Основните нововъведения в Регламента GDPR включват:
1. Правото на физическите лица да знаят дали личната им информация е компрометирана: Организациите трябва да уведомяват националните регулатори за всеки пробив, довел до източване на потребителски данни, които излагат физическите лица на риск – и да комуникират към субектите на данни всички пробиви, които ги излагат на риск, за да могат потребителите да вземат адекватни мерки.
2. По-сурово налагане на регулации: регулаторите ще могат да налагат глоби в размер на до 4% от годишния глобален оборот на организации или глоба до 20 000 000.00 EUR, които не спазват изискванията на GDPR. Административните глоби не са задължителни – като за тях се взима решение във всеки отделен случай – и трябва да бъдат ефективни, пропорционални и възпиращи.
3. Един континент, един закон: единен, общ за цяла Европа закон за защита на личните данни, който ще замени сегашната мрежа от множество локални регулации. Бизнесът ще трябва да се съобразява с един закон, а не са 28 – което ще спести до 2.3 млрд. годишни правни и други разходи.
4. Уведомяването за пробив в сигурността на националния регулатор (за България това е Комисията за защита на личните данни) трябва да става веднага или не по-късно от 72 часа след откриването на пробива.
5. Изискванията на ЕС трябва да се спазват, в случай, че потребителски лични данни се обработват извън пределите на Съюза – но компаниите са активни в една или повече страни-членки и продуктите и услугите им (дори и да са безплатни) се предлагат на граждани на ЕС. Изискването важи дори и за случаите, в които организации следят поведение на жители на ЕС.
6. Защита на данните в основата. Мерките за защита на информацията трябва да бъдат взети още при създаването на продукт или услуга – от най-ранните етапи на разработката им.
7. Въвеждането на по-сурови правила за защита на личните данни: ЕС ще задължи всеки бизнес да защитава адекватно личните данни на потребителите.
Понятието Лични дании
“Всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице.”
Това широко определение за лични данни лесно може да бъде отнесено дори и към прости записи, които се отнасят, дори и индиректно, към клиенти, служители или други физически лица.
Принтирай