GDPR вече действа

От днес вече действат новите правила за защита на личните данни в Европейският съюз. Целта на Общия регламент относно защитата на данните (GDPR) е да упражняват по-добър контрол. Освен това той модернизира и уеднаквява правилата, които позволяват на предприятията да намалят бюрокрацията и да се възползват от увеличаване на доверието на потребителите.

Новият регламент е част от пакета за реформи за защита на личните данни на ЕС, включващ още директивата за защита на данните за полицията и органите на наказателноправната система.

От днес гражданите ще имат улеснен достъп до техните данни, включително и по-голяма информация за обработването им. GDPR въвежда и ново „право за преносимост” на данните, което има за цел да улесни преноса на лични данни между доставчиците на услуги. Регламентира се и „право на забравяне”, което предвижда, ако дадено лице вече не желае данните му да се обработват и не съществува законна причина те да се съхраняват, да бъдат изтрити.

От Европейската комисия напомнят, че конкретната причина за договарянето на нови правила бе изразеното безпокойство на две трети от европейците от начина, по който се обработват данните им. Заместник-председателят на ЕК Андрус Ансип увери, че с промяната неприкосновеността на личния живот на европейските граждани ще бъде по-добре защитена, а предприятията ще ползват един и същ набор от правила в целия ЕС.

Според комисаря по въпросите на правосъдието и потребителите и Вера Йоурова с Общия регламент относно защитата на данните Европа потвърждава цифровия си суверенитет, подготвя се за ерата на цифровите технологии и си възвръща доверието в успеха глобална цифрова икономика.

По-големи права за гражданите

Следват основните права, съдържащи се в GDPR, много от които вече са гарантирани от различни национални закони:

• Правото да си информиран: щом потребител на интернет предоставя за ползване част от личните си данни, отсега нататък той ще трябва да знае за какво ще бъдат използвани те, колко време ще се съхраняват и дали ще напускат пределите на Европейския съюз, като информацията за това трябва да е "ясна и проста";
• Правото на достъп до личните данни, на коригиране и на премахването им: потребителят на дадена услуга трябва да може безпроблемно да поиска копие от личните си данни. В случай на грешка, особено ако тя би могла да нанесе щета, организацията или компанията е длъжна при поискване да поправи в най-кратък срок съхраняваната информация. Потребителят може също да поиска заличаване на данни, като оттегли съгласието си за ползването им;
• Правото да бъдеш забравен: вече известно на интернет-потребителите, това право позволява заличаване на линкове. Това означава при търсене на съдържание повече да не се появяват линкове, които ощетяват дадено лице. Теоретично обаче това право не се отнася за свободата на изразяване или информираност и не се прилага в случай че общественият интерес има превес;
• Правото на прехвърляне на данни: по правило смяната на доставчика на даден електронен адрес, без да се изгуби предишната кореспонденция, е възможно по силата на принципа за "преносимост на данните". Това обаче може да засегне доставчика на електроенергия или банка например. Компанията, която потребителят напуска, трябва да може да прехвърли данните към новия доставчик или, ако това не е възможно, да предаде всички данни на потребителя във файлов формат, който позволява въвеждането им в друга система;
• Правото на достъп до автоматизирана система: тъй като алгоритмите играят все по-важна роля в процесите по вземане на решение, например за влизане в университет, трябва да е налице и възможност за оспорване и искане на човешка намеса;
• При незачитане на тези права има възможност да се подаде възражение пред Националната комисия за информатика и свободи (НКИС) във всяка европейска страна, която ще има грижата да го предаде на комисията в страната, където се намира съответната компания или организация. Окончателното решение ще се взема от групата на всички национални комисии - Г28 - и ще е в сила във всички европейски страни.
  

Нови правила за компаниите

Компаниите са засегнати в различна степен в зависимост от типа данни, които събират, от начина на ползването им или обема им. Основното при тези най-често малки и средни фирми е да е защитена базата данни на клиентите или доставчиците им. Както подчерта НКИС, става въпрос по-скоро за "разумни правила", отколкото строги задължения.

От друга страна GDPR се отнася за всички компании, които работят в една или повече европейски страни, независимо дали самите компаниите са европейски или не.

Както и потребителите на интернет, компаниите имат възможност да подават възражения в НКИС;
Целта е "да се ограничи количеството на обработваните данни от самото начало".

Това предполага компаниите да посочват ясно данните, които са им необходими, както и начина за защитата им. Те са длъжни да ги актуализират редовно, но също да информират клиентите или подизпълнителите за събираните данни и целта на събирането им, както и за всички необходими средства за гарантиране на правата им.

Компаниите ще са длъжни да посочат кой отговаря за базите данни и кой във фирмата има достъп до тях. Освен това те ще трябва да осигурят всички необходими мерки за защита, особено на данните от деликатно естество.