Знаете ли, че доскоро действащата европейска законова рамка за личните ни данни е от края на XX век, и по-конкретно от 1995 г.? Вярно е, че миналият век не свърши толкова отдавна, но бурно развиващите се технологии през последните две десетилетия уплътняват времето с достатъчно поводи това да ни изглежда адски далеч. Тогава интернет, вече комерсиализиран, едва започваше да прониква в Европа и Азия, а World Wide Web (WWW) не бе навършил още 5 години. В същата 1995 година се роди Yahoo, а Google, Facebook, Twitter и още цял куп крайъгълни камъни на днешния интернет още не съществуваха…

Ето защо беше съвсем логично да бъде преразгледана и променена европейската рамка за личните ни данни, така че да отговаря на новата действителност. Това стана през 2016 г., когато бе приет Регламент 2016/679 за защита на данните на физическите лица, или популярен още на английски като General Data Protection Regulation (GDPR). Регламентът вече е в сила, а на 28 май т.г. ще изтече и двугодишният период, през който трябваше да бъдат адаптирани националните законодателства и да бъдат прегледани всички вътрешноорганизационни процедури, системи и правила, така че да отговарят на новите предписания. За жалост, броени седмици преди крайния срок напредъкът у нас по тази тема не е особено забележим.

Най-напред нека уточним няколко важни неща. Не бива да разглеждаме GDPR еднозначно. От една страна, Регламентът защитава личните данни на физическите лица в Европа и прави впечатление, че се противопоставя на онези бизнеси, които са заложили в моделите си брокерство на данни. Но този антагонизъм не е самоцелен, а е в отговор именно на практиките, за които ви разказваме в настоящата рубрика. GDPR по замисъл има за цел не да отмъщава или да наказва бизнеса, а да възстанови баланса в отношенията му с ползващите информационни услуги. В този ред на мисли за хората е от ключово значение да има такава рамка, да я познават добре, а самата тя да се спазва стриктно.

От друга страна, GDPR е още едно утежнение за бизнеса (и не само за компании в Европа, но и за всички, които по някакъв начин работят на европейския пазар), което ще изисква инвестиция на време, усилия и съответно пари, и което не работи за облекчаване на административната тежест. Но в съвременния свързан свят е добре да позиционираме правилно значимостта на данните на хората и да не възприемаме опазването им като тежест и досадно задължение, а вместо това да планираме бизнес моделите си и отношенията си с хората с изначалната мисъл, че сме отговорни за тях и за данните, които са ни поверили.

От трета страна, особено в държави като нашата – с ниско ниво на доверие в институциите и с явни пороци в съдебната ни система – има сериозен риск GDPR да се използва като средство за саморазправа с конкуренцията. Дано не ставаме свидетели на такива случаи.

Какви права ни дава GDPR, ако сме физически лица?

На първо място, ако живеем в страна от ЕС като България, имаме право да поискаме от всеки наш доставчик (дори и да не е европейска компания) достъп до данните, които сме му предоставили и/или той е натрупал и съхранява за нас. Имаме право и да поискаме промяна на тези данни, както и частичното им или пълно заличаване. Ако сме се съгласили с някакви условия при ползването на някоя информационна услуга, имаме правото да оттеглим своето съгласие по всяко време. И това трябва да бъде точно толкова лесно, колкото и когато сме го предоставили. Доставчиците вече нямат право да ни предлагат включени по подразбиране опции във формуляри за регистрация, с които се съгласяваме с едно или друго тяхно условие. Ако пък данните ни са събирани с цел да бъдем профилирани за маркетингови или други цели, то вече е задължително да знаем за това и имаме право да откажем.

Какво трябва да направим като юридическо или физическо лице, което предоставя стоки и услуги на европейски граждани?

На първо място – да се запознаем с GDPR или да определим служител или екип, който да се заеме с темата. За щастие, макар и държавата ни да се е забавила ужасно с хармонизирането на местното ни законодателство с новия Регламент, то поне Комисията за защита на личните данни е положила усилия да разпише най-важните неща в две кратки брошури, които е силно препоръчително да бъдат прегледани. Едната обобщава най-важните неща, които е добре да знаем, а другата резюмира в 10 практически стъпки какво да предприемем. Има и информационна страница за задълженията на администраторите на лични данни във връзка с новия Регламент.

Най-общо казано, вие или ваш екип трябва да въведе в организацията ви необходимите правила по три ключови теми:
– да осигурите опазването на данните;
– да си осигурите позволенията (правото) да ги обработвате (както на организацията, така и на съответните служители);
– да се подсигурите, че можете да ги заличите при поискване.

Ако бизнесът ви е по-малък или не събирате много данни на физически лица, работата е относително простичка. Ако пък е по-голям или обработвате много лични данни, тогава вероятно ще трябва да положите повече усилия. Много или малко данни и голям или малък бизнес са доста относителни понятия. Типичен пример за малък бизнес е семеен хотел, който се ръководи от двама души, или електронен магазин, управляван от един човек. Но подслонявайки и регистрирайки много гости или продавайки стоки на много клиенти, с времето натрупвате сериозен обем от личните им данни. В тези случаи, въпреки че бизнесът ви е малък, по-добре не подценявайте задълженията си по GDPR.

И обратното, може да сте производител със сериозен мащаб, но да имате само няколко служители, а клиентите ви да са фирми, тоест юридически, а не физически лица. Тогава реално вашите ангажименти може да се окажат по-скромни от тези на собственик на малък хотел или електронен магазин.

Друг утежняващ случай е, ако обработвате чувствителни данни – такива са свързаните със здравословното състояние на хората или пък с тяхната сексуална, политическа или религиозна ориентация.

След 28 май следва да отпадне и регистрационният режим пред самата Комисия, защото, ако някой обработва лични данни, неговите задължения по GDPR възникват в момента, в който започне това, заедно със съпътстващата отговорност. Ако като доставчик, независимо дали отношенията с клиента са пазарни, или му се предоставят безплатни услуги, не следвате разпоредбите на GDPR за опазване на личните данни на физическите лица (клиенти или служители), сте заплашени от санкции. Те могат да стигнат до 4% от годишния ви оборот или до 20 милиона евро (което от двете е по-голямата сума), а ако компанията е международна или е част от холдингова структура, санкцията се изчислява спрямо годишния общ оборот на цялата структура. Важно е също да се знае, че ако стане инцидент, свързан със сигурността на съхраняваните лични данни, компаниите са длъжни да уведомят засегнатите си потребители, както и властите в срок от три денонощия.

Шири се митът, че задължително трябва да наемете юрист, който да се занимава с проблема, но не е вярно. Или че това е работа на ИТ човек или отдел – също не е вярно. Възможно е в конкретен случай или контекст да имате нужда от консултация както от юрист, така и от ИТ специалист, но в общия случая трябва да прегледате процесите в организацията си: как се сдобивате с лични данни, кой има достъп до тях, на какво основание, как ги съхранявате, споделяте ли ги с някого (например със счетоводството ви или с маркетинг агенцията ви), какви организационни или технологични мерки предприемате, за да ги пазите от кражба или неоторизиран достъп, как ги заличавате при нужда или след определен срок. Всичко това трябва да бъде добре документирано, тези служители, които имат отношение към обработването на данните, да са запознати и обучени, и всичко действително да се изпълнява, спазва и контролира, както е разписано. Отговорността се носи от администратора на лични данни, тоест от вас.

Ако обработвате много по обем или чувствителни по смисъл данни, ще трябва да решите дали да назначите нарочен служител, който да се грижи за процесите и документацията ви, така че да отговарят на изискванията, или пък да наемете външен консултант, който да поеме тази роля. Регламентът изисква в тези случаи да имате нает или назначен data protection officer (DPO) и също така да имате разписана оценка на въздействието, ако обработката на тези данни крие висок риск за правата и свободите на хората.

В момента много компании се опитват да припечелят по някой лев, предлагайки ви обучения, сертификати, лицензи и какво ли не по темата. Трябва да сте наясно, че нямате нужда от сертификат и че поставянето на поредния в рамка на стената ви няма ни най-малко да помогне. Това е изцяло вътрешноорганизационен процес. Ако ви е нужно съдействие, консултирайте се или наемете някого, който е наясно с GDPR и който може да ви помогне да оптимизирате и документирате процесите в организацията ви така, че да отговарят на изискванията.

Всичко това може би звучи стряскащо, особено ако за първи път чувате за GDPR, но съвсем не е толкова страшно, колкото изглежда. Идеята му е да върне на хората контрола върху това кой и как разполага с техните данни. А това е правилно, защото данните ни – това сме ние.

Заглавна снимка: Samuel Zeller

Всичко от рубриката „Аз, киборгът“

Йовко Ламбрев

Йовко Ламбрев

ИТ експерт, инженер, предприемач, блогър и фотограф от Пловдив. Съсновател на OpenFest, Trakia.Tech и няколко технологични компании. Съосновател на Тоест, учредител и член на Настоятелството на Фондация „Тоест“. Вярва, че можем да направим света по-добър.