GDPR е една от най-актуалните теми през последните няколко месеца. Очаква се тази нова Европейска регулация да повлияе сериозно върху всички, които работят с лични данни под една или друга форма.
GDPR има два главни аспекта – юридически и технически. От една страна са наложените нормативни промени от регламента, a oт друга – стои въпросът как тези изисквания ще бъдат приложени в реалния онлайн живот.
Какво е GDRP?
GDPR е съкращение от General Data Protection Regulation. Този регламент на Европейския съюз се очаква да промени коренно начина по който организациите боравят с личните данни на своите клиенти и партньори. Той установява правилата относно защитата на физическите лица по отношение на обработката на лични данни и правилата, свързани със свободното им движение. По този начин, регулацията защитава основните права и свободи на физическите лица и по-специално тяхното право на защита на личните данни.
За целта обаче, организациите ще трябва да съобразят всички правни аспекти и да намерят техническо решение за да отговорят на тези изисквания.
Новата регулация влиза в сила от 25 май 2018 г. и в случай на неспазване правилата в бъдеще може да бъде наложена глоба до 20 милиона евро или 4% от годишния оборот. Разбира се преди това ще получите предупреждение, порицание и прекратяване обработката на данни.
Настоящото законодателство е договорено още през 1995 г. с директивата за защита на данните (95/46/ЕО), преди приемането на интернет и World Wide Web и повече от 10 години преди създаването на Facebook и Twitter. От тогава светът се е променил много, а законодателството за защита на данните се променя различно във всяка от 28-те държави-членки на ЕС.
Работата за уеднаквяване по на настоящата наредба започна от 2012 г. и през май 2016 бе приета окончателната версия на GDRP. Tя ще се прилага еднакво и едновременно към 28-те държави-членки от 25 май 2018 г.
Правата на гражданите в ЕС
В основата на GDPR е целта да се определят правата за защита на данните, които се предоставят на всички граждани на ЕС. Регулирането е съсредоточено върху налагането на тези права, без значение коя организация обработва личните данни на гражданите или къде се провежда.
Поради това основните елементи на GDPR детайлизират редица „Права на гражданите на ЕС“ по отношение на начина, по който се използват техните лични данни. Списъкът е разширен и ще изисква значителни промени в приложенията, политиките и процедурите за постигане на съответствие.
Принципите на GDRP
Освен правата на гражданите, GDPR определя набор от „принципи„, които регулират цялата обработка на лични данни. Идеята е да се определят условията, при които обработката на данни е разрешена. Ако дадена организация не може да покаже, че работи в тези условия, тогава нейните дейности могат да се считат за незаконни съгласно GDPR.
Основен принцип е, че данните могат да се събират само „за конкретни, изрични и легитимни цели„, което означава, че няма да бъде приемливо първо да се събират данни и да се решава впоследствие как може да се използват.
Освен това може да се събира само минималното количество данни, необходимо за изпълнение на тези задачи. Организациите не могат да съхраняват данните във формат, който позволява лесно идентифициране на участващите, след като информацията вече не е необходима за първоначалната цел.
Какво означава лични данни?
Най-често срещаното и полезно обяснение е: „всякаква информация, свързана с идентифицирано или подлежащо на идентификация физическо лице„.
Идентификацията може да бъде пряка или непряка и включва такива идентификатори като „име, ЕГН или идентификационен номер, данни за местоположението, онлайн идентичност, един или повече фактори, специфични за физическото, физиологичното, генетичното, умственото, културното или социалното му идентифициране„, но също така включват оценяване на представянето на дадено лице на работното място, икономическа ситуация, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движения.
Чувствителните лични данни са лични данни, съдържащи информация за: расов или етническия произход на субекта, религиозни или политически убеждения, дали е член на профсъюз, физическото или психическото му състояние, сексуален живот, всяко производство за всяко престъпление, извършено или предполагаемо извършено от субекта на лични данни.
Няма значение как се съхраняват личните данни – на хартия, на информационна система, на система за видеонаблюдение и т.н.
Какво значи GDRP за уебсайтове в Интернет и как да настроим Google Analytics?
В интернет пространството чисто технически уебсайтовете могат да включва личните данни като: съхранявани имена на потребители на даден уебсайт, банкови сметки, имейл адреси и маркери с които се идентифицира всяко конкретно устройство (като например номер на мобилен телефон, уникален идентификатор на устройството и други подобни). По отношение на IP адресите, (които също се считат за лични данни при определени обстоятелства), трябва да се знае, че отчетите в Google Анализ не включват или оказват информация за тях. Така че не се страхувайте да я използвате, защото Google са актуализирали отчетите за обработка на лични данни спрямо общия регламент GDRP.
Не е необходимо да си изключвате статистиката на сайта, но за целта трябва да прочетете и приемете споразумението, като изпълнете следните стъпки:
- отворете analytics.google.com;
- щракнете върху бутона Администратор в долния ляв ъгъл ;
- изберете Настройки на профила
- в дъното на екрана Преглед и приемане на изменението съответно
Натиснете бутона Запазване и готово – акаунта ви е настроен да работи по новите изисквания на регламента.
В допълнение вие трябва да знаете, че Google Анализ осигурява разширение за браузъра, което ще позволи на потребителите да откажат проследяване във всички сайтове. Ако искате да включите тази опция в вашата поверителност, тук е връзката.
Освен това не е необходимо да изключвате нюзлетъра си. Услуги като MailChimp отдавна са го настроили всеки потребител да дава разрешение да му ползват личните данни още с доброволното си присъединявате и са дали възможност да може да сам да се изтрие ако желае.
Без паника! Единственото условие на GDRP за личните блогове е просто да спазвате етичните правилата и да не публикувате чужди лични данни без разрешение така, че да са видими и от други лица.
Изисквания към личните данни
Личните данни трябва да бъдат:
- Обработвани законно, справедливо и по прозрачен начин по отношение на субекта на данните („законност, справедливост и прозрачност“).
- Събрани за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели; по-нататъшна обработка за целите на архивирането в интерес на обществото, научни или исторически научни цели.
- Адекватни, уместни и ограничени до това, което е необходимо във връзка с целите, за които се обработват („минимизиране на данните“).
- Точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, незабавно ще бъдат изтрити или отстранени („точност“).
- Съхранявани във форма, която позволява идентифициране на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни; личните данни могат да бъдат съхранявани за по-дълги периоди, единствено с цел архивиране за обществени интереси, научни или исторически научни цели или статистически цели.
Изначална защита на личните данни и защита по подразбиране
Вземайки предвид състоянието на техниката, разходите за изпълнението и естеството, обхвата, контекста и целите на обработката, както и рисковете от различна вероятност и тежест за правата и свободите на физическите лица, породени от обработката, администраторът, както по време на определянето на средствата за обработка, така и по време на самата обработка, трябва да приложи подходящи технически и организационни мерки, като например псевдонимизиране.
Предвижда се да се прилагат различни принципи за защита на данните, като например минимизиране на данните, и да се интегрират необходимите предпазни мерки в обработката, за да се отговори на изискванията на бъдещия регламент и да защитят правата на субектите на тези данни.
Контролният орган прилага подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка специфична цел на обработката.
Това задължение се отнася до количеството събрани лични данни, степента на тяхната обработка, периода на тяхното съхранение и достъпа им.
Длъжностно лице по защита на данните
Ако е необходимо, трябва да определите длъжностно лице по защита на данните (ДЛЗД) или някой, който да поеме отговорност за спазването на защитата на данните. Трябва да се прецени къде тази роля ще се намира в структурата и управлението на вашата организация
Контролиращият орган и администраторът на лични данни гарантират, че служителят по защита на данните е въвлечен, надлежно и своевременно във всички въпроси, свързани със защитата на личните данни.
GDPR ще изисква от някои организации да определят служител по защита на данните, например публични органи или такива, чиито дейности включват редовен и систематичен мониторинг на субектите на данни в голям мащаб.
Важното е да се уверите, че този човек – било то някой от вашата организация или външен консултант по защита на данните, поема правилно отговорността за спазването на изискванията за защита на данните и има знанията, подкрепата и правомощията да прави ефективно.
Затова трябва добре да се обмисли дали да посочите външно ДЛЗД и ако е така, да прецените дали настоящият ви подход към спазването на изискванията за защита на данните ще отговаря на изискванията на GDPR.
ДЛЗД се отчита пред ръководството, но се очаква да работи независимо в организационната структура. Основната му задача е защитата на данните и осигуряването на съответствие.
ДЛЗД е лицето, което ръководи и контролира всички дейности по защита на данните в рамките на даденото дружество.
ДЛЗД поддържа информирането на управлението по отношение на задълженията им по регламента и е основната точка за контакт на надзорните органи.
Нарушаване на данни
Трябва да сте сигурни, че имате правилните процедури за откриване, докладване и разследване на нарушаване на лични данни.
В случай на нарушаване на лични данни администраторът уведомява компетентния надзорен орган в съответствие с член 55 без ненужно забавяне и, ако е възможно, не по-късно от 72 часа след като е узнал за него.
Уведомлението трябва да:
- описва естеството на нарушението на личните данни, включително категориите и приблизителния брой на засегнатите субекти на данни, както и категориите и приблизителния брой записи на лични данни;
- съобщава името и данните за контакт на служителя за защита на данните или на друго звено за контакт, където може да се получи повече информация;
- описва вероятните последици от нарушаването на личните данни.
Когато нарушаването на личните данни може да има последствия върху правата и свободите на физическите лица, администраторът съобщава за нарушението на личните данни на субекта възможно най- бързо.
Правото да бъдеш забравен
Правото на изтриване е известно също като „правото да бъдеш забравен“.
Широкият принцип, на който се основава това право, е да даде възможност на дадено лице да поиска заличаване или премахване на лични данни, когато няма причина за продължаване на съществуването им в базата данни.
Субектът на данните има право да получи от администратора правото на изтриване на лични данни, които се отнасят до него, без ненужно забавяне и администраторът е длъжен да изтрие личните данни без неоправдано забавяне.
Правото на изтриване не предоставя абсолютно „право да бъдеш забравен“. Лицата имат право да изтрият личните данни и да предотвратят обработката при следните обстоятелства:
- Когато личните данни вече не са необходими във връзка с целта, за която са били първоначално събрани / обработени
- Когато лицето оттегли съгласието си.
- Когато индивидът възразява срещу обработката и няма преимуществен легитимен интерес за продължаване на обработката.
- Личните данни са били незаконно обработени (т.е. по друг начин са в нарушение на GDPR).
- Личните данни трябва да бъдат изтрити, за да се спази правно задължение.
- Личните данни се обработват във връзка с предлагането на услуги на информационното общество на дете.
Има допълнителни изисквания, когато искането за изтриване се отнася до личните данни на деца, което подчертава наблягането на GDPR върху подобрената защита на такава информация, особено в онлайн среда.
Ако обработваните личните данни са на деца, трябва да се обърне специално внимание на съществуващите ситуации, в които детето е дало съгласието си за обработка и по-късно да поискат изтриване на данните (независимо от възрастта към момента на заявката), особено в сайтовете за социални контакти и интернет форум.
Одит на съответствието и водене на записи
Дружествата, обработващи лични данни, са задължени да водят подробна информация за данните, които съхраняват, както и подробности за обработката на тези данни. Трябва да документирате какви лични данни съхранявате, откъде идват и с кого ги споделяте.
Може да се наложи да организирате информационен одит в цялата организация или в определени бизнес области.
Πoлeзни връзки зa GDPR:
- Hacoĸи нa EK зa пpилaгaнe нa GDPR: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_bg
- Πpaвилa зa дpyжecтвaтa и opгaнизaциитe: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_bg
- Kaĸвo пpeдcтaвлявa нapyшeниe нa cигypнocттa нa дaннитe и ĸaĸвo cлeдвa дa бъдe нaпpaвeнo в cлyчaй нa нapyшeниe нa cигypнocттa нa дaннитe? https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_bg
- https://optibg.com/google-analytics-gdpr-friendly-nastroiki/
- Защита на данните – По-добри правила за малкия бизнес /инфографика/ http://ec.europa.eu/justice/smedataprotect/index_bg.htm
- https://techblog.bozho.net/gdpr-practical-guide-developers/ https://premium.wpmudev.org/blog/gdpr-compliance/
- Управление на личните данни на АБВ.БГ