GDPR – Регламент за защита на личните данни

Какво представлява Регламентът за защита на личните данни (GDPR)

Регламент (ЕС) 2016/679 е гласуван е през 2016 г. и влезе в сила от 25-ти май 2018 г.

Какво означава Регламент?

  • Регламент означава, че важи за всички страни в ЕС, без да е необходимо да се пишат специални закони във всяка държава;
  • Никоя държава няма право да го променя съществено или осакатява, само леко се напасва към местните закони.

Каква е основната разлика от досега действащите изисквания:

  • Личните данни вече са базисно човешко право, записано в хартата за правата на човека;
  • Приема се, че физическите лица по подразбиране НЕ са съгласни да дават личните си данни и те да се прехвърлят и продават произволно;
  • Дори ако намерите лични данни в интернет, вие нямате право да ги ползвате без изрично съгласие;
  • Когато са необходими лични данни, трябва да е ясно описано точно за какво ще се използват (например за да се достави поръчка, ни трябва име, адрес и телефон);
  • Трябва да има изрично съгласие от физическото лице, да му обработвате личните данни (например чрез отметка в онлайн форма или подписана хартиена декларация);
  • Според адвокати, не е достатъчно в Общите условия за работа със сайта да има няколко думи за личните данни. По-добре е да има отделен раздел за лични данни и отделно поле от типа „Съгласен съм да се обработват личните ми данни“. Това поле по подразбиране е празно, т. е. потребителя трябва ръчно да кликне върху него, за да го потвърди.

Разширено е тълкуването на лични данни:

  • име;
  • домашен адрес;
  • e-mail;
  • IP, MAC адрес, хардуер и софтуер, бисквитки;
  • банкова и медицинска информация;
  • снимки;
  • постове в социалните мрежи;
  • и всички други преки или косвени начини, с които можете да идентифицирате дадено лице.

Приемат се за лични данни само ако в комбинация от няколко места, можем да разберем за кого става въпрос.

Лични данни за онлайн бизнесите

  • Приема се, че лични данни са и всички детайли около поръчката и нейното изпълнение. Например – плащанията, уточнения за доставка, коментари, Tracking ID и т. н., защото чрез няколко косвени данни може да се разбере за кого става въпрос;
  • Ако потребител си чете някакъв сайт и той му засича IP и нищо друго – тогава не са лични данни;
  • Ако освен IP, го следят с Cookies, Facebook Pixel, Retargeting и т. н., тогава те стават лични данни, защото в комбинация с няколко инструмента, може да се разбере кой е;
  • За комуникационните и хостинг компании, IP адресите са лични данни, защото е ясно на кой клиент са предоставени;
  • За софтуерните фирми лични данни са потребителското име, версията на софтуера, другите инсталирани софтуери, хардуера и други начини, които взети заедно могат да определят кой е клиента;

Всички „дребни“ детайли биха могли да се приемат за лични данни, ако чрез тях може да се определи конкретно лице.

Чувствителни лични данни – по дефиниция нямате право да искате тези данни, освен ако е крайно належащо и може да се мотивирате защо искате тези данни. И за тях се иска разрешение преди да ги обработваме:

  • етнически произход;
  • политически и религиозни възгледи;
  • медицински данни;
  • сексуална ориентация;
  • данни за присъди и нарушения.

Практическо прилагане

  • Отпада нуждата от регистрация в Комисията за защита на личните данни;
  • Всяка фирма трябва да има разписани вътрешни правила за обработка на личните данни и регистри;
  • Няма нужда да искаме съгласие за събраните преди 25-ти май лични данни, ако имаме преди това дадено ясно съгласие за какво ще се използват те;
  • Не е нужно да трием събраните преди тази дата данни, но е редно да се опазват съгласно Регламента;
  • Има по-високи изисквания за техническите решения за съхранение, управление и достъп до личните данни. Повечето сотфуери вече имат допълнителни опции да показват събраните лични данни и тяхното управление;
  • Трябва да имате на сайта си Политика за поверителност (или Политика за личните данни). Ако използвате бисквитки, според техния вид може само да се информира посетителя, че ги имате на сайта си (което той удостоверява кликайки върху бутона ОК) или да е необходимо ръчно той да прецени кои от тях да приеме и кои да отхвърли (на база описанията им, които сте поставили на сайта си).

Нови понятия

  • Администратор на лични данни (controller) – фирмата и нейните служители, които обработват лични данни. Те преценяват какви лични данни да събират, с каква цел, за какъв период и какво ще правят с личните данни;
  • Обработващ лични данни (processor) – подизпълнители, външни фирми, хора на граждански договори, всякакви платформи като Google Analytics, Facebook Pixel, Retargeting, WordPress (WooCommerce), CloudCart, Seliton, GombaShop, Shopiko, Shopify, Ebay, Olx.bg и т. н. Те обработват лични данни по поръчка на администратора, но не могат да преценяват какви данни да приемат, за какъв период, кога да ги трият. Тяхната отговорност при проверки е минимална и се ограничава до толкова, че да не се разпространяват събраните лични данни на други лица.

И за Администратори и за Обработващи е необходимо да има разписани вътрешни правила за обработка на личните данни. Обработката се прави на база потвърждение от физическото лице или на база сключен договор (онлайн или хартиен).

Вътрешните правила трябва да отговарят на много въпроси, сред които:

  • Защо обработваме данните;
  • Как обработваме данните;
  • Точно какви данни обработваме;
  • За какъв период от време ще ги обработваме …

Права на субектите (потребителите):

  • Право на достъп до личните си данни;
  • Право на коригиране и уведомяване;
  • Право на изтриване (да бъде забравен);
  • Право на преносимост към друг аминистратор на лични данни (образно казано, ако ви мързи да си въвеждате много детайли в профил на една компания или сайт например, имаче право да поискате тя да ги изпрати до друга компания, с което да намалите ръчното въвеждане на същата информация).

За кого важи новия Регламент?

  • Регламента е насочен към всички фирми и глобите са големи – до 20 млн. евро или 4 % от глобалния оборот на компанията;
  • Повтаряме, че важи и за най-малката фирма, просто са леко занижени изискванията за софтуер, персонал който обработва лични данни и глобите няма да са максималните възможни, ако при проверка се открият нарушения;
  • Целта на големите глоби е всеки да се съобразява, защото глобите може да убият бизнеса му.

И преди и след 25-ти май важат следните изисквания, които често не се спазват:

  • Забранено е да има автоматично сложена отметка, че потребителя е съгласен с каквото и да е. Правилния подход е всички полета да са празни и потребителя ръчно да кликне, че е съгласен с каквото и да е;
  • Нямаме право да събираме повече лични данни, отколкото ни трябват за да свършим работа на клиента. Например не е правилно да искате данни от лична карта, ако клиент си поръчва продукти от вашия онлайн магазин. Обичайно, данните от личната карта не са ви необходими за да му доставите това, което си е поръчал. Изключение са случаи като този, ако сте собственик на онлайн магазин за еротични артикули и има неподходящи продукти за лица под определена възраст);
  • Имаме право да събираме повече данни от необходимото, само ако друг закон ни задължава (например, банките са длъжни да правят копие на личната карта за всеки, който си открива сметка).

Тази статия не изчерпва всичките изисквания на Регламента! Той е доста дълъг, има препратки към други законови изисквания и тук сме описали най-важните моменти от всичко това.

Препоръчваме да се консултирате с адвокат, ако искате да знаете изискванията, които касаят точно вашия тип дейност и начин на работа. Ако нямате доверен консултант, свържете се с нашия екип и ще изпратим контакти на опитен адвокат.