Какво представлява Общият регламент за защита на данните (GDPR)?
Общият регламент за защита на данните (GDPR) е правна рамка, която определя насоки за събиране и обработка на лична информация от лица, които живеят в Европейския съюз (ЕС). Тъй като регламентът се прилага независимо от това къде са базирани уебсайтовете, той трябва да се спазва от всички сайтове, които привличат европейски посетители, дори ако те не търгуват конкретно стоки или услуги на жителите на ЕС.
GDPR предвижда посетителите на ЕС да получават редица оповестявания на данни. Сайтът също трябва да предприеме стъпки за улесняване на такива права на потребителите на ЕС като своевременно уведомяване в случай на нарушаване на личните данни. Приет през април 2016 г., Регламентът влезе в сила през май 2018 г., след двугодишен преходен период.
Изисквания за обслужване на клиенти на GDPR
Съгласно правилата, посетителите трябва да бъдат уведомявани за данните, които сайтът събира от тях и изрично дават съгласие за това събиране на информация, като кликнете върху бутона Съгласен или друго действие. (Това изискване до голяма степен обяснява повсеместното наличие на оповестявания, които сайтовете събират „бисквитки“ - малки файлове, съдържащи лична информация, като настройки и предпочитания на сайта.)
Сайтовете също трябва да уведомяват посетителите своевременно, ако някоя от техните лични данни, съхранявани от сайта, е нарушена. Тези изисквания на ЕС могат да бъдат по-строги от тези, изисквани в юрисдикцията, в която се намира сайтът.
Също така се изисква оценка на сигурността на данните на сайта и дали е необходимо да бъде нает специализиран служител по защита на данните (DPO) или съществуващ служител може да изпълнява тази функция.
Информацията за това как да се свържат с DPO и другите служители трябва да е достъпна, така че посетителите да могат да упражняват правата си на данни в ЕС, които включват и възможността да бъдат изтрити присъствието им на сайта, наред с други мерки. (Естествено, сайтът трябва също да добави персонал и други ресурси, за да може да изпълнява подобни искания.)
Други правила и мандати от Общия регламент за защита на данните (GDPR)
Като допълнителна защита за потребителите, GDPR също призовава всяка лична информация (PII), която сайтовете събират, да бъде или анонимизирана (направена анонимна, както предполага терминът), или псевдонимизирана (с идентичността на потребителя, заменена с псевдоним). Псевдонимизацията на данните позволява на фирмите да направят някои по-обширни анализи на данни, като например да оценят средните съотношения на дълга на своите клиенти в определен регион - изчисление, което в противен случай може да надхвърли първоначалните цели на данните, събрани за оценка на кредитоспособността на заем.
GDPR влияе върху данните, които са над тези, събрани от клиенти. Най-важното може би е, че регламентът се прилага за документите на служителите в човешките ресурси.
Спорове, свързани с GDPR
GDPR предизвика критики в някои квартали. Според някои изискването за назначаване на DPO или просто за оценка на необходимостта от тях налага ненужна административна тежест за някои компании. Някои също се оплакват, че указанията са твърде неясни как най-добре да се справят с данните на служителите.
Освен това данните не могат да бъдат прехвърляни в друга държава извън ЕС, освен ако получаващата компания не гарантира същата степен на защита, каквато изисква ЕС. Това доведе до оплаквания за скъпи прекъсвания на бизнес практиките.
Има допълнителна загриженост, че разходите, свързани с GDPR, ще се увеличат с времето, отчасти поради нарастващата необходимост от обучение на клиенти и служители по отношение на заплахите и средствата за защита на данните. Съществува скептицизъм и по отношение на това как е възможно агенциите за защита на данните в ЕС и извън него да могат да приведат в съответствие прилагането и тълкуването на регламентите и така да осигурят равнопоставени условия, когато GDPR влиза в по-пълен ефект.
