Ти пазиш ли данните на клиентите си?

В икономическата теория терминът „черен лебед“ означава рядко събитие, което е закономерно да се случи, но трудно за предвиждане и носи опустошителни последици. Нещо съвсем различно е напът да засегне онлайн търговията. То е предопределено с регламент на Европейския съюз , който е приет точно преди година и въпреки това е почти неизвестен за компаниите, които ще трябва да спазват разпоредбите му.

Регламентът за защита на личните данни (GDPR) влиза в сила от 28 май 2018 г. и половината от времето, в което фирмите могат да настроят бизнеса си според неговите изисквания, вече е изтекло. Той въвежда универсални правила за това, как публичните институции и търговците трябва да опазват събраните от тях лични данни на физическите лица. Това важи за онлайн търговците, сайтовете с обяви, които съдържат лични данни на потребителите, социалните мрежи, търсачките, банки, застрахователи и още много бизнеси, които, за да обслужват клиентите си, набират техни данни по електронен път.

Сега действащата европейска регулация за защитата на данните е приета през 1995 г. Заради видимото й изоставане от технологиите всяка държава досега я надграждаше по собствен начин. Текстовете на новия регламент, точно защото е регламент, няма да се интерпретират от националните законодатели, а ще важат еднакво за всички администратори на данни в ЕС.

Личните данни трябва да са предпазени както от хакерски атаки, така и от сривове в системата, заради които може просто да се загубят. Трбява също да са защитени и от крожба, извършена от вътрешни хора. Ако потребител иска да смени Linkedin с друга социална мрежа за професионалисти, той трябва да може да прехвърли всичките си данни така, както днес прехвърля телефонните номера от един апарат на друг. Може да изиска от оператора на социалната мрежа да изтрие данните, които пази за него (правото да бъдеш забравен), а ако социалната мрежа или сайтът, който набира данните, има практика да ги обработва с комерсиални цели, потребителят трябва да бъде изрично попитан дали е съгласен записите за него да се използват по конкретния начин. Сега е достатъчно първоначалното съгласие с общите условия на сайта, за да се използват след това данните ни.

Казано по друг начин - това е изцяло нов подход, който ще трябва да се прилага постоянно.

Един нов бизнес

От май 2018 г. всяка компания, засегната от регламента, ще трябва да има служител по защита на личните данни. Той, както счетоводителите и одиторите, ще трябва да покрива изисквания за професионална квалификация и най-вероятно трудът му няма да бъде евтин. Така се отварят врати пред изцяло нов бизнес. Консултантски компании и инженери по сигурността на данните вече се подготвят да предлагат услугата по защита на данните, така както в момента жилищните кооперации могат да си наемат професионален домоуправител.

Според Спас Иванов, ръководител „продажби“ в компанията за киберсигурност „Сентио“, използването на външен експерт ще излиза по-евтино от назначаването на такъв служител на трудов договор, особено за малките предприятия, каквито са голяма част от онлайн търговците в България.

Проблемът е, че далеч не всички засегнати знаят за тези задължения. Допитване на „Икономист“ показа, че големите компании са по-информирани относно регламента в сравнение с малките онлайн търговци.

ПРЕВЕНЦИЯ: Онлайн търговците ще трябва да повишат сериозно мерките, с които защитават клиентите си. Но не само те ще бъдат засегнати от новите изисквания

"Изискванията на този регламент са много сериозни и имат потенциал да засегнат абсолютно всички онлайн търговци. От информацията, с която разполагам, правя извод, че разпоредбите на регламента ще създадат сигурни разходи за бизнеса, макар и в различен мащаб. Насреща обаче няма да има някаква възвръщаемост, каквато обикновено може да се постигне с инвестиция по оптимизиране на един онлайн магазин например. Което е по-важно, за момента няма никаква яснота колко точно ще струва изпълнението на изискванията от новия регламент, нито как точно би станало", казва Асен Георгиев, собственик на bateryland.bg. Той се притеснява, че при слаб контрол, какъвто за България се очаква по подразбиране, регламентът ще натовари с разходи онлайн търговците, които и към момента се стремят да са изрядни, а останалите, които не играят по правилата, ще получат поредното конкурентно предимство.

Отговорна за прилагането на този регламент е Комисията за защита на личните данни. Тя ще има властта още от ден първи след влизането му в сила да проверява компаниите и да налага санкции, ако не са направили нужното, за да защитят данните на клиентите си. Те ще варират от 4% от годишния консолидиран оборот до 20 милиона евро.

От комисията обясниха пред „Икономист“, че все още мерките, които ще предприемат, са в процес на подготовка. За момента новите изисквания са публикувани на нейния сайт, но информационна кампания и реални обучения ще започнат на по-късен етап.

Когато размерът боли

Въпреки че са по-информирани, големите компании също са изправени пред сериозно предизвикателство с въвеждането на новия регламент за опазване на личните данни. Причината е, че те предлагат много по-комплексни услуги на клиентите си, за което обаче събират и повече лични данни. Социалните мрежи предлагат информация за потребителите си на различни аналитични звена, които я използват, за да предвидят както политическите предпочитания на един потребител, така и дали той няма да се разведе в следващите пет години. На базата на тази информация той може да бъде атакуван както с реклами, които да направят живота му по-лесен, така и със съобщения, които да моделират поведението му в полза на някого, който си плаща.

Ръководителят на центъра по анализ на данните в един от най-големите производители на компютри коментира пред „Икономист“, че на фона на сегашната ситуация изискванията на GDPR ще бъдат едно от най-големите предизвикателства пред индустрията. „Вярно е, че понякога личните данни се използват с комерсиална цел, но също така е вярно и че огромна част от днешните удобства, които приемаме за даденост, се случват благодарение на алгоритмите, с които анализираме поведението на нашите клиенти.“

Аутсорсинг центърът, за който той отговаря, е базиран в София и отговаря за потребители по целия свят. След влизане в сила на новия европейски регламент дейността на компанията ще се раздели на такава за граждани на Европейския съюз и такива извън него. Много е вероятно те да получават и по-голям набор от услуги в сравнение с потребителите в ЕС.

Това ще е цената, която може да платим за защитата на личните ни данни.

Текстът е публикуван в новия брой на "Икономист" от 28 април, който може да купите в разпространителската мрежа в страната. Вижте какво още може да прочетете в броя.