Какво представлява Регламентът за защита на личните данни (GDPR)
Регламент (ЕС) 2016/679 е гласуван е през 2016 г. и влезе в сила от 25-ти май 2018 г.
Какво означава Регламент?
- Регламент означава, че важи за всички страни в ЕС, без да е необходимо да се пишат специални закони във всяка държава;
- Никоя държава няма право да го променя съществено или осакатява, само леко се напасва към местните закони.
100% Безплатна консултация от наш експерт!
Кликнете върху бутона отдясно, за да научите повече за уеб дизайн и начините, чрез които можем да помогнем на бизнеса Ви да изпъкне онлайн!
Каква е основната разлика от досега действащите изисквания:
Личните данни се смятат за базисно човешко право, което е вписано в хартата за правата на човека.
По подразбиране се приема, че физическите лица НЕ са съгласни да предоставят своите лични данни и да позволят тяхното прехвърляне и продаване без тяхното изрично съгласие.
Дори ако лични данни се намерят онлайн, те не могат да бъдат използвани без изричното съгласие на субекта на данните.
Когато са необходими лични данни, трябва да бъде ясно и точно описано за какво ще бъдат използвани. Например, ако са необходими за доставка на поръчка, трябва да се посочи, че се изискват името, адресът и телефонният номер на клиента.
Има нужда от изрично съгласие от физическото лице, преди да може да се обработват неговите лични данни. Това съгласие може да се даде чрез отметка в онлайн форма или подписана хартиена декларация.
Според юристи, не е достатъчно да се включат няколко думи за личните данни в общите условия за работа с уебсайта. По-добре е да има отделен раздел, посветен на личните данни, и отделно поле, като например “Съгласен съм да се обработват личните ми данни.” Това поле по подразбиране трябва да бъде празно, и потребителят трябва да го потвърди ръчно, като кликне върху него.
Разширено е тълкуването на лични данни:
Личните данни са информация, която може да идентифицира конкретно лице. Това включва следните видове информация:
- Име – името на лицето.
- Домашен адрес – адресът на местожителство на лицето.
- E-mail – електронната поща, която принадлежи на лицето.
- IP адрес – уникален адрес, който идентифицира устройството, свързано с интернет.
- MAC адрес – уникален адрес на мрежовото оборудване.
- Хардуер и софтуер – информация за хардуерната и софтуерната конфигурация на устройството.
- Бисквитки – информация, съхранявана от уебсайтовете в устройствата на потребителите за проследяване на активността им.
- Банкова информация – данни, свързани с банкови сметки и финансова информация.
- Медицинска информация – данни за здравословното състояние и медицинска история.
- Снимки – графични изображения на лицето.
- Постове в социалните мрежи – текстови или мултимедийни съобщения, споделени в социалните мрежи или други онлайн платформи.
- Всякакви други пряки или косвени начини, с които можете да идентифицирате дадено лице – това включва всякаква информация, която по някакъв начин може да се свърже с определено лице.
Личните данни се считат за такива, когато информацията може да бъде използвана за идентификация на конкретно лице. Това често може да се случи, когато различни видове информация се комбинират, за да се опознае или идентифицира дадено лице.
Лични данни за онлайн бизнесите
Лични данни могат да включват и всички детайли, свързани с поръчката и нейното изпълнение. Например, информация за плащания, уточнения относно доставката, коментари, Tracking ID и други подобни данни могат да бъдат считани за лични данни, защото чрез тях, дори и косвени, може да се разбере за кого става въпрос.
В случай, че потребител посещава уебсайт и само се засича IP адрес, без друга информация, тогава този IP адрес обикновено не се счита за личен. Обаче, ако се използват инструменти като “Cookies,” “Facebook Pixel,” “Retargeting” и други подобни, които събират допълнителна информация и я асоциират с IP адреса, то този IP адрес може да стане личен, тъй като, чрез комбинирането на тази информация, може да се определи конкретното лице.
За комуникационните и хостинг компании, IP адресите се считат за лични данни, защото те могат лесно да установят, кой клиент използва определен IP адрес.
За софтуерни фирми лични данни могат да бъдат потребителското име, версията на софтуера, други инсталирани софтуери, информация за хардуера и всички други начини, които, ако се комбинират, могат да идентифицират конкретния клиент.
Обобщено, всички “дребни” детайли могат да се считат за лични данни, ако чрез тях може да се определи конкретно лице, особено когато тези данни се комбинират с друга информация или инструменти, които позволяват идентификацията на потребителя.
Чувствителни лични данни – по дефиниция нямате право да искате тези данни, освен ако е крайно належащо и може да се мотивирате защо искате тези данни. И за тях се иска разрешение преди да ги обработваме:
- етнически произход;
- политически и религиозни възгледи;
- медицински данни;
- сексуална ориентация;
- данни за присъди и нарушения.
Практическо прилагане
С новия Регламент за защита на личните данни (GDPR), важни изменения са в сила, включително:
Отпада нуждата от регистрация в Комисията за защита на личните данни – предишните задължения за регистрация с органите са премахнати.
Всяка фирма трябва да има разписани вътрешни правила за обработка на личните данни и регистриране на тези правила.
Не е необходимо да се иска ново съгласие за събраните преди 25-ти май лични данни, ако преди тази дата сте получили ясно съгласие от лицата за начина, по който ще се използват тези данни.
Не е задължително да се изтриват данни, събрани преди тази дата, но е редно да се грижите за тяхната съхранност и защита съгласно Регламента.
Има по-високи изисквания за техническите решения за съхранение, управление и достъп до личните данни. Много софтуери вече предоставят допълнителни опции за показване на събраните лични данни и тяхното управление.
Трябва да имате на своя уебсайт Политика за поверителност (или Политика за личните данни), която да обяснява какво правите с личните данни на посетителите си. Ако използвате “бисквитки” (cookies), според тяхния вид може да е достатъчно да информирате посетителите, че ги използвате на уебсайта си (което те потвърждават чрез клик върху бутона “ОК”), или да им предоставите възможността ръчно да решат кои “бисквитки” да приемат и кои да отхвърлят на база на описанията им, които сте предоставили на уебсайта си.
Нови понятия
В съответствие със законодателството за защита на личните данни, се разграничават две важни роли при обработката на лични данни:
Администратор на лични данни (controller): Този статус се отнася за фирмата и нейните служители, които определят какви лични данни ще бъдат събирани, с каква цел, за какъв период и как ще бъдат използвани тези данни. Администраторът на лични данни има контрол и отговорност за обработката на тези данни и трябва да гарантира, че събирането и обработката се извършват съгласно законовите изисквания.
Обработващ лични данни (processor): Този статус се отнася до подизпълнители, външни фирми или платформи, които обработват лични данни по поръчка на администратора. Обработващите лица не вземат решения за събиране и обработка на данните, а само изпълняват инструкциите на администратора. И в този случай, обаче, трябва да спазват съответните законови изисквания и да имат подходящи процедури за защита на личните данни.
За каквато и да било обработка на лични данни, както за администраторите, така и за обработващите лица, е важно да бъдат разработени вътрешни правила за обработка на лични данни, които да гарантират съответствие със законодателството. Обработката на лични данни може да се извършва на база съгласие от страна на физическото лице, на база на законови задължения или на база сключен договор (както онлайн, така и на хартия).
Вътрешните правила трябва да отговарят на много въпроси, сред които:
При обработката на лични данни, както го изисква законодателството за защита на личните данни, е важно да бъдат определени следните аспекти:
Защо обработваме данните: Трябва да се посочи целта или целите, за които се събират и обработват личните данни. Например, целта може да бъде изпълнение на договор, изпращане на новини и маркетингови съобщения, управление на поръчки, осигуряване на поддръжка на клиенти и др.
Как обработваме данните: Тук трябва да се посочи какви конкретни действия се извършват със събраните данни, например съхранение, обработка, анализ, предаване на трети страни и др.
Точно какви данни обработваме: Трябва да бъде ясно и конкретно определено какви видове лични данни се събират и обработват. Това може да включва информация като имена, адреси, електронни пощи, данни за плащания, банкови данни, идентификационни номера и други.
За какъв период от време ще ги обработваме: Трябва да се определи периодът, за който ще се съхраняват и обработват личните данни. Този период може да бъде свързан със законови изисквания, целта на обработката или други обстоятелства.
Тези аспекти трябва да бъдат ясно и изчерпателно определени във вътрешните правила и политики за обработка на лични данни, които организацията следва. Това помага както за зачитане на правата на физическите лица, чиито данни се обработват, така и за спазване на законодателството за защита на личните данни.
Права на субектите (потребителите):
Съгласно правата, предоставени на физическите лица във връзка с обработката на техните лични данни съгласно законодателството за защита на личните данни, следните права са от съществено значение:
Право на достъп до личните си данни: Физическите лица имат право да поискат и получат потвърждение от администратора на лични данни дали се обработват техни лични данни и да получат достъп до тези данни. Това право позволява на лицата да бъдат информирани за обработването и да проверят коректността на техните данни.
Право на коригиране и уведомяване: Физическите лица имат право да поискат от администратора на лични данни да коригира неточни или непълни данни за тях. Администраторът също така трябва да уведоми всички получатели на лични данни за корекцията, освен ако това се окаже невъзможно или изисква непропорционални усилия.
Право на изтриване (да бъде забравен): Физическите лица имат право да поискат от администратора на лични данни изтриването на техните лични данни, особено ако данните вече не са необходими за целите, за които са били събрани или обработвани, или ако лицата оттеглят съгласието си за обработката. Този процес включва и информиране на трети страни, които са получили тези данни.
Право на преносимост към друг администратор на лични данни: Физическите лица имат право да получат личните си данни в структуриран, общоизползваем и машинно четим формат и да ги предадат на друг администратор на лични данни. Това право важи само когато обработката се извършва чрез съгласие или за изпълнение на договор и се извършва по автоматизиран начин.
Тези права предоставят на физическите лица по-голям контрол над техните лични данни и гарантират зачитането на техните права в контекста на обработката на лични данни.
За кого важи новия Регламент?
Регламентът за защита на личните данни (GDPR) е приложим към всички фирми, без значение от техния размер. Глобите, предвидени в GDPR, са съществено големи и могат да достигнат до 20 милиона евро или 4% от глобалния оборот на компанията, в зависимост от кое от двете е по-високо. Тази санкция е налице, за да насърчи всички организации, включително и най-малките, да спазват правилата за защита на личните данни.
Важно е да се подчертае, че и малките фирми подлежат на GDPR, но изискванията и санкциите може да бъдат по-ниски за тях в сравнение с по-големите организации. Нарушенията на GDPR се наблюдават и се санкционират, дори и за по-малките фирми, но санкциите обикновено са в съответствие с размера и сериозността на нарушението.
Целта на наложените глоби е наистина да насърчат всички организации да се съобразяват с изискванията на регламента, тъй като дори по-малките глоби могат да окажат сериозно въздействие върху бизнеса на компанията. Това означава, че всяка фирма, независимо от размера си, трябва да вземе мерки за съответствие с GDPR и да гарантира, че личните данни на клиентите и служителите се обработват в съответствие с законодателството за защита на личните данни.
И преди и след 25-ти май важат следните изисквания, които често не се спазват:
Според Регламента за защита на личните данни (GDPR), забранено е автоматично да се поставят отметки, че потребителят е съгласен с каквото и да е. Правилният подход е всички полета за съгласие да бъдат празни, а потребителят да има възможност ръчно да кликне върху тях, за да изрази своято съгласие. Това означава, че съгласието трябва да бъде изрично и доброволно.
Също така, фирмите нямат право да събират повече лични данни, отколкото са им необходими за изпълнение на конкретната услуга или за целите, за които са били събрани. Например, ако клиент поръчва продукти от онлайн магазин, данните от личната карта обикновено не са необходими за доставка на продуктите. Събирането на излишни лични данни е забранено съгласно GDPR. Изключение от това правило може да се прави само в случаи, когато друг закон задължава събирането на допълнителни данни (например, банките могат да изискват копие на личната карта при откриване на банкова сметка).
Важно е да се подчертае, че GDPR съдържа множество изисквания и детайли, които се прилагат в зависимост от конкретната дейност и начин на обработка на лични данни. Затова е препоръчително да се консултирате с адвокат или специалист по защита на личните данни, за да се уверите, че вашата фирма съответства на всички изисквания на регламента, които са приложими към вашия случай.
Свържете се с нас
за БЕЗПЛАТНА консултация!
