Идват ли новите GDPR правила навреме?

По темата как въвеждането на новия Европейски регламент за защита на личните данни (GDPR) ще се отрази върху интернет търговията разговаряме с адвокат Лена Бориславова, LL.M. Harvard Law School – правен експерт в областта на защита на личните данни в екипа на адвокатско дружество "Георгиев, Тодоров и Ко". Тя практикува в сферата на дружествено, договорно и конкурентно право. Притежава дългогодишен опит в съпровождане на чуждестранни инвестиции в България, като съветва международни и местни клиенти как да спазват приложимото законодателство, регулиращо различните сфери на тяхната дейност.

Адвокат Бориславова участва активно в работата на професионални сдружения и групи в сферата на управление на риска, изработването на ефективни корпоративни политики и вътрешни правила, както и на мерки за спазване на приложимото законодателство.

През 2018 г. е призната от списание Forbes в класацията си "30 под 30" като един от младите лидери в Европа в категория "Право и политика".

Светът все повече се дигитализира, компаниите изискват и събират лични данни и старите нормативни актове вече не могат да регулират адекватно промяната. Идват ли новите правила на GDPR навреме, за да овладеят различната ситуация?

След появата на интернет начинът ни на комуникация, обмен на информация, услугите и устройствата, които ползваме, се измениха по непредсказуем начин и надминаха и най-смелите очаквания. Днес имаме часовници, през които получаваме имейли, обаждания, следим сърдечния си ритъм и изминатите километри, притежаваме поне два профила в различни социални мрежи и споделяме публично най-съкровените си моменти, а най-важното устройство за модерния човек е мобилният му телефон, чрез който комуникира с останалия свят, плаща сметки, банкира, следи здравословното си състояние и какво ли още не. В този смисъл новият Регламент, който предстои да влезе в сила в средата на тази година, и който отменя досега действащата Директива 95/46/EО, приета през 1995 г., едва ли може да се твърди, че изпреварва своето време. От друга страна, преди изобщо да можем да говорим за въвеждането на нов режим на защита на личните данни, трябва да помислим от кой момент обществото и законодателят, включително на европейско ниво, узряха за идеята за необходимостта от съществена промяна – от кой момент станахме чувствителни относно начина, по който се обработват личните ни данни. Този момент настъпи едва в последните 3-4 години.

Вярно ли е, че въвеждането на GDPR стандартите ще промени начина, по който се извършва електронната търговия?

GDPR ще засегне дейността на всички бизнеси, особено тези насочени към обслужване на крайни потребители – физически лица. Поради особеностите на електронната търговия, електронните търговци са сред една от най-засегнатите групи. Дейности, присъщи за тази група, свързани с онлайн таргетиран маркетинг, профилиране, създаване и управление на потребителски профили, получаване на валидно по смисъла на Регламента съгласие от клиентите –потребители, обработване на мета данни, ще претърпят сериозна промяна.  Освен това онлайн търговците трябва да спазват завишени изисквания за прозрачност и информираност на своите клиенти относно обработването на техни лични данни (които включват IP адрес, потребителско име, личен акаунт, данни за банкова сметка, история на покупки, предпочитани стоки и услуги, рекламирането на последните и т.н.). Търговците например ще са длъжни да имат разписана лесно разбираема и четима политика за защита на личните данни (privacy policy) на своята интернет страница, в която подробно да разясняват какви лични данни обработват, на кого ги предоставят и за какъв период ги съхраняват.

В глобален аспект съществено ще бъдат засегнати онлайн търговци, които не са ситуирани в ЕС, но продават стоки и услуги на европейски граждани. Приложното поле на новия регламент е разширено и тези търговци също ще бъдат длъжни да го спазват.

Предизвикателство ще е да се осигури, че всеки доставчик на услуги на информационното общество, с който работи търговецът с онлайн платформа, за да осъществява своята дейност (доставчици на сървърни услуги, на специализиран софтуер и мобилни приложения, и др.), също отговаря на изискуемото ниво за защита на личните данни. В противен случай търговецът може да бъде санкциониран за неизпълнение на изискванията на Регламента и да трябва да плати стряскащи имуществени санкции, равняващи се на до 4 % от оборота му.

Следва да се отбележи и че GDPR не е единственият законодателен акт на Съюза, който ще регулира по нов начин обработването на лични данни на доставчиците на електронни услуги и търговци с онлайн платформи. През 2017 Европейската комисия предложи приемането на нарочен регламент, в допълнение към Общия регламент за защита на лични данни (GDPR), който да регулира услугите на информационното общество. Последният разширява приложното поле на новия правен режим на личните данни и е насочен включително към обработването на метаданни, като в него се признава, че метаданните могат да разкрият много чувствителни данни за физическите лица, към проследяването на местонахождението на крайните устройства; условията, при които се позволява анализ на съдържанието и метаданните; настройките по подразбиране на крайните устройства и софтуера, както и по отношение на стените за проследяване и др.

Какви специалисти трябва да подпомогнат бизнеса, за да е дейността му в синхрон с изискванията на Регламента за защита на личните данни?

В последните месеци пазарът е залят от най-различни консултанти по темата GDPR, предлагащи различни решения и услуги. Истината е, че ако търговецът разполага със силен и надежден екип от хора – с юридически и компютърни познания, има въведени ясни политики за управление на сигурността на информацията и контрол на достъпа, както и процедура за уведомяване на контролните органи при пробив на сигурността на данните, би трябвало да е способен с умерени усилия да се справи сам с привеждане на дейността си в съответствие с с изискванията на Регламента. С екипа ми сме попадали на такива клиенти, които имат нужда само от спорадични консултации по отделни проблемни въпроси. От друга страна, по-голямата част от бизнеса не разполага с необходимия човешки и времеви ресурс, за да се подготви за новите изисквания, и често прибягва да услугите на консултанти. С моят екип лично препоръчваме да се използват услугите на екипи, които са съставени както от опитни юристи в материята на защитата на лични данни, така и IT експерти, етични хакери и одитори по информационна сигурност и ISO стандарт 27001.

Как потребителят може да разбере дали търговецът спазва GDPR правилата?

На първо място, потребителят може да се запознае с политиката за защита на личните данни, публикувана на интернет страницата на търговеца. Ако последният спазва GDPR, политиката следва да съдържа подробно описание на вида и обема на лични данни, обработвани от търговеца, сроковете за това, целите и лицата, на които се предоставят данни.

Потребителят също така има право да поиска от търговеца да му предостави информация за цялата лична информация, която към настоящия момент той обработва и съхранява относно физическото лице. Тук е важно да уточним, че потребителят не може да изисква от търговеца да му предостави информация, която последният няма задължение да съхранява продължително и следователно своевременно е изтрил по траен начин. От друга стана, търговецът не може да се оправдава с потенциални искания от клиенти за предоставяне на достъп до информация и да съхранява тази информация само на това основание.

Ще бъдат ли по-добре защитени и купувачите, и продавачите в интернет от злонамерени атаки, ако спазват Регламента?

Това е една от целите, преследвани от Регламента. От една страна, осигурявайки съответствие с изискването за завишени мерки за техническа сигурност на обработваната информация, за криптиране, кодиране и обезличаване на личните данни неминуемо ще се намали риска от злонамерен пробив в системите, оперирани от онлайн търговеца. От друга, самото обстоятелство, че продавачите ще бъдат длъжни да преосмислят какви данни събират и да ограничат техния обем и срокове за съхранение, ще предпази интересите им и на техните клиенти, ако пробив в системата за сигурност все пак бъде осъществен.

Как Регламентът ще повиши конкурентноспособността на компаниите, чиято дейност е предимно в мрежата?

Привеждането на дейността на онлайн търговците в съответствие с изискванията на Регламента ще има и редица благоприятни ефекти за бизнеса. На първо място, прилагането на завишени мерки за сигурност на информацията повишава и нивото на потребителското доверие. Днешните потребители са запознати с големите рискове, свързани със споделяне на личните им данни в различни онлайн платформи, като българските потребители са сред най-мнителните и недоверчивите на новите технологии. Така например българинът продължава да предпочита да плаща в кеш и изпитва съществен дискомфорт при попълване на данните за дебитната си карта онлайн. Гарантирайки, че спазват високи стандарти за защита на личните данни и информацията, търговците в онлайн пространството могат да спечелят доверието на своите клиенти. Спазването на правилата на Регламента способства и за създаването на цялостен добър търговски имидж и репутация.

На следващо място, Регламентът задължава всеки търговец да обменя лични данни само с други търговци, които са въвели изискванията му, в противен случай ще носят пълна отговорност при пробив на сигурността. Големите компании и търговци, които работят с подизпълнители и/или доставчици на услуги (например на сървърно пространство, или на индивидуално разработен софтуер, СРМ система и др.) и които рискуват санкции от милиони евро, ще бъдат първите, които ще потърсят партньори, които гарантират спазване на Регламента. Това от своя страна е възможност за всяка компания, която изпълнява новите изискванията, да спечели пазарен дял и да сключи нови дълготрайни бизнес партньорства, като това е валидно включително за B2B компаниите.