Компаниите, които събират данни на потребители от ЕС, включително производителите на бързооборотни стоки, ще трябва да се съобразяват със стриктни правила за защита на личните данни след 25 май 2018 г. Новият регламент, познат като General Data Protection Regulation (GDPR) поставя нови стандарти при обработката на лични данни. Компаниите са изправени пред предизвикателството да реорганизират системите и процесите си по начин, който е в съответствие с регламента. 

По същество

Новият закон дава повече контрол на потребителите над техните лични данни и това как се събират, съхраняват и използват те. Предвидените големи глоби за неспазване на изискванията целят да намалят лошите практики при обработка на данни, както и нарушенията при осигуряването на тяхната защита. Друго изискване на регламента е компанията да избере прозрачни и добре балансирани цели и основания за обработката на лични данни, както и да осигури достатъчно високо ниво на защита на данните на потребителите и да се съобразява с техните права.

Това означава, че ще се наложат и промени в голяма част от бизнес операциите и процесите – защитата на личните данни и неприкосновеността на потребителите трябва да са в основата на всички нови проекти за приложения, промоционални или корпоративни уебсайтове и др. Добре е служителите да преминат подходящо обучение, свързано с новите разпоредби, за да се избегнат нарушения на регламента, които биха довели до значителни санкции.

В допълнение, всяко юридическо лице ще трябва да е в състояние да докаже, че данните под неин контрол се обработват в съответствие с изискванията на новите разпоредби. За спазването на правилата ще се грижи т.нар. длъжностно лице по защита на данните (DPO или Data Privacy Officer). Такъв експерт се назначава, когато основните дейности на администратора или обработващия лични данни, се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни. Друг случай, при който трябва да се назначи такъв служител, е когато основните дейности на фирмата включват мащабно обработване на специалните категории данни. DPO може да бъде служител или външно лице, назначено по граждански договор/ договор за услуги.

Организиране на промоционални кампании

Най-голямото предизвикателство пред компаниите в сектора на бързооборотните стоки е свързано с получаването на т.нар. съгласие от страна на субектите на личните данни – т.е. крайните клиенти. Всяка промоционална кампания ще трябва да бъде внимателно планирана, както и да отговаря на определени критерии, за да бъде обработката на личните данни на участниците в съответствие със законовите разпоредби. При събиране на лични данни, изискването към всяка компания-производител на бързооборотни стоки е съгласието от страна на участника в кампанията да бъде свободно изразено, конкретно, информирано и недвусмислено. В допълнение, това съгласие трябва да бъде дадено посредством изявление или ясно потвърждаващо действие на участника, с което той позволява свързаните с него лични данни да бъдат обработени.

Това, разбира се, повдига редица въпроси пред всяка компания. Ясно е, че процесът на събиране на съгласие ще бъде коренно променен, но все още няма достатъчно подробни указания за това как трябва да изглежда самата форма (онлайн или офлайн), в която ще се регистрират данните. Допълнителната информация, предоставяна на крайния клиент (напр. достъп до Политиката за защита на данните), също трябва да бъде достатъчно подробна и ясно описана, за да вземе той информирано решение. За това също липсват достатъчно конкретни примери.  

Възниква и въпросът какво се случва с данните, които са събирани досега. Указанията на т.нар. „Работна група по чл. 29“, чиято задача е да консултира по отношение тълкуването на регламента, ясно посочват, че стига съгласието да е било събирано в съответствие с GDPR, данните могат да се използват и след 25 май 2018 г. Разбира се, малко са компаниите, които ще могат да отговорят на такова изискване. Това означава, че или обработването на старите лични данни трябва да бъде прекратено, или съответната компания да ги обработва по друго основание (един от вариантите е компанията да се позове на директния маркетинг като свой легитимен интерес, въз основа на който тя обработва лични данни – все пак изграждането на такъв масив от информация е бил свързан със значителна инвестиция, която не бива да се пренебрегва).

Изключително широката публичност, която получиха новите законови разпоредби, означава, че всяка сериозна компания активно се е ангажирала с това да организира процесите си в съответствие с регламента. Какви ще бъдат конкретните указания от страна на регулаторния орган – „Комисия за защита на личните данни” по отношение старата информация и назначаването на длъжностно лице по защита на данните, ще стане ясно в следващите два месеца.

Христо Радичев, управител, „Медияпост Хит Мейл България”