GDPR (5та част) – Правото “да бъдете забравени” и Правото на преносимост на данните съгласно GDPR.

В серия от публикации разглеждаме различни аспекти и последици за фирмите след влизането на регулацията в сила през Май 2018 г. и връзката й с Кибер Застраховката. Вече разгледахме Изискванията за уведомление, Изискването за изрично съгласие, ролята на Служителя по сигурността, Изискването за изрично съгласие и профилирането на потребителите. В настоящата публикация ще изследваме правото на потребителя да бъде забравен“ и правото на преносимост на неговите данни.

Правото да бъдете забравени“ и преносимостта на данните

С оглед разширяването на личния контрол върху собствените данни Регулацията въвежда две допълнителни правила. Първото е правото да бъдете забравени“. Съгласно това ново право потребителят може да поиска неговите данни да бъдат заличени / изтрити. В допълнение, ако администраторът на тези данни ги е предоставил на други лица или са били публикувани онлайн, то и тези лица / доставчици/ следва да се съобразят с това искане на потребителя. Второ, правото на преносимост на данните изисква администраторът да предостави на потребителя данните в широко използван формат и/или да прехвърли данните на друг администратор, ако това е искането на потребителя.

Очевиден ефект от това изискване е, че компаниите следва да разработят вътрешна процедура за обработка и документиране на подобни изисквания от страна на потребителите. По-надолу ще разгледаме този аспект от новите правила.

Правото да бъдете забравени“

Съгласно чл. 17 на Регулацията администраторите трябва да изритият всички лични данни без ненужно забавяне“, когато данните вече не са необходими или когато е приложимо някое от посочените по-долу основания:

  1. личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; б) субектът на данните оттегля своето съгласие, върху което се основава обработването на данните;
  2. субектът на данните възразява срещу обработването на данните;
  3. личните данни са били обработвани незаконосъобразно;
  4. личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Европейския съюз или правото на държава членка, което се прилага спрямо администратора;
  5. личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8 (съгласие на деца), параграф 1.

Правото на потребителя за изтриване на неговите данни важи и в случаите, в които администраторът е направил въпросните данни публични, особено ако това е извършено в онлайн пространството. Както споменахме по-горе, в този случай администраторът трябва да предприеме всички разумни мерки и да изиска другите администратори на тези данни да се съобразят с изискването на субекта на данни.

Правото на преносимост на данните

Целта на това ново право на субекта на данни е да се увеличи изборът на онлайн услуги за потребителя. Администраторът на данни трябва да предостави данните в цифров формат, като потребителят има правото да предостави тези данни на друг администратор. Възможно е дори администраторът да бъде задължен да изпрати данните директно на друг конкурент. Няма изискване за съвместимост на системите на двамата администратори.

По-широки права при уведомяване, достъп, корекции и опериране с данните.

Съгласно досега приложимата Директива администраторите трябва да предоставят определено минимално количество информация, преди да започнат да събират лични данни от даден потребител. Към момента това включва данни за администратора, причината за събиране на данните и всички получатели на тези данни. Директивата предоставя на потребителите право на достъп, да изискват информация как се обработват техните данни и логиката, по която работят определени автоматични обработки. В случай, че администраторът обработва данните в противоречие на Директивата, субектът на данни, може да поиска изтриване или корекция на данни.

GDPR увеличава броя на известията, които администраторът на лични данни следва да предостави, преди да събира лични данни. В допълнение на горните три изисквания член. 13 изисква администраторите да посочат и срока, за който ще съхраняват тези данни. Освен това потребителите следва да са уведомени и за правото да оттеглят своето съгласие по всяко време, правото да поискат достъп до данните, корекция или ограничаване на обработката и не на последно място правото да подадат жалба към регулаторните органи. Регулацията изисква тази информация да бъде предоставена по разумен и лесно достъпен начин, използвайки разбираем език, който е съобразен със съответните потребители. В тази връзка искането на съгласие от деца изисква тази информация да бъде предоставена по разбираем за тях начин.

Член 15 разширява горните изисквания по отношение на  правото за достъп до личните данни, като в Регулацията е уточнено, че потребителят може да поиска копие от тези данни. Член 21 от своя страна значително разширява правото на потребителите за възразяване срещу обработката на личните данни. Докато в Директивата това право може  да се упражни само когато се предоставят валидни легитимни интереси от страна на потребителя, в Регулацията това право е обърнато наопаки потребителят може да възрази срещу обработката по всяко време, оспорвайки легитимните интереси на администратора. Администраторът следва да демонстрира и докаже тези свой легитимни интереси. 

Инвестиции на компаниите в ефективна информационна инфраструктура

Завишеният контрол върху данните на трети лица и по-широките права при уведомяване, достъп, корекции и опериране с данните могат да доведат до необходимостта от въвеждането на информационни системи и процеси, които да отговорят на различните искания на потребителите. В тази връзка член 12 предвижда администраторите да предоставят данните в различни форми и формати. Тези форми и формати е много вероятно да включват и потребителски интерфейс към информационни системи или обслужващи звена.

Как Кибер застраховката може да бъде в полза на бизнеса?

Предоставянето на достъп на потребителите до техните лични данни чрез софтуерен интерфейс на практика означава и повишен риск от злоупотреба с тези данни от злонамерени лица или хакери.  Рисковете за фирмите се увеличават и една от възможните защити за намаляване на ефекта от хакерски атаки или кражбата на лични данни е Кибер застраховката. В случай на инцидент разходите за фирмата започват да растат от момента на узнаването и много бързо нарушават паричния поток на компанията. Претенциите от трети лица и съдебните искове допринасят допълнително за увеличаването на загубата за клиента. Полицата покрива както разходите, свързани с неправомерния достъп до лични данни, така и самите претенции на засегнатите лица. Така застраховката дава достъп до финансови средства, когато е най-нужно и помага за намаляване на волатилноста на риска. За допълнителна информация може да свържете с нас на office@broxio.bg или 0888 894039.

Scroll to top