GDPR-калипсис
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

GDPR-калипсис

GDPR-калипсис

Въпроси и отговори за новата регулация за защита на личните данни

Мария Манолова
17098 прочитания

От седмица интернет кипи с осезаемото чувство, че вселената е в пламъци. Ако приличате на средностатистическия онлайн потребител, в последните дни сте получили десетки, а при малко по-малко късмет - стотици имейли, които изискват от вас да се записвате и презаписвате, и потвърждавате дълбокото си желание да получавате бюлетини, съобщения, промоции, новини от знайни и незнайни за вас уебсайтове. Искрата е запалена от GDPR, а страховете са, че от нея ще тръгне пожар, в който ще изгорят основите на половината бизнеси в интернет и извън него.

Паниката около Общия регламент за защита на личните данни (General Data Protection Regulation или GDPR), който влиза в сила на 25 май, е напълно излишна, но все още много компании и потребители не разбират какво точно са новите правила и как ги засягат. GDPR е една от най-големите европейски реформи след отпадането на роуминга, но в същността си не е нищо повече от преглед на това кой и по какви причини може да събира лични данни, за какво може да ги използва и как се грижи за защитата им от хакерски и други атаки.

В следващия брой на "Капитал" ще намерите специална тема за последствията за бизнеса и потребителите от новия европейски регламент, а ето и бърз наръчник за справяне с GDPR в първите дни след въвеждането му:

Какво е GDPR

Ново законодателство на Европейския съюз, което задължава фирмите и институциите да спазват определени правила и процеси, когато събират, съхраняват и обработват информация за физически лица. Това може да са данни за име, адрес, ЕГН, имейл адрес, IP, семеен статус, политически предпочитания, поведение в интернет, физически или здравен статус и т.н. Последните правила на ЕС за подобен тип информация са от средата на 90-те години, далеч преди развитието на онлайн търговията, социалните мрежи и анализите на големи масиви с данни.

Защо ме засяга

За интернет потребителите и клиентите на телекоми, банки, вериги магазини или други компании GDPR би трябвало да означава на първо място по-малко спам. След 25 май не би следвало да получавате непоискана от вас рекламна информация, да не сте обект на бизнес анализи без вашето знание, да не виждате таргетирани реклами в интернет, ако не сте съгласни на това, да не бъдете дискриминирани при подбор на кадри или одобряване на заем заради преценката на компютърни алгоритми. Може да поискате от даден сайт или компания да изтрие всичко, което знае за вас, освен ако съхраняването на такава информация не се изисква по закон. За мениджърите на компании GDPR значи преглед на това каква информация за отделни физически лица влиза и излиза от фирмата им, кой има достъп до нея, как е защитена, кога се изтрива. За много от адвокатските бюра, консултантските и ИТ компаниите регламентът означава нов бизнес.

Чух, че глобите са големи

Този път ЕС е решила да вземе насериозно защитата на потребителите и за целта въвежда два инструмента. Първо, GDPR ще бъде приложен във формата на регламент, т.е. влиза в сила задължително и директно (без интерпретации в местното законодателство на отделните държави). Второ, законът предвижда много по-сериозни от досегашните санкции - до 20 млн. евро, или 4% от годишния оборот, според това дали фирмата е направила всичко възможно да предотврати възможно изтичане на данни, а при проблем да съобщи на регулатора и на потребителите навреме. Санкциите трябва да бъдат разписани по-конкретно с промени в Закона за защита на личните данни, но до момента правителството все още не е внесло подобни текстове. Максималната глоба на теория се налага, след като е отправено предупреждение за лоша практика, а бизнесът не се е съобразил с него.

Аз не съм голяма фирма, ще ме засегне ли

GDPR засяга всяка фирма, която обработва лични данни на клиентите или служителите си. За да разберете до каква степен регулацията се отнася за вашия бизнес, първо трябва да анализирате процесите в него. Регулацията е дълга - има общо 99 члена и някои от тях ще се отнасят повече за вашия бизнес, отколкото други. Ако имате нещо общо с ИТ и телеком индустрията, финансовия или застрахователния сектор, здравеопазването и фармацията, практикувате онлайн продажби или разчитате на някаква съвременна форма на маркетинг, GDPR вероятно ви засяга.

Какво означава "свеждане на данните до минимум"

GDPR задължава фирмите да събират данни за конкретни и ясно разписани цели. Ако ще изпращате имейл бюлетин за нови модели мобилни телефони например, няма нужда и нямате право да събирате информация за сексуалната ориентация на вашите потребители. Нямате и право да обработвате информацията допълнително за други цели, след като веднъж сте я събрали по конкретен повод и с конкретното съгласие на потребителите.

Какви са другите основания за обработване на лични данни

Информация за физически лица може да се обработва, когато е нужна за изпълнението на договор, в който потребителят е страна (например с банка, телеком или дружество за комунални услуги), при изпълнението на законови задължения на фирми и институции, при действия в публичен интерес (например при журналистически разследвания), при легитимен интерес на обработващия данни (ако е съществена за изпълняването на основния бизнес на компанията).

Кога и защо фирмите трябва да изтриват данни

Физическите лица имат право да поискат "да бъдат забравени", т.е. събраната за тях информация да бъде изтрита без отлагане. Причините дадена лична информация да бъде унищожена включват: данните вече да не са нужни за целите, за които са събрани; потребителят сам да оттегли съгласието си за обработка на данните; потребителят да обжалва обосновката на фирмата да събира данни (при твърдение за "легитимен интерес"); данните да са събрани или обработени без законово основание. Потребителят не може да поиска изтриване на данни, когато това би застрашило свободата на словото или провеждането на научни изследвания.

Какво всъщност означава лични данни

Всяка информация, която може да се използва за идентифицирането на конкретно физическо лице, влиза в определението за лични данни. Това може да са имена, адреси, снимки, имейл адрес, постове в социалните мрежи, банкови данни, информация за здравни проблеми, дори IP адрес. GDPR не отговаря на въпроса дали единните граждански номера (ЕГН) влизат в тази категория - това трябва да бъде решено от българската държава с промени в Закона за личните данни, които все още не са готови и вероятно няма да бъдат приети преди 25 май. Според GDPR вашият бизнес трябва да събира само информацията, която му е нужна, а начините, по които тя ще бъде защитена (с ограничен достъп, строги процедури, специализиран софтуер и хардуер и пр.), да бъдат в основата на всеки бизнес процес. Ще трябва да подсигурите и процеси за унищожаване на информацията, в случай че ваш потребител, служител или контрагент поиска това.

По принцип GDPR забранява събирането на данни за етнически произход, политически мнения, религиозни и философски разбирания, членство в синдикати, както и генетични, биометрични данни, здравен статус и заболявания и сексуална ориентация. Регулацията предвижда няколко изключения от правилото, включително при изрично съгласие на потребителя, по медицински или легални причини.

Какво означава "свободно изразено съгласие"

След 25 май фирмите и институциите ще могат да обработват лични данни само при няколко конкретно описани сценария. Един от тях е клиентът изрично да се е съгласил на това. Това означава той да е ясно и конкретно информиран за всички цели, за които се използват данните му. Съгласието може да бъде дадено онлайн, но администраторът на данни трябва да може да докаже, че го е получил. Мълчаливото съгласие или предварително избраните отметки в онлайн форми не се считат за свободно изразено съгласие. Потребителят трябва да може да продължава да използва услугата, дори да не се съгласи да сподели данните си, освен в случаите, когато данните се изискват по договор, по закон, или са "легитимен интерес" за извършване на дейност. Трябва да има и достатъчно лесна процедура, по която физическите лица да могат да оттеглят съгласието си информацията за тях да бъде използвана.

От седмица интернет кипи с осезаемото чувство, че вселената е в пламъци. Ако приличате на средностатистическия онлайн потребител, в последните дни сте получили десетки, а при малко по-малко късмет - стотици имейли, които изискват от вас да се записвате и презаписвате, и потвърждавате дълбокото си желание да получавате бюлетини, съобщения, промоции, новини от знайни и незнайни за вас уебсайтове. Искрата е запалена от GDPR, а страховете са, че от нея ще тръгне пожар, в който ще изгорят основите на половината бизнеси в интернет и извън него.

Паниката около Общия регламент за защита на личните данни (General Data Protection Regulation или GDPR), който влиза в сила на 25 май, е напълно излишна, но все още много компании и потребители не разбират какво точно са новите правила и как ги засягат. GDPR е една от най-големите европейски реформи след отпадането на роуминга, но в същността си не е нищо повече от преглед на това кой и по какви причини може да събира лични данни, за какво може да ги използва и как се грижи за защитата им от хакерски и други атаки.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

12 коментара
  • 1
    realguru avatar :-|
    realguru

    с две думи общи приказки. Същата история като кукитата. :)

  • 2
    cud56308911 avatar :-|
    cud56308911

    Като гледам в малките фирми, как се подмятат лични данни насам-натам, не мисля, че ще има някаква промяна.

  • 3
    kdc58564521 avatar :-|
    kdc58564521

    Поредната брюкселска недомислица - да товарят дребния бизнес с излишна бюрокрация и разходи. Това требваше да се отнася само за големите фирми като Google, Facebook и пр., които наистина събират лични данни и правят с тях незнайно какво. После защо Европа е последна дупка на кавала в ИТ-бизнеса и технологиите.

  • 4
    boevbisser avatar :-|
    boevbisser

    Подкрепям 3-ти коментар, кому е нужно това в дребния и среден бизнес, освен на бюрократите, за да отчитат дейност, нали те няма да плащат. Вместо мнозинството компании да мислят как да се развиват и печелят, сега започват да се занимават с поредните щуротии. Без съмнение тази регулация няма да направи европейския бизнес по-конкурентен.
    Аз имам микро строителна фирма с 6 работника, вероятно влизам в обхвата на закона, но засега нищо няма да правя - нито мога да си позволя излишни разходи, нито имам време. Не е правилно над 90 % от компаниите, които са малки и средни, да се слагат в един закон заедно с технологични и финансови гиганти.

  • 5
    stoyan_hristov avatar :-|
    Stoyan Hristov

    До коментар [#3] от "kdc58564521":

    Не може едни правила да са за едрите а други за дребните бизнеси в този котекст. Не сте ли се замисляли за спама който получавате? Мен ми се обаждат постоянно някакви хора да ми предлагат инвестиции в акции.. Това че не ги искам на никой не му пука. Или пък спам бокса е пълен с реклами и от малки фирми. Пиолучиавам какви ли не предложения от БГ фирми - малки и големи. и това само защотото съм си дал данните в търговския регистър ... Ами за спама в пощенската кутия(говоря за хартията)? и това са "дребните работи". Ако случайно потърся хотел в буукинг, после гугъл ми предлага хотели поне още месец .... Да не говорим за това, кеото само подозираме за фрйсбук..

    Имаше нужда от подобна регулация(не знам дали тази ще едостатъчно добра) и мисля че намазахме от еврочленството ни... Така че големите компании ще трябва да се съобразят и за нас...

  • 6
    kdc58564521 avatar :-|
    kdc58564521

    До коментар [#5] от "Stoyan Hristov":

    Напротив, нещо нормално е да има специално отношение към големите корпорации, към фирми, надвишаващи определен оборот и пр.
    Това първо. Второ, защо заради Гугъл и Фейсбук да страдат всички фирми? Тези компании наистина събират лични данни, а пакетът от нови правила ще важи и за сайт, който ти знае само имейла или ти е заредил "бисквитка". Ако е за СПАМ, той може да се ограничи и по много по-лесни начини, без всичките тия процедури.

  • 7
    nodjinn avatar :-|
    nodjinn

    Чудесно е, че сме в ЕС, но това е типично европейска дивотия - взимат чудесна, полезна, важна идея (пазене на лични данни) и я оплескват с абсолютен епичен размах. Бюрократично малоумие от колосален мащаб.

    Абсолютно съм съгласен, че трябва да се пазят личните данни, но от днес към всеки документ, който превеждам (аз съм преводач), който превеждам - акта за раждане се превежда за 5 минути, преписвам данните от него 10 минути. И тази колосална загуба на време било задължително да е безплатна за клиента. Честно ли.

    Съгласен съм с унищожението на всякакви копия. С пароли да се защитават данните. Има нужда от това, и то сериозна. Но биваше ЕС да вложат поне минимум мозък като го пишат. Дефиницията за лични данни е дотолкова нечовешки всеобхватна, че човек се плясва по челото. Клиентите пискат "ма що трябва да го подписвам аз това, не ми губете времето", адвокатите им - "разкарай се, бе, превеждай просто откъде ще го диря на кайманските да ми дава разрешение", а ако не подпишат всеки един от тях може да те срине с едно сигналче. СУПЕР забавно е.

    Добавете към това, че сме сложили и минимална глоба единствени в ЕС, щото сме най-богатите ... вие ми се понякога.

  • 8
    geoprofi avatar :-|
    Geo

    Разходите се изчисляват на стотици милиарди е не са ограничени само до фирми от ЕС. По-малки компании от чужбина направо спират достъпа до клиенти от ЕС защото не им се плаща за синхронизация с новия закон. Вече има заведени дела срещу различни компании по новия регламент, което отново е разход, и то сериозен, дори да не се стигне до осъдителна присъда и/или глоба. С предполагаемата цена могат да се купят десетки милиони къщи за бедните в Африка (https://www.gigacalculator.com/calculators/gdpr-compliance-cost-calculator.php - има и други интересни сравнения). Част от цената може и да е излишна, плод на страх и презастраховане, но при неяснотите в регламента и драконовските глоби, можете ли да вините собствениците на бизнеси, че се презастраховат?

    Разбира се, сметката накрая се обира от крайния потребител, който в 99.9% от случаите нито знае, нито му пука за тази скъпо-струваща екстра.

  • 9
    enterfornone avatar :-|
    enterfornone

    До коментар [#7] от "nodjinn":

    Странно защо на "бизнеса" (горкият) все трябва да му е лесно, за сметка на обикновените хора по тази извратена логика.
    На твоите "адвокати" клиенти (всъщност посредници в някаква машинация) им пожелавам да им изчезнат всички клиенти (укриващи данъци) "от Каймановите острови".
    Като не могат да спазват законите - да си намерят честни клиенти от България.

    Малко им е на подобни пиявици това, като дойде революцията - първи на стената!

  • 10
    enterfornone avatar :-|
    enterfornone

    До коментар [#6] от "kdc58564521":

    Никакви "бисквитки" не са тук цел.
    Става дума за колосалното събиране на данни в момент с неясни цели.

    Ако например се регистрираш в хотел, на рецепцията ти снимат личната карта. Това сега ще трябва да спре или с излизането ми от хотела, трябва да удостоверят ще са изтрили всички записи на данните ми - ЕГН, адрес и прочие. Ако поискам - даже и записите от камерите на които ме има, ако няма основателна причина да ги пазят. А те сега ги позлват, за да ме спамят (или да ги продадат после)
    И не само "големите" - всички. Защото сега е пълна анархия и порнография.
    А като някой си отвори кредит на мое име не ме интересува дали данните ми са изтекли от гугъл или от селския туризъм или от някой който дава кънки под наем на Ариана.

    И да - трябва да важи за всички без изключение. В Ирландия, където съм, от месеци текат предупреждения, че няма изключения, че регламентът ще се прилага строго и за всички от първия ден.

    И още нещо - регламентът не е от сега - от април 2016 е. Но досега българският бизнес (който все е специален, "български") се попипваше, а държавата си чешеше ушите и забрави задълженията си.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK