Какво е ОРЗД/GDPR…. или план за действие в три основни стъпки

ОРЗД GDPR

Дори и все още да не сте чували за ОРЗД/GDPR (Общ регламент за защита на личните данни/General data protection regulation), той е в сила на територията на целия Европейския съюз, а от 25 май 2018 г. ще влязат в сила и санкциите, свързани с въвеждането му.

Ние в Грайнд Уеб Студио, знаем колко е важна сигурността на личните данни на нашите потребители, затова отделихме време да се запознаем подробно с новите промени, които ще настъпят с въвеждането на Регламента, посъветвахме се с компетентни специалисти от адвокатско дружество, за да сме сигурни, че ще бъдем максимално подготвени. Искаме да споделим с вас нашия план за адаптиране в три основни стъпки, но преди това, нека първо уточним какво всъщност е ОРЗД/GDPR и как той ще се отрази на ев.ропейските компании.

Новите изисквания буквално чукат на вратата на европейския бизнес, а проучванията показват, че повечето компании не са подготвени и дори не знаят какво представлява. Съветваме ви да не бързате да заявите, че фирмата ви не е регистратор на лични данни и това не ви засяга, защото новият регламент разширява понятието лични данни (ЛД) и включва всяка информация, която може да идентифицира човек чрез религиозна принадлежност, физически особености, произход, роднини, членство в партия или организация, месторабота, здравословно състояние и др.

Всъщност почти не съществува бранш в ЕС, който няма да бъде засегнат от тези промени (както B2B, така и B2C компании). Ако се занимавате с онлайн търговия, вие оперирате с лични данни на клиентите си, свързани с адрес, контакти, банкови карти, история на пазаруване и др. Ако предлагате финансови услуги, вие разполагате с информация за доходи, кредитна история, ипотеки, собственост на имоти. Ако развивате дейност в сферата на здравеопазването, вие боравите с лични данни като здравна история, изследвания, медицински картон и др. Ако дейността ви е свързана с телекомуникации например, вие имате информация за геолокация, потребление на данни, хронология на обажданията на вашите клиенти. Дори тези от вас, които притежават автосервиз обработват данни като регистрационен номер на автомобила, талон, номер на рама и др. Все лични данни на физическото лице, с каквито всяка една компания оперира.

„Макар ОРЗД да предвижда отпадане на познатия общ регистрационен механизъм по отношение на администраторите на лични данни, въведеният принцип на отчетността съдържа много сериозни отговорности за администраторите. Фокусът е изместен от формалната процедура на първоначалната регистрация, към динамичен контрол на действително осъществяваната дейност по администрирането на личните данни и активната реакция на потребителски искания и жалби. Влизането в сила на Регламента ще постави пред онлайн търговията множество практически въпроси като оценка на събираните от тях данни, алгоритъма на тяхното обработване и съхранение, техническата и организационна готовност да спазят изискванията на Регламента за предоставяне на отчет, на известяване на потребителите за нарушения по повод на интегритета на личните данни и други задължения, по повод които една бек-енд система за мениджмънт на процесите и данните би била в огромна полза на задължените лица“ – коментира адв. Ирина Константинова, адвокат от екипа на Адвокатско дружество Русков.

Може би много от вас вече си задават въпроса “Какви ще бъдат последиците при неспазване на ОРЗД? ”. Глоба до 20 млн. евро или до 4% от общия оборот заплашва компаниите в Европейския съюз, които не отговарят на новите изисквания. Звучи страшно нали? Не изпадайте в паника, това няма да помогне. Но и не отлагайте твърде дълго да се адаптирате – регламентът влиза в сила съвсем скоро, затова ви предлагаме план за действие в три лесни стъпки, които ще са ви полезни, за да се подготвите:

Първи етап: Аналитичен

Запознайте се с ОРЗД и анализирайте информацията, с която боравите

Първото нещо, което трябва да направите е да сe запознаете с нормативната уредба и новите изисквания, за да сте наясно с реформите. След това анализирайте вида и обема на личната информация, която притежавате. Преди всичко, важно е да си отговорете на два въпроса: с каква цел събирате данни и дали не събирате данни, които не са ви необходими. Отговорите на тези два въпроса ще ви дадат ясна представа в каква посока да насочите усилията си, за да се адаптирате.

Не забравяйте да оцените целия процес на събиране, обработване и съхраняване на лични данни във вашата организация до този момент и трудностите, с които сте се сблъсквали. Много е важно да анализирате риска за съхраняваната информация и да помислите как да го сведете до минимум, за да сте сигурни, че отговаряте на промените на ОРЗД.

Втори етап: Организационен

Преструктурирайте работата с ЛД

От 25 май 2018г. следва да обърнете повече внимание на съхранението на лични данни на потребителите, като ще трябва да разписвате всички процедури, свързани с тях и тяхното използване. Преценете дали да назначите Длъжностно лице по защита на данните (ДЛЗД). Това ще бъде задължително само при компании, които оперират с лични данни на физически лица в голям мащаб или обработват чувствителни данни (свързани със здравеопазване, образование и др.), но ако вашата компания не е достатъчно запозната с новите промени, вие можете да назначите ДЛЗД или да възложите тази функция на компетентна фирма.

Обърнете специално внимание на потребителите си, изградете доверие, информирайте ги за начините, по които съхранявате техните ЛД и им съдействайте при възникнал проблем, за да се чувстват защитени, използвайки вашите услуги. Още една промяна навлиза с новия регламент, според която ще трябва да осигурите на всеки потребител правото „Да бъде забравен“, при което всяко физическо лице ще има възможност да подаде заявление, чрез което личните му данни да бъдат забравени от определена компания. Уверете се, че имате възможност да осигурите на вашите потребители това право по всяко едно време.

Трети етап: Технологичен

Преобразете вашата компания технологично

Изберете надежден софтуер, сигурна CRM система, облачни услуги, доверете се на доказани и компетентни професионалисти. Ако е необходимо, обновете вашия уеб сайт, така че да е сигурен и да отговаря на новите изисквания.

Според новите правила на ОРЗД, всеки уеб сайт, който използва „бисквитки“, трябва да информира потребителите за това, а те от своя страна изрично да се съгласят, че „бисквитки“ могат да бъдат инсталирани. Трябва да ограничите максимално връзката между личните данни и потребителския профил или казано по друг начин, намалете драстично идентифицирания риск чрез псевдонимизация. Профилирането ще бъде възможно само след съгласие като всеки потребител винаги трябва да има опция да не приеме “бисквитки” на мобилните си устройства.

GDPR ще се отрази пряко и на онлайн търговията в ЕС. Онлайн магазините ще трябва подробно да опишат в общите условия за ползване на уеб сайта с каква цел събират, обработват и съхраняват лични данни (с цел ремаркетинг, изготвяне на потребителски профил или за предоставяне на трети лица – партньори като куриерски фирми например).

До 25 май 2018г. компаниите в ЕС би следвало да са достатъчно наясно с промените, които въвежда новият регламент за защита на личните данни на потребителите и да са предприели необходимите действия. Това може лесно да бъде постигнато още при създаването на софтуер или така наречения Privacy by Design. Всеки софтуер ще се изработва, така че да защитава в максимална степен данните на физическите лица като тази лична информация ще може да се използва само за конкретни цели.

Ако компаниите искат да защитят максимално личните данни на потребителите си, следва да ги криптират и да предоставят достъп до тях само на оторизирани лица. От тях ще се изисква също да гарантират на клиентите си, че CRM системите, които предлагат, отговарят на промените на новия регламент. В този ред на мисли, ние смятаме, че CRM системите ще намират приложение във все повече европейски фирми като сигурно средство за съхранение на данни.

GDPR е една от най-важните реформи в ЕС и основната  цел е да изгради по-голям контрол върху персоналната информация като предостави единен подход за неприкосновеност на данните. Много от българските компании все още не са наясно с промените, които ще настъпят с въвеждането на Регламента, а крайният срок наближава. Ние знаем, че подготовката за новия регламент ще представлява един дълъг процес, който ще изисква да обърнете повече внимание на съхранението на личните данни. Но вярваме, че ако следвате нашите три основни стъпки, ще успеете бързо и лесно да осъвремените своите методи, по които събирате, обработвате и съхранявате лична информация. И не забравяйте, че сигурността на потребителите ви винаги трябва да е начело във вашия списък и вие трябва да направите всичко възможно, за да да им я осигурите.

Ако имате допълнителни въпроси или коментари, ще се радваме да ни пишете на e-mail info@grindwebstudio.com.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *