Остават вече по-малко от 3 месеца до влизането в сила (25.05.2018г.) на „Общия Регламент на ЕС относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни“ (известен просто като “GDPR”). GDPR ще засегне всеки бизнес и публичен орган, които обработват лични данни на граждани на ЕС, включително:
- Всеки работодател в ЕС.
- Всички бизнеси, които предлагат стоки и услуги на граждани на ЕС или наблюдават поведението им онлайн (в това число и тези от тях, които не са установени в ЕС).
- Всички бизнеси, които обработват лични данни на граждани на ЕС в качеството си на подизпълнители на други лица (т.нар. „обработващи лични данни“).
На практика, GDPR ще засегне всички бизнеси и държавни органи в ЕС, а и не само в ЕС.
Някои сектори на икономиката обаче ще бъдат най-уязвими и ще трябва да предприемат най-много усилия, за да спазят изискванията на Регламента. Ето кои са те, според нас:
Онлайн реклама
Онлайн рекламата/онлайн маркетинг е сектор, който расте главоломно през последните години (за 2016-та общите приходи в ЕС са в размер на 42 млрд евро). Същевременно, личните данни и информацията, която се извежда от техния анализ са един от основните „консумативи“ на онлайн рекламата.
Тези компании обработват голяма част от данните си на база взето съгласие от субектите, а по отношение на начина на получаването на съгласие, възможностите за оттеглянето му, както и достъпът до събрани данни промените, GDPR e особено строг.
Кол-центрове (“Call centers”)
Тази особено популярна форма на аутсорсинг на процеси ще срещне сериозни затруднения във връзка с управлението на потоците си от данни. Независимо дали кол-центърът работи като администратор или като обработващ данни, той ще трябва да може да гарантира достъп до всички събрани данни за 1 лице и да може да ги заличи/коригира, ако лицето поиска това.
По-големите кол-центрове ще трябва да заделят специализирани отдели в екипа си, които да наблюдават дали не се събират прекомерни обеми от данни и дали те не се съхраняват прекалено дълго. Също така, за записването на телефонен разговор няма да е достатъчно просто предупреждение, а ще е необходимо съгласие или наличие на някое от останалите законови основания, съгласно GDPR.
Анализ на големи бази данни (“Big data analytics”)
На първо място, не всички данни, които се обработват като големи бази данни, са лични (напр: данни за климата, трафика и т.н.). Ако обаче с чрез данните могат да се идентифицират физически лица, тогава компаниите, които се занимават с анализ на големи бази данни, срещат сериозни предизвикателства, свързани с GDPR.
Основната трудност, пред която са изправени “големите данни”, е идентифицирането на субектите на данните, които се обработват, както и качествата им, включително съгласие, срок за съхранение и т.н. Огромните обеми правят много сложно управлението на потоците и регистрите на данните.
Търговия на дребно
GDPR може да се прилага както по отношение на електронната търговия, така и за търговията, осъществявана чрез физически магазини. Докато прилагането на GDPR спрямо фирмите за електронна търговия е по очевидни причини, физически магазини могат да се изненадат като също се окажат отговорни за защитата на личните данни, които обработват.
Много компании за търговия на дребно обработват данни чрез т.нар. „трети страни“ (подизпълнители, разположени извън ЕС), като например: процесори за обработка на плащания, онлайн пазари, интернет търсачки, приложения за управление на контакти, имейл услуги и други. Би било разумно всяко предприятие за търговия на дребно да обмисли как вътрешните му бизнес процеси могат да бъдат променени, за да се намалят рисковете, свързани с конфиденциалността на личните данни.
Здравеопазване
GDPR въвежда особено строги изисквания за обработване на някои видове специфични лични данни, които традиционно се обработват в здравеопазването. Като цяло, съответната здравна организация може да събира и обработва медицински лични данни, само ако същите са необходими за лечение и диагностициране на пациента и само с неговото изрично съгласие. Тя може също да събира и обработва тази информация, ако данните са необходими за целите на общественото здравеопазване, като напр. борба с епидемии.
GDPR също така споменава генетичните данни като група с особено значение за правата на гражданите. Регламентът допуска защитата на национално ниво на специфичните лични данни с медицинско предназначение да бъде по-строга от неговите разпоредби.
Финансови услуги
Oще при обсъждането на бъдещия проект за GDPR беше ясно, че финансовият сектор ще е сред най-засегнатите от потенциалните промени. Няколко фактора, специфични за финансовите услуги, обаче се открояват като особено важни от гледна точка на риска. Финансовите организации поддържат огромни масиви от лични данни за притежателите на сметки. Те също така консумират и генерират огромни количества лични данни за маркетингови цели – да стимулират продажбата на финансови услуги и да оценят кредитоспособността на търговските и индивидуални клиенти. Трудно можем да си представим банка, инвестиционен посредник, застрахователна компания, доставчик на платежни услуги и т.н., които не администрират чувствителни лични данни за физически лица в ЕС.
Освен това нарушенията на личните данни в огромен мащаб, са често срещани във финансовата индустрия. Нарушението в сигурността на Equifax през октомври 2017 г. засегна конфиденциални личните данни на 145 милиона души, много от които дори не са знаели, че компанията събира информация за тях.
Туристическа индустрия
Туристическата индустрия ще бъде особено засегната, поради големите обеми от общи и чувствителни категории лични данни, които обработват. Например, личните данни, които се събират, като част от процеса по резервации, включват специални категории данни като такива свързани със здравето и медицинското досие на субектите.
Туристическите компании също така използват данни с цел маркетинг – за да промотират продуктите си директно на клиентите си, също така споделят големи масиви от данни със своите контрагенти (някои от тях – извън ЕС) – места за настаняване, подизпълнители, организиращи екскурзии и т.н. Всички тези дейности трябва да се съобразят с изискванията на GDPR.
С обема на обработената информация за лична и кредитна карта, която се предава на хотелите всеки ден, хотелската индустрия понастоящем е една от най-уязвимите по отношение на сигурността на данните. Чрез своите уебсайтове те често събират огромни количества данни, чиито потоци не са подредени и трудно могат да се изпълнят изискванията на GDPR, свързани със заличаване, достъп, корекция и т.н.
В обобщение можем да кажем, че списъкът до тук няма претенции за изчерпателност, защото няма индустрия, която да остане незасегната от GDPR. За някои компании обаче GDPR представлява шанс да реформират управлението на информацията си, съгласно най-добрите практики. Мотивация за това може да бъде желанието да се работи ефективно и рентабилно или дори да създават конкурентно предимство чрез подходящо обработване на данните за клиентите си. За други компании GDPR е скучнo занимание, отвличане на вниманието от други бизнес приоритети, проблем, който трябва да бъдат решен, но с минимум усилие.