Какво е GDPR и как да подготвим бизнеса си за него?

Какво е GDPR и как да подготвим бизнеса си за него?

Объркани ли сте от изискванията на  Регламента за общата защита на данните на Европейския съюз (ЕС)?

Чудите ли се как GDPR ще повлияе върху маркетинга ви след 25 май 2018 г.?

В няколко поредни статии ще се опитаме да направим общ преглед на GDPR, да разгледаме как може да повлияе въвеждането му върху събирането на данни, с които работите, и как да се уверите, че сте готови за изпълнението на всички изисквания на Регламента.

Нека първо си отговорим на няколко въпроса.

Какво е GDPR ?

Хвърлящата в ужас повечето собственици на бизнес и мениджъри на различни нива абревиатура GDPR означава General Data Protection Regulation /Общ регламент за защита на личните данни/ и според създателите му това е най-значимата промяна за ефективна защита на личните данни в Европейския съюз за последните 20 години. Официалният документ Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни е обнародван в Официален вестник на Европейския съюз на 4 май 2016 г., но влиза в сила на 25 май 2018 г. и става задължителен за всички държави членки, включително България.

Неговата цел е да осигури по-голяма защита на личната информация на отделния човек и начина, по който се събира, съхранява и използва тя. А фирмите, които притежават, събират или обработват личните данни на хората, намиращи се на територията на ЕС, се налага да се съобразяват и прилагат  по-строги изисквания. Тук има и една уловка – Регламентът разширява териториалния обхват на европейските правила за защита на личните данни и те ще важат, ако става въпрос за лични данни на граждани, които се намират в ЕС, независимо дали администраторът на лични данни ги обработва извън територията на Европейския съюз.

Това ще важи в случаите, когато дейностите по обработване на данни от страна на такива администратори, са свързани с предлагането на стоки и услуги на физически лица, намиращи се в съюза, независимо дали от субекта на данни се изисква плащане, както и наблюдението на тяхното поведение, доколкото това поведение са проявява в рамките на съюза. Това е изключително важно за маркетинга, защото в голяма част от работата на дигиталните маркетолози, а и не само, данните на потребителите ни се съхраняват и обработват от оператори извън ЕС.

Предвидени са и солени глоби за организациите, които не отговарят на изискванията на GDPR, които могат да бъдат до 20 млн. евро или до 4% от общия годишен световен оборот на компанията – която от двете суми е по-висока, като варират според тежестта на нарушението.

Какво представляват личните данни?

Това всъщност е един от най-трудните въпроси по тази материя, защото Регламентът обхваща всички аспекти на публичния и бизнес живот. Най-общо GDPR дефинира личните данни като информация, свързана с физическо лице или „субект на данни“, която може да се използва за пряко или косвено идентифициране на лицето. Такива са:

  • „обикновени“ лични данни – имена, адрес, електронна поща, IP адрес, снимки, банкови данни, публикации в социалните мрежи и т.н.;
  • единен граждански номер;
  • специални (чувствителни) лични данни – данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на лицето.

Регламентът позволява администраторите да обработват псевдонимизирани лични данни. Псевдонимизация означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано. Именно поради тези специфики на псевдонимизираните данни, Регламентът предвижда по-малко строги правила за обработване на тези данни, като по този начин насърчава администраторите да използват тази техника.

Има и специфични изисквания при обработката на лични данни на деца. За тях трябва да се прилага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, заплахи и евентуални неблагоприятни последствия от неправомерното обработване на данни, както и своите права. Тази защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето. Във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако то е поне на 16 години. Ако е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

Как да се подготвим за заветната дата 25 май 2018 г.?

Съставете план на действие за съответствие, одитиране и прилагане на GDPR. Тук не говорим само за маркетинговата дейност, а цялостно за организацията. Планът, който предлагаме е чисто информационен и насочващ, не претендира за изчерпателност, просто защото към различните бизнеси и организации има специфични положения, които не можем да обхванем напълно.

Най-общо планът начертава стъпките, които да предприемете за практическото прилагане на Общия регламент относно защитата на данните (Регламент 2016/679) и включва:

  • Определяне на служител или екип, който да се запознае с новите правила и който ще бъде натоварен да преведе дейността на дружеството или организацията в съответствие с нормативните изисквания.

Тук е важно да отбележим, че този екип или служител не е задължително да бъде длъжностното лице по защита на данните, което се изисква от Регламента, но дори да се доверите на външен партньор, който да поеме тази дейност, вие отново ще се нуждаете от екип или служител, който да познава добре организацията, дейността й и вътрешно фирмената политика.

Какво трябва да се познава: Регламент 2016/679 (Общ регламент относно защитата на данните), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Комисията за защита на личните данни (КЗЛД) и Работната група по чл. 29 (след 25.05.2018 г. на Европейския комитет по защита на данните).

  • Анализ на събирането, съхранението и обработването на лични данни в организацията.

Трябва да си отговорите на следните въпроси: Какви категории лични данни и на какви категории физически лица (независимо от тяхното гражданство) се обработват? За какви конкретни цели се събират, съхраняват и обработват личните данни? На кого се предоставят или разкриват личните данни извън организацията? Дали се предават (трансферират) лични данни в други държави, в кои (държава членка на Европейския съюз или трета страна) и на какво правно основание? Колко време се съхраняват личните данни в организацията и как е определен този срок? Какви мерки за сигурност се прилагат за защита на данните?

  • Определяне на длъжностно лице по защита на личните данни

В Регламента са изброени администраторите на лични данни, които са задължени да определят Длъжностно лице по защита на данните (физически и юридически лица):

  • Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  • Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
  • Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Длъжностно лице по защита на данните може да е назначен служител в организацията или да съвместява с друга длъжност (без да попада в конфликт на интереси). Също така може да е по граждански договор с външно за организацията физическо лице. То трябва да притежава експертни познания в областта на защитата на данните – законодателство и практика. Както и да му се проведе първоначално и текущо обучение.

  • Оценка и управление на риска по отношение на защитата на личните данни.

Според Регламента субектът на данни (физическото лице, за което се отнасят данните) има право на:

  • Информираност – физическото лице трябва да бъде известено в рамките на 72 часа, след като за пръв път се установи нарушение в съхранението на неговите лични данни. Т. нар. преработватели на данни също ще трябва да уведомяват своите клиенти – администраторите, „без неоснователно забавяне“, след като за първи път узнаят за нарушение на данните;
  • Достъп до собствените си лични данни (Right to Access) – част от разширените права на субектите на данни, очертани от GDPR, е правото да получат от администратора на данни потвърждение дали личните данни, отнасящи се до тях, се обработват или не, къде и за каква цел. Освен това администраторът предоставя безплатно копие от личните данни в електронен формат;
  • Коригиране (ако данните са неточни);
  • Правото „да бъдеш забравен“ (Data Erasure) – дава право на субекта на данни да изтрие личните данни на администратора на данни, да прекрати по-нататъшното разпространение на данните и евентуално да преустанови третирането на данните от трети страни. Условията за изтриване, както е посочено в член 17, включват данните, които вече не са свързани с първоначалните цели за обработка, или субектите на данни, които оттеглят съгласието си. Следва също да се отбележи, че това право изисква от администраторите да сравняват правата на субектите на „обществения интерес към наличието на данни“ при разглеждането на такива искания;
  • Ограничаване на обработването от страна на администратора или обработващия лични данни – при наличие на правен спор между организацията и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции;
  • Преносимост на личните данни между отделните администратори – ако се обработват по автоматизиран начин на основание съгласие или договор. За целта данните се предават в структуриран, широко използван и пригоден за машинно четене формат. Ако е технически осъществимо, прехвърлянето на данните може да стане пряко от един администратор към друг. Правото на преносимост обхваща само данни, предоставени лично от субекта на данни, както и лични данни, генерирани и събрани от неговата дейност;
  • Възражение спрямо обработването на негови лични данни;
  • Право на защита по съдебен или административен ред, в случай че правата на субекта на данни са били нарушени;
  • Осигуряване на необходимия технически, финансов и човешки ресурс;

 

  • Прозрачност и информираност на субектите на данни за събираните лични данни

Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на организацията или по друг достъпен за субектите на данни начин. Информиране по подходящ начин на работниците и служителите в случай, че работодателят извършва видеонаблюдение на работното място, следи средствата за електронна комуникация на работното място, предоставени от дружеството (интернет, телефон, мобилен телефон), с цел предотвратяване на злоупотреби.

  • Документиране и отчетност

Създаване и редовно актуализиране на вътрешен регистър на дейностите по обработване на лични данни в дружеството/организацията. Приемане на вътрешна инструкция/правила/процедури/политика за защита на личните данни. Актуализиране на договореностите с обработващите лични данни с цел включване в тях на всички задължителни реквизити съгласно чл. 28 от Общия регламент относно защитата на данните. Актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните. Създаване на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.

 

Това беше кратък обзор по темата за общия регламент за защита на личните данни и новостите, които той въвежда. В следващата статия ще разгледаме конкретните аспекти, които засягат маркетинговата дейност на организациите.

0 Comments

Leave a reply

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

CONTACT US

We're not around right now. But you can send us an email and we'll get back to you, asap.

Sending

© Perfecta Marketing Agency 2018. Designed by antoniyaat

Log in with your credentials

Forgot your details?