GDPR на Европейския съюз ще влезе в сила след месец - можете да намерите по-долу някои повече подробности, често задавани въпроси и информация за планирани актуализации в нашите продукти, за да помогнете на
клиентите спазват новите разпоредби на GDPR
Какво е GDPR?
GDPR означава Общ регламент за защита на данните - нов регламент, който ще замени настоящата Директива за защита на данните от 1995 г. Основната цел на GDPR е да хармонизира регламента за защита на данните за всички граждани на ЕС. Той ще влезе в сила скоро, след месец, на 25 май 2018 г.
Защо се приема нов регламент като GDPR?
Понастоящем всяка от 28-те държави-членки на ЕС прилага свое собствено тълкуване на Директивата за защита на данните, което води до доста различни закони и тълкувания, методологии и, следователно, практики за защита на данните.
Чрез привеждането им в съответствие, GDPR има за цел да подобри контрола на гражданите върху техните данни по отношение на това как техните лични данни се придобиват, съхраняват, защитават и обработват. Чрез GDPR гражданите ще имат право на достъп, оспорване и промяна на личните данни.
Какво се разбира под „лични данни“?
„Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо живо лице. Отделни данни, които, когато са събрани заедно, могат да доведат до идентифициране на определено лице, също представляват лични данни. Примерите за лични данни включват:
- имената и фамилиите
- домашен адрес
- имейл адрес, като your-name@gmail.com или your-name @company.com
- номер на лична карта
- данни за местоположение (напр. функция за данни за местоположението на мобилен телефон)
- IP адрес
- данни, съхранявани от болница или лекар, които могат да бъдат символ, който уникално идентифицира дадено лице
и други
Примери за данни, които не се считат за лични данни, включват:
- регистрационен номер на компанията
- имейл адрес, например info@company.com
- анонимни данни
Кого обхваща регламентът?
GDPR е насочен основно към:
- всяка организация, събираща или контролираща лични данни от граждани на ЕС
- всяка организация, обработваща данни от името на друга организация (например доставчици на "облачни" услуги и други)
Ако имате организация, която е регистрирана извън ЕС, но събира и обработва данни на граждани на ЕС, то нейната дейност отново попада под регламента. Въпреки че напрВеликобритания напуска ЕС, британското правителство потвърди, че регламентът GDPR ще се прилага с пълна сила за всички организации, базирани на британска територия.
Какво трябва да информирате лицата, чиито данни се обработват?
Администраторът има задължението да уведоми лицата, чиито данни се обработват за:
- целта, за която се събират или обработват данните
- точния вид лични данни, които ще се събират
- възможност за оттегляне на съгласието за обработка на данни, право да поискате корекция, актуализация или ограничаване на обработката и право да поискате изтриване на данните
- ако данните ще се използват за автоматизирана обработка/профилиране.
- право на съдебна или административна защита, ако правата на субекта на данните са били нарушени.
Как да удостоверим съгласието на потребителите за обработка на техните данни?
Самото лице трябва активно и изрично да изрази съгласието си. Тази изразителност следва да бъде дадена от лицето под формата на писмено волеизявление, което то декларира. Когато това се изисква да се направи в дигиталния свят, това съгласие може да бъде дадено чрез попълнен електронен формуляр, изпратен по електронна поща или подписано с електронен подпис.
Регламентът не посочва точните и конкретни методи, които администраторите на данни трябва да използват, за да докажат, че субектът на данни е получил съгласие. Регламентът дава свобода на администраторите в средствата и методологиите, които използват. Важно е обаче администраторът да може да докаже, че е получил валидно и изрично съгласие, за което лицето е било предварително уведомено и е имало възможност да се съгласи или откаже.
Какво се случва, ако една организация не спазва GDPR?
Всяко нарушение на правилата на GDPR ще се наказва с изключително високи глоби – от 20 милиона до 4% от световния оборот.
Актуализации, планирани да помогнат на клиентите, използващи нашите продукти, да се съобразят с GDPR (които ще бъдат достъпни при поискване или добавени като функционалност по подразбиране, в зависимост от продукта)
1. Съгласие с GDPR
Добавяме в административния панел и страницата с опции за конфигурация възможност за активиране на GDRP съгласие и редактиране на неговия текст - в зависимост от вида на уебсайта и бизнеса вие ще можете да предоставите там подробности за това какъв вид информация събирате от потребителите (като име и фамилия, телефонен номер, имейли и други), как го обработвате (ако планирате да го споделите с други уебсайтове или услуги) или друга информация, която предпочитате.
Ще разполагаме и с услуга, позволяваща да се установи дали потребителят се намира в рамките на ЕС (въз основа на неговия IP адрес) и съгласието за GDPR да се показва точно тогава (и да не се показва например на потребители от САЩ), но след получаване на местоположението на потребителя от неговия IP адрес не винаги е надеждно, ако уебсайтът е насочен предимно към клиенти от ЕС, съветваме да поддържате съгласието за GDPR активно за всички потребители.
2. Бутони за потребителите да изтрият своите акаунти и информация, свързана с тях (за да се съобразят с известното правило „Правото да бъдеш забравен“)
За тези продукти, които го нямат по подразбиране, ние добавяме бутон Изтриване на моя акаунт или на страницата за редактиране на профил, или на друга ясно видима позиция (като горния десен ъгъл в административния панел), което позволява на потребителя да кликне върху него по всяко време и да изтрие своя акаунт и свързаните с него лични данни
3. Криптиране на потребителските данни
Тази актуализация позволява да се криптират всички лични данни в потребителските таблици в базите данни на MySQL и да се поддържат криптирани (и се декриптират обратно, ако информацията трябва да бъде показана по-късно в някои полета на сайта).
Ние използваме двупосочно криптиране с функциите PHP openssl_encrypt и openssl_decrypt с частни ключове, генерирани и специфични за всеки конкретен сайт.
Също така сме готови да работим по персонализирани актуализации според вашите изисквания и специфични бизнес нужди, така че, моля, не се колебайте да се свържете с нас за подробности или допълнителни въпроси.
Моля, щракнете тук за да прочетете цялата статия в нашия блог.
