Задължителният регламент GDRP унифицира начина, по който се работи с лични данни във всички страни в Европейския съюз.
General Data Protection Regulation (или Общ регламент относно защитата на данните) ще засегне всяка организация в ЕС, която съхранява лични данни, както и всеки един бизнес в рамките на съюза. Изискванията са комплексни, а глобите за неспазването им – високи. Те достигат до 4% от глобалния оборот на организацията или до 20 млн. евро.
Изпратено по погрешка електронно писмо, случайно или не разкрит телефон, води до изтичане на лични данни на граждани, а това може да донесе солена глоба за организацията, ако гражданин се оплаче в Комисията за защита на личните данни.
Ето някои от най-спешните мерки, които компаниите трябва да предприемат още преди регламентът да влезе в сила на 25 май 2018 година.
1 Да се назначи или обучи служител по сигурността на данните. Той трябва да е преминал обучение и да е компетентен. Той ще поеме от името на компанията комуникацията с правоохранителните органи и с надзорните органи не само у нас, но и в ЕС.
2 Да вземете съгласие за всяка информация, която съхранявате. Тази клауза поражда много страхове, пък и недоразумения, особено в сектора на електронната търговия. При онлайн магазините трудно се доказва, че именно даденият потребител е дал съгласие, особено ако не се използват електронни подписи.
3 Заличаване на профили. Това важно нововъведение ще важи както за частни, така и за държавни структури. Във всеки момент след като се откажете от услугата на дадена финансова институция, можете да искате от нея да заличи създадения ваш профил. Автоматични обаждания за нови услуги, рекламни кампании и други подобни не са допустими, а профила на клиента трябва да бъде унищожен, както и наличните записи на видеокамери и снимки на граждани. Това изискване важи и за всички държавни организации – общини, болници, училища, министерства.
4 Нужен ви е администратор на данните. Това е човек, който ще се занимава с обработването на данните.
5 Псевдонимизация и криптиране. За първи път тези два термина влизат в нормативната уредба. Псевдонимизацията става чрез добавяне на допълнителна информация за „демаскиране“ на личните данни. В регламентира се препоръчва всички динамични и статични данни да бъдат криптирани. Ако се докаже, че организацията не е използвала криптиращи механизми, глобата е максимална.