Броени дни преди влизането в сила на Общия регламент за защита на личните данни, паниката започва да обхваща бизнеса. По-малко от една трета от компаниите за готови за въвеждането на новите правила, заяви в интервю за БНР председателят на КЗЛД Венцислав Караджов.

Вероятно при малкия бизнес процентът на готовите дори е по-нисък. Напреднали са предимно големите фирми и банки, които започнаха подготовката си още в началото на 2017 г. По-дребните фирми очакват да получат наредба или готови инструкции или се оглеждат да видят как го правят останалите, преди да вземат мерки.

Прилагането на регламента е затруднено от това, че законодателните промени се забавиха твърде много и е нужен допълнителен бюджет за внедряване (както и за КЗЛД, която не можа да спази обещанието си за образователен център поради неосигурено финансиране). Стреснати от високите разходи (не само консултантски хонорари, но мерки за информационна сигурност, в това число софтуерни лицензи и допълнителен човешки ресурс) и неяснотите, много управители на фирми предпочетоха да игнорират новите правила или да изчакат. Според тях това е поредната формалност, която могат да прехвърлят на счетоводителите или отдел ТРЗ. Но възприемането на GDPR като формалност може да се окаже толкова опасно, колкото и това да не се прави нищо (виж по-надолу).

Сега малцина разчитат на снизхождение в първите дни, докато се натрупа практика. Този подход на изчакване също може да донесе неприятни изненади. Макар че КЗЛД очевидно няма ресурс да контролира всички компании, тя ще е длъжна да действа, ако получи сигнал. Високите глоби (до 20 млн. евро или 4% от оборота) вече привлякоха внимание към темата и накараха потребителите и конкурентите да забелязват неща (например, копиране на лични карти), на които преди не са обръщали внимание. Това означава, че съществува реална опасност GDPR да се превърне в средство за отмъщение и дори изтласкване на конкуренти от пазара.

Второ, лицата, чиито права са засегнати (вкл. недоволни клиенти), могат да търсят обезщетение по съдебен ред (отделно от имуществените санкции, които КЗЛД ще налага). Това го нямаше досега.

Така че рискът е реален и макар GDPR да е доста неясен и да липсват очакваните насоки от надзорния орган за редица казуси, има един минимум от мерки, които всяка фирма или трябва да въведе в оставащите 10 дни. Някои от тях няма как да се вземат със задна дата.

Без претенции за изчерпателност и с необходимата уговорка, че нищо от написаното по-долу не е правен съвет и сами трябва да прецените рисковете, най-неотложните мерки са:

  1. Регистър на личните данни

По принцип прилагането на Регламента започва с GAP анализ, очертаване на потоците от данни и т.н. Вероятно нямате време за пълен анализ, ако сте си оставили няколко седмици за подготовка. Минималното, което трябва да направите, е да създадете регистър на личните данни (по чл. 30). Този регистър ще ви помогне да установите какви данни имате, на какво основание сте ги събрали, за какви цели ги обработвате, как ги обработвате (обработка е и предаването на данни на трети лица, например, на Facebook чрез бутона Like), колко дълго трябва да ги пазите… Забравете, че регистърът е само за предприятия с над 250 заети. Ще е трудно да отговорите на исканията на субекта на данни без него.

2. Прегледайте опасните места

Повечето малки фирми съхраняват лични данни на флашки, в смартфон, като прикачени файлове в електронната поща, на хвърчащи листа. За 10 дни няма да успеете да проверите навсякъде, но трябва да сте сигурни, че поне сте подредили витрината. Обикновено на показ са: интернет сайт, електронната поща, камера за видеонаблюдение, откритите зони за обслужване на клиенти.

3. Започнете да въвеждате процедури

Най-напред – най-очевидното. Служителите, които работят на гише, не трябва да искат ЕГН на висок глас в салона и да оставят копия от лични карти на принтера в общо помещение. Инструктирайте служителите, които отговарят на телефонни обаждания.

4. Минимизирайте

Регламентът изисква да се събира минимално необходимата информация за целта на обработването. Например, ако събирате данни във връзка с договор за доставка на услуга, малко вероятно е да имате нужда от информация като националност, местоживеене и възраст.

Отново – няма да успеете напълно, но можете да изтриете информацията, която не ви е нужна, особено ако смятате да се позовете на невъзможност за идентифициране.

5. Отървете се от ненужните EГН-та и IP адреси

ЕГН-тата със сигурност привличат внимание. Ако нямате причина да ги събирате, а дори и да имате, въведете персонален клиентски номер колкото може по-скоро. Трябва да имате законово основание, за да идентифицирате клиентите си по ЕГН – например, ако издавате фактура на физическо лице.

Много приложения и CMS в интернет събират ненужно IP адреси, а според регламента и решения на СЕС те са лични данни.

6. Изтрийте или анонимизирайте излишните данни

Назначете комисия и изтрийте данните, които вече не ви трябват. Не отлагайте. Някои от тези данни няма да са на хартия, а в интернет или информационна система, където следите остават.

Анонимизацията е начин да спазите регламента, без да изтривате данни. Това понякога може да се направи, без големи усилия и специални технически умения, като се оставят само данни, по които не може да се идентифицира лицето. Но пак може да не е достатъчно (например, моят служебен имейл адрес отговаря на определението лични данни, защото позволява да бъда идентифицирана със 100% сигурност)

7. Получете валидно съгласие

Със сигурност имате списъци с лични данни на хора, за които не си спомняте как, защо и откъде са дошли.

Изключете тези, които ще изтриете, тези, които обработвате на основание договор, закон или легитимен интерес (другите две основания са по-рядко срещани при бизнеса) и поискайте съгласие. Имайте предвид, че ако сте събрали данните на клиентите във връзка с договор (онлайн поръчка), пак можете да се нуждаете от съгласие, ако искате да правите нещо друго с тези данни. Това подновяване на съгласие за заварени случаи, особено ако не сте сигурни откъде имате данните, трябва да се получи преди 25 май и да отговаря на изискванията на регламента (свободно изразено, недвусмислено и т.н.). След 25 май по-добре да не събирате съгласие, освен от хора, които сами са дошли при вас  (нови клиенти). И не, не заплашвайте клиентите с по-висока цена на услуга, ако не се съгласят да предоставят данните си.

Специално внимание към данните на служители и кандидати за работа. Ако нямате законово или договорно основание, ще ви трябва съгласие по правилата на регламента.

“По правилата на регламента” означава то да е документирано (на хартия или чрез електронно изявление), да не е по подразбиране или например с предварително чекнати отметки, а в някои случаи трябва и да е изрично.

8. Забравете за безплатни незащитени пощи и нелегален софтуер

Най-лесният начин да привлечете вниманието на своите недоволни клиенти е да използвате безплатна поща (но съществуват безплатни криптирани пощенски услуги ). Дори, когато изпращате лични данни по имейл от служебна поща , това противоречи на Регламента, ако не сте взели мерки за защита. (Уточнение във връзка с получен въпрос – Фактът, че използвате криптирана услуга за изпращането, още не означава, че изпълнявате регламента, ако нямате валидно основание да изпращате данни.)

9. Подгответе се да отговорите на исканията на клиентите, бивши служители или други лица

Всеки служител или клиент може да се обърне още на 25 май с въпрос какви данни имате към него и да поиска да ги изтриете, да му ги покажете или, по-лошо, да му ги предадете в машинночетим формат (преносимост) и т.н.  Както стана дума, трябва да знаете къде са ви данните, за да можете да отговорите. Ако обработвате автоматизирано данни на база съгласие или договор, уверете се, че можете да ги експортвате във формати като CSV, JSON, XML и т.н., така че да изпълните това изискване за преносимост. Имайте предвид, че това може да засяга и данни на работници (предоставени от лицата). Срокът за отговор е 30 дни, което осигурява известно време, но не и ако не знаете къде са ви данните или ако възнамерявате да твърдите, че не попадате в тази хипотеза и обработването е само на база законово основание (например).

10. Проверете дали не сте под непосредствен риск

Дори малки фирми може да са задължени да назначат длъжностно лице за защита на данните в някои случаи. Или да трябва да извършат оценка за въздействие, ако извършват профилиране, мащабно обработване или обработка с висок риск. При висок риск трябва да се обърнете към КЗЛД. Бъдете нащрек, ако обработвате чувствителни данни, данни за присъди, данни от изключително личен характер или данни на деца (внимавайте с критерия за дете, невинаги са деца под 14 години).

11. Разделете се с някои доставчици на услуги

Ако предавате данни на лица, които не могат да докажат спазване на регламента, също сте под риск. Това може да включва счетоводна фирма, която не може да осигури гаранции или пък … Facebook. Големите технологични компании, които съхраняват личните данни, които събират от сайтове-партньори (често крадешком) на сървъри извън ЕИП, дължат много отговори. Засега те предпочетоха да прехвърлят на партньорите си отговорността за събиране на съгласие. Вие преценете дали това е ОК. (Очаквайте по-подробна публикация по тази тема)

12. Наскоро напуснали служители

Бъдете предпазливи, ако наскоро сте се разделили със служител. Задължителният минимум – да прецените какви негови лични данни трябва да пазите и да смените паролите за достъп.

13. Документи за показване

И накрая, документирайте всичко, което може да ви служи като доказателство за взетите мерки. И не забравяйте да промените декларацията за поверителност на сайта.