Вече сами определяме кой и какво може да прави с личните ни данни

В последните седмици все по-усилено в бизнеса, а и в обществото, се говори за GDPR (General Data Protection Regulation – Общ регламент за защита на личните данни). Едва ли има потребител на електронна поща, Facebook, Twitter, Instagram, всякакви мобилни приложения и т.н., който да не е получил един куп съобщения за новите правила, които влязоха в сила от 25 май на територията на целия ЕС и как трябва да се съгласи с тях, за да продължи да ползва конкретната услуга. Какво всъщност обаче е т.нар. GDPR?

Това е нова европейска регулация, която е със силата на закон, който е над тези в България. Прилага се за всички страни в ЕС. Отнася се до това как различните компании обработват лични данни и какви са правата на техните потребители физически лица. Касае всички фирми, регистрирани в ЕС или такива, които не са регистрирани, но обработват лични данни на граждани на Общността, обяснява Александър Аврамов, който е част от екипа на компанията GDPRTest.

Чрез новия регламент на практика правата на потребителя да определя кой, как, колко време и т.н. да оперира и какво точно да може и да не може да прави с личните му данни, се засилват изключително много. "Имаме право да поискаме да ни изтрият всички лични данни, да ни забравят, имаме право да възразим срещу обработката, имаме право да възразяваме срещу маркетинга на дадена компания по отношение на нашите данни, да поискаме да разберем какви точно са личните данни, които ни обработват, да ги получим в електронен формат, изобщо правата ни са доста големи", подчертава Аврамов.

Има обаче и друг момент. GDPR-ът не отменя нормативната уредба в държавата членка, в случая България. Така например физическо лице, може да бъде задължено да предостави на някого лични данни, дори и да не иска да прави това, без значение по каква причина. Например, когато отива не лекар и получава болничен лист. В такъв случай законите, касаещи здравеопазването, ни задължават да предоставим на лекарите своите данни. А те пък са длъжни да ги съхраняват, в някои случаи и до 50 години, след като сме посетили за последно въпросният лекар или болница, става ясно още от думите на експерта на GDPRTest. Така че, когато е налице законово изискване да предоставим на някого лични данни, сме задължени да го направим.

Друг пример може да се даде със Закона за счетоводството – когато искаме, като физическо лице, да получим фактура, сме длъжни да си предоставим ЕГН-то. Включително и Комисията за защита на личните данни (КЗЛД) се е произнесла по такива казуси. "Всъщност ние първо трябва да се подчиним на местното законодателство, на местната нормативна и административна уредба и чак тогава идва GDPR-ът. Той регулира беззаконието в обработката и съхранението на лични данни”, обяснява Аврамов.

Но при всички положения, когато потребителите предоставян на някого своите данни, той трябва да ги информира точно за какво и как ще ги използва, ще ги предоставя ли на трети лица, в каква връзка, колко време ще ги съхраняват. От друга страна, ако някой получи наши лични данни от трето лице, трябва да ни информира от кого ги е получило и какво ще прави с тях. Така, всъщност, имаме възможност да упражняваме контрол от две страни – кой на кого е предоставил данните ни и кой от кого ги е получил. Като така вече имаме и пълното право да се намесим и да се оплачем на КЗЛД, че някой оперира с нашите данни. А и ще имаме доказателства, ако някой е направил това неправомерно, казва още Аврамов.

"Има много случаи, в които за това е имало законови основания. Например по Кодекса на труда сме длъжни да си предоставим лични данни и работодателят е длъжен да ги обработва. Също така има и такива, които, според Регламента, се водят специални категории лични данни – свързани с генетика, с медицинско обслужване, със здравословното ни състояние и т.н. Та с обработката на тези данни ние изрично трябва да се съгласим изрично – че ги предоставяме да ни ги обработват", отбелязва специалистът от GDPRTest.

"Добре, но болничните листове, например, се изискват по закон. Т.е. работодателят е длъжен да ни обработва болнични листове, медицинско свидетелство за започване на работа. Противоречат си, донякъде, двете неща. Законът го изисква, но всъщност е забранена обработката на тези данни. В такъв случай се позоваваме на това, че има законово изискване фирмите или институциите да събират и съхраняват тези лични данни. Парадоски има. Но на първо място си е местната законова уредба", отбелязва Аврамов.

Затова, според него, не трябва да се прекалява и от двете страни. Ясно е, че от тези болнични листове трябва да излезе много информация, затова трябва да се спазват т.нар. принципи "Имам нужда да знам". Т.е. не трябва цялата фирма да знае за болничния и какво съдържа, но такава нужда има този, който ги осчетоводява или ги предоставя на съответните органи, например на НОИ, на НАП... "Дори и по текущите ни закони има нормирани срокове за съхранение на тези лични данни. Най-големият такъв е 50 години, който се отнася за ведомостите. Което включва трите имена, ЕГН, но там болничен няма. За тях срокът е 3 години", обяснява Аврамов.

Според него Регламентът ще помогне доста. Най-малкото, защото ще можем да се жалваме пред КЗЛД при всеки случай, в който смятаме, че някой оперира с наши лични данни без да има това право. А има и санкции, които са доста солени. Глобата за нарушение на GDPR-а е 20 млн. евро или 4% от годишния оборот. И то която сума е по-голяма. Така че самите оператори с лични данни ще трябва добре да помислят преди да ги използват неправомерно. Има и конкретни случаи, при които глобата е наполовина по-малка – 10 млн. евро или 2% от оборота за предходната година, но те са изброени изрично в регламента.

За продуктите на GDPRTest можете да ползвате промо-код :"ВРЕМЕ"