Начало | Блог | Какво е GDPR и какво означава тази регулация за фирмите в полиграфията и извън нея

Блог

Какво е GDPR и какво означава тази регулация за фирмите в полиграфията и извън нея

Какво е GDPR и какво означава тази регулация за фирмите в полиграфията и извън нея

Последна редакция 09.03.2018

В интернет и медийното пространство от няколко месеца се появява все повече информация на тема GDPR. Всеки може да прочете поне по няколко материала, които описват какво означава тази регулация и как тя ще влияе на бизнеса. Информацията е много и понякога може да бъде трудно за фирмите да се ориентират. В допълнение бяха стартирани изключително много обучения, сертификации и всякакви други инициативи, които допълнително усложняват разбирането на процеса и на това какво е задължително и какво не е.

Стартираме този материал с идеята да напишем всичко, което знаем по темата и да го обновяваме във времето. Наистина информацията е много, не е добре структурирана и като цяло е доста неясна. Наша цел е този материал да стане едно добро място за начало на разбирането.

 

И така, какво е GDPR

GDPR е съкращение от General Data Protection Regulation (EU 2016/679) и представлява регулация на Европейския Парламент, Европейския Съвет и Европейската Комисия, с която те целят да затегнат и унифицират защитата на лична информация за всички потребители в Европейския Съюз.

Важното е да се отбележи, че това не е директива и действа независимо дали отделните правителства са я включили в законовите рамки на съответната държава.

Основната цел на тази регулация е да даде по-голям контрол на крайните потребители над информацията, която се събира за тях, както и за какво се използва тя.

Регулацията е приета на 27 Април 2016 и влиза в сила от 25 май 2018, след двугодишен гратисен период.

Можете да видите целия текст на регулацията на този линк на английски език: http://bit.ly/1TlgbjI  

Важни документи по темата можете да намерите и на страницата на комисията за защита на личните данни - https://www.cpdp.bg/  

Имайте предвид, че Комисията за Защита на Личните Данни ще представлява основното звено, което ще отговаря за внедряването и контрола над изпълнението на GDPR в България.

Ето и няколко документа, които бяха публикувани съвсем скоро на сайта на Комисията:

Практически въпроси за защитата на личните данни след 25 май 2018 - http://bit.ly/2BF7h2S 

10 практически стъпки за прилагане на общия регламент относно защитата на данните - http://bit.ly/2CBqz5S 

 

Няколко мита, свързани с GDPR

Преди да навлезем в детайли ето няколко грешни представи за GDPR. Надяваме се те да ви обърнат внимание на това колко важна е тази регулация:

Аз съм малка фирма и GDPR не се отнася за мен - регулацията не прави разграничаване от гледна точка на прилагането и в зависимост от това дали сте малка или голяма фирма. Начинът, по който събирате и обработвате лични данни на служителите и на клиентите, трябва да отговаря на регулацията. Големите фирми имат допълнителни изисквания за работа с информацията, но малките трябва също да са в изпълнение на регулацията.

Аз съм регистриран като оператор на лични данни и това е достатъчно - регулацията въвежда доста допълнителни изисквания към събирането и използването на лични данни и всяка фирма трябва да се съобрази с тях.

Аз не събирам лични данни на своите клиенти - реално няма фирма, която да не попада под регулацията на GDPR. Лични данни са имена, имейли, данни на вашите служители, статистики за поведението на хората на вашите сайтове и много други. Важното е да се анализира бизнеса на всяка фирма и да се определи кой тип информация попада под GDPR.

Аз имам печатница и не се занимавам с лични данни - надяваме се да е станало ясно от предишните точки, но всяка фирма събира и обработва лични данни. Няма значение дали те са на клиенти, партньори или служители.

GDPR не е въведен в българското законодателство и аз нямам задължение да отговарям на изискванията преди това - регулацията влиза в сила от 25 май и за нейното прилагане няма нужда тя да бъде вкарана като закон в нашето законодателство. Основният контрольор на прилагането на регулацията от българска страна ще е Комисията за Защита на Личните Данни, която ще има правото да прави проверки и да налага санкции според предвиденото в регулацията.

GDPR обхваща само малка и специфична част от личните данни - напротив, GDPR разширява съществуващия обхват на личните данни и добавя много нови елементи към тълкуването какво са лични данни и какво имаме право и нямаме право да правим с тях.

GDPR внася само едно ново изискване - правото на потребителите да бъдат забравени - всъщност регулацията разширява съществуващото право на потребителите да бъдат забравени с новото право да бъдат изтрити. Допълнителни права, които се дават са:

  • Правото на достъп - организацията трябва да предостави достъп на потребителите до техните лични данни.
  • Правото на поправка - потребителите трябва да могат да коригират неправилни или непълни данни за себе си.
  • Правото да бъдат забравени - организациите трябва да могат да изтриват изцяло личните данни на потребителите при поискване (с изключение на онези които се изискват да са налични по закон - например данни свързани със социалното осигуряване).
  • Правото на забрана за обработка - при определени условия потребителите могат да забранят на организациите да обработват техните лични данни
  • Правото на пренос на данни - при определени условия потребителите могат да поискат личните им данни да се преместят от една организация към друга без ограничение.
  • Правото на възражение - потребителите могат да възразят срещу използването на техните данни от организацията.
  • Правото да не бъдат част от автоматично вземане на решения или профилиране - потребителите трябва да дадат изричното си съгласие, за да може техните данни да се използват в софтуери и системи за автоматично сортиране на данни, вземане на решения или профилиране.

 

Какво е ясно и какво не е ясно във връзка с GDPR

Причините за публикуването на много информация и липсата на ясни насоки са няколко:

  • Регламентът е написан доста общо и адресира повечето случаи на използване на лична информация, но без да дава точни изисквания и препоръки.
  • Документът е писан, без да се вземат предвид модерните технологии като блокчейн, както и фактът, че някои институции използват остарели технологии за съхранение на данни, като например лентови носители. И в двата случая информация не може да се трие избирателно.
  • Както обикновено всичко е останало за последния момент. Въпреки двугодишния гратисен период, всички институции и фирми започнаха активно да мислят по темата в последните няколко месеца.

Независимо от това има някои общи положения, които са ясни и които ще се опитаме да напишем в следващите редове.

 

Какво са лични данни според GDPR

Преди да кажем какво можем и какво не можем да правим с личните данни, нека първо да се опитаме да дефинираме какво са лични данни.

Тук отново не е точно описано кои данни са лични и кои не, но е описано следното:

Лични дани са всяка информация, която е свързана с индивида, независимо дали е свързана с неговия личен, професионален или публичен живот. Може да бъде всичко, като име, адрес, снимка, имейл адрес, банкови детайли, споделяния в социалните медии, медицинска информация и компютърен IP адрес.

Въпреки, че няма точен списък, ето някои основни категории, които се считат за лични данни:

  • Основна информация като: име, адрес и номер на лична карта;
  • Уеб информация, като локация, IP адрес, бисквитки и RFID тагове;
  • Здравна и генетична информация;
  • Биометрична информация;
  • Информация за раса и етнос;
  • Политически пристрастрия;
  • Сексуална ориентация.

Лични данни са всякакъв вид данни, които могат да се използват, за да идентифицират даден потребител или да го профилират по някакъв начин, например да се проследи какво прави той на даден сайт, в какви групи попада, какви са неговите интереси и подобни.

 

Какво можем да правим с личните данни

Имаме право да работим с лични данни само при наличие на поне една правна причина да го правим:

  • Потребителят е дал изрично писмено съгласие неговите данни да се използват за определена дейност.
  • Данните са нужни за изпълнение на договор, в който индивидът е страна.
  • Данните са нужни, за да може фирмата, която ги събира, да отговори на правни изисквания, които са приложими към нея.
  • Данните са от изключителна важност за запазването на индивида или друг индивид.

 

Кой ще отговаря във фирмите за това дали отговарят на GDPR

Регулацията определя няколко роли, които са нужни за съответствие с GDPR.

  • Контрольор на данните (реално фирмите, които притежават данните) - определя как ще се ползват данните и отговаря за това партньорите на организацията също да прилагат изискванията на регулацията.
  • Оператори на данни (външни организации, които помагат за анализа и работата с данни) - група хора или външни фирми, които отговарят за съхранението и обработката на данните. GDPR определя операторите на данни като отговорни за евентуални пробиви в сигурността. Възможно е в случай на пробив на сигурността на личните данни, които се съхраняват при външна за вас фирма, вие също да бъдете подведени под отговорност.
  • Офицер по защитата на данни - трябва да се назначи (или определи) човек, който да отговаря за сигурността на данните и съответствието на процесите на изискванията на GDPR. Това е ключово изискване на GDPR, което налага сериозно изискване, особено към по-малките фирми.

Проблемът е, че фирмите носят отговорност както за неправилна обработка на личните данни на техните клиенти при тях, така и за неправилна обработка при техните партньори.

Пример: Ако използвате онлайн софтуер (SaaS) за разпращане на електронен бюлетин, където държите имейлите и имената на своите клиенти, вие сте отговорни, в случаите когато има пробив или неправилно използване на тези данни от доставчика ви.

 

Принципи на събиране и съхранение на данните

В общи линии има няколко основни принципа, които трябва да следвате, когато работите с лични данни.

Искане на съгласие

Искането на съгласие е едно от основните изисквания на GDPR. Вече не е достатъчно да уведомите клиента за това, че събирате данни или че използвате бисквитки на сайта си. Ще трябва да изисквате неговото писмено съгласие и да му дадете право да откаже да даде съгласие.

Пример: Ако имате форма за записване за електронен бюлетин на вашия сайт, вече няма да имате право квадратчето за съгласие да е предварително отметнато.

Пример: Ако използвате бисквитки на вашия сайт за ремаркетинг, вече няма да е достатъчно да излиза съобщение “Ние използваме бисквитки”, а ще трябва дадете възможност на потребителя да приеме или да откаже използването на бисквитки.

 

Подробно обяснение за нуждата за събиране на данни

Регламентът много ясно изисква да се обяснява подробно и на достъпен език за какво са нужни данните, които събирате, как ще се използват и как ще се съхраняват. Потребителят ще трябва да може да разбере нуждата от събирането на данни и тя да бъде подробно представена.

Пример: Описания като “събираме вашите данни, за да ви предоставим възможно най-добрата услуга” вече не са достатъчни. Ще трябва да опишете по-точно какво правите и защо го правите. Например “Ние записваме сесиите на всеки наш потребител за период от не повече от 30 дни. Сесиите не се обработват отделно, а заедно ни представят анализ на поведението на нашите потребители на сайта.” Ще трябва да поискате съгласие за това събиране на данни.

 

Събиране на минимално количество данни

Фирмите ще трябва да събират само толкова информация, колкото е нужна за конкретната цел или нужда.

Пример: Ако продавате печатни материали онлайн и като част от услугата ви събирате IP адреса на потребителя, това може да представлява проблем, защото тази информация не ви трябва, за да извършите услугата.

 

Съхранение на информацията и време на съхранение

Освен че ще трябва информацията да се съхранява по определени правила, част от които са описани по-долу, фирмите ще трябва да информират потребителя колко време ще съхраняват личната информация. Фирмите нямат право да съхраняват лична информация за период по-дълъг от нейната полезност за изпълнение на целта, за която се събира.

Пример: Ако каните потенциални служители на интервю, трябва да съхранявате техните молби за кандидатстване за периода, за който е отворена позицията, и след това ще трябва да ги изтриете.

 

Доказване на съответствие

Ще трябва да водите подробни дневници и да можете да покажете, че при поискване от страна на потребителя са изтрити всички негови лични данни от местата, в които се съхраняват. Такива доказателства ще трябва да могат да бъдат представени при поискване.

Интересното в регулацията е, че подобни доказателства могат да бъдат поискани и от самия потребител и трябва да могат да му бъдат предоставени.

 

Право на достъп

Дава се право на потребителите да изискват информация за:

  • Каква информация се съхранява за тях;
  • Как се използва и съхранява тази информация;
  • За какво се използва тази информация.

Тази информация ще трябва да бъде предоставена на потребителя при поискване в обобщен вид, както и извадка, която показва самата информация.

 

Право на изтриване

Правото за забравяне, което стана популярно преди няколко години, е заменено с по-крайното право за изтриване. В тази връзка потребителят може да поиска изтриване на лични данни, свързани с него, на база на различни основания, включително ако неговите основни човешки права са нарушени.

Важно е да се обърне внимание, че е ваше задължение да изтриете личните данни на потребителя от вашите системи, но също така и да осигурите изтриването им от трети системи, ако използвате такива за съхранение на данни.

Пример: Ако използвате система за електронен бюлетин, която е на външна фирма или услуга в облака, ще трябва да сте сигурни, че вашият доставчик също е в съответствие с GDPR и ще изтрие данните.

 

Какво означава GDPR за нас и как трябва да променим процесите си на работа

За да може фирмите да отговарят на изискванията на GDPR те ще трябва да покажат, че защитата на лични данни е заложена в процесите на фирмите. Въвеждат се два основни принципа:

  • Защита на данните по дизайн - изисква защитата на данните да е залегнала в дизайна и създаването на бизнес процеси от самото начало.
  • Защита на данните по определение (от самото начало, като начална настройка) - изисква защитата да се прилага по определение във всички случаи.

Офицер по защита на личните данни

Това е важно изискване на регулацията, която също така изисква офицерът да има необходимата компетенция като сертификати, образование и други. Ако компанията е АД, офицерът става ключов кадър и трябва да се включи като член на борда.

Сертификацията на подобен офицер е от голямо значение и е важна за спазването на изискванията на регулацията.

Нашите познати от Sensei Club са една от малкото организации, които имат международно сертифицирани обучители и които могат да ви предоставят подробна информация за сертифицирснето на Офицер по защита на личните данни.

https://senseiclub.com/ 

Разберете как GDPR ще промени вашите процеси

Всяка фирма събира данни по различен начин и използва данните за различни цели. Важно е да разберете точно как GDPR ще промени вашите процеси и какво трябва да направите, за да отговорите на регулацията.

Обучете персонала си

Много е важно всички, които работят с лични данни, да знаят какво да правят с тях и как да реагират, в случай че потребител отправи въпрос или запитване, свързано с GDRP. Статистиките показват, че повечето служители дори не са чували за GDPR. Имайте предвид, че това не се отнася само до IT персонала, а също така и до търговци, маркетинг, счетоводство, администрация и други отдели.

Направете одит на системите си

Важно е да огледате цялостния си процес и да обърнете внимание на това как и къде съхранявате данни, каква ви е политиката за комуникация с потребителите, как пазите и правите бекъп на данни, дали част от тези данни се съхраняват при трети страни и дали имате практическа възможност да изтриете всички данни, ако това ви се наложи.

Актуализирайте всички ваши политики

Трябва да сте сигурни, че всички ваши съобщения за политиките ви за работа с информация са подробни и са достъпни. Също така е важно да се отбележи, че GDPR вече не дава възможност да отмятате избор на клиентите предварително, както и нямате право да приемате мълчанието и липсата на отговор за съгласие.

Създайте процес за уведомяване на властите при пробив на данните

Според новата регулация ще имате 72 часа от момента, в който сте научили, за да уведомите отговорните органи за пробив във вашите системи и евентуален пробив в личните данни, които съхранявате и обработвате.

Запис на всичко, което правите

GDPR изисква да записвате информацията, която събирате, да знаете къде е записана, както и да записвате всичко, което правите с нея, включително нейното изтриване. Тази информация е нужна както в случай на проверка, така и в случай че потребител поиска да разбере с каква информация разполагате за него.

Намерете правното основание за събиране на информация

Всяка събрана от вас информация трябва да бъде резултат от основателни правни или бизнес нужди. Важно е да прецените, коя информация ви трябва за изпълнение на дейността и коя събирате допълнително, за коя част от информацията имате оправдан интерес, дали това съответства с регулацията и закона, дали имате договор за това и др. под.

Използване на псевдоними

Един от основните моменти е създаване на псевдоними или еднопосочно маскиране на личните данни на потребителите с цел след това да не може тези данни да се идентифицират с конкретен потребител, без използването на допълнителна информация.

Пример: Информацията, която събирате, да се криптира и да не може да се декриптира без използването на ключ.

Пример: При събиране на лична информация, която след това се използва за алгоритмични анализи и статистика, личната част от данните да се маскира с нечетливи символи, без възможност за нейното обратно възстановяване.

Анализ на доставчиците

GDPR изисква от фирмите да осигурят, че техните доставчици и партньори, които имат достъп до лична информация, събирана от фирмите, също са съвместими и изпълняват изискванията на GDPR.

Пример: Ако използвате външна фирма за счетоводство и ТРЗ, то вие трябва да сте сигурни, че те ще спазват изискванията на GDPR и ще боравят правилно с личните данни на вашите служители. В противен случай те, но и вие можете да понесете отговорност.

Изберете си консултант

Регулацията е доста обемна и изисква много анализи на работни потоци и методи за събиране и обработка на данни. Външен консултант може да ви бъде много полезен в подобно начинание. Темата за GDPR е доста актуална и затова в момента има голям набор от “консултанти”, които търсят бърза реализация на некачествени услуги.

Изберете си правна кантора

Регулацията обхваща много процеси във фирмите, както търговски, така и свързани с отношенията със служители и контрагенти. Сферите на правото, които са пряко засегнати от GDPR са няколко и изискват кантора с юристи, които имат необходимата подготовка да анализират ситуацията от различни страни и да ви помогнат с привеждането на договори, бланки, текстове, правни становища и други подобни в съответствие с GDPR.

Дигитализирайте се

Контролът на информация става много сложен, ако е разпръсната на различни места, в части на хартия, в части на екселски таблици, които се съхраняват на отделни компютри без ясна структура.

Централизацията на системите и внедряването на софтуерни решения, които са съвместими с GDPR и които могат да управляват и съхраняват информация от различни процеси е важен елемент, който се налага косвено от регулацията.

 

Какво може да стане, ако не спазвате GDPR

Тук регулацията е доста крайна и предвижда много строги мерки за всички фирми независимо от техния размер. Като цяло мерките могат да бъдат от по-леки до много строги, но няма ясна регулация, че трябва да се прилагат във възходящ ред.

  • Писмено предупреждение в случай, че неспазването е неволно.
  • Редовни проверки на спазването на регулацията.
  • Глоба до 10 милиона евро или 2% от годишния оборот, което е по-голямо, ако са допуснати пропуски, описани в регулацията, свързани с контрола над процесите по управление на лични данни.
  • Глоба до 20 милиона евро или 4% от годишния оборот, което е по-голямо, ако са допуснати пропуски, свързани с използването на лични данни.

Важно е да се отбележи, че това не е поредният закон, който се въвежда с идея просто да се напише и никога да не се приложи. Напълно достатъчно е едно оплакване от потребител и фирмата ще трябва да доказва, че отговаря на изискванията на GDPR.

 

От къде да получаваме информация

Има много източници, които публикуват информация по темата.

КЗЛД е основният източник, който се очаква да издаде документ, който да опише прилагането на регулацията. Там можете да намерите два документа, които бяха публикувани наскоро.

В допълнение Българската Търговско-Промишлена Палата има доста подробен информационен бюлетин. http://www.bcci.bg/

 

И сега какво следва

Имайте предвид, че все още няма ясни правила за въвеждане на регулацията, нито правилник за прилагането и.

Това обаче не отменя задължението ви да я спазвате.

Ние ще се постараем да добавяме информация в тази статия, когато излизат нови решения или документи, свързани с GDPR.

Най-популярни
Последни