До над €20 млн. глоба, ако някой използва неправомерно личните ни данни 12.06 | 14:02

Драстичната санкция обаче ще се налага при системно или мащабно нарушение

От iNews.bg

Едва ли остана човек, който да не разбра, че от 25 май в целия ЕС започна да действа т.нар. GDPR (General Data Protection Regulation – Общ регламент за защита на личните данни). И така потребителите вече много по-лесно могат да защитават личните си данни, употребявани от всякакви бизнеси и администрации, за което пък имат много по-големи права. Но какво става, когато същите тези потребители засекат някакъв вид злоупотреба с личните си данни или че някой ги използва без съгласие и не за целите, за които са му разрешили? Както при всяко друго нещо и тук нарушението на нормативната уредба се наказва със санкции. В конкретния случай обаче те са доста солени. Според правилата на GDPR-a глобата за грубо нарушение на правилата е много солена – до 20 млн. евро или 4% от годишния оборот на съответния нарушител. Още по-утежняващото за фирмите е, че стигне ли се до такава санкция, се избира едно от двете, което е по-голямо. Т.е. глобата за дадена компания може да достигне и доста над тези 20 млн. евро, обяснява пред iNews експертът от компанията GDPRTest Александър Аврамов. И допълва, че твърдението, разпространявало се дълго време у нас, че за Източна Европа, понеже бизнесът е по-беден, санкциите ще са по-ниски, категорично не отговаря на истината.

"Това е плашещото за фирмите. И преди в Закона за защита на личните данни имаше предвидени глоби, но те бяха много по-ниски. Сега, когато вече се говори за милиони, хората и предприятията са притеснени и предприемат някакви действия", коментира Аврамов. Добре, глоби за нарушителите ще има. Но коя ще бъде институцията, която ще ги налага? Както и преди 25 май т.г., за тези неща ще се грижи Комисията за защита на личните данни (КЗЛД), обяснява още специалистът. Но в същото време подчертава, че понеже капацитетът й не е много голям, най-вероятно тя ще работи само по сигнали. "65 служители в момента е щатът на КЗЛД. Очевидно възможността при 250 000 фирми и милиони потребители, съответно жалбите им да са толкова, не е много сигурно, че ще успеят с всичко. Най-малкото ще е доста трудно", смята Аврамов. Но въпреки това допълва, че потребителите трябва да следят кой какво прави с личните им данни и да сигнализират, ако има нарушения на правилата. Но в същото време и да не прекаляват. А по-скоро, поне в началото, да се свържат с фирмата/организацията/институцията, която обработва техните данни и да потърсят правата си. Твърде вероятно е всичко да си дойде на мястото, а нарушението да не е допуснато умишлено от оператора на личните данни. Най-малкото защото GDPR-ът е нещо ново и далеч не всички са подготвени за всичко и ще има неща за доизглаждане във времето напред.

За какво обаче трябва да следи потребителят? "Интересно е направен контролът. В момента, когато си даваме личните данни на някоя фирма, тя трябва да ни посочи, да ни даде един документ, който да ни каже за какво ще се ползват тези лични данни, на кого ще ги дава, колко време ще ги съхраняват и т.н. От друга страна, ако някой получи наши лични данни от трето лице, трябва да ни информира от кого ги е получило и какво ще прави с тях. Така, всъщност, имаме възможност да упражняваме контрол от две страни – кой на кого е дал личните ни данни и кой от кого е получил личните ни данни. Защото администраторът на нашите данни трябва, според новите правила, да ни информира на кого ги е предоставил, по какъв повод, той за какво ще ги използва и за какъв срок. Да не говорим, че в този случай, когато получим от някого обявление, че са му били предоставени наши лични данни, имаме и доказателство за пред КЗЛД, че някой неправомерно ни е раздал личните данни", обяснява експертът от GDPRTest. Но в същото време подчертава, че имa много случаи, в които за това ще е имало законови основания. И съответно фирмата няма да бъде санкционирана, няма да бъде глобена, тъй като е била задължена от законодателството да го направи.

Не само български граждани обаче могат да се възползват от правата си да се оплакват от неправомерно използване на лични данни от наши компании или такива, опериращи в страната. Понеже регламентът важи за целия ЕС, а ние сме част от него, реално всеки един европейски гражданин има право да следи и да подава жалби при нужда, ако някой прави нещо нерегламентирано с личните му данни. "Всеки един човек с паспорт от държава-членка, който дойде у нас, може да упражни правата си пред надзорния орган, към когото може да се обърне. Но не е задължително това да е КЗЛД. Може да ги упражни и в Германия, в Австрия, във Франция и т.н. За Великобритания – не знам, въпреки че подписаха декларация, че ще спазват GDPR-а. Така че този засегнат европейски гражданин ще предяви своите претенции там. Неговите права са на европейски гражданин", отбелязва Аврамов.

При всички положения обаче не всяка жалба ще води до санкция. Процесът, по който ще се налага, започва първо с предупреждение. Вероятно фирмите няма да са го направили нарочно. При първо нарушение, ако не е сериозно, компанията може просто да получи някакви препоръки, може да й се направи забележка, да й се дадат указания. Максималният размер на санкцията се налага само, ако е постоянно нарушение, в голям обем, въпреки препоръките на КЗЛД преди това, те не са спазени. Фирмите са заплашени, но рискът от санкции не е толкова голям. А и все още има време да вземат мерки и да приведат бизнеса си в ред спрямо GDPR, макар срокът вече да изтече", обяснява специалистът от GDPRTest.

От думите му става ясно още, че в най-масовия случай санкция би била наложена, ако компания е нарушила права и свободи на определено физическо лице, вследствие на което то е пострадало, претендирало е за някакви понесени вреди, за да може да се даде ход на такава санкция. Ако просто се оплаче, че някой не си е свършил работата, жалбата му ще бъде разгледана, но няма непременно веднага да се стигне до глоба за компанията. Но все пак, ако човекът докаже, че нейните действия са му навредили, тогава почти сигурно наказание за фирмата ще има.

Според Аврамов обаче компаниите, вместо да стоят заплашени, от GDPRTest са направили така, че за един ден да могат да създадат всичко, с което субект на данни да може да си упражни правата. За да може да му се вземe съгласие да използват личните му данни за каквото им е необходимо и да могат да му предоставят информация за тези неща. Продуктите на GDPRTest ще помогнат на операторите на лични данни да са готови за случаи, в които евентуално ще станат обект на оплакване за някакво нарушение. И да реагират адекватно, да разполагат с всички документи и процедури, чрез които да избегнат налагането на санкции, но също така и да поправят грешката си спрямо претенциите на потребителите.

Аврамов предупреждава обаче, че по всяка вероятност сега, с влизането в сила на новия Регламент, ще има и хора, които ще започнат да спекулират с това. "Ще казват: "Дай да видим сега какво имате за мен и за какво го ползвате. Не ми ли нарушавате правата?", отбелязва Аврамов. "В тази връзка казваме на нашите клиенти да не се стряскат", допълва той. Експертът отбелязва, че вероятно ще има и някои адвокати, които ще започнат да "изнудват". "Затова предупреждаваме клиентите да са готови, за да не дойде такъв адвокат и да обяснява, че има доказателство, че клиентът е влязъл в онлайн магазина, дал си е данните, но търговецът не му е обяснил за какво ще ги използва. Затова ги съветваме да си приготвят правата, дори и да не са готови с информационните си системи, задължителното към момента е да се удовлетворят правата на физическите лица. И когато им кажат да напишат заявление, че искат или не искат данните им да се използват от фирмата, тя да им предостави механизъм, за да си упражнят физическите лица тези свои права", пояснява Аврамов.

Специалистът допълва, че в началото за компаниите може да е по-трудно, защото няма всичко да е автоматизирано. Но когато клиентът получи възможност да упражни правото си, фирмата от своя страна го спазва, няма да се стигне до санкции, защото правата на лицата ще са защитени. "Това, в нашата компания, сме се опитали на първи план да направим. Затова оставихме и технологичния продукт за малко след това. Защото пък сме се захванали с обем, който ни идва малко трудно да го направим", казва Аврамов.

Той обяснява и че за съхранението, обработката и дори предоставянето на личните ни данни от страна на компания или организация, на която сме били клиент, в някои случаи има и краен срок. Такъв, например, е при мобилните оператори. Ако сме били клиент на някой от тях, но сме пренесли номера си при друг, това не означава, че старият трябва веднага да изтрие всички данни, които има за нас. Съществуват законови изисквания да ги съхранява за определено време. Според Търговския закон 5 години след изтичането на договора с нас телекомът трябва да съхранява личните ни данни, тъй като може да се предявяват някакви претенции. Ако се прибавят и данъчните закони, тогава този срок нараства до 7 години. Затова той е задължен в рамките на този период да съхранява данните на отказалия се от услугите му клиент.

"Регламентът обаче допуска ние да му наложим ограничения на обработката за този период. Имаме право да входираме искане за ограничение на обработката. Когато поискаме това, той вече няма право да прави нищо с нашите данни, освен да ги съхранява във връзка с изпълнението на изискванията към него от законите. Няма право да ни се обажда, да ни пише писма и т.н. Защото, в момента, в който направи такова нещо, ние имаме доказателство, че нарушава правата ни. В такъв случай можем съвсем спокойно да подадем сигнал", отбелязва Аврамов.

Регламентът касае и фирмите за събиране на вземания. Те трябва да ни уведомяват откъде ни имат телефона. Според експерта напоследък е станало популярно, особено с навлизането на GDPR, колекторите да се обаждат от телефони, регистрирани в Индонезия. "Бизнесът е креативен да нарушава. Но въпреки, че е Индонезия, в която GDPR няма влияние, хубаво е да съобщаваме за такива случаи, за да може Европа и институциите й да се грижат за интересите на своите граждани", съветва експертът на GDPRTest.

За продуктите на GDPRTest можете да ползвате промо-код :"ВРЕМЕ"

Водещи

Най-четени