Еврокомисията въвежда огромни глоби за злоупотреба с лични данни

Всички компании, опериращи с лични данни, трябва да въведат редица мерки, с които да намалят риска от изтичане на информация. В противен случай ги грозят глоби до 4% от годишния им глобален оборот, или до 20 млн. евро, в зависимост коя от двете суми е по-висока. Това гласи новият Общ регламент за защита на данни (GDPR – General Data Protection Regulation) на ЕС, който предстои да влезе в сила на 28 май 2018 г.

Регламентът се отнася само до личните данни на физически лица, като се очаква в бъдеще да се доразвие и за юридически.

Подготовката на законодателните промени стартира през януари 2012 г, като от тогава досега текстовете са претърпели над 4 500 промени. На 4 май 2016 г. GDPR бе официално одобрен от 28-те държави членки в Общността. Любопитно е, че документът е приет с 95% гласове „За“, което подчертава желанието на страните веднъж завинаги да приключат с този въпрос.

От тогава тече времето, в което бизнесът трябва да реагира и да се подготви за официалното влизане в сила на GDPR. "Проучванията сочат, че 80% от организациите в ЕС не са готови за промените към настоящия момент", подчерта Спас Иванов, директор продажби в CENTIO. Той напомни,  че до официалното влизане в сила на документа остава малко повече от една година.

Комисията за защита на личните данни (КЗЛД) е насрочила обучение за фирмите за май 2018 г. Това означава, че Комисията ще започне да обучава бизнеса за новите правила в месеца, в който регламентът влиза в сила.

Какво трябва да направят фирмите

Всяка компания първо трябва да разбере и документира с какви точно лични данни оперира, както и по какъв начин ги обработва. В зависимост от това следва да се вземат различни технологични мерки, за да се предотврати незаконна обработка, загуба, унищожаване или увреждане на данните.

Един от начините да се осигури максимално ниво на сигурност са псевдонимизацията (замяната на имена с псевдоними) и криптирането на информацията. "Ако организацията кодира наличната информация, това позволява при евентуална кражба на данни, да се гарантира неприкосновеността им", разясни Иванов.

За потребителите е важно да знаят, че даването на съгласие за ползването на личните им данни ще става след изричното им съгласие, а не вследствие на бездействие или предварително селектирани полета, както се правеше доскоро от някои недобросъвестни компании. Оттеглянето на съгласие ще става също толкова лесно. Потребителите ще имат право да поискат данните им да бъдат пренесени лесно към друга платформа, както и да бъдат забравени.

За да защити правата и данните на потребителите си, всяка компания трябва да вземе редица мерки, като една от препоръчителните е назначаването на служител по защита на данните (DPO). Неговата роля е да съблюдава спазването на регламента, консултира въвеждането на нови такива, контактува с националните органи за защита на личните данни. Този пост може да се заеме и от някой настоящ служител, стига той да има необходимия стаж и опит в областта.

Според новия регламент организациите са длъжни да сигнализират КЗЛД за проблема в рамките на 72 часа от момента, в който той е бил установен.

Неспазването на всички тези норми, ще навлече на компаниите огромни финансови затруднения. Въпреки разпространената максима „Невинен до доказване на противното“. Според GDPR логиката е обратна и при регистрирано нарушение компанията по презумпция е виновна, ако впоследствие не опровергае това становище. 

Глобата 

Глобата има два прага – единият е 4% от оборота на организацията, или 20 млн евро, а другият 2% от оборота на организацията, или 10 млн. евро, като сумата зависи от типа нарушение или несъответствие с GDPR. Според регламента глобата винаги ще е в размер на по-високата от двете суми. 

Причината да се сложи такъв голям праг е дейността на глобални компании като Apple, Google, Facebook, които са най-големите оператори с лични данни, но които предпочитат да плащат глоби вместо да спазват местните директиви. В техния случай ще бъдат глобявани с 2 или 4% от оборота им. 

Нуждата от GDPR

В момента има 28 различни регулации в рамките на ЕС, което означава, че в колкото страни членки оперира един бизнес, с толкова различни законодателства трябва да се съобразява. С въвеждането на GDPR ще се унифицира начинът на работа с лични данни в целия ЕС. Нещо повече, изчисленията сочат, че ще бъдат спестени общо 2.8 млрд. евро, които компаниите дават за правни консултации.

Настоящата уредба по отношение на защитата на лични данни датира от 1995 г. А оттогава досега светът на технологиите е коренно различен и законът не е актуален. Във въпросния документ все още се говори за хартиена документация, но не и за електронни файлове, каквито днес са широко разпространени.

Регламентът засяга абсолютно всички организации, било то и малки еднолични собственици. Може да сте електронен магазин с малко на брой регистрирани потребители и почти никакви продажби, но въпреки това ще трябва да се съобразите с регламента, тъй като събирате и обработвате клиентски данни, уточнява Спас Иванов. GDPR важи с еднаква сила за всички компании и независимо от тяхната народност (китайска, канадска или друга), решат ли да внедрят бизнеса си в ЕС, трябва да спазва новия регламент.