Идната седмица в ЕС влиза в сила най-мащабната реформа за защита на потребителите от повече от двадесет години насам – Общият регламент за защита на личните данни (GDPR).

Досегашната европейска директива за защита на личните данни бе от 1995 г. За тези двадесетина години интернет стана масово достъпен, социалните мрежи изгряха и някои започнаха да залязват, а интернетът на нещата е на път да навлезе в живота на обикновения човек. Ето защо беше крайно време да се създаде ново европейско законодателство, което да пази неприкосновеността на гражданите.

То залага на основни принципи и дефиниции, които да гарантират, че потребителите знаят за какво и как компаниите използват информацията им. Ето какво означават най-важните от тях, обяснени от българската Комисия за защита на личните данни.

Съгласие

То трябва да бъде:

– свободно изразено – да не е дадено под натиск или заплаха от неблагоприятни последици (например по-висока цена на услуга);

– конкретно – отделно съгласие за всяка конкретно определена цел, а когато е относимо – и за конкретна категория лични данни;

– информирано – дадено на основата на пълна, точна и лесно разбираема информация;

– недвусмислено – да не се извлича или предполага въз основа на други изявления или действия на лицето;

– дадено с активно действие: чрез изрично изявление или ясно потвърждаващо действие, включително онлайн. Мълчанието на лицето или предварително отметнати квадратчета за съгласие не могат да се приемат за валидно съгласие.

Лицето има право да оттегли своето съгласие по всяко време, като начинът за това следва да бъде толкова лесен и достъпен, колкото начинът, по който съгласието е било дадено.

Профилиране

Това е автоматизирано обработване на лични данни с цел оценяване на определени лични аспекти, свързани с дадено лице. Сред тях – анализиране или прогнозиране на поведението му, изпълнението на професионалните му
задължения, икономическото му състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

Физическото лице – обект на профилиране, следва да бъде информирано за извършването му и за последствията от него. То има право да възрази срещу профилирането по всяко време.

Профилирането не следва да води до дискриминация на лицата въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждение, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация. Профилирането не може да се прилага спрямо дете.

Длъжностно лице по защита на данните

Този човек трябва да гарантира, че администраторът на лични данни спазва закона. Той трябва да разполага с професионални качества и експертни познания в областта на защитата на личните данни (законодателство и практика) и такива експерти са все по-търсени по света и в България, тъй като GDPR ще засегне всички фирми, които обработват данни на европейци, дори да не са базирани в ЕС.

Задължение да определят Длъжностно лице по защита на данните имат следните администратори на лични данни (физически и юридически лица):

– публичен орган или орган на местно самоуправление;

– администратори, които извършват системно и мащабно наблюдение на
субектите на данните;

– администратори, които извършват мащабно обработване на специални
(чувствителни) лични данни;

– в други, предвидени в закон случаи.

Отчетност

Това задължение е ново за администраторите. В него се включват:

– поддържането на регистри на дейностите по обработване;

– определяне на длъжностно лице по защита на личните данни, когато такова
се изисква;

– извършване на оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица.
– своевременно уведомяване на Комисията за защита на личните данни и субекта на данните при нарушения на сигурността;

– прилагане на доброволни механизми за сертифициране и/или спазването
на кодекси на поведение.

Защита по подразбиране

Това изискване означава, че администраторите трябва да прилагат механизми, които по подразбиране гарантират изпълнението на следните изисквания:

– да се обработва само минималното количество лични данни, които са абсолютно необходими за постигането на всяка специфична цел;

– данните да се съхраняват за минималния срок, абсолютно необходим за постигане на целите на обработване (например за периода, необходим да се предостави съответният продукт или услуга), и след това заличени при
спазване на съответните правила и процедури;

– всеки достъп, предаване или споделяне на данни е допустим само при наличие на валидно правно основание за това (например съгласието на субекта на данни или правни задължения на администратора).

– в интернет средата, най-често социалните мрежи, защитата на данните по подразбиране изисква активиране по подразбиране на най-стриктните настройки за поверителност, които не позволяват автоматично споделяне на данни. Например информация за дадено лице, публикувана в социалните мрежи, не трябва да бъде достъпна и видима за неограничен кръг лица по подразбиране, освен ако самото лице, за което информацията се отнася, не го разреши със свое активно утвърдително действие.

в. Дневник

Оставете отговор

Please enter your comment!
Моля въведете името ви