GDPR – Регламент за защита на личните данни

GDPR – Регламент за защита на личните данни

Гласуван е преди 2 г. и влиза в сила от 25-ти май 2018 г.

Какво означава Регламент?

  • Регламент означава, че важи за всички страни в ЕС, без да е необходимо да се пишат специални закони във всяка държава;
  • Никоя държава няма право да го променя или осакатява, само леко се напасва към местните закони.

Каква е основната разлика от досега действащите изисквания:

  • Личните данни вече са базисно човешко право, записано в хартата за правата на човека;
  • Приема се, че физическите лица по подразбиране НЕ са съгласни да дават личните си данни и те да се прехвърлят и продават произволно;
  • Дори ако намерите лични данни в интернет, вие нямате право да ги ползвате без изрично съгласие;
  • Когато са необходими лични данни, трябва да е ясно описано точно за какво ще се използват (например за да се достави поръчка, ни трябва име, адрес и евентуално телефон);
  • Трябва да има изрично съгласие от физическото лице, да му обработвате личните данни (например чрез отметка в онлайн форма или подписана хартиена декларация);
  • Според адвокати, не е достатъчно в Общите условия за работа със сайта да има няколко думи за личните данни. По-добре е да има отделен раздел за лични данни и отделно поле от типа „Съгласен съм да се обработват личните ми данни“. Това поле по подразбиране е празно, т. е. потребителя трябва ръчно да кликне върху него, за да го потвърди.

Разширено е тълкуването на лични данни:

  • име;
  • домашен адрес;
  • e-mail;
  • IP, MAC адрес, хардуер и софтуер, бисквитки;
  • банкова и медицинска информация;
  • снимки;
  • постове в социалните мрежи;
  • и всички други преки или косвени начини, с които можете да идентифицирате дадено лице.

Приемат се за лични данни само ако в комбинация от няколко места, можем да разберем за кого става въпрос.

Лични данни за онлайн бизнесите

  • Приема се, че лични данни са и всички детайли около поръчката и нейното изпълнение. Например – плащанията, уточнения за доставка, коментари, Tracking ID и т. н., защото чрез няколко косвени данни може да се разбере за кого става въпрос;
  • Ако потребител си чете някакъв сайт и той му засича IP и нищо друго – тогава не са лични данни;
  • Ако освен IP, го следят с Cookies, Facebook Pixel, Retargeting и т. н., тогава те стават лични данни, защото в комбинация с няколко инструмента, може да се разбере кой е;
  • За комуникационните и хостинг компании, IP адресите са лични данни, защото е ясно на кой клиент са предоставени;
  • За софтуерните фирми лични данни са потребителското име, версията на софтуера, другите инсталирани софтуери, хардуера и други начини, които взети заедно могат да определят кой е клиента;

Всички „дребни“ детайли биха могли да се приемат за лични данни, ако чрез тях може да се определи конкретно лице.

Чувствителни лични данни – вече и за тях се иска разрешение преди да ги обработваме:

  • етнически произход;
  • политически и религиозни възгледи;
  • медицински данни;
  • сексуална ориентация;
  • данни за присъди и нарушения.

Практическо прилагане

  • Отпада нуждата от регистрация в Комисията за защита на личните данни;
  • Всяка фирма трябва да има разписани вътрешни правила за обработка на личните данни и регистри;
  • Няма нужда да искаме съгласие за събраните преди 25-ти май лични данни, ако имаме преди това дадено ясно съгласие за какво ще се използват те;
  • Не е нужно да трием събраните преди тази дата данни, но е редно да се опазват съгласно регламента;
  • Има по-високи изисквания за техническите решения за съхранение, управление и достъп до личните данни. Повечето сотфуери вече имат допълнителни опции да показват събраните лични данни и тяхното управление;

Нови понятия

  • Администратор на лични данни (controller) – фирмата и нейните служители, които обработват лични данни. Те преценяват какви лични данни да събират, с каква цел, за какъв период и какво ще правят с личните данни;
  • Обработващ лични данни (processor) – подизпълнители, външни фирми, хора на граждански договори, всякакви платформи като Google Analytics, Facebook Pixel, Retargeting, WordPress (WooCommerce), CloudCart, Seliton, GombaShop, Shopiko, Shopify, Ebay, Olx.bg и т. н. Те обработват лични данни по поръчка на администратора, но не могат да преценяват какви данни да приемат, за какъв период, кога да ги трият. Тяхната отговорност при проверки е минимална и се ограничава до толкова, че да не се разпространяват събраните лични данни на други лица.

И за Администратори и за Обработващи е необходимо да има разписани вътрешни правила за обработка на личните данни. Обработката се прави на база потвърждение от физическото лице или на база сключен договор (онлайн или хартиен).

Вътрешните правила трябва да отговарят на много въпроси, сред които:

  • Защо обработваме данните;
  • Как обработваме данните;
  • Точно какви данни обработваме;
  • За какъв период от време ще ги обработваме …

Права на субектите (потребителите):

  • Право на достъп до личните си данни;
  • Право на коригиране и уведомяване;
  • Право на изтриване (да бъде забравен);
  • Право на преносимост към друг аминистратор на лични данни.

За кого важи новия Регламент?

  • Регламента е насочен повече към големите фирми и затова глобите са големи – до 20 млн. евро или 4 % от глобалния оборот на компанията;
  • Това не означава, че не важи и за най-малката фирма – де факто важи за всички фирми;
  • Целта на големите глоби е всеки да се съобразява, защото глобите може да убият бизнеса му.

И преди и след 25-ти май важат следните изисквания, които често не се спазват:

  • Забранено е да има автоматично сложена отметка, че потребителя е съгласен с каквото и да е;
  • Нямаме право да събираме повече лични данни, отколкото ни трябват за да свършим работа на клиента;
  • Имаме право да събираме повече данни от необходимото, само ако друг закон ни задължава (например, банките са длъжни да правят копие на личната карта за всеки, който си открива сметка).

Какво се опитваме да направим с нашия екип?

Изработката на всички необходими процедури от опитни адвокати, струва между 1800 и 3000 лв. за малки и средни бизнеси, а за големи бизнеси сумите са над 10 хил. лв. Ние имаме контакти с подходящите експерти.

Опитваме се да помогнем на по-малките бизнеси. За целта събираме колкото може повече предприемачи. Като се съберат няколко души от една и съща област, поръчваме изготвянето на процедури и си поделяме раазходите.

Нека всички, които искат да отговорят на изискванията срещу малка сума, да ни звъннат на тел. 0888551917 – Христо Петров.