На 25 май 2018 г. влезе в сила GDPR (Общ регламент за защита на личните данни).
След тази дата всеки правоохранителен орган в Европейския съюз може да налага глоба, която при съществени нарушения достига до 20 млн. евро, или до 4% от годишния оборот (прилага се по-голямата от двете суми).
Какво е GDPR?
General Data Protection Regulation или регламент EU 2016/679 на ЕС за защита на личните данни.
Това е закон, който регламентира управлението на информацията и нейната защита. Целта на GDPR е да осигури защита на личните данни на гражданите на ЕС.
Какво са лични данни?
Регламента GDPR определя личните данни, като „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“.
Физическото лице може да бъде идентифицирано по име, и-мейл, телефон, снимка, идентификационен номер, информация за местонахождение, IP адрес, онлайн идентификатор и други.
GDPR в уеб сайтовете
Онлайн услугите, в т.ч. уеб-сайтове и приложения, са изключително засегнати от регламента GDPR. Необходими са мерки за привеждане на сайта според изискванията.
Какво следва да направите?
- Анализ и оценка на сайта
- Има ли на сайта ви събиране на лични данни - потребителски регистрации, форми за обратна връзка, коментари, бисквитки, тракинг скриптове, в т.ч. всички инсртументи на Google, Facebook, други социални мрежи, бутони за връзка със Соц. мрежи - споделяне, харесване, коментари и т.н.
- Оценка за техническото състояние на системата на сайта и податливост към хакерски и вирусни атаки
- Привеждане на сайта към съвместимост с изискванията на GDPR
- премахване на излишните обработки на лични данни
- добавяне на потребителско съгласие за използване на лични данни - съгласие за бисквитки, съгласие за всички форми за регистрация, коментари, контакт и обратна връзка
- добавяне на страница с Декларация за поверителност, където са описани всички правила и изисквания на DGPR, правата на потребителите, както и описани всички лични данни, събирани в сайта /включително услуги на Google и интергация със соц. мрежи/
- защита на сигурността на сайта - ъпдейт на софтуерната система; инсталиране на инструменти за сигурност; мониторинг за пробиви /трябва да се докладва до 72 часа при хак или вирусна атака, които могат да застрашат личните данни/
- всички събрани до момента лични данни трябва да се прерагледат дали е необходимо да се пазят и ако да, да се уведомят потребителите. Желателно е, ако се изтрият, също да се уведомят потребителите за предприетите действия
- Да се състави фирмена процедура за обработка на лични данни през сайта и отговарящо лице
- Да се подсигурят бекъпи и периодично изтриване на личните данни след изтичане на приетия срок за съхранение. Да се извършва постоянен мониторинг за правилно управление на личните данни и пробиви в сайта.
Всички сайтове, които обработват и съхраняват личните данни на субектите на данни, пребиваващи в Европейския съюз, независимо от местоположението на сайта, трябва да бъдат съвместими с GDPR.