ТЕМА: От 25 май всяка фирма с пазител на личните данни
На 25 май влиза в действие новият Общ правилник на Европейски Съюз за отбрана на персоналните данни (Регламент 2016/679 GDPR - General Data Protection Regulation). Това ще засегне всяка институция, организация и бизнес в Европейски Съюз и съответно в България, която съхранява персонални данни. Целта на регламента е да завиши ограниченията за техническа сигурност на обработваните персонални данни посредством криптиране, шифроване и обезличаването им за да се понижи риска от злоумишлен пробив в интернет системите. Новите условията по GDPR са съществени, а санкциите за неспазването им – доста високи (до 4% от общия оборот на организацията или до 20 млн. евро).
Европейският съюз и България като част от него от ден на ден се цифровизират, а институциите и компаниите не престават да събират персонални данни, които досегашните нормативни актове на Европейски Съюз и у нас (включително и Законът за отбрана на персоналните данни) към този момент не могат да защитят съответно. Именно това наложи приемането на новия Регламент GDPR, който да отговори на бързата цифровизация на европейското общество.
GDPR ще засегне активността на всички бизнеси, които обслужват като крайни консуматори физически лица. Като се стартира от огромни компании, банки и търговски вериги и се стигне до най-обикновена аптека с 1-2 компютъра да вземем за пример, която работи с НЗОК и обработва данни на пациенти с реимбурсирани медикаменти.
Според условията на GDPR компаниите, админи на персонални данни, ще би трябвало да назначат " Служител по отбрана на данните " (DPO - Data Privacy Officer) или да сключат контракт с външен съветник за тази позиция. Служителят по отбрана на данните ще дава отговор за спазването на условията на регламента, ще съветва въвеждането на нови изискания, когато има такива и ще бъде и лицето за контакт с органите за отбрана на персоналните данни.
Сред най-засегнатите от новия правилник ще бъдат електронните търговци. Те към този момент ще би трябвало да получават годно по смисъла на GDPR единодушие от потребителите за потребление на персоналните им данни. Онлайн търговците би трябвало да съблюдават новите повишени условия на GDPR за бистрота и осведоменост на своите клиенти по отношение на обработването на техни персонални данни, които включват IP адрес, потребителско име, персонален акаунт, данни за банкова сметка, история на предходни покупки, желани артикули и прочие За задачата онлайн търговците наложително би трябвало да разгласяват на своите интернет страници елементарно разбираеми правила за отбрана на персоналните данни, в които в детайли да коментират тъкмо какви персонални данни събират, на кого ги дават и защо време ги съхраняват.
GDPR визира и всички онлайн търговци, които не са разположени в Европейски Съюз, само че продават артикули и услуги на жители на Общността, тъй че те също би трябвало да съблюдават условията на регламента.
Регламентът визира и работата на всички снабдители на сървърни услуги, профилиран програмен продукт, мобилни приложения и др.), които също би трябвало да дават отговор на новото равнище за отбрана на персоналните данни, изисквано от GDPR. В противоположен случай онлайн търговецът може да бъде глобен за несъблюдение на условията на Регламента и да би трябвало да заплати голяма санкция, равняваща се на до 4% от оборота му.
Златно време за
консултантите
Като всяко ново нещо, и влизането в действие на GDPR се употребява за печелене на пари. През последните месеци интернет пазарът у нас безусловно е залят от най-различни консултанти, които оферират разнообразни решения и услуги за въвеждането на условията на GDPR. Според специалисти обаче, в случай че един онлайн търговец разполага с добър екип от експерти с юридически и компютърни познания, в случай че има въведени ясни политики за ръководство на сигурността на информацията и надзор на достъпа, както и процедура за незабавно известяван на контролните органи при възможен пробив на сигурността на данните, би трябвало и самичък да се оправи с привеждане на активността си в сходство с GDPR.
Това излиза наяве също и от известие, оповестено на 11 май на формалната страница на Комисията за отбрана на персоналните данни (КЗЛД). От него излиза наяве, че по отношение на множеството запитвания на админи на персонални данни по отношение на осъществяване на узаконяване за сходство с GDPR, тя към момента не е акредитирала никоя организация или сдружение, които да правят такова узаконяване. КЗЛД обаче обръща внимание, че сертифициращ орган може да бъде упълномощен и в друга страна, членка на Европейски Съюз.
КЗЛД осведоми админите на персонални данни и жителите, че тя не е оторизирала и нито един обучителен център да организира образования в региона на отбраната на персоналните данни, нито пък е одобрила обучителни стратегии за това. Администраторите нямат обвързване да вземат участие в такива образования, безапелационни са от КЗЛД.
Комисията провежда огромна разяснителна акция по отношение на използването на GDPR, която ще продължи и след 25 май 2018 година
Тъй като огромната част от бизнеса обаче не разполага с нужния експертен, а към този момент времеви и запас, се постанова да потърси услугите на консултанти, които да му оказват помощ да отговори на условията на GDPR. Компаниите би трябвало да се ориентират към услугите на компании, в които има освен IT специалисти, само че също и адвокати, които са експерти по отбраната на персонални данни, както и инспектори по осведомителна сигурност и по стандарта ISO 27001.
Към някои от работодателските организации, като БСК да вземем за пример, към този момент действа профилиран Консултантски център по GDPR.
Бягайте от търговци, които
нямат документа на уеб страницата си
Що се отнася до потребителите, с цел да са сигурни, че техният онлайн търговец или компания, чиито клиенти са, дават отговор на условията на новия правилник, то преди да употребяват услугите им, те наложително би трябвало да се срещнат с политиката за отбрана на персоналните данни, която би трябвало да е оповестена на интернет страницата им. Ако такава информация не съществува - бягайте надалеч от тях. Ако търговецът съблюдава GDPR, то тази политика следва да съдържа в детайли изложение на типа и размера на персонални данни, които той обработва, лицата, на които ги дава и за какъв период.
Освен това всеки консуматор има право и да изиска от търговеца цялата негова информация, която той е обработвал и съхранявал преди влизането в действие на GDPR.
Привеждането на активността на онлайн търговците в сходство с условията на регламента ще има и редица удобни резултати за бизнеса. Това ще увеличи равнището на потребителското доверие към онлайн търговията, което особено в България по никакъв начин не е високо. Освен това GDPR задължава всеки търговец да обменя персонални данни единствено с такива други търговци, които са въвели условията на регламента, защото в противоположен случай ще носят цялостна отговорност при пробив на сигурността. Така огромните компании и търговци, които работят с подизпълнители и снабдители на услуги, първи ще потърсят сътрудници, които са съблюдават Регламента.
ПРИНЦИПИ НА GDPR
* Личните данни би трябвало да са точни и да бъдат поддържани в настоящ тип.
* Личните данни се съхраняват във форма, която да разрешава идентифицирането на субекта на данните за интервал, не по-дълъг от нужното за задачите, за които се обработват.
* Личните данни се обработват по метод, който подсигурява високо равнище на тяхната сигурност.
* Забранена е обработката на чувствителни персонални данни, които се употребяват с по-високо равнище на отбрана: данните за здравето, биометрия, породист и етнически генезис, политически възгледи и други
* Клиентите на компаниите, админи на персонални данни, имат право на:
- достъп до персоналните си данни
- да поправят неточности в персоналните си данни
- да изтриват персоналните си данни
- да научат за предмета на обработка на персоналните им данни
- да изтеглят персоналните си данни
Европейският съюз и България като част от него от ден на ден се цифровизират, а институциите и компаниите не престават да събират персонални данни, които досегашните нормативни актове на Европейски Съюз и у нас (включително и Законът за отбрана на персоналните данни) към този момент не могат да защитят съответно. Именно това наложи приемането на новия Регламент GDPR, който да отговори на бързата цифровизация на европейското общество.
GDPR ще засегне активността на всички бизнеси, които обслужват като крайни консуматори физически лица. Като се стартира от огромни компании, банки и търговски вериги и се стигне до най-обикновена аптека с 1-2 компютъра да вземем за пример, която работи с НЗОК и обработва данни на пациенти с реимбурсирани медикаменти.
Според условията на GDPR компаниите, админи на персонални данни, ще би трябвало да назначат " Служител по отбрана на данните " (DPO - Data Privacy Officer) или да сключат контракт с външен съветник за тази позиция. Служителят по отбрана на данните ще дава отговор за спазването на условията на регламента, ще съветва въвеждането на нови изискания, когато има такива и ще бъде и лицето за контакт с органите за отбрана на персоналните данни.
Сред най-засегнатите от новия правилник ще бъдат електронните търговци. Те към този момент ще би трябвало да получават годно по смисъла на GDPR единодушие от потребителите за потребление на персоналните им данни. Онлайн търговците би трябвало да съблюдават новите повишени условия на GDPR за бистрота и осведоменост на своите клиенти по отношение на обработването на техни персонални данни, които включват IP адрес, потребителско име, персонален акаунт, данни за банкова сметка, история на предходни покупки, желани артикули и прочие За задачата онлайн търговците наложително би трябвало да разгласяват на своите интернет страници елементарно разбираеми правила за отбрана на персоналните данни, в които в детайли да коментират тъкмо какви персонални данни събират, на кого ги дават и защо време ги съхраняват.
GDPR визира и всички онлайн търговци, които не са разположени в Европейски Съюз, само че продават артикули и услуги на жители на Общността, тъй че те също би трябвало да съблюдават условията на регламента.
Регламентът визира и работата на всички снабдители на сървърни услуги, профилиран програмен продукт, мобилни приложения и др.), които също би трябвало да дават отговор на новото равнище за отбрана на персоналните данни, изисквано от GDPR. В противоположен случай онлайн търговецът може да бъде глобен за несъблюдение на условията на Регламента и да би трябвало да заплати голяма санкция, равняваща се на до 4% от оборота му.
Златно време за
консултантите
Като всяко ново нещо, и влизането в действие на GDPR се употребява за печелене на пари. През последните месеци интернет пазарът у нас безусловно е залят от най-различни консултанти, които оферират разнообразни решения и услуги за въвеждането на условията на GDPR. Според специалисти обаче, в случай че един онлайн търговец разполага с добър екип от експерти с юридически и компютърни познания, в случай че има въведени ясни политики за ръководство на сигурността на информацията и надзор на достъпа, както и процедура за незабавно известяван на контролните органи при възможен пробив на сигурността на данните, би трябвало и самичък да се оправи с привеждане на активността си в сходство с GDPR.
Това излиза наяве също и от известие, оповестено на 11 май на формалната страница на Комисията за отбрана на персоналните данни (КЗЛД). От него излиза наяве, че по отношение на множеството запитвания на админи на персонални данни по отношение на осъществяване на узаконяване за сходство с GDPR, тя към момента не е акредитирала никоя организация или сдружение, които да правят такова узаконяване. КЗЛД обаче обръща внимание, че сертифициращ орган може да бъде упълномощен и в друга страна, членка на Европейски Съюз.
КЗЛД осведоми админите на персонални данни и жителите, че тя не е оторизирала и нито един обучителен център да организира образования в региона на отбраната на персоналните данни, нито пък е одобрила обучителни стратегии за това. Администраторите нямат обвързване да вземат участие в такива образования, безапелационни са от КЗЛД.
Комисията провежда огромна разяснителна акция по отношение на използването на GDPR, която ще продължи и след 25 май 2018 година
Тъй като огромната част от бизнеса обаче не разполага с нужния експертен, а към този момент времеви и запас, се постанова да потърси услугите на консултанти, които да му оказват помощ да отговори на условията на GDPR. Компаниите би трябвало да се ориентират към услугите на компании, в които има освен IT специалисти, само че също и адвокати, които са експерти по отбраната на персонални данни, както и инспектори по осведомителна сигурност и по стандарта ISO 27001.
Към някои от работодателските организации, като БСК да вземем за пример, към този момент действа профилиран Консултантски център по GDPR.
Бягайте от търговци, които
нямат документа на уеб страницата си
Що се отнася до потребителите, с цел да са сигурни, че техният онлайн търговец или компания, чиито клиенти са, дават отговор на условията на новия правилник, то преди да употребяват услугите им, те наложително би трябвало да се срещнат с политиката за отбрана на персоналните данни, която би трябвало да е оповестена на интернет страницата им. Ако такава информация не съществува - бягайте надалеч от тях. Ако търговецът съблюдава GDPR, то тази политика следва да съдържа в детайли изложение на типа и размера на персонални данни, които той обработва, лицата, на които ги дава и за какъв период.
Освен това всеки консуматор има право и да изиска от търговеца цялата негова информация, която той е обработвал и съхранявал преди влизането в действие на GDPR.
Привеждането на активността на онлайн търговците в сходство с условията на регламента ще има и редица удобни резултати за бизнеса. Това ще увеличи равнището на потребителското доверие към онлайн търговията, което особено в България по никакъв начин не е високо. Освен това GDPR задължава всеки търговец да обменя персонални данни единствено с такива други търговци, които са въвели условията на регламента, защото в противоположен случай ще носят цялостна отговорност при пробив на сигурността. Така огромните компании и търговци, които работят с подизпълнители и снабдители на услуги, първи ще потърсят сътрудници, които са съблюдават Регламента.
ПРИНЦИПИ НА GDPR
* Личните данни би трябвало да са точни и да бъдат поддържани в настоящ тип.
* Личните данни се съхраняват във форма, която да разрешава идентифицирането на субекта на данните за интервал, не по-дълъг от нужното за задачите, за които се обработват.
* Личните данни се обработват по метод, който подсигурява високо равнище на тяхната сигурност.
* Забранена е обработката на чувствителни персонални данни, които се употребяват с по-високо равнище на отбрана: данните за здравето, биометрия, породист и етнически генезис, политически възгледи и други
* Клиентите на компаниите, админи на персонални данни, имат право на:
- достъп до персоналните си данни
- да поправят неточности в персоналните си данни
- да изтриват персоналните си данни
- да научат за предмета на обработка на персоналните им данни
- да изтеглят персоналните си данни
Източник: standartnews.com
КОМЕНТАРИ