Отричаме ли неизбежното?

 

Няколко месеца след влизането в сила на Общия регламент за защита на личните данни (25 май 2018г.) местните надзорни органи в държавите-членки са затрупани от жалби за нарушения на защитата на личните данни.

Нормално е през първите месеци такива сериозни законодателни промени като GDPR да внесат известна доза стрес в света на бизнеса. Объркването, което новият регламент донесе със себе си, обаче надвишава очакванията.

Медиите се фокусираха основно върху проблемите за сигурността на данните на гигантски, мулти-милионни или дори милиардни компании, като по този начин неволно изпратиха грешното послание, че малките и средните предприятия не са засегнати от новите правила за защита на данните.

Наши клиенти често се свързват с нас с въпроси, гравитиращи около надеждата, че техните компании не попадат в обхвата на новите правила за сигурност на данните:

• Прилага ли се GDPR за дружества с по-малко от 250 служители?
• Нашата компания се намира в САЩ, трябва ли да направим нещо за данните, които събираме?
• GDPR не регулира ли само social media?
• Нашата компания не продава нищо онлайн, така че GDPR не ни касае. Нали?

Това отношение е повече от разбираемо, имайки предвид колко много работа е необходима за постигане на съответствие с GDPR. Все пак, отричането на задължението да приведем бизнеса си в синхрон с новите правила само забавя един задължителен и неизбежен процес. Ето защо решихме да внесем яснота относно някои (горчиви) истини. 

 

Истина №1: Нито едно дружество в ЕС не е изключено от обхвата на GDPR

 

GDPR предлага минимално облекчение за микро-, малки и средни предприятия, но в никакъв случай не ги освобождава напълно от всички правила за защита на данните. В какво се състои облекчението за SME? GDPR изисква воденето на писмен регистър на всички дейности по обработване на данни, които протичат в определена компания.

В някои, много редки случаи, предприятия или организации, в които работят по-малко от 250 души, могат да бъдат освободени от изготвянето на този вид документи. В действителността това облекчение не се прилага почти никога, защото е свързано с допълнителни условия, като например, обработването на данни в компанията да се извършва спорадично.

Да обобщим: GDPR се отнася за всеки бизнес в ЕС – броят на служителите няма значение, размерът на бизнеса ви няма значение, нито естеството на търговската ви дейност.

Доколкото фирмата ви събира и използва / или по друг начин обработва / лична информация за физически лица, вашият бизнес трябва да гарантира, че обработването на данните се извършва по законосъобразен и прозрачен начин и в пълно съответствие с GDPR.

 

Истина № 2: Бизнесът ви може да попадне в обхвата на GDPR, дори да е установен извън ЕС

 

GDPR има мисията да бди над правата на гражданите на ЕС, независимо дали личните им данни се обработват в ЕС или в САЩ, Китай, Южна Африка или където и да е другаде по света.

Освобождаването от Регламента на дружества със седалище извън ЕС би създало очевидна вратичка в новото законодателство. Това е особено валидно за обработването на данни в онлайн пространството. Ако се замислим, физическите лица биха могли да въведат личните си данни във всеки един уебсайт, без всъщност да знаят къде ще бъдат обработвани тези данни. Заради затрудненията, които GDPR поставя пред бизнесите, последните могли да започнат умишлено събиране на данни чрез компании, установени извън ЕС.

Това е може би основната причина, поради която в териториалният обхват на GDPR са включени и дружества, установени извън ЕС – за случаите, в които са налице следните допълнителни условия:

  • Физическите лицата, чиито лични данни се обработват, се намират в ЕС;
  • Обработката на данни е свързана с предлагането на стоки или услуги, независимо от това дали е необходимо плащане от субекта на данните, ИЛИ обработката на данни е свързана с наблюдаване на поведението на такива субекти на данни (доколкото тяхното поведение се извършва в рамките на ЕС).

 

Истина № 3: GDPR се прилага, независимо дали бизнесът ви оперира онлайн или не

 

Последният мит, който ще опровергаем, е неправилното схващане, че GDPR касае само бизнес дейности, извършвани онлайн.

Интернет е мястото, където обикновено получаваме всички тези уведомления за поверителност, декларации за съгласие и километрични политики за защита на данните. Но онлайн дейностите на компанията са само малък процент от дейностите по обработване на данни, регулирани от GDPR.

Ето един прост пример:

Съществуват много компании, които се занимават стриктно с B2B отношения, имат минимално онлайн присъствие инулеви взаимодействия с отделни клиенти /напр. търговия на едро, износ/транспортиране на стоки и др./.

Но нека не забравяме, че подобни компании взаимодействат с физически лица вътре във фирмената структура – в рамките на трудовите отношения, при което личните данни на стотици или дори хиляди служители се използват, съхраняват и прехвърлят ежедневно.

Функционалните „настройки“ на бизнес процесите, необходими във връзка с  GDPR, неизбежно следва да се извършат във всеки един бизнес. Тези настройки може да не са видими в онлайн присъствието на компанията, но са също толкова важни и необходими.

ИМАТЕ КОНКРЕТЕН ВЪРПРОС? ПИШЕТЕ НИ.

5 + 10 =