GDPR – регламентът влиза в сила от 25 май

При установени нарушения на GDPR глобите достигат до 20 млн. евро или 4% от годишния оборот на нарушителя. Сериозните санкции налагат и сериозни мерки от страна на компаниите и институциите, които обработват лични данни, но оценката на процесите и взимането на конкретни мерки често се оказват предизвикателство за по-малките бизнеси, които нямат финансовия ресурс да наемат необходимите специалисти. Решения има, но нека започнем от малко по-далече.

Какво е GDPR?

General Data Protection Regulation (GDPR) e Общ регламент за защита на данните. Той започва да се прилага ефективно от 25 май тази година и под негово влияние попадат всички компании, организации и институции, които обработват лични данни.

Целта на мярката е да наложи по-сериозен контрол на събирането, използването и съхраняването на личните данни на потребителите, неща, които в ерата на интернет сякаш останаха на заден план за сметка на постоянното и безконтролно събиране и използване на информация, описано в дълги и задължителни общи условия, които потребителите рядко четат.

Регламентът важи при обработването на лични данни на граждани на Европейския съюз и дори компанията да е базирана извън ЕС, ако оперира с данни на негови граждани, е длъжна да следва GDPR.

Какво изисква GDPR от компаниите?

Най-просто казано, регламентът ще задължи обработващите събраните лични данни да ги използват само за целите, за които са събрани и да ги съхраняват само докато причината за събирането им изтече (освен ако законово не е определен друг период). Казано с други думи, ако например пуснете онлайн заявка за включване на някаква услуга, след което се откажете (защото не са ви харесали условията), данните ви трябва да се изтрият, а не да се използват занапред, за да ви се изпращат мейли, SMS-и и да получавате телефонни обаждания или пък да се предоставят на трета страна с други цели.

За да имат право да използват личните ви данни за маркетингови комуникации, компаниите трябва да вземат от вас изричното ви съгласие, като преди това ви обяснят ясно и разбираемо какво ще се случва със събраната информация. Това означава край на предълги общи условия, в които между другото са споменати клаузи, в които се съгласявате данните ви да се използват за едно или друго. Съгласието трябва да е изрично и свободно – тоест не може да ви бъде отказана услуга, защото не сте се съгласили да получавате рекламни съобщения, нито може да е предефинирано с маркиран чекбокс.

Други права, които потребители ще имат, е да поискат изтриването на всичките си данни, познато още като „правото да бъдеш забравен“. Ако законът не изисква информацията да бъде пазена (например по закон информация за ведомости и заплати трябва да се пази 50 години от работодателя), то всеки може да изиска заличаването на всички лични данни, обратна връзка от компанията и институцията, към която е подал искането си, както и доказателство, че молбата му е изпълнена. Това означава, че компаниите трябва да въведат процедури, по които потребителите могат да пускат своите искания и по които исканията да бъдат изпълнявани, както и служители, които да се занимават с това.

Регламентът затяга и условията, при които личните данни се съхраняват и достъпът, който служителите имат до тях. Казано с други думи, всяка компания трябва да има и да може да предоставя ясна информация какви лични данни има, как ги обработва, съхранява и гарантира сигурността им и какви разрешения е получила за използването им от всеки един потребител.

Съдбата на компаниите в ръцете на потребителите

Всеки потребител, който се усъмни в начините, по които се използват личните му данни, може да съобщи в Комисията за защита на личните данни. Проверката по жалбата и аргументирания отговор не са пожелателни (всеки, който е подавал жалба знае, че нерядко тя потъва), а задължителни. Ако не получи становище в рамките на максимум 3 месеца, всеки потребител има право да заведе дело срещу съответния орган, в който тя е подадена.

Има ли лесно решение?

Лесно решение няма, но всяко пътуване започва с първата крачка. Затова е важно преди да започнете с промените, да анализирате текущата ситуация и да прецените на кои от изискванията на GDPR отговаряте и на кои – не. Това е т.нар. GAP тест, който се прави от екип консултанти. В продължение на няколко месеца те анализират работата на различните отдели, преглеждат наличните документи и организират интервюта със служителите. След като добият представа за процесите в компанията, консултантите оценяват доколко тя отговаря на изискванията и дават своите препоръки. Стойността на услугата е в порядъка на 10 000 лв., а продължителността може да достигне до 6 месеца.

Друг алтернативен вариант е да използвате софтуерно решение, което може да ви спести време и разходи. GDPRТест е нова услуга, която телекомът NET1 предлага в партньорство, с което цели да улесни компаниите, като им предостави бърз и компетентен анализ на достъпна цена, на база на който те могат да направят нужните корекции, за да спазят изискванията на GDPR.

Иновативната услуга е интерактивна и предоставя персонализиран отчет, който анализира текущата степен на съответствие между процесите и регламента и дава насоки за решения, които биха спестили на компаниите главоболия и санкции в бъдеще.