Сигурността на данните - новото предизвикателство за бизнеса

Ефективното прилагане на новото законодателство в ЕС ще започне през 2018 г.

Още през 2012 г. Европейската комисия предложи текста на общ регламент относно защитата на данните (i) (Регламентът) с цел да засили правата на гражданите и да приспособи правилата към дигиталната ера. Европейските институции дълго дискутираха разпоредбите му, решавайки например с колко милиона евро да бъде санкционирано нарушение по него. Към днешна дата е постигнато споразумение, предстои приемането и публикуването на новото законодателство в Официалния вестник на ЕС, а едва две години след това (през 2018 г.) ще започне неговото ефективно прилагане. Регламентът е пряко приложим в държавите - членки на ЕС, и ще замести и уеднакви действащите в момента закони във всяка от тях - при нас това е Законът за защита на личните данни. Новата европейска регулация от години е в полезрението на големите компании, които вече подготвят съответствието си с по-строгите изисквания. Тя обаче ще се приложи не само за тях, а за всеки администратор на лични данни, какъвто например е всеки работодател, обработващ информация за своите служители. Нека се запознаем с предизвикателствата, които предстоят за бизнеса.

Екстратериториалност

Абонирайте се за Капитал

Четете неограничено и подкрепяте усилията ни да пишем по важните теми

В дигиталния свят данните отдавна се превърнаха във "валута" за получаване на онлайн услуги, защото без да ги предоставят, лицата нямат достъп до тези услуги. Регламентът цели да защити ценностите на европейските граждани дори пред компании, установени извън съюза. Новото европейско законодателство ще се прилага и за тях, ако таргетират потребители в Европа – т.е. ако предлагат стоки или услуги на граждани на ЕС или ги следят в интернет, за да ги профилират с цел да анализират или прогнозират техните лични предпочитания и поведение.

Сега действащите правила за защита на личните данни също се прилагат за компании извън ЕС, но само ако сървърите им се намират в държава членка. Ясна е идеята строгите европейски правила да се приложат срещу гиганти като Google и Microsoft, въпросът е доколко ефективно ще могат да се изпълняват.

Съгласие



За да бъде законосъобразно обработването на информация, дори и по сегашния закон трябва да е налице една от изрично изброените предпоставки като съгласие на лицето, договор, по който субектът на данните е страна, законово задължение спрямо администратора и други. Много често данните се събират въз основа на съгласието на лицето и именно по отношение на него Регламентът поставя повишени изисквания – то трябва да е недвусмислено и да е получено чрез ясно потвърждаващо действие. Така се гарантира, че няма да е валидно подразбиращото се съгласие – например самото използване на уебсайт, в който потребителят се е съгласил мълчаливо с общи условия, част от които е съгласието за обработване, или маркирано отнапред съгласие от администратора, или неизвършване на действия от потребителя (непроменяне на настройките за сигурност). Съгласието трябва да гарантира информираност на лицето за това, че дава съгласието си и точно за какво го дава. Трябва да е възможно съгласието да бъде оттеглено по всяко време и да е толкова лесно да оттеглиш, колкото и да изразиш съгласие. Нещо повече, съгласие за обработване не трябва да се изисква като условие да се даде достъп до услуга, когато личните данни не са необходими за изпълнението й.

Засилена отговорност на администратора

Редица задължения поставя новата регулация за всички администратори на лични данни. Такива са изискванията за защита на данните още при проектирането (privacy by design) и по подразбиране (privacy by default). Според първото рискът за поверителност трябва да се вземе предвид още в процеса на проектиране на нов продукт или услуга, като се предприемат подходящите за съответствие с Регламента технически и организационни мерки и процедури (например псевдонимизация). Второто изисква обработване по подразбиране само на данни, които са необходими за всяка конкретна цел, т.е. данните не се събират или запазват в обем или за срок на съхранение, по-голям от минимално необходимите за тези цели.

Всички компании, обработващи данни, ще са длъжни да представят значителен обем информация на лицата, чиито данни събират, още към момента на получаването им и при намерение за допълнително обработване за различна цел. Ще трябва също да уведомят регулатора (у нас КЗЛД) в случай на нарушение на сигурността на личните данни не по-късно от 72 часа след установяването му, както и да извършват оценка на въздействието върху защитата при вероятност за висок риск.

Много по-строга отговорност се предвижда за определени групи администратори. Такива са компании, чиято основна дейност е обработване на данни и които профилират лица в големи мащаби (Facebook), или които обработват в големи мащаби чувствителни данни (такова би могло да бъде застрахователно дружество, събиращо данни за здравето на застрахованите лица). Те ще трябва да назначат лице, отговарящо за защита на данните с опит в това законодателство и практика, което може да бъде служител на дружеството или външно наето.
Повишени изисквания са налице и за дружества с над 250 служители или когато обработването води до риск за правата и свободите на субекта на данни, или пък се обработват чувствителни данни. В тези случаи администраторите са длъжни да поддържат регистри на всички дейности по обработване в минимален обем, посочен в Регламента.

Глобите

Регламентът предвижда значително по-високи санкции в сравнение с прилаганите в момента по местните законодателства в ЕС. При нарушения на нашия Закон за защита на личните данни глобите са в размер до 100 хил. лв.

Максималните санкции по Регламента достигат до 20 млн. евро, или 4% от годишния световен оборот на предприятието за предходната финансова година, като се прилага сумата, която е по-висока. КЗЛД ще е компетентна да ги наложи, ако например администраторът не е спазил условията за съгласие (когато обработването е въз основа на такова) или е нарушил право на лице по Регламента (като "правото да бъде забравен", т.е. данните му да бъдат изтрити). Новост е, че пряко отговорни, а съответно и застрашени от санкции ще са и обработващите данни - такива са например доставчиците на облачни услуги.

Европейските законодатели се гордеят с реформата си в областта на защитата на данните и смятат, че тя няма да възпрепятства стопанските дейности, а напротив - ще помогне на Европа при разработването на иновационни дигитални услуги (ii). Надяваме се това да е така. Несъмнено обаче значително ще се повиши рискът за бизнеса при несъответствие с новите правила, което налага критичен преглед и адаптиране на политиките и практиките на компаниите преди влизане в сила на Регламента.

-----
(i) Регламент (ЕС) № ХХХ/2016 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

(ii) Съобщение за медиите на Европейската комисия от 15 декември 2015 г.