GDPR или General Data Protection Regulation е общ регламент за защита, разработван от много време насам. Изготвен от ЕС, той цели да укрепва правата на лицата, живеещи в страните-членки на ЕС, и да хармонизира законите за защита на правата и личните данни във всички страни, като ги прави еднакви. Това увеличава потенциалните глоби, пред които са изправени организациите за злоупотреба с данни и улеснява хората да откриват каква информация организациите имат за тях. По същество се цели да се постигне по-голяма прозрачност за хората относно събирането на данни от организациите за тях и за това, за какво ги използват, както и да се даде възможност на хората да предотвратят ненужното събиране на данни.
Защо е изготвен?
Въпреки че много от правилата на GDPR са подобни на тези, определени в директивата на ЕС за защита на личните данни от 1995 г. (която е залегнала в Закона на Обединеното кралство като Закон за защита на личните данни от 1998 г.), предишната директива е била създадена преди социалните медии и преди Интернет да преобразува начина, по който работим и живеем. Почти всички от нас се радват на използването на “безплатни” услуги като Google, Facebook и Twitter в замяна на широк кръг лична информация – от имена и имейл адреси, до политически нагласи и сексуална ориентация. Заблуждаващите условия и пасивните поленца за отмятане направиха, така че хората по-трудно да разберат какво точно са се съгласили да дават на тези гиганти. Потенциалните последици от тази широко дефинирана мисия засягаща лични данни, бяха демонстрирани от скандала на Cambridge Analytica във Facebook, където трето лице е видяло, че данните на милиони потребителски профили са остъргвани, като се твърди, че влияят върху резултатите от изборите в САЩ през 2016 г. Отделна цел на GDPR е да улесни и намали разходите на компаниите да спазват правилата за защита на данните. Директивата на ЕС от 1995 г. позволи на държавите-членки да тълкуват правилата, както сметнат за подходящи, когато го превърнат в местно законодателство. Характерът на GDPR като регламент, а не като директива, означава, че той се прилага пряко, без да се налага да бъде превърнат в закон, което създава по-малко различия в интерпретацията между държавите-членки. ЕС вярва, че това колективно ще спаси компаниите от 2,3 милиарда евро годишно.
Кога ще се прилага GDPR?
GDPR се прилага към организации от целия свят от 25 май 2018 г. Тъй като GDPR е регламент, а не директива, България няма нужда да изготвя ново законодателство – вместо това ще се прилага автоматично.
За кого се отнася GDPR?
Накратко, GDPR се прилага за почти всяка организация. Ако контролирате или обработвате лични данни, свързани с жители на ЕС – независимо дали те са клиенти или ваш собствен персонал – ще трябва да го направите по начин, който съответства на GDPR. Организациите не трябва да са базирани в ЕС, за да бъдат обвързани с GDPR. Те трябва да обработват или съхраняват данни само за жителите на ЕС. В зависимост от вашата роля при събирането или обработването на тези данни, регламентът ще ви разглежда като администратор на данни или процесор за обработка на данни.
Какво представляват администраторите на данни и процесорите за обработка на данни?
Администраторите на данни определят термините (как и защо) за обработка на данните, но не е необходимо да извършва тези дейности сами. Това означава, че биха могли да сключат договор с трета страна, за да събират и обработват данни, като им казват как да го направят, и да посочат за какво го правят. Процесорът на данни е третата страна, която извършва действителното събиране на данни и обработката на данни. Това означава, че контролерът може да бъде всяка организация, от търговец на дребно до глобален производствен гигант до благотворителна организация, а процесорът може да бъде фирма за ИТ услуги. Задачата на администратора е да се увери, че процесорът спазва законите за защита на данните, докато процесорите трябва да поддържат записи на техните обработващи дейности, за да докажат, че спазват правилата. Ако преработвателят наруши GDPR, той трябва незабавно да уведоми своя администратор и администраторът ще бъде отговорен за финансови санкции, ако техният процесор наруши правилата.
Как да получите съгласие при GDPR?
Съгласието трябва да е активно, положително действие от страна на субекта на данните, а не пасивно приемане по някои настоящи модели. Контролиращите лица трябва да водят отчет за това как и кога е дадено даденото съгласие на дадено лице, и че това лице може да оттегли своето съгласие, когато пожелае. Ако вашият текущ модел за получаване на съгласие не отговаря на тези нови правила, ще трябва да го формирате наново или да спрете да събирате данни по този модел.
Какво се брои като лични данни съгласно GDPR?
ЕС разшири съществено дефиницията на лични данни съгласно GDPR. Други данни, като например икономическа, културна или психическа здравна информация, също се считат за лична информация. Псевдонимните лични данни също могат да бъдат предмет на правилата на GDPR, в зависимост от това колко лесно или трудно е да се идентифицират. Всичко, което се брои като лични данни съгласно Закона за защита на данните, също се квалифицира като лични данни съгласно GDPR.
Какво е “право да бъдеш забравен”?
GDPR изяснява, че хората могат да изтриват данните си по всяко време, ако вече не са подходящи – т.е. компанията, която ги съхранява, вече не се нуждае от тях за целите, за които са ги събрали. Ако данните бяха събрани по модела на съгласие, гражданинът може да оттегли това съгласие, когато пожелае. Те биха могли да го направят, защото възразяват срещу това, как една организация обработва информацията си, или просто не иска тя да се събира повече.
Контролерът е отговорен да казва на други организации (например Google) да изтриват всички връзки към копия на тези данни, както и самите копия.
Организациите трябва да разберат какви данни придобиват, притежават и обработват, както и правната основа за това. Поверителността трябва да бъде разработена в системи и процеси и уважението към правата на субектите на данни трябва да бъде засилено. В същността си обаче защитата на данните е свързана със същите проблеми – разбирането на данните, които държите и защо.
2018 e време, в което начинът, по който избирате да представяте продуктите, услугите и самите Вас е от ключово значение. За да бъдете актуални с най-новите регламенти, тенденции и дизайн, може да разчитате на SEOMAX, най-добрият приятел на всеки бранд, когато става въпрос за поддръжка на сайт, SEO оптимизация и още много.
