С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
6 апр 2018, 12:31, 6161 прочитания

Внимавай с това ЕГН

Как се променят правата на потребителите според новия регламент за защита на личните данни

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

Кирил* е експерт по сигурността на данните и преди около година му се налага да търси нова работа. Изпраща CV на няколко десетки потенциални работодатели. "На 25 май смятам да се свържа с всички тях и да ги попитам каква информация за мен пазят, как я съхраняват, за какво я използват и кога ще я изтрият", казва той. По силата на новия европейски регламент за сигурността на данните GDPR, влизащ в сила на тази дата, въпросните фирми няма да имат право да му откажат отговори. А ако се окаже, че данните му не се съхраняват по надежден начин или се предоставят на трети страни без позволение, Кирил може да подаде сигнал до Комисията за защита на личните данни (КЗЛД). От въпросите на Кирил може да последват проверка, предписания и дори санкции за онези администратори, които не се съобразят с новите изисквания.


Право на информация

GDPR въвежда нови и гарантира редица права на потребителите по отношение на сигурността на личните им данни. Първото и най-важно е правото на информация. "Това е основно задължение на администраторите - да информират потребителите какви са им правата", казва Божидар Божанов, софтуерен инженер, експерт по въвеждане на електронното управление у нас и активист в неправителствени проекти като "Общество.бг". "Всеки администратор, на когото си предоставил лични данни, е задължен не само да ти каже каква информация има за теб, но и какви са ти правата, как ти съхранява данните, колко време ги пази, на кого ги предоставя и с какви цели", казва Божанов.

Основната разлика в потребителския интерфейс ще бъде, че в интернет вече няма да виждат поле с отметка "приемам политиката за поверителност". Отдавна никой реално не чете подобна информация. Вместо това с идването на GDPR броят на т.нар. чекбоксове за съгласие ще се увеличава според броя на целите за обработка на данни. Информацията ще трябва да бъде написана на разбираем език. Социалните мрежи, като Facebook например (но далеч не само тези уебсайтове), ще трябва да дадат на потребителите отделно поле "съгласен съм личните ми данни да се ползват за маркетингови цели на рекламодатели".



"В тези регламенти има все пак някакви вратички", обаче казва Божанов. "След няколко спора по европейския регламент за електронния подпис Европейската комисия призна, че целта не е била да направи електронния подпис задължителен, а да хармонизира правилата за използването му за тези, които искат да го ползват. И тук не е изключено да има нещо такова. Всичко звучи много хубаво, но ще трябва да видим конкретни случаи", казва той.

Технологичните гиганти като Google и Facebook разполагат с огромни масиви с лични данни - на практика те са и основната причина Европейският съюз да въведе строгите правила на GDPR. "Тях трябва да следим за спазването му. Ще изпълнят лесните изисквания - да дадат достъп на потребителите до данните им (за Facebook тази опция съществува отдавна - всеки лесно може да свали цялата информация за себе си от платформата), да опишат как ги съхраняват и за какво ги използват", казва Божанов. "Искането на съгласие за всяко нещо, за което се ползват данните, ще е по-сложно и предстои да видим как Facebook и Google ще ходят по ръба на регламента", обаче казва софтуерният експерт. В момента потребителите автоматично се съгласяват с политиките за поверителност без огромна част от тях реално да са ги прочели. Ако се вгледат внимателно обаче, ще разберат например, че администраторът си запазва правото да променя данните, без да информира потребителя. От 25 май тази година това ще е нарушение на GDPR и ще подлежи на глоби.

Минимум лични данни

В България за нарушенията ще следи Комисията за защита на личните данни (КЗЛД). Според нейния председател Венцислав Караджов първата задача на фирмите във връзка с GDPR е анализ. "Какво предлагаме, кои са ни клиентите? Това, което предлагаме, можем ли да го предложим, без да е необходимо да събираме лични данни и да ги обработваме? Ако въз основа на анализа стигнем до заключението, че лични данни не са необходими, няма нужда да се прилагат правилата на регламента. Ако обаче не можеш да постигнеш бизнес целите си, без да обработиш лични данни, трябва да минеш на следваща стъпка - кои видове лични данни - в техния минимален обем, са ни необходими", посочва Караджов. Ако една фирма се нуждае само от адресите на физическите лица, но не и информация за тяхното ЕГН, за това дали са семейни или не, колко души е семейството, имат ли малки деца, живеят ли с възрастни родители или не, тези данни не трябва да се събират. "Т.е. услугата трябва да се предостави при минималната необходима информация", обяснява председателят на КЗЛД.

"Когато информацията е добре систематизирана, на външното лице, което има право да знае какви лични данни се събират за него и на кого се разкриват, за какъв срок от време се обработват и за какви цели са събрани, когато подаде заявление, бизнесът ще може да отговори в рамките на заложения срок (в регламента се говори за "разумен срок", без да е уточнен конкретно - бел.авт.). Ако не му отговори, това е нарушение на правилата. Човек има право да знае тези данни на какво основание са събрани и на кого ще се предоставят, за колко време ще се обработват", коментира още Караджов.

Кога се предоставят лични данни

GDPR дава право на юридическите лица да събират и обработват данни при няколко хипотези. Първата е "съгласие". Тя вероятно ще бъде и най-често ползваната (за регистрация в сайтове и т.н.). Втората хипотеза е по силата на закона - тя важи за данните, които предоставяме например на Националната агенция за приходите, Националния осигурителен институт, дирекция "Гражданска регистрация и административно обслужване" и т.н. Третият вариант за предоставяне на данни е при защита на жизненоважни интереси - например при инцидент. Четвъртата и най-широка хипотеза е при т.нар. легитимен интерес. "Фирмата или институцията трябва да докаже, че това, което прави с личните данни, е нещо, което потребителите логично очакват от него. Когато си куриерска фирма например, логично е да събираш име и адрес, когато си агенция за подбор на персонал - логично е да събираш широк набор от лични данни и т.н", пояснява Божидар Божанов. В тези случаи няма нужда от изричното съгласие на потребителя (с декларация например), но отново администраторът няма право да ползва данните за различни от посочените цели и при поискване ще трябва да ги изтрие.

"Някои юристи, с които съм разговарял, се притесняват, че комисията няма да разбере обосновката за легитимен интерес и администраторите ще трябва почти винаги да се позовават на изрично съгласие. Но това ще варира в страните членки, а с времето регулаторът ще се научи", допълва експертът.

Какво е злоупотреба с лични данни

Злоупотреба с лични данни е преди всичко предоставянето на данни за граждани на трети лица без тяхното съгласие с цел реклама, агитация, но и изнудване, измама и др. Това е и причината за новите строги изисквания при съхраняване на лични данни. При неволното изтичане на данни или пробив във фирмени ИТ системи рисковете са много конкретни, понякога дори и животозастрашаващи. Преди няколко години хакери атакуваха сайтовете за запознанства Ashley Madison и Adult Friend Finder, в резултат на което бяха компрометирани данните на милиони потребители. "В контекста на Европа и Америка това може да означава семейни проблеми и дори развод (имаше и няколко случаи на самоубийства, свързани с изтичането на данни - бел.авт.), но представете си в държави като Пакистан, Саудитска Арабия - ако разберат за нещо такова и особено ако извънбрачната връзка е хомосексуална - могат да те екзекутират", казва Божанов. "Дори и при изтичане на данни за местоположението ти - третирани извън контекста, те могат да ти навлекат проблеми. Затова личните данни са лични и подлежат на защита", казва още той.

Правото да бъдеш забравен

Любопитни казуси могат да възникнат около гарантираното от GDPR право "да бъдеш забравен". След изтичане на законовия срок за съхранение на лични данни (за мобилните оператори този срок е 12 месеца според Закона за електронните съобщения - бел.авт.), администраторите са длъжни да ги изтрият автоматично. "Ако нямат законово задължение, те нямат право да ги пазят. Някои ще кажат, че нямат техническа възможност да ги изтрият и макар че в някои случаи това ще е доста трудно, невъзможността не важи като аргумент", казва Божанов. Той посочва още, че правото да бъдеш забравен не е безусловно. "Не можеш да кажеш на банката "забравете ми кредита", не можеш да кажеш и на държавно учреждение от типа на ГРАО да те забрави, тъй като техният легитимен интерес надделява над твоя. Правото да бъдеш забравен работи в две хипотези - при оттегляне на съгласието (от Facebook например) и при легитимен интерес. Ако си обществена личност обаче, може да се окаже, че общественият интерес надделява над твоя легитимен и тогава администраторът няма как да "забрави" твоите данни. Подобен пример вече се появи в Италия. Бизнесмен с три фалита се позовава на правото си да бъде забравен (съществуващо и в сега действащата европейска директива за личните данни) и поисква информацията за него в Търговския регистър да бъде изтрита. Случаят стига до Съда на ЕС в Люксембург. Решението на съда обаче е неблагоприятно - търговецът няма право да бъде забравен. "Това са гранични случаи и подлежат на тълкуване. Но за обикновен човек с пиянска снимка в интернет правото да бъде забравен е гарантирано", посочва Божанов. Първите няколко години след въвеждането на новата регулация за защита на личните данни със сигурност ще произведат много работа за институциите като КЗЛД и Съда на ЕС, докато се затвърдят границите на личния и обществения интерес.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Речник на термините в GDPR 4 Речник на термините в GDPR

6 апр 2018, 11025 прочитания

GDPR като услуга GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018, 7470 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
Защитени ли са лицата и отпечатъците ни

Какво следва от GDPR за видеонаблюдението и използването на биометрични данни

Арабаджиеви: След арест - продажба

Арестуваните Ветко и Маринела Арабаджиеви са продали "Виктория палас" в Слънчев бряг. Фирмата купувач се свързва с Красимир и Николай Маринови, по-известни като братята Маргини.

Бойното поле на "Българска армия"

Ще има ли нов стадион на ЦСКА в Борисовата

Индексите на борсата започнаха седмицата с ръст

"Стара планина холд" реализира най-голям ръст след съобщението за дивидент

Кредитор продава рециклиращите машини на Пламен Стоянов-Дамбовеца

Оборудването е струвало около 10 млн. лв. при покупката му, а сега се предлага за около половината

20 въпроса: Петя Кокудева

Скоро ще се появи първата й пътешественическа книга - "Поздрави от синята палатка"

Ново място: Cup & Roll 2

Ресторантът потвърждава, че софийската публика най-сетне има засилено любопитство към корейската кухня