Заявката за упражняване на правата по GDPR (на английски DSAR — искане за достъп до лични данни) е момент, в който едно физическо лице пита фирмата: „Какви мои данни пазите и какво правите с тях?“ или казва: „Изтрийте ги.“ От гледна точка на закона това е ясно очертано право. От гледна точка на фирмата това е задача с краен срок, която трябва да мине през процес, а не през паника — защото данните на този човек почти никога не са на едно място.
Какво всъщност иска законът?
Две права стоят в основата на повечето заявки. Чл. 15 GDPR — правото на достъп — дава на субекта право да получи потвърждение дали се обработват негови данни и копие от тях, заедно с информация за целите, категориите данни, получателите, срока на съхранение и правата си. Чл. 17 GDPR — правото на изтриване, познато и като „правото да бъдеш забравен“ — важи при отпаднало основание, оттеглено съгласие и подобни случаи.
Важното, което често се пропуска: правото на изтриване не е абсолютно. То не се прилага например когато обработването е необходимо за спазване на правно задължение, за упражняване на правото на изразяване или за установяване, упражняване и защита на правни претенции (чл. 17, ал. 3). Затова изтриването никога не е „бутон“ — то е решение, което човек трябва да прецени за всеки конкретен случай.
Защо един месец не е много време?
Часовникът тръгва от момента на получаване на заявката. По чл. 12(3) GDPR администраторът действа „без ненужно забавяне и във всеки случай в срок от един месец“. Срокът може да се удължи с още два месеца при сложни или многобройни заявки, но само ако уведомите лицето за удължаването и причините в рамките на първия месец. С други думи, мълчанието не е опция.
Тежката част не е да напишете отговора — тежката част е да намерите данните. При типична фирма данните на едно лице живеят едновременно в CRM, в ERP, в пощата, в електронни таблици, в архиви и понякога в резервни копия. Ако търсите на ръка, всяка система е отделно ровене, а всеки пропуснат ъгъл е риск отговорът да е непълен. Точно затова регистърът на дейностите по обработване по чл. 30 GDPR е толкова полезен — той предварително описва къде и защо се държат данни, тоест къде да търсите. Основите на тази дисциплина сме описали в статията GDPR и защита на данните за МСП.
Как автоматизацията свива дните до часове?
Идеята не е машината да реши вместо вас — а да свърши търсенето, проследяването и подготовката, за да остане на човека само преценката. Ето как изглежда процесът:
1. Приемане и регистриране. Заявката влиза през един канал (форма или обозначен имейл), записва се с дата и час и веднага получава номер и краен срок. Оттук нататък никоя заявка не се губи в нечия поща.
2. Проверка на самоличността. Преди да дадете данни на някого, трябва да сте сигурни, че той е този, за когото се представя. Системата поисква и отбелязва потвърждението, преди да продължи.
3. Оркестрирано търсене. По зададените места от регистъра на дейностите системата пита всяка свързана система за записи, отговарящи на лицето, и събира намереното на едно място — вместо шест отделни ръчни справки.
4. Сглобяване на отговора. За заявка по чл. 15 системата подготвя копието и придружаващата информация; за заявка по чл. 17 подрежда какво е намерено и къде, за да може човек да реши какво подлежи на изтриване и какво попада в изключение.
5. Проследяване на срока. Часовникът е видим за целия екип, с напомняния преди изтичане на месеца и подсказка, ако случаят е кандидат за удължаване по правилата.
6. Одитна следа. Всяка стъпка — кой, кога, какво е решил — се записва, така че при проверка да можете да докажете как е обработена заявката.
Автоматизацията не решава вместо вас дали да изтриете — тя намира данните, пази срока и подготвя фактите. Правната преценка остава при човека; машината просто гарантира, че той разполага с всичко навреме.
Къде човекът остава задължителен?
На две места най-вече. Първо — при изтриването: заради изключенията по чл. 17, ал. 3 някой трябва да прецени дали конкретен запис не е нужен за правно задължение или за защита на претенция, преди да го премахне. Второ — при преценката за такса или отказ: по правило информацията и действията са безплатни (чл. 12(5) GDPR), но при явно неоснователни или прекомерни, например повтарящи се, заявки администраторът може да поиска разумна такса или да откаже — като носи тежестта да го докаже. Това е човешко решение, което системата само подкрепя с данни.
Струва си да се помни и кой стои отсреща: надзорният орган в България е КЗЛД (Комисията за защита на личните данни), а националната рамка е ЗЗЛД (Законът за защита на личните данни). Чистата одитна следа е това, което превръща една проверка в разговор с доказателства вместо в опит да си спомните какво е станало преди четири месеца.
С какво да започнете?
Не с инструмента, а с картата. Първо опишете къде живеят личните данни — това е регистърът по чл. 30 и същевременно списъкът със системи, които търсенето трябва да обхожда. Когато едни и същи данни за човек стоят на няколко места, поддържането им в синхрон намалява пропуските; за тази основа е полезна статията Синхронизация на основните данни. Заявката по GDPR е и добър пример защо изобщо си струва да превърнете ръчните стъпки в процес — темата, която разглеждаме в основната статия Какво е автоматизация на бизнес процеси.
Оттам нататък изграждането на приемането, търсенето и одитната следа е работа, която съчетава процес и защита на данните — точно фокусът на услугата Киберсигурност. А как изглежда подобна дисциплина на практика, когато документите на много клиенти минават през един поток, показваме в Решение: дигитализация на документопотока в счетоводна кантора.
Често задавани въпроси
Наистина ли имаме само 30 дни, за да отговорим на заявка по GDPR?
По чл. 12(3) GDPR администраторът действа по заявката без ненужно забавяне и във всеки случай в срок от един месец от получаването ѝ. Срокът може да бъде удължен с още два месеца при сложни или многобройни заявки, но лицето трябва да бъде уведомено за удължаването и причините за него в рамките на първия месец.
Длъжни ли сме винаги да изтрием данните, ако някой поиска?
Не. Правото на изтриване по чл. 17 GDPR не е абсолютно — то не се прилага например когато обработването е необходимо за спазване на правно задължение или за установяване, упражняване или защита на правни претенции (чл. 17, ал. 3). Всеки случай изисква човешка преценка, а системата само подготвя данните за нея.