На 25 май влиза в сила новият Общ регламент на ЕС за защита на личните данни (Регламент 2016/679 GDPR - General Data Protection Regulation). Това ще засегне всяка институция, организация и бизнес в ЕС и конкретно в България, която съхранява лични данни.

Целта на регламента е да завиши мерките за техническа сигурност на обработваните лични данни чрез криптиране, кодиране и обезличаването им с цел да се намали риска от злонамерен пробив в интернет системите.

Новите изискванията по GDPR са сериозни, а глобите за неспазването им – много високи (до 4% от общия оборот на организацията, или до 20 млн. евро).

Европейският съюз и България - като част от него, все повече се дигитализират, а институциите и фирмите продължават да събират лични данни, които досегашните нормативни актове на ЕС и у нас (включително и Законът за защита на личните данни) вече не могат да защитят адекватно.

Именно това наложи приемането на новия Регламент GDPR, който да отговори на бързата дигитализация на европейското общество, посочва вестник "Стандарт".

GDPR ще засегне дейността на всички бизнеси, които обслужват като крайни потребители физически лица. Като се започне от големи компании, банки и търговски вериги и се стигне до най-обикновена аптека с 1-2 компютъра, например, която работи с НЗОК и обработва данни на пациенти с реимбурсирани лекарства.

Според изискванията на GDPR фирмите, администратори на лични данни, ще трябва да назначат "Служител по защита на данните" (DPO - Data Privacy Officer) или да сключат договор с външен консултант за тази позиция.

Служителят по защита на данните ще отговаря за спазването на изискванията на регламента, ще консултира въвеждането на нови изискания, когато има такива и ще бъде и лицето за контакт с органите за защита на личните данни.

Сред най-засегнатите от новия регламент ще бъдат електронните търговци. Те вече ще трябва да получават валидно по смисъла на GDPR съгласие от потребителите за използване на личните им данни.

Онлайн търговците трябва да спазват новите завишени изисквания на GDPR за прозрачност и информираност на своите клиенти относно обработването на техни лични данни, които включват IP адрес, потребителско име, личен акаунт, данни за банкова сметка, история на предишни покупки, предпочитани стоки и пр.

За целта онлайн търговците задължително трябва да публикуват на своите интернет страници лесно разбираеми правила за защита на личните данни, в които подробно да разясняват точно какви лични данни събират, на кого ги предоставят и за какво време ги съхраняват.

GDPR засяга и всички онлайн търговци, които не са ситуирани в ЕС, но продават стоки и услуги на граждани на Общността, така че те също трябва да спазват изискванията на регламента.

Регламентът засяга и работата на всички доставчици на сървърни услуги, специализиран софтуер, мобилни приложения и др.), които също трябва да отговарят на новото ниво за защита на личните данни, изисквано от GDPR.

В противен случай онлайн търговецът може да бъде санкциониран за неизпълнение на изискванията на Регламента и да трябва да плати огромна глоба, равняваща се на до 4% от оборота му.

Златно време за консултантите

Като всяко ново нещо, и влизането в сила на GDPR се използва за печелене на пари. През последните месеци интернет пазарът у нас буквално е залят от най-различни консултанти, които предлагат различни решения и услуги за въвеждането на изискванията на GDPR.

Според експерти обаче, ако един онлайн търговец разполага с добър екип от професионалисти с юридически и компютърни знания, ако има въведени ясни политики за управление на сигурността на информацията и контрол на достъпа, както и процедура за спешно уведомяване на контролните органи при евентуален пробив на сигурността на данните, би трябвало и сам да се справи с привеждане на дейността си в съответствие с GDPR.

Това става ясно също и от съобщение, публикувано на 11 май на официалната страница на Комисията за защита на личните данни (КЗЛД). От него става ясно, че във връзка с множеството запитвания на администратори на лични данни относно извършване на сертифициране за съответствие с GDPR, тя все още не е акредитирала никоя организация или дружество, които да извършват такова сертифициране.

КЗЛД обаче обръща внимание, че сертифициращ орган може да бъде акредитиран и в друга държава, членка на ЕС.

КЗЛД информира администраторите на лични данни и гражданите, че тя не е оторизирала и нито един обучителен център да провежда обучения в областта на защитата на личните данни, нито пък е одобрила обучителни програми за това. Администраторите нямат задължение да участват в такива обучения, категорични са от КЗЛД.

Комисията организира мащабна разяснителна кампания във връзка с прилагането на GDPR, която ще продължи и след 25 май 2018 г.

Тъй като голямата част от бизнеса обаче не разполага с необходимия експертен, а вече времеви и ресурс, се налага да потърси услугите на консултанти, които да му помогнат да отговори на изискванията на GDPR.

Компаниите трябва да се ориентират към услугите на фирми, в които има не само IT експерти, но също и юристи, които са специалисти по защитата на лични данни, както и одитори по информационна сигурност и по стандарта ISO 27001.

Към някои от работодателските организации, като БСК например, вече функционира специализиран Консултантски център по GDPR.

Бягайте от търговци, които нямат документа на сайта си

Що се отнася до потребителите, за да са сигурни, че техният онлайн търговец или фирма, чиито клиенти са, отговарят на изискванията на новия регламент, то преди да използват услугите им, те задължително трябва да се запознаят с политиката за защита на личните данни, която трябва да е публикувана на интернет страницата им.

Ако такава информация не съществува - бягайте далече от тях. Ако търговецът спазва GDPR, то тази политика следва да съдържа подробно описание на вида и обема на лични данни, които той обработва, лицата, на които ги предоставя и за какъв срок.

Освен това всеки потребител има право и да поиска от търговеца цялата негова информация, която той е обработвал и съхранявал преди влизането в сила на GDPR.

Привеждането на дейността на онлайн търговците в съответствие с изискванията на регламента ще има и редица благоприятни ефекти за бизнеса. Това ще повиши нивото на потребителското доверие към онлайн търговията, което специално в България никак не е високо.

Освен това GDPR задължава всеки търговец да обменя лични данни само с такива други търговци, които са въвели изискванията на регламента, тъй като в противен случай ще носят пълна отговорност при пробив на сигурността. Така големите компании и търговци, които работят с подизпълнители и доставчици на услуги, първи ще потърсят партньори, които спазват Регламента.

Принципи на GDPR

  • Личните данни трябва да са точни и да бъдат поддържани в актуален вид.
  • Личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват.
  • Личните данни се обработват по начин, който гарантира високо ниво на тяхната сигурност.
  • Забранена е обработката на чувствителни лични данни, които се ползват с по-високо ниво на защита: данните за здравето, биометрия, расов и етнически произход, политически възгледи и др.
  • Клиентите на фирмите, администратори на лични данни, имат право на: достъп до личните си данни; да поправят грешки в личните си данни; да изтриват личните си данни; да научат за предмета на обработка на личните им данни; да изтеглят личните си данни.