Най-мащабната промяна в интернет от началото на масовото му навлизане в средата на 90-те до днес предстои на 25 май. Тогава влиза в сила новият регламент на ЕС за защита на личните данни в интернет пространството - GDPR. Това е една от големите промени в европейски мащаб, които ще бележат българското европредседателство.
Още преди тази дата промените са видими и за обикновения потребител: сигурно вече се е наложило да препотвърдите съгласието си за ползване на приложения, сайтове, включване в търговски мейллисти, а социалните мрежи са ви информирали за новите правила. Големите компании вече вложиха значителни средства за привеждане на регламента си за работа с европейски граждани. Много от по-малките ще направят това в последния момент или ще рискуват санкции. А някои може би не подозират, че имат нови задължения (виж по-надолу).
Регламентът засяга всички потребители и бизнеси, които съхраняват и споделят лични данни на европейски граждани. За лични данни се приемат име, ЕГН, контакти (телефон, адрес, имейл, IP адрес", семеен статус, здравна информация, номера на банкови карти, поведение в интернет и други чувствителни данни като сексуална ориентация, религиозна принадлежност, политически нагласи. Новите правила изискват администраторите да събират и съхраняват минимум лични данни, като ги ползват само за ясно посочени цели и в конкретни срокове, а в същото време уведомяват достатъчно ясно потребителите за това и им дадат лесна възможност да оттеглят съгласието си за споделяне на тези данни.
Какво ще се промени след въвеждането на регламента?
За потребителите:
- СЪГЛАСИЕТО
за споделяне и обработване на личните данни е ключов момент в новите правила.
Администраторите на лични данни трябвда да могат да докажат, че са получули съгласие от потребителя за това и че то е дадено свободно, конкретно (за определена цел), информирано (на база точно и ясно обяснение за употребата), недвусмислено (а не на база други действия на потребителя) и чрез активно действие. Последното означава, че мълчанието или предварително отметнати квадратчета, след които се клика бутон ОК например, не се приемат за валидно съгласие.
В същото време, потребителят има право по всяко време да оттегли съгласието си по лесен начин.
Ако то засяга деца под 14 години, администраторът е длъжен да изиска потвърждение от носещия родителска отговорност.
- ПРАВОТО ДА БЪДЕШ ЗАБРАВЕН
Потребителят може да поиска данните или постовете му да бъдат заличени, ако няма законни основания те да бъдат запазени. Той трябва да посочи основание за това: ако например данните му вече не са необходими за целите, с които са споделени; или оттегли съгласието си за ползването им; или те трябва да бъдат изтрити с цел спазване на правно задължение; ако са били обработвани незаконосъобразно или ако са свързани с услуга, предлагана на дете.
Съществуват обаче и ситуации, в които администраторът може да откаже заличаване. Той може да се позове на правото на свобода на изразяване, на изпълнение на правно задължение или на целите на общественото здраве или изследователски и статистически проекти.
ПРОФИЛИРАНЕ
Става въпрос за обработване на личните данни с цел създаване на определен профил на потребителя, който служи за анализ и прогнозиране на неговото поведение. Този способ се ползва широко например за целите на директния маркетинг, подбор на персонал, таргетиране на реклама и др.
С новия регламент потребителите ще трябва да бъдат уведомявани, че техни данни се ползват за тези цели и за последствията от това. Ще могат и да възразят по всяко време. Профилирането няма да може да се прилага спрямо деца.
Ако имате онлайн бизнес: проверете дали ви засяга и какви са стъпките
Комисията за защита на личните данни (КЗЛД), която е отговорният държавен орган за прилагане на регламента, публикува 10 практически стъпки, с които бизнесите модат да се подготвят за промените.
1. Запознайте се с изискванията: Общ регламент за защитата на данните, Закон за защита на личните данни, подзаконови актове и насоки на КЗЛД.
2. Определете какви видове лични данни се обработват от Вашия бизнес: имена, адрес, електронна поща, IP адрес, ЕГН, чувствителни данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.
Определете също така за какво се ползват, в какъв срок се съхраняват, как е определен той, на кого се предоставят.
3. Определете дали имате задължение да назначите служител, който да отговаря за личните данни. Такова задължение имате, ако сте публичен орган или орган на местното самоуправление; извършвате системни мащабни наблюдения върху субектите на данните; ако извършвате мащабно обработване на чувствителни данни.
4. На база горната информация преценете каква степен на риск поемате, като имате предвид естеството на обработването, мащаба, последиците за правата и свободите на физическите лица. Ако прецените, че рискът е висок, обърнете се към КЗЛД за предварителна консултация.
5. Начертайте план за действие, осигурявайки човешки, технически и финансов ресурс.
6. Прегледайте използваните до момента алтернативни правни основания за обработване на лични данни: съгласие, договор, законово задължение на администратора, задача от обществен интерес, защита на жизненоважни интереси на субекта на данните или на друго физическо лице; легитимни интереси на администратора или на трета страна, когато същите имат преимущество над интересите или основните права и свободи на субекта на данните (неприложимо за публични органи).
След това преценете дали можете да докажете, че личните данни, обработвани на основание само съгласие на лицето, са събрани със свободно изразено съгласие, за конкретна цел и в резултат на информиран избор. Съгласието трябва да е документирано, а лицето да има възможност да го оттегли лесно по всяко време. Ако услугата засяга деца до 14 години, осигурете наичн да удостоверите, че сте получили съгласие от човека, упражняващ родителски права над детето.
7. На сайта си трябва да впишете кратка и обобщена информация за идентифициране на дружеството, вкл. кой отговаря за защитата на личните данни, какви данни се събират, с какви цели и пр., както и да информирате потребителите за правото да подадат жалба до КЗЛД или до съда.
Работодателят освен това трябва ясно да информира служителите, ако на работното място има видеонаблюдение или следи електронната комуникация.
8. Запознайте се с правата на субектите, чиито лични данни обработвате.
Те включват право на коригиране или допълване на неточни или непълни лични данни; право на изтриване („право да бъдеш забравен“) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание; право на ограничаване на обработването; право на преносимост на данните – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат. Гражданите имат още право на възражение и право да не бъдат обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.
Администраторите имат едномесечен срок да приложат тези възражения, ако те имат правно основание.
9. Уведомяване при нарушения
Начертайте план за действие при евентуално нарушение на сигуирността на личните данни. Не забравяйте, че ако установите такова, до 72 часа трябва да уведомите КЗЛД.
10. Създайте стройна документация и отчетност, за да избегнете пропуски.