събира. Тези задължения ще покриват и целите, за които се използват личните данни и как се обработва тя. GDPR значи и повече работа, що се отнася до документацията. Компаниите, които вече ценят защитата на данните и поддържат регистър на процедурите за обработка на данни, ще имат много по-лесно с прилагането на регламента.

В крайна сметка GDPR не включва фундаментални отклонения от досегашната посока за защита на данните. Вместо това, вече представените принципи остават валидни и ще бъдат продължени от Регулацията за защита на личните данни в ЕС. Ето някои основни принципи, които GDPR засяга:

  • Липса на разрешение за достъп: Това означава, че всяка обработка на лични данни е забранена, освен ако не е специално разрешена. Това е така и сега, така че всичко е наред.  В крайна сметка не всички данни са от еднакво значение. Съгласно GDPR, обаче, принципът на забрана се прилага безразборно спрямо всички лични данни.
  • Присвояване: Компаниите могат да събират и обработват данни само за специфични цели. Тези цели трябва да са конкретно отбелязани в началото на запитването, а бъдещото използване на данните трябва да бъде документирано. Например, данни, които дадена компания е събрала заради изпълнение на договор, и съхранява по право, не може да бъде използвана за рекламни цели в последствие. Това е друга цел, която изисква специално упоменаване. Промяна на целите е разрешена само при определени обстоятелства.
  • Намаляване количеството данни: Този принцип изисква компаниите да събират възможно най-малко данни. Основното правило е да са колкото може по-малко и колкото са необходими.
  • Прозрачност: Обработката на данни трябва винаги да е разбираема за засегнатите. От една страна това значи достъпно написани декларации за защита на данните, а от друга страна потребителите се радват на широки права с иновациите на GDPR. Както и в миналото, от компаниите се изисква да предоставят информация за това какви данни имат и как ги използват.
  • Поверителност: Компаниите трябва да докажат, че технически и организационно предпазват личните данни на своите клиенти, за да може те да са сигурни, че са защитени от неразрешена обработка, намеса, кражба или нарушаване на цялостта им. Задължението за технически мерки е ново за компаниите. Тези мерки, обаче, не са конкретно споменати и компаниите са свободни да ги интерпретират. В случай на кражба, ще се установява дали мерките са били адекватни.

Кой е засегнат?

Като цяло може да се каже, че GDPR е добра новина за всеки потребител и за всички засегнати от обработката на данни, тъй като регулацията ги предпазва. Освен това GDPR влияят и на правата на служителите.

Тези правила са релевантни за всички компании със служители. Това значи, че голям брой компании ще бъдат двойно засегнати, що се отнася до защитата на данните на служителите, както и на клиентите, доставчиците и посетителите на сайта им.

Новите регулации значително ще увеличат и служителите наети като защитници на лични данни. В близко бъдеще всички ведомства и компании, чиято основна дейност е свързана с обработката на лични данни, ще трябва да назначат служител по защита на личните данни. Дори и основната дейност да не е свързана с обработка на данни, ако поне 10 служители са ангажирани с автоматизирани процеси по обработка на лични данни, трябва да бъде назначен такъв служител. Някои компании ще се наложи да назначат такъв служител по-рано от май 2018г, за да могат да влязат в изискванията преди крайния срок.

За служителите по защита на лични данни, които вече са назначени в някои компании, също няма да бъде лесно, тъй като с навлизането на GDPR тяхната роля се изменя из основи. Сега вече те трябва да следят за изпълнението на мерките за защита на данни, което увеличава отговорността им. Член 39 от GDPR загатва за задълженията на служителите по защита на данните. Част от тях включват информирането и съветването на останалите служители по отношение на GDPR и други закони за данните, следене на съгласуваността с GDPR, съветване по отношение на влиянието на регулацията, както и задължеността им да бъдат на линия за всякакви въпроси в компетенцията му.

Следващите редове са подбрани откъси от GDPR, които се фокусират върху иновациите, засягащи нововъведенията за уебсайт операторите и компаниите.

За компаниите

Дори ако няма съществена промяна в защитата на данните, GDPR на ЕС все още нанася много промени. Необходимо е компаниите да вземат предвид тези промени и още в етапа на концептуалното проектиране да ги интегрират в работните им потоци, които включват хора (принципът “Защита със създаването” – Privacy By Design). В противен случай те ще се окажат в нарушение на европейското право. По-долу ще намерите някои от най-важните нови правила, които компаниите, особено тези в областта на онлайн търговията, трябва да спазват.

Управление на данните за бизнесите

Оценка на въздействието върху неприкосновеността на личния живот (PIA): Дружествата са задължени да извършват оценки на риска. От тях също така се изисква да уточнят какви предпазни мерки съществуват за минимизиране на рисковете. Това правило става особено важно, когато дадена фирма работи с облачни системи. Те често включват обработка на големи количества лични данни. Фирмите, които съхраняват данни, отнасящи се до физически лица, вероятно ще бъдат засегнати още повече, тъй като се считат за особено чувствителни и разпространението на данните може да бъде вредно за участващите.

Данни на служителите: Регулациите, които GDPR поставя при защитата на данните на служителите засягат и отделите „човешки ресурси“.

Служители по защита на личните данни: Споменахме по-нагоре за новите задължения на тези служители.

Изисквания при рапортуване: Справянето със сривове в системата и правилата как да се процедира в такива ситуации са станали доста по-стриктни, за разлика от предишните регулации. За инциденти, свързани със сигурността, трябва да се докладва до 72 часа след като бъдат установени. При съмнения за нарушаване неприкосновеността на данните, трябва да се докладва на засегнатите лица, както и на отговарящите за това власти.

Отговорност и глоби: Много по-лесно ще се осъществява подвеждането под отговорност за нарушения на регулациите. Това включва и тежки глоби.

Сигурност на личните данни

  • Задължително документиране: Основен фокус на GDPR е върху отчетността на компаниите. За разлика от миналото, компаниите вече са задължени да документират спазването на защитата на данните чрез вътрешна документация. По всяко време те трябва да могат да информират властите за всичко от следното: кои данни се съхраняват, за каква цел, техният статус, както и кога са изтрити от компанията. Ако е необходимо, компанията трябва да може да предостави списък на цялата тази информация.
  • Защита със създаването: Принципът “Защита от страна на дизайна” означава, че още от техническото структуриране на техните бизнес процеси компаниите трябва да вземат под внимание защитата на данните. Не е разрешено да се прилагат ретроспективно мерки за защита на данните, а вместо това се изисква да бъдат интегрирани в работния процес по време на фазата на развитие. Поради това и двата продукта и процеси следва да бъдат проектирани по такъв начин, че да изискват възможно най-малко лични данни.
  • Поверителност по подразбиране: Тази специална разпоредба от GDPR постановява, че по принцип най- удобният вариант за защита на данните за потребителите, трябва да бъде приложен предварително. Това спестява на потребителите борбата със сложни настройки, когато се опитват да наложат ограничения върху обработката на данни.
  • Позволения (споразумения, работни споразумения): Скоро потребителите трябва изрично да се съгласяват да се използват техните лични данни. В добавка трябва да споменем, че съглсието на служителя или потребителя се отнася само за конкретните условия. Тя трябва да бъде формулирана на достъпен език.
  • Изтриване на данни: Личните данни могат да бъдат съхранявани до момента, в който информацията е нужна за съответната цел. Ако разрешението изтича (ако вече няма съгласие или договорът е прекратен или изпълнен), данните трябва да бъдат изтрити.
  • Право на достъп и анулиране: Европейските граждани имат право, чрез заявление, да знаят коя част от техните данни се държи от компания и как е използвана. Освен това, потребителите могат да изискват от компаниите да изтрият техните данни. Това е тъй. Нар. „Право да бъдеш забравен“ (за което имаме статия в блога, ето я тук )

Ефект върху операторите на уебсайт

GDPR не съдържа конкретни правила, които са специфични за областта на електронната търговия. Вместо това формулира основни принципи за защита на данните, спецификите на които се регулират от други закони и регулации. Все пак има някои нововъведения, които можете да откриете по-надолу.

Нещата си остават така (поне засега)!

Важно е да се отбележи, че, освен гореспоменатите промени за компаниите, GDPR променя малко неща в сферата на онлайн търговията. Основните неща за уебсайт операторите – бисквитки, юзър тракинг, спам и директен маркетинг няма да се променят поне до 2019г. В момента операторите са под юрисдикцията на Директива за защита на личните данни 95/46/EC, както и националните медийни закони. Тъй като GDPR взема превес над националните закони, всички ще трябва да се съобразяват с него нататък.

В някои случаи, обаче, GDPR  е само преходно решение. По принцип с GDPR в сила трябваше да влезе и т.нар. E-Privacy регулация, но на 23.10.2017г. Европейският парламент реши, че няма да смогне да пусне и двата закона в срок. Прокарването на E-Privacy не е толкова лесно, заради усложненията, които бисквитките носят. При пускането на втората регулация ще има много поправки по отношение на следенето, таргетирането и персонализираната реклама. Така че е рано да се каже какво ще последва с E-Privacy регулацията. Така ще е поне до 2019г, но е добре уебсайт операторите да държат под око бъдещи развития по въпроса. Основната разлика между двете регулации е, че GDPR регулира принципите на законите за защита на лични данни, а E-Privacy ще се отнася повече за всекидневния дигитален живот на всеки потребител и гражданин на ЕС.

Какви все пак ще бъдат промените?

Какво точно ще се промени през май 2018г? Ето ги най-важните промени за уебсайт операторите:

  • Задължение да се води задължителната документация по GDPR;
  • Задълбочени форми за съгласие;
  • Принципите на сигурност при създаване и поверителност по подразбиране;
  • Разширени информационни права и правото на заличаване;
  • Право на преносимост на данни;
  • По-съществени изисквания за информация (например декларация за защита на данните на даден уебсайт);
  • Без свързване на форми за съгласие.

Факт: Трябва да има ясна разлика между съгласието за защита на личните данни и декларацията за защита на данни. Съгласието на потребителя е задължителна за всяка обработка на данни, която не е конкретно разрешена от закона, се отнася за активното съгласие на потребителя относно условията за защита на данните на компанията. Декларацията за защита на данните е в текста, в който компанията представя своите мерки за защита на данните на своите клиенти.

За уебсайт операторите най-важното от GDPR е политиката з аповерителност. Чл.13, ал. 2 от GDPR съдържа детайлен каталог на информация, която трябва да се съдържа в декларацията за защита на данните. Също така GDPR държи на прозрачността, така че е добре декларацията Ви да е написана разбираемо за всички.

Свързването на форми за съгласие е най-голямото ограничение в GDPR за нетуърк индустрията. Ако сте се съгласили да се запишете за онлайн бюлетин, за да завършите договор, сега това ще бъде нарушение на Европейското законодателство.

GDPR списък със задачи за бизнеси и уебсайт оператори

  • Установете процеси по документация за боравене с лични данни;
  • Направете списък на операциите за обработка;
  • Установете методи за комуникация за клиентски запитвания по отношение на опазването на личните му данни;
  • Проверете дали е необходимо да назначите служител по защита на данните;
  • Адаптирайте политиката за поверителност на сайта си за GDPR;
  • Консултирайте се с началника на техническия отдел и служителя по защита на личните данни, за да определите дали сегашните мерки по опазване на данните са достатъчни.
  • Вбъдеще всички лични данни, които са събрани и нарушават правилата за съгласие трябва да бъдат събирани различно и разглеждани като доброволно предоставени данни;
  • Ако сте назначили външни доставчици, които отговарят за защитата на личните данни на компанията, трябва да изясните дали сключените споразумения отговарят на новото законодателство.
  • Осведомявайте се своевременно за развитието на регулацията E-Privacy. Тя ще определи как онлайн търговците ще работят с анализите и инструмените за следене вбъдеще;
  • Ако нещо не Ви е ясно, потърсете професионален съвет.

Тук можете да видите уебинара за GDPR, който може да отговори на допълнителни ваши въпроси. 

Share This

Share This

Share this post with your friends!