Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

GDPR, РЗЛД, КЗЛД, ДЛЗД... от 25 май тази година повечето бизнеси, които имат каквото и да е общо с интернет и дигиталните технологии, ще трябва да прекрачат в нова бюрократична вселена. Европейският съюз налага нова регулация за защита на личните данни (General Data Protection Act, или GDPR) в опит да подреди кой и по какви причини може да събира лични данни, както и за какво може да ги използва. Всеки път когато някой пазарува онлайн, използва мобилно приложение, гледа клип в YouTube или пише мнение в социалните мрежи, се генерира и складира информация. Мащабът е огромен. Всяка минута в интернет се публикуват 450 хиляди Twitter поста, гледат се 69 хиляди часа видео в Netflix и 18 милиона души проверяват прогнозата за времето. GDPR, който за много фирми още изглежда като непробиваема стена от съкращения, бюрократични стъпки и нови правила, е опитът на ЕС да поддържа темпото на технологичните промени, като защити правата на обикновения човек. Ето няколко въпроса, с които да се ориентирате в GDPR за няколко минути. А на следващите страници може да намерите повече детайли по конкретните теми.

Какво е GDPR?
Общият регламент за защита на личните данни (General Data Protection Regulation или GDPR) е ново законодателство на Европейския съюз, което задължава фирмите и институциите да спазват определени правила и процеси, когато събират, съхраняват и обработват информация за физически лица. Това може да са данни за име, адрес, ЕГН, имейл адрес, IP, семеен статус, политически предпочитания, поведение в интернет, физически или здравен статус и т.н. Последните правила на ЕС за подобен тип информация са от средата на 90-те години, далеч преди развитието на онлайн търговията, социалните мрежи и анализите на големи масиви с данни. GDPR влиза в сила на 25 май.

Чух, че глобите са големи?
Този път ЕС е решила да вземе на сериозно защитата на потребителите и за целта си измислила два инструмента. Първо, GDPR ще бъде приложен във формата на регламент, т.е. влиза в сила задължително и директно (без интерпретации в местното законодателство на отделните държави). Второ, законът предвижда много по-сериозни от досегашните санкции - до 20 млн. евро или 4% от годишния оборот, според това дали фирмата е направила всичко възможно да предотврати възможно изтичане на данни, а при проблем да съобщи на регулатора и на потребителите навреме. Санкциите трябва да бъдат разписани по-конкретно с промени в Закона за защита на личните данни, но до момента правителството все още не е внесло подобни текстове. Максималната глоба на теория се налага, след като е отправено предупреждение за лоша практика, а бизнесът не се е съобразил с него.

Аз не съм голяма фирма, ще ме засегне ли?
GDPR засяга всяка фирма, която обработва лични данни на клиентите или служителите си. За да разберете до каква степен регулацията се отнася за вашия бизнес, първо трябва да анализирате процесите в него. Регулацията е дълга - има общо 99 члена и някои от тях ще се отнасят повече за вашия бизнес, отколкото други. Ако имате нещо общо с ИТ и телеком индустрията, финансовия или застрахователния сектор, здравеопазването и фармацията, практикувате онлайн продажби или разчитате на някаква съвременна форма на маркетинг, GDPR вероятно ви засяга.


Какво означава "свеждане на данните до минимум"?
GDPR задължава фирмите да събират данни за конкретни и ясно разписани цели. Ако ще изпращате имейл бюлетин за нови модели мобилни телефони например, няма нужда и нямате право да събирате информация за сексуалната ориентация на вашите потребители. Нямате и право да обработвате информацията допълнително за други цели, след като веднъж сте я събрали по конкретен повод и с конкретното съгласие на потребителите.

Какви са другите основания за обработване на лични данни?
Информация за физически лица може да се обработва, когато е нужна за изпълнението на договор, в който потребителят е страна (например с банка, телеком или дружество за комунални услуги), при изпълнението на законови задължения на фирми и институции, при действия в публичен интерес (например при журналистически разследвания), при легитимен интерес на обработващия данни.

С какво трябва да съм подготвен на 25 май?
Трябва да знаете отлично каква информация за физически лица влиза и излиза от вашата фирма, какви са процедурите за достъп до нея и обработката й, дали клиентите, потребителите или служителите ви също са информирани за тях и има ли нужда те да ви разрешат достъпа до данните си. В случай че сте фирма с над 250 служители или използвате чувствителна персонална информация (данни за здравен статус, сексуална ориентация и др.), трябва да имате специално отговорен за GDPR служител. Всички процеси трябва да са ясно разписани, така че при евентуална проверка уверено да докажете, че се грижите добре за личната информация.

Кога и защо трябва да изтривам данни?
Физическите лица имат право да поискат "да бъдат забравени" - т.е. събраната за тях информация да бъде изтрита без отлагане. Причините дадена лична информация да бъде унищожена включват: данните вече да не са нужни за целите, за които са събрани; потребителят сам да оттегли съгласието си за обработка на данните; потребителят да обжалва обосновката на фирмата да събира данни (при твърдение за "легитимен интерес"); данните да са събрани или обработени без законово основание. Потребителят не може да поиска изтриване на данни, когато това би застрашило свободата на словото или провеждането на научни изследвания.

Какво всъщност означава лични данни?
Всяка информация, която може да се използва за идентифицирането на конкретно физическо лице, влиза в определението за лични данни. Това може да са имена, адреси, снимки, имейл адрес, постове в социалните мрежи, банкови данни, информация за здравни проблеми, дори IP адрес. GDPR не отговаря на въпроса дали единните граждански номера (ЕГН) влизат в тази категория - това трябва да бъде решено от българската държава с промени в Закона за личните данни, които все още не са готови и вероятно няма да бъдат приети преди 25 май. Според GDPR вашият бизнес трябва да събира само информацията, която му е нужна, а начините, по които тя ще бъде защитена (с ограничен достъп, строги процедури, специализиран софтуер и хардуер и пр.), да бъдат в основата на всеки бизнес процес. Ще трябва да подсигурите и процеси за унищожаване на информацията, в случай че ваш потребител, служител или контрагент поиска това.

Какво да правя, ако събирам чувствителни лични данни?
По принцип GDPR забранява събирането на данни за етнически произход, политически мнения, религиозни и философски разбирания, членство в синдикати, както и генетични, биометрични данни, здравен статус и заболявания и сексуална ориентация. Регулацията предвижда няколко изключения от правилото, включително при изрично съгласие на потребителя, по медицински или легални причини.

Трябва ли ми длъжностно лице по защита на данните?
Назначаването на т.нар. Data Protection Officer (DPO) не е задължително за всички бизнеси, а само за тези, които обработват чувствителна информация, особено големи масиви от данни или разполагат с над 250 служители.

Какво означава "свободно изразено съгласие"?
След 25 май фирмите и институциите ще могат да обработват лични данни само при няколко конкретно описани сценарии. Един от тях е клиентът изрично да се е съгласил на това. Това означава той да е ясно и конкретно информиран за всички цели, за които се използват данните му. Съгласието може да бъде дадено онлайн, но администраторът на данни трябва да може да докаже, че го е получил. Мълчаливото съгласие или предварително избраните отметки в онлайн форми не се считат за свободно изразено съгласие. Потребителят трябва да може да продължава да използва услугата дори да не се съгласи да сподели данните си, освен в случаите, когато данните се изискват по договор, по закон, или са "легитимен интерес" за извършване на дейност. Трябва да има и достатъчно лесна процедура, по която физическите лица да могат да оттеглят съгласието си информацията за тях да бъде използвана.