(Ова е гостински пост на Теди Пејоски, ко-основач и извршен директор на GSIX. Постот е првично објавен на блогот на GSIX, и реобјавен со нивна дозвола.)
Доколку во денешно време одлуките во твојот бизнис се носат врз база на обработка на голем број на податоци, тогаш си на добар пат, меѓутоа работата со голем број на податоци подразбира и поголема одговорност, а самото чување на податоци во некои ситуации може да претставува и опасност. Но, како знаеме дали чуваме повеќе од доволно податоци?
Одговорноста е уште поголема кога станува збор за чувствителни податоци како што се лични податоци кои откриваат расна или етничка припадност, политичка определба, религиозни или филозофски верувања, како и процесирање на генетички податоци, биометриски податоци кои служат за идентификација на физички лица, но исто така и здравствени податоци или податоци за полот и половата определба.
Не ме интересира!
Можеби доколку размислиш дека колку повеќе време поминуваш на Интернет, толку повеќе податоци даваш на странки и се изложуваш на ризици за кои не секогаш си свесен, тогаш можеби треба да те интересира.
Од друга страна пак, многумина би коментирале дека на Интернет постојат механизми и регулативи за заштита на податоците, но ајде да ја анализираме новата општа регулатива за заштита на податоци (General Data Protection Regulation – GDPR) и да видиме како таа се разликува од тоа што постои денес, односно како оваа регулатива може да те заштити или да влијае врз твојот бизнис.
Добро, кажи ми повеќе!
Во ред, но пред да преминеме кон објаснувањето на GDPR, еве да ја согледаме и моменталната ситуација.
Акт за заштита на податоците (Data Protection Act – DPA)
Постои нешто наречено Акт за заштита на податоците (Data Protection Act – DPA), кој датира од 1998 година. Во тогашно време, Интернетот не беше толку масивен како денес. Алатките и сервисите беа на многу базично ниво и повеќето од работата се случуваше во офлајн светот, така што принципите и правилата на овој акт се исто така прилично базични.
После 20 години, Интернетот порасна и играта се промени. Тоа побарува и нови правила на играње, нови акти и регулативи за заштита на податоци.
DPA е првично донесен во Велика Британија, а останатите земји може индивидуално, но незадолжително да го имплементираат. На пример, не постои правило според кое една организација треба да ги избрише податоците за индивидуалецот без разлика на чувствителноста, иако истите повеќе не се користат.
Сигурно сте запознаени со скандалот поврзан со Cambridge Analytica и податоците кои што беа земени од Facebook преку различни апликации и беа продадени за цел која што е различна од онаа за која што корисниците првично се согласиле.
И никој не знае на кому уште се продадени вакви податоци и за какви цели.
Во ред, GDPR.
Со новата регулатива наречена „Општа регулатива за заштита на податоците“, Европскиот Парламент, Советот на Европската Унија и Европската Комисија имаат за цел да ја засилат и унифицираат заштитата на податоците на сите индивидуи во Европската Унија (ЕУ) како и извозот на личните податоци надвор од ЕУ.
Накратко, доколку поседуваш податоци за најмалку еден граѓанин на ЕУ, без разлика каде е лоциран твојот бизнис, тогаш и ти (твојот бизнис) влегува под регулативите на овој закон.
Сигурен сум дека имаме барем еден ЕУ потрошувач, што треба да направам?
Без грижа, го имаме објаснувањето кое ќе ви помогне.
Да започнеме со набројување на основните принципи на GDPR.
- Принципи на законитост, праведност и транспарентност. Овие принципи диктираат дека личните податоци треба да бидат процесирани на начин кој е легитимен за субјектот.
- Принципи на ограничување на целта. Обработувачите на податоци може да ги користат податоците за цели кои експлицитно ги објасниле и оправдале.
- Принцип на минимизирање на податоците. Информацијата што е потребна треба да биде релевантна за нејзината намена и лимитирана на само она што е неопходно.
- Принципи на вистинитост, точност. Доколку одредени податоци не се точни, треба да се отстранат или поправат.
- Принцип на ограничување на процесот на складирање. Податоците се чуваат во форма која овозможува идентификација на лицата не подолго од она што е неопходно за целите за кои се обработуваат личните податоци.
- Принцип на интегритет и доверливост. Овој принцип се залага за преземање на сите потребни мерки за да се осигура премисата дека сите лични податоци се заштитени.
Прекршувањето на некој од овие принципи резултира со казни помеѓу 4% од вкупен годишен промет на твојата компанија или 20 милиони евра, кое и да е поголемо. Но, она што е поважно – твојот бизнис не би сакал да открие ниту еден чувствителен податок за ниту еден од корисниците. Ти и твојот бизнис би требало да се грижите да податоците бидат максимално заштитени.
Што значи да се работи согласно со GDPR?
Овие нови регулативи ќе стапат на сила за нешто помалку од два месеци и доколку ти и твојот бизнис се уште не сте подготвени за промените во новите регулативи, во продолжение може да прочиташ 10 сумаризирани чекори кои ќе придонесат да постигнеш компатибилност со GDPR.
- Информирај се и разбери го GDPR.
Доколку веќе го читаш ова, веројатно си веќе запознаен сo GDPR. Доколку не, на Интернет постојат многубројни и значајни информации, вклучувајќи ја и официјалната страна на ЕУ за оваа регулатива каде што може да се информираш повеќе и да бидеш во тек со новостите околу GDPR.
- Погрижи се да ги информираш сите во твојата организација.
Мора да ја подготвиш твојата организација за претстојните регулативи во поглед на новите акции што следат и ризиците доколку тие не се исполнат. Сите одговорни и тие што се вклучени во процесирањето на податоци треба да ги разберат своите обврски.
- Направи инвентар од лични податоци.
Одговорноста подразбира и поседување на инвентар од лични податоци кои ги чуваш до овој момент. Тоа ќе ги одговори твоите прашања поврзани со тоа зошто ги чуваш, од кога, како ги имаш прибрано тие податоци, колку се безбедни, дали се споделени со странки и сл.
- Направи преглед на моменталната полиса за приватност.
Субјектите кои ви дале пристап до своите лични податоци со новата регулатива ќе се здобијат со повеќе права во однос на нивното прибирање и задржување. Обезбедете сигурност дека сте во тек со новите измени и направете соодветен план.
- Информирај ги твоите корисници и клиенти.
Новата регулатива влијае и на личните податоци на сите вработени, клиенти и корисници. Тие се субјектите кои треба да ги информираш за нивните права за заштита на личните податоци.
- Информирај се за законските основи.
Новата регулатива ги зајакнува правилата за собирање и чување на согласноста за прибирање податоци и твојата организација мора да докаже дека поседува законска основа за процесирање на податоци. Прилагоди ги новите полиси за прибирање и заштита на податоци на соодветен начин според законските основи.
- Aжурирај ги барања за согласност.
Во блиска иднина, согласноста на субјектот ќе биде најсоодветната законска основа и потребно е да се едуцираш за тоа како треба да ја побараш. Ова се специфичните барања кои ги објавува GDPR за легални барања за согласност.
- Биди сигурен дека правилно се справуваш со согласностите на деца.
Според GDPR, децата не може да дадат правна согласност бидејќи се помалку запознаени со ризиците, последиците и превентивата од споделувањето на личните податоци. Контролорите на дата треба да се запознаени со определената возраст за која децата може да даваат согласност која се разликува од земја до земја и да избегнат барање на дозвола доколку е под таа возраст која најчесто варира од 13 до 16 години.
- Подготви план за во случај на прекршок.
Ова се смета за еден од најголемите предизвици кои им се наметнуваат на организациите од страна на GDPR. Доколку податоците се компромитирани на било каков начин, твојата компанија мора да го извести соодветниот и авторитетен супервизор во рок од 72 часа од кога е откриен прекршокот со што е можно повеќе детали.
- Ангажирај одговорно лице за заштита на податоци.
Официјалниот службеник е одговорен за надгледување на стратегиите за заштита на податоците и целокупната процедура за компатибилност со регулативите. Иако само некои организации мораат задолжително да постават ваков службеник, препорачано е и останатите да соработуваат со ваков вид на стручни лица.
Завршни зборови
GDPR е усвоен на 27.04.2016 и стапува на сила на 25.05.2018, по период на двегодишна транзиција.
Како што беше и првично пишано, целта на GDPR е зајакнување и унифицирање на заштитата на податоци за сите индивидуи во ЕУ како и извозот на лични податоци надвор од Европската унија.
Ние во GSIX, им асистираме на бизнисите да станат компатибилни со GDPR. Како што наближува датумот на извршување, нудиме бесплатни консултации и корисни совети за како најдобро да се подготвите за новите регулативи.
[…] одличен гостински текст за оваа тема кој не е лошо повторно да го прочитате. Еве ги советите кои ги сподели пред нешто повеќе од […]