Прилагането на Регламент (ЕС) 2016/679 за защита на личните данни (известен като GDPR) започна да напомня на голяма част от бизнеса за правилото „Клиентът винаги е прав“.

По време на обучения за Регламента често даваме на служителите на различни компании такъв казус: „Получавате искане от субект да му предоставите данните, които пазите за него или искане за изтриването им – какво ще предприемете?“. Почти винаги получаваме отговор „Предоставям данните, изобщо не ме интересува каква информация имам за този гражданин, не искам излишни разправии“ или „Изтривам ги веднага“.

Безграничната и безкритична грижа за клиента е първият видим постGDPR ефект. Част от компаниите щедро разпращат писма, имейли, по елегантен начин изискват съгласие и са много учтиви: „Само кажете „не“ и ние няма да Ви безпокоим повече“.

Други добавят и искане за писмено съгласие за всяко събиране на данни и влизат в обяснителен режим: „Съжаляваме, трябва да го подпишете, така са ни казали…“. Дори учителките в детските градини се молят на родителите с мотива „моля ви, знаем, че е ненужно, но не ни създавайте проблеми“.

До тук нищо неочаквано – GDPR е сложна европейска регулация и всеки се опитва да се справи с изискванията, както може и по собствен начин. Само, че тази криворазбрана регулация започва лека-полека да се превръща в нещо много по-различно от реалното спазване на правата и прилагането на „европейския закон“.

Субектите на данни пък се възползват от ситуацията и от новите си права, за да отмъщават на компаниите, на консуматорското общество и на когото се сетят, изпращайки дори нецензурни отговори на исканията за обработване на техни данни. А администраторите на лични данни реагират, сякаш са виновни по презумпция и удовлетворяват всички искания на будните граждани – клиентът най-после е цар!

Каква е причината за тази свръхкоректност?

Неразбирането на Регламента и от двете страни е причината за почти абсурдната ситуация. „И какво толкова?“ ще си каже някой – „Никой нищо не разбира и това е чудесно, важното е всички да сме доволни“. Да, но не е така и това мислене води дори до груби нарушения на Регламента.

На първо място, правата на субектите на данни не са абсолютни. Това означава, че не всяко искане на гражданин може и трябва да бъде удовлетворено и то веднага. Всичко зависи от правното основание за обработване и от естеството на искането. Щом едни данни се обработват на валидно правно основание (т.е. законосъобразно) и добросъвестно, всичко е наред – администраторът има право да обработва (вместо панически да изтрива) данните на гражданинa. Ще ги изтрие, но само ако са налице предпоставките за това, като предварително е идентифицирал подателя по надлежен ред.

Или ако:

  • Искането е за корекция: трябва да се прецени какви са предоставените нови документи, удостоверяващи настъпилото основание за промяна;
  • Искането е за преносимост: трябва да се прецени има ли право субектът на данни на това и задължение ли е на администратора да го осигури;
  • Искането е за достъп до данни: трябва да се прецени защитени ли са правата на други трети лица

За да се справи с тази задача, е необходимо самият администратор да е създал подходящата предварителна организация. И тук, естествено, той губи интерес и мотивация и предпочита да изтрие данните, вместо да си напише „домашното“.

На второ място, удовлетворявайки искане на конкретно физическо лице, администраторите на лични данни трябва да внимават дали не нарушават нечии други права.

Един пример: Мой колега наскоро получи любезното позволение да разгледа видеозаписите на голяма търговска верига, защото си беше загубил телефона. На всичкото отгоре, беше оставен сам в помещението с камерите, без никой да го пита какъв е точно, да провери има ли право да рови в записите. „Социално инженерство“ е термин почти непознат по нашите географски ширини, но е един от най-използваните методи за кражба на лични данни и последващо изнудване на компаниите.

Факт е, че предизвикателствата при управлението на исканията на субектите на данни са много, но непознаването на материята и липсата на подготовка може да създаде още по-големи проблеми.

Прекомерната GDPR коректност има и друг корен – предпазливост, породена от страх от големите глоби и мотивирани да подават жалби субекти на данни. Факт е, че „ефектът Брюксел“, както е наричан GDPR, значително подсили правата на гражданите. Вече са наложени и първите големи глоби по Регламента (400 000 евро в Португалия, 20 000 евро в Германия). Започва да се говори за колективни искове на граждани и дори за нов бизнес – лавина от жалби срещу фирмите с цел обезщетения и избягване на съд.

В допълнение към това съм длъжна да спомена, че липсата на достатъчна практика поради краткото до момента прилагане на Регламента, както и наличието на безбройните „гранични хипотези“, са голям проблем и допринасят за погрешното разбиране на GDPR.

 Предпазливост в комбинация с неразбиране

Изглежда, че уроците по принудителна вежливост и търпение ще продължат дълго, поне докато администраторите не разберат, че предпазливостта е здравословна, вежливостта е необходима, но не може да компенсира незнанието.

И остава надеждата истериите и проблемите да не изместят фокуса от основната цел и философия на Регламента – утвърждаване на фундаменталното право на неприкосновеност на личния живот.

 *Юлия Пригонча е юрист и сертифициран експерт по внедряване и управление на програми за защита на неприкосновеността на информацията (CIPM).

11
Коментирайте

avatar
Картинки
 
 
 
Аудио и видео
 
 
 
Документи и архиви
 
 
 
нови хронологично най-добре оценени
юрист
юрист
03 януари 2019 13:55
Гост

Прави ми впечатление колко авторитарен тон добиха материалите в сайта. Започвате да приличате на „Правен“ свят. Да не ви е купил Пеевски или Бойко?

Анонимен
Анонимен
28 декември 2018 10:41
Гост

Много полезна статия!

юрист
юрист
03 януари 2019 13:59
Гост

Нима? И каква е ползата и за кого? Освен за мафията. На кой друг му пречат гражданските права и правилата?

Анонимен
Анонимен
28 декември 2018 10:37
Гост

Клиентът по-скоро избива комплекси с това „царско“ поведение.

Някой си
Някой си
28 декември 2018 10:36
Гост

Проблемите идват и заради липсата на указания от ЕК и на практика по регламента. А в България мотаенето със закона спира приложението на GDPR и създава абсурди.

Анонимен
Анонимен
28 декември 2018 10:37
Гост

Както винаги става въпрос за пари и чиновнически тънки сметки.

DPO
DPO
28 декември 2018 10:34
Гост

Поздравления за авторката, най-после някой да нарече нещата с истинските им имена.

бай Козан
бай Козан
03 януари 2019 14:02
Гост

Ти си л@йно. Хайде, поздрави и мен.

Анонимен
Анонимен
28 декември 2018 10:31
Гост

Излишна суетня и престараване. До вчера като я нямаше тази защита, та какво?

zak
zak
28 декември 2018 10:45
Гост

Нали просто трябва да ни вземат парите.

г-жа Хайк
г-жа Хайк
03 януари 2019 14:12
Гост

За да ти еват майката, говедо!