Седем мита за GDPR

GDPR, или новият Общ регламент относно защитата на данните, е гореща тема, тъй като влиза в сила на 25-ти май. И разбира се, публичното пространство е пълно с мнения и заключения по въпроса. За съжаление повечето от тях са грешни. На база на наблюденията ми от последните месеци реших да извадя 7 мита за Регламента.

От края на миналата година активно консултирам малки и големи компании относно регламента, водя обучения и семинари и пиша технически разяснения. И не, не съм юрист, но Регламентът изисква познаване както на правните, така и на технологичните аспекти на защитата на данните.

1. „GDPR ми е ясен, разбрал съм го“

Най-опасното е човек да мисли, че разбира нещо след като само е чувал за него или е прочел две статии в новинарски сайт (както за GDPR така и в по-общ смисъл). Аз самият все още не твърдя, че познавам всички ъгълчета на Регламента. Но по конференции, кръгли маси, обучения, срещи, форуми и фейсбук групи съм чул и прочел твърде много глупости относно GDPR. И то такива, които могат да се оборят с „Не е вярно, виж чл. Х“. В тази категория за съжаление влизат и юристи, и IT специалисти, и хора на ръководни позиции.

От мита, че познаваме GDPR, произлизат и всички останали митове. Част от вината за това е и на самия Регламент. Дълъг е, чете се трудно, има лоши законодателни практики (3 различни хипотези в едно изречение??) и нито Европейската Комисия, нито някоя друга европейска институция си е направила труда да го разясни за хората, за които се отнася – а именно, за почти всички. Т.нар. „работна група по чл. 29 (от предишната Директива)“ има разяснения по някои въпроси, но те са също толкова дълги и трудно четими ако човек няма контекст. При толкова широкообхватно законодателство е голяма грешка то да се остави нерязяснено. Да, в него има много нюанси и много условности (което е друг негов минус), но е редно поне общите положения да бъдат разказани ясно и то от практическа гледна точка.

Така че не – да не си мислим, че сме разбрали GDPR.

2. „Личните данни са тайна“

Определението за лични данни в Регламента може би характеризира целия Регламент – трудно четима и „увъртяно“:

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Всъщност лични данни са всичко, което се отнася за нас. Включително съвсем очевидни неща като цвят на очи и коса, ръст и т.н. И не, личните данни не са тайна. Имената ни не са тайна, ръстът ни не е тайна. ЕГН-то ни не е тайна (да, не е). Има специални категории лични данни, които могат да бъдат тайна (напр. медицински данни), но за тях има специален ред.

Разграничаването, което GDPR не прави ясно, за разлика от едно разяснение на NIST – има лични данни, на база на които хората могат да бъдат идентифицирани, и такива, с които не могат, но се отнасят за тях. По цвят на косата не можем да бъдем идентифицирани. Но цветът на косата представлява лични данни. По професия не можем да бъдем идентифицирани. (По три имена и професия обаче – евентуално може и да можем). И тук едно много важно нещо, посочено в последните изречения на съображение 26 – данни, които са лични, но не могат да бъдат отнесени към конкретно лице, и на база на които не може да бъде идентифицирано такова, не попадат в обхвата на регламента. И съвсем не са тайна – „имаме 120 клиента на възраст 32 години, които са си купили телефон Sony между Април и Юли“ е напълно окей.

Та, личните данни не са та тайни – някои даже са съвсем явни и видни. Целта на GDPR е да уреди тяхната обработка с автоматизирани средства (или полуавтоматизирани в структуриран вид, т.е. тетрадки). С други думи – кой има право да ги съхранява, за какво има право да ги използва и как трябва да ги съхранява и използва.

3. „GDPR не се отнася за мен“

Няма почти никакви изключения в Регламента. Компании под 250 души не са длъжни да водят едни регистри, а компании, които нямат мащабна обработка и наблюдение на субекти на данни нямат задължение за длъжностно лице по защита на данните (Data protection officer; тази точка е дискусионна с оглед на предложенията за изменения на българския закон за защита на личните данни, които разширяват прекалено много изискванията за DPO). Всичко останало важи за всички, които обработват лични данни. И всички граждани на ЕС имат всички права, посочени в Регламента.

4. „Ще ни глобят 20 милиона евро“

Тези глоби са единствената причина GDPR да е популярен. Ако не бяха те, на никого нямаше да му дреме за поредното европейско законодателство. Обаче заради плашещите глоби всякакви консултанти ходят и обясняват как „ами те глобите, знаете, са до 20 милиона“.

Но колкото и да се повтарят тези 20 милиона (или както някои пресоляват манджата „глоби над 20 милиона евро“), това не ги прави реалистични. Първо, има процес, който всички регулатори ще следват, и който включва няколко стъпки на „препоръки“ преди налагане на глоба. Идва комисията, установява несъответствие, прави препоръки, идва пак, установява взети ли са мерки. И ако сте съвсем недобросъвестни и не направите нищо, тогава идват глобите. И тези глоби са пропорционални на риска и на количеството данни. Не е „добър ден, 20 милиона“. Според мен 20-те милиона (или 4% от годишния оборот) ще са само за огромни международни компании, като Google и Facebook, които обработват данни на милиони хора. За тетрадката с вересиите глоба няма да има (правото да бъдеш забравен се реализира със задраскване, но само ако магазинерът няма легитимен интерес да ги съхранява, а именно – да му върнете парите :)).

Тук една скоба за българското законодателство – то предвижда доста високи минимуми на глобите (10 хил. лева). Това се оспорва в рамките на общественото обсъждане и е несъразмерно на минимумите в други европейски държави и се надявам да спадне значително.

5. „Трябва да спрем да обработваме лични данни“

В никакъв случай. GDPR не забранява обработката на лични данни, просто урежда как и кога те да се обработват. Имате право да обработвате всички данни, които са ви нужни, за да си свършите работата.

Някои интернет компании напоследък обявиха, че спират работа заради GDPR, защото не им позволявал да обработват данни. И това в общия случай са глупости. Или те така или иначе са били на загуба и сега си търсят оправдание, или са били такъв разграден двор и са продавали данните ви наляво и надясно без ваше знание и съгласие, че GDPR представлява риск. Но то това му е идеята – да няма такива практики. Защото (както твърди Регламентът) това представлява риск за правата и свободите на субектите на данни (субект на данните – това звучи гордо).

6. „Трябва да искаме съгласие за всичко“

Съгласието на потребителите е само едно от основанията за обработка на данните. Има доста други и те дори са по-често срещани в реалния бизнес. Както отбелязах по-горе, ако можете да докажете легитимен интерес да обработвате данните, за да си свършите работата, може да го правите без съгласие. Имате ли право да събирате адреса и телефона на клиента, ако доставяте храна? Разбира се, иначе не може да му я доставите. Няма нужда от съгласие в този случай (би имало нужда от съгласие ако освен за доставката, ползвате данните му и за други цели). Нужно ли е съгласие за обработка на лични данни в рамките на трудово правоотношение? Не, защото Кодекса на труда изисква работодателят да води трудово досие. Има ли нужда банката да поиска съгласие, за да ви обработва личните данни за кредита? Не, защото те са нужни за изпълнението на договора за кредит (и не, не можете да кажете на банката да ви „забрави“ кредита; правото да бъдеш забравен важи само в някои случаи).

Усещането ми обаче е, че ще плъзнат едни декларации и чекбоксове за съгласие, които ще са напълно излишни…но вж. т.1. А дори когато трябва да ги има, ще бъдат прекалено общи, а не за определени цели (съгласявам се да ми обработвате данните, ама за какво точно?).

7. „Съответсвието с GDPR е трудно и скъпо“

…и съответно Регламентът е голяма административна тежест, излишно натоварване на бизнеса и т.н. Ами не, не е. Съответствието с GDPR изисква осъзната обработка на личните данни. Да, изисква и няколко хартии – политики и процедури, с които да докажете, че знаете какви лични данни обработвате и че ги обработвате съвестно, както и че знаете, че гражданите имат някакви права във връзка с данните си (и че всъщност не вие, а те са собственици на тези данни), но извън това съответствието не е тежко. Е, ако хал хабер си нямате какви данни и бизнес процеси имате, може и да отнеме време да ги вкарате в ред, но това е нещо, което по принцип e добре да се случи, със или без GDPR.

Ако например досега в една болница данните за пациентите са били на незащитен по никакъв начин сървър и всеки е имал достъп до него, без това да оставя следа, и също така е имало още 3-4 сървъра, на които никой не е знаел, че има данни (щото „IT-то“ е напуснало преди 2 години), то да, ще трябват малко усилия.

Но почти всичко в GDPR са „добри практики“ така или иначе. Неща, които са полезни и за самия бизнес, не само за гражданите.

Разбира се, синдромът „по-светец и от Папата“ започва да се наблюдава. Освен компаниите, които са изсипали милиони на юристи, консултанти, доставчици (и което накрая е имало плачевен резултат и се е оказало, че за един месец няколко човека могат да я свършат цялата тая работа) има и такива, които четат Регламента като „по-добре да не даваме никакви данни никъде, за всеки случай“. Презастраховането на големи компании, като Twitter и Facebook например, има риск да „удари“ компании, които зависят от техните данни. Но отново – вж. т.1.


В заключение, GDPR не е нещо страшно, не е нещо лошо и не е „измислица на бюрократите в Брюксел“. Има много какво да се желае откъм яснотата му и предполагам ще има какво да се желае откъм приложението му, но „по принцип“ е окей.

И както става винаги със законодателства, обхващащи много хора и бизнеси – в началото ще има не само 7, а 77 мита, които с времето и с практиката ще се изяснят. Ще има грешки на растежа, има риск (особено в по-малки и корумпирани държави) някой „да го отнесе“, но гледайки голямата картинка, смятам, че с този Регламент след 5 години ще сме по-добре откъм защита на данните и откъм последици от липсата на такава защита.

17 коментара

  1. Обаче има и един друг „нюанс“ към глобите! Ако компанията е международна, тогава максималната глоба е до 4% от глобалния годишен оборот. Което в България може и да не е супер актуално, но липсва в статията и е хубаво да се спомене.

  2. Така е, реших да го спестя, защото наистина не е релевантно към почти никоя наша компания, но ще го вметна.

  3. Съвсем вярно! Няма нищо страшно да се спазват предвидените в регламента права и да се изпълняват посочените задължения. Може би реакциите, които описвате са в известна степен резултат от малко немарливото прилагане на все още действащата директива от далечната вече 1995. Всъщност няма чак толкова много нови неща, в сравнение с директивата, в регламента, но да текстовете са общо формулирани и не звучат конкретно. Няма обаче директно уреждане на право на собственост върху личните данни в регламента. И той ще влезе в сила не от 25май, а след 1 юли заради вътрешната процедура по приемането му в Лихтенщайн.

  4. Абсолютно релевантен за Бг е рискът от 4%. Тук оперират много международни компании чрез своите подразделения.
    Аз лично не виждам в тази регулация нещо повече от „замазване на очите “ на тези, които няма да прочетат тежките текстове и вникнат в процедурата просто защото това не им е работата. Това обаче е болшинството от нашите съграждани. Нека отговори някой, който
    А)е свидетел на разлика преди и след
    Б)посочи сайт или приложение, които можеш да продължиш да ползваш без да даваш право да се ползват личните ти данни.

  5. Работя и консултирам клиенти по темата. Авторът има абсолютно правилна гледна точка и по 7-те пункта, и отличен поглед върху това,което е написал. Поздравления,тъй като следя темата отблизо и масово се пишат и предлагат страшни глупости.

  6. Хубаво написано, но има един проблем – няма значение 🙂 Глобите са достатъчно солени и компаниите достатъчно наплашени от административен произвол, така че харчат маса пари за compliance независимо дали има реална нужда от такава инвестиция или не. Например тук има изчисление, че цената само за EU ще е едни 200 милиарда евро: https://www.gigacalculator.com/calculators/gdpr-compliance-cost-calculator.php . Вътре има посочени и други данни, примерно в Microsoft цели 300 души си губят времето са тази регулации, вместо да правят нови и да подобряват стари продукти.

  7. Е, не е странно, че „работещите и консултиращите по темата“ са много позитивно настроени към GDPR. От друга страна не толкова щастливи са онези, които ще плащат на консултиращите по темата … А това е горе долу целият бизнес. 🙂 🙂 🙂

  8. Здравейте, много интересна статия, благодаря!

    Интересно ми е за университетите важи ли този регламент?
    В доста сайтове на университети, факултети се качва публично (без нужда да се влиза в акаунт) информация за разпределения, класирания на студенти и там са им повечето лични данни. Те могат да се видят от нас студентите, но и всички други, които попадат на тези сайтове.
    Вторият ми въпрос отново за университетите е какво става със качванията на такива файлове с лични данни от предишни години и бъдещи качвания.
    Разбирам, че качването на нови файлове трябва да се преустанови, но университетите длъжни ли са да изтрият и старите файлове?

    Благодаря предварително.

  9. @Петър да, важи за университетите. И да, трябва да защитават по-добре тези данни – и миналите, и бъдещите. Т.е. достъп да се получава само след вход с факултетен номер и парола, например.

  10. Александър каза:
    17.05.2018 в 10:28 am
    „От друга страна не толкова щастливи са онези, които ще плащат на консултиращите по темата … А това е горе долу целият бизнес. 🙂 🙂 🙂“

    Плащащите никога не са били щастливи… Че трябва да плащат. Например, през 18 век не им се е давало много голямо възнаграждение на трудещите по 12 часа 6 дена в седмицата. Но днес знаем, че това не е справедливо. Следователно, не може да злоупотребяват с личните данни под предлог, че системи за контрол са излишни разходи. Тук хората не знаят още, но в определени Западни страни изпращаш сиви за работа и започват ‘студени обаждания’ с цел продажба.

  11. @Сократ:

    Правиш допускането, че едва ли не всяка фирма, която не си е купила скъпа секюрити система, злоупотребява с личните данни на някого???

  12. Здр,
    Много ми хареса статията ви и искам да я обогатя. Регламента е лош – понеже е неясен в много аспекти. НО той е допълнително лош заради официалната версия на български език.

    Като собственик на малка фирма си чупих главата, по ъпросите с потенциално доказане. Хрумна ми да прочета регламанта на Англииски. Поради липса на време не съм успял – по скоро селективно по членове които са приоритетни четох.

    И какво да видя – В превода на чл. 24 нашите гоорят за доказване: “ …. . да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент…..“

    В англииската версия:“ ….to be able to demonstrate that processing is performed in accordance with this Regulation“

    Подчертавам – не е „to be able to prove“ или още по солидното „to be able to document prove“, а да демострираш. Според мен разликата е колосолна поставена в контекста на БГ контролен орган .

    Значи ако КЗЛД дойде и ще каже – „хайде сега съгласно чл 24 – докажи“, но ако ирландския контролен орган отиде в офиса на Гугъл ще каже „хайде сега съгласно чл 24 – демонстрирайте“ .

    Извинявайте но да демонстрирате добра практика е едно, а да се чудиш кое е „доказателство“ съвсем друго. Например доказателство е документ – според ГПК документ е нещо с подпис. Интересно в онлай бизнес как би могъ да излезеш от ситуация. Може би някакви чекбоксчета не са доказателство, не знам.

    Дори да се позовеш на англииска версия – докато БГ се произнесе може да минат години – а по наказтелни постановления дори не ти признават разхода за адвокат – трябва да водиш отделно дело. Интересно като ти сложат една хубаа глоба, заради липса на доказателство, или най малкото нещо което е спорно, какво правиш?

    Всички неясни закони водят до административен произвол. Май ще си правя фирма в друга юрисдикция, защото тук май „ниските“ данъци ще си ги компенсират от наказателни постановления.

    Вие как мислите?

  13. Само да се допълня, понеже не виждам, как да си корегирам отговора:

    Според мен има голяма разлика между това да „демострираш“ и това да „докажеш“.
    Така например демонстрация на добра практика би могло да бъде да покажеш, че сайта ти се зарежда през ССЛ сертификат – т.е. данните между браузера на потребителя и сървъра се криптират …. или пък да дадеш техническа характеристика за май ес кю ел базата, която отговаря на еди какви си стандарти. Но да го докажеш – дори няма представа, какво трябва да направиш.

    п.с. извинявам се за грешките в предния отговор, виждам че съм изпуснал някъде и думи (например в предпоследния абзац думата „съд“ след БГ)

  14. Пропуснах да покажа още една неточност в превода – точно в същото изречение което анализирах има още един абсурд:

    чл. 24 нашите гоорят за доказване: “ …. . да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент…..“

    В англииската версия:“ ….to ensure and to be able to demonstrate that“

    to ensure = да се увери ( а не да гарантира за което думата е „to guarantee“)

    Значи поставено в контекст на технически мерки които онлайн сайт в огромна степен зависят от трета страна – например хостинг, това е абсурен превод. От теб се иска да дадеш гаранции за трета страна.
    Според мен духа на регламента не това – по скоро трябва да се убедиш, че си направил, каквото е възможно, но гаранции …..

  15. Не просто кофти, а обръща административното производство с главата надолу:

    Например: Ако от вас се иска, не да „докажете“. а да „демонстрирате“ (както е в оригиналния текст) въвеждането на подходящи техн. и организационни мерки, тогава Вие можете да посочите сайта си и да кажете“ „ето ни сайта, ето на него политиката за ЛД, ето чек боксове, които ако не не маркирате с нарочно дейстие не можете да се регистрирате, и следоателно не ни давате ЛД“

    Така описано отговаря на „демонстриране“

    А при настоящия текст, където трябва да „докажете“ би било съвсем различно: В БГ административно производство, доказването е с документи. А документ е нещо с подпис. Невъзможно онлайн потребител да то доставя такива документации = невъзможно да докажеш, че с нещо се е съгласил. Тук нещата опират до добрата воля на контролния орган – от него зависи, как ще изтълкува. Може така, може онака – сещай се сам, какво развитие може да има.

    Онлайн бизнесите са като агне пред заколение.

    Ако тук има някави адвокати – не може ли да се организира една група за натиск, или група за лобиране, както тамс е нарича ….. и да се предложи на кзлд да се произнесе. Конкретно предлагам ледният въпрос:

    ЧЛ 24 ал. 1
    Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. 2Those measures shall be reviewed and updated where necessary.

    Следва да се разбира и превежда:

    1. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да СЕ УВЕРИ и да е в състояние да ДЕМОНСТРИРА, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

    а не както е сега:

    1. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

    думите „гарантира“ и „докаже“ са подменени с „се увери“ и „демонстрира“ т.е. 1:1 превод

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *