GDPR – идва ли време за лов на вещици?

Автор: 

Анастас Шопов

Бизнес консултант

 

Вероятно все повече чувате да се говори за регламента GDPR и колко той е важен за всички компании. Ако все още не сте се запознали в детайли за какво точно става дума, време е да го направите.

GDPR (General Data Protection Regulation) е нов регламент за защита на личните данни, който влиза в сила от 25-и май 2018 г.

Основната цел на регламента е да модернизира и хармонизира правилата за защита на личните данни в целия Европейски съюз. Новият регламент ще замени всички местни законодателства, което ще улесни навлизането на фирмите на нови пазари, като им гарантира, че спазвайки правилата на GDPR няма опасност да нарушат някой местен закон за защита на личните данни. Важно е да се отбележи, че под регулацията попадат всички компании, които обработват лични данни на граждани на Европейския съюз, без значение къде е регистрирана фирмата. Това означава, че няма значение дали фирмата е регистрирана в България, Турция или САЩ – ако тя обработва лични данни на физически лица от ЕС, трябва да спазва изискванията. В противен случай може да бъде подведена под съдебна отговорност, като глобите са до 20 млн. евро или до 4% от оборота. Разбира се, очаква се първоначално глобите да са доста по-умерени, но по-добрият вариант е да не се стига изобщо до тях, като се спазват изискванията на регламента.

Какво всъщност стои зад понятието “лични данни”? За целите на регламента то е дефинирано по следния начин:

“Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.“

Като обобщение може да се каже, че лични данни е всяка информация, която може да доведе до идентифицирането на определено физическо лице.

Примери за лични данни са: име, ЕГН, банкова сметка, e-mail адрес и т.н.

В днешно време почти няма компании, които да не получават електронни писма от техните партньори. В едно електронно писмо обикновено има информация за името на изпращача, както и неговия e-mail. Това са лични данни на физическо лице, без значение, че се използват за служебни цели, което от своя страна означава, че всяка фирма, която използва електронни писма, подлежи на регулация. Като допълнение в регламента няма посочени ограничения за размер на фирмата – например да не важи за микропредприятия. Това означава, че под регулацията на регламента попадат всички фирми, без значение от техния размер или вид дейност.

Друго много важно понятие в новия регламент е “обработване” на лични данни

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.“

Тук е добре да се обърне внимание, че ако секретарката в една компания има ключ от шкафа с договорите (в които има лични данни) и нейният ръководител ѝ каже да му донесе определен договор, не става въпрос за обработване на информация и съответно тази дейност не подлежи на регулация от регламента.

Също така обаче трябва да се има предвид, че повечето фирми в България използват софтуерни решения за управление на бизнеса. Без значение дали става въпрос за счетоводни  системи, ERP (Enterprise resource planning) или CRM (Customer relationship management) решения, тези продукти съдържат лични данни и могат да ги обработват автоматично. Това означава, че точно на тези софтуери трябва се обърне много сериозно внимание при подготовката на всяка компания за GDPR.

Силно препоръчително е да проверите и да имате предвид следните точки:

• Какви лични данни се съхраняват в използваните при вас софтуерни решения? Добре ли са защитени тези лични данни? Използва ли се някакъв вид криптиране при тяхното записване?
• Кои потребители имат достъп до личните данни? Софтуерът има ли регистър за обработванията и кой потребител ги е извършвал?
• Софтуерният продукт позволява ли физическите лица да бъдат “забравени”? Регламентът въвежда основно право на потребителите да бъдат забравени и техните данни да не се използват при последващи обработвания. Друго важно изискване е възможността за експортиране и преместване на личните данни от един оператор към друг.
• Кой има достъп до базата данни на софтуера? Как и къде се съхранява базата? Правят ли се периодични архиви? При изтичане или недобросъвестно изтриване на лични данни фирмите са задължени да уведомят контролиращия орган, както и да възстановят данните.
Най-общо горните изисквания могат да се обобщят в три категории за компаниите
• Първата е свързана с вътрешно-фирмени организационни изисквания, в която се включват процесите и настройките на правата за достъп на потребителите. Те зависят основно от фирмата-ползвател на софтуерното решение.
• Втората група е свързана с функционалните възможности на софтуера. Тук фирмата-ползвател няма какво да направи освен да се информира дали софтуерът отговаря на изискванията на GDPR и съответно да вземе решение дали да го използва, ако не отговаря на изискванията на регламента.
• Третата е свързана с администрирането на софтуера. Тук фирмите-ползватели са изправени пред две възможности – дали да използват закупен софтуер и сами да се грижат за неговата администрация или да използват “облачни” софтуерни решения, при които цялостната грижа за администрацията на софтуера е при производителя.

Изборът за наемане на “облачни” решения или покупка на софтуер е много сериозен за всяка компания. За да направят правилния избор, компаниите трябва добре да обмислят ангажимента, който поемат при двата варианта и да преценят дали могат сами да се справят с правилното администриране на софтуера. Несправянето с тази задача може да доведе до много сериозни финансови загуби от вече споменатите глоби. Затова е препоръчително за всички компании да се запознаят в детайли с новия GDPR регламент и да предприемат действия за адаптиране към неговите разпоредби.

 

Моля коментирайте