|
| . |
GDPR ще засегне всяка фирма и всяко ведомство, което по някаква причина събира информация за гражданите - ЕГН, лична карта, адрес, банкова сметка, данъчни и кредитни задължения, телефонен номер, адрес и т.н. В това число влизат телекоми, интернет доставчици, застрахователи, здравни и пенсионни фондове, счетоводни къщи, адвокатски кантори, нотариуси, съдебни изпълнители. Дори малката фирма с трима души персонал е събрала лични данни за тях - за да им плаща заплатите. Според еврорегламента лични данни са и IР адресът на вашия компютър, пръстовият ви отпечатък, кръвната ви група.
GDPR влиза в сила от 25 май тази година и става задължителен за всяка фирма и организация по света,
която събира и използва лични данни на европейски граждани
И понеже е еврорегламент, от тази дата трябва да се прилага автоматично във всяка държава от ЕС, дори ако тя не е приела съответни промени в собственото си законодателство. А целта на реформата е ние, еврогражданите, да бъдем по-защитени.
Ако ви поканят на интервю за работа, няма причина да ви искат адреса или ЕГН. Тези данни ще са необходими, ако ви назначат, а интервюто е за преценка дали сте подходящ като опит и знания за мястото.
Ако попълните анкета за участие в томбола, организирана от голяма търговска верига, не е редно после търговецът да използва посочените от вас координати, за да ви атакува в промоции.
Ако сте закрили сметките си в дадена банка, а след това тя започне да ви ухажва да вземете кредитна карта, това не е редно и може да се оплачете.
Ако сте абонат на мобилен оператор и сте просрочили няколко сметки, а той без ваше знание и съгласие прехвърли на колекторска фирма вашите дългове за събиране, става дума за нарушение.
Изпратено по погрешка електронно писмо, случайно или не разкрит личен телефонен номер може да донесе солена глоба за фирмата, която го е допуснала.
Това са все ситуации от реалния живот. А ние тепърва ще се учим да бдим за личните си данни. И бизнесът ще има много да се учи - да използва тази чувствителна информация много внимателно и да я брани. Със сигурност Комисията за защита на личните данни (КЗЛД) ще има все повече работа. Тя е органът, към който трябва да адресираме оплакванията си, ако смятаме, че някой злоупотребява с нашата персонална информация или не уважава правата ни.
GDPR не стартира на "гола поляна" - и сега имаме Закон за защита на личните данни, който изисква всеки администратор на персонална информация да се регистрира в КЗЛД.
Добрата новина е, че задължителната регистрация отпада. Това звучи добре, но само на пръв поглед. Следва сложното - "администраторът" така да организира работата с информацията, че при проверка да докаже, че събира само най-необходими данни и че те са защитени от зловредно проникване и използване. Доказването ще е с различна трудност според това с какво се занимава компанията.
Истерията, която бързо набира скорост у нас от началото на годината, се дължи основно на две причини - огромните глоби (които могат да достигнат до 20 млн. евро или до 4% от оборота на компанията ) и обтекаемите текстове в регламента. При
липсата на български закон, който да конкретизира изискванията
и мерките за защита на личните данни, фирмите трябва да тълкуват много от нормите и да преценят сами как да организират работата си с информацията, която събират от гражданите.
Има и трета причина за напрежението сред бизнеса - GDPR ще се отрази много сериозно на конкуренцията. Защото големите фирми ще бъдат принудени да избягват партньори "дребосъци", а и едри контрагенти, ако те не могат да докажат, че са в крак с регламента. Друго опасение е, че фирми могат да атакуват конкурентите си чрез сигнали за нарушения на GDPR, което предполага проверки и може да докара солени глоби.
Регламентът разширява обхвата на личните данни. Досега IP адресите например не се третираха като лични данни. Сега влизат в понятието и трябва да бъдат внимателно употребявани и ревниво пазени. Наред с ЕГН и адрес вече стоят имейл адрес, кукита, идентификатор на смартфон, медицинска информация, банкови данни, геолокация. Лични са и "всички други данни, които могат да идентифицират човек", добавя еврорегламентът, което означава, че списъкът не е изчерпателен и може да се обогатява непрекъснато. По смисъла на GDPR нарушение е дори когато камери на банка, на министерство или на някакъв институт например ви снимат, докато вие просто минавате покрай тях по тротоара.
Защита на личните данни има и сега. Но регламентът сериозно разширява обхвата и
вдига санкциите до опасно високи граници
Максималните глоби са за "макси" нарушители. Такива са например транснационалните компании, които работят с много клиенти и държат в ръцете си огромни бази данни за европейски потребители. Най-важното за всеки бизнес - малък и голям, е да разполага с документи и при проверка да може да докаже, че работи с персоналната информация според правилата. За целта може да се наложи да се пишат специални вътрешни указания и инструкции, да се обучава персонал, да се промени софтуерът, да се назначат или привлекат консултанти, да се правят регистри на данните и т.н.
Всяка държава от ЕС си има орган, който ще трябва да следи за стриктното прилагане на GDPR. У нас това е Комисията за защита на личните данни (КЗЛД), която има вече 15-годишен опит.
България, както често се случва, е изостанала в подготовката, но не е единствена. Наскоро Европейската комисия съобщи, че само две страни от ЕС са напълно готови да прилагат новите правила.
Комисията е подготвила предложения за промени в нашия закон, свързани с еврорегламента. Промените обаче още не са видели бял свят - не са обсъждани от правителството, нито са публикувани за обществено обсъждане. По тази причина в момента тече правен спор. Според част от юристите драматично високите глоби, предвидени в еврорегламента, няма да могат да се налагат, докато България не приеме съответни текстове в своя закон.
КЗЛД показва добронамереност и на поредица семинари и конференции нейните представители уверяват, че искат да бъдат партньори на фирмите, а не дамоклев меч. Иначе казано, комисията ще набляга на съветите и предписанията и ще използва страшните глоби срещу най-упоритите и нагли нарушители.
Кого засяга най-много GDPR?
Големите събирачи на данни ще имат най-много работа по прилагането на европравилата. Такива са например банките, пенсионните фондове, онлайн магазините, куриерските компании и т.н. Болниците също са в кюпа. Освен всичко друго те разполагат с особено чувствителна информация - за здравето на хората. Финансовите институции събират данни за финансовото състояние и социалния статус на клиентите си. Колекторски фирми, счетоводни къщи, куриерски компании - всички те обработват големи масиви лични данни, които са им предоставени от други компании.
Електронни търговци обработват данни за доставка и плащане, които също са персонални. А информацията за стоките, които даден потребител предпочита, честотата на пазаруване и т.н. дава привлекателни възможности за последваща обработка с цел профилиране - нещо, което регламентът ограничава.
Държавните ведомства - МВР, МО, социалните служби и т.н., също трябва да се съобразят в еврорегламента.
Всички тези учреждения и компании трябва да имат политика за защита на личните данни (privacy policy), която да разяснява какви лични данни се събират, по какъв начин се обработват те, на кого се предоставят, за какъв период се съхраняват.
Кой и защо може да обработва лични данни?
Най-проста е задачата, когато събирането на лични данни е по силата на закон. Например фирмите, искат или не,трябва да взимат персонална информация за служителите си, изисквана по Кодекса на труда.
Когато няма законово изискване обаче, компанията трябва да поиска изрично съгласие да събира лични данни. Съгласието трябва да е: свободно изразено - да не е дадено под натиск или заплаха от неблагоприятни последици (напр. по-висока цена на услуга): конкретно - за всяка отделна цел се иска отделно "да"; информирано - съгласието да е дадено на основата на пълна, точна и лесно разбираема информация; изрично и недвусмислено - да не се "подразбира" и да не подлежи на тълкуване; документирано.
Лични данни могат да се събират и когато се налага защита на жизненоважни интереси на субекта на данните или на друго физическо лице или когато се изпълнява задача от обществен интерес.
Така, в зависимост от дейността на компанията, може да се наложи разработване на инструкции, политика за защита на данните, оценка на въздействието, вътрешни регистри, уведомления, потвърждения, форми, съгласия. Може да се наложи да бъдат променени договорите с клиентите и със служителите.
Пазители на информацията
Някои консултанти и организатори на семинари напоследък натягат напрежението като обясняват, че заради GDPR всяка фирма трябва да си назначи специален служител или служители по сигурността на данните. Всъщност това изискване не засяга всички, а само администраторите на големи информационни масиви.
Задължението за назначаване на спецслужител се отнася за: обществени органи и структури; администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение - например, видеонаблюдение, организирано от охранителна фирма; администратори, чиито основни дейности се състоят в мащабно обработване на специални категории данни и на лични данни, свързани с присъди и нарушения (например, банки).
Фирмите могат да изберат между три варианта за служител по личните данни. Това може да е вътрешен човек - от персонала, който да изпълнява тази роля по съвместителство. Може да бъде назначен и външен консултант. А може да бъде сключен договор със специализирана компания, която предлага подходящи кадри. И в трите случая важното е овластеното лице да може да консултира фирмата за спазването на правилата в управлението и опазването на личните данни.
В момента има дефицит на такива специалисти. И вече има реакция от висшите училища. Очаква се някои университети - Шуменският, библиотекарският, ВУЗФ, да разкрият програми за обучение от новата учебна година.
|
| . |
|
| . |
|
| . |
, но ние ще бъдем препиканите 
