Неделна разходка 32 Комуникационни предизвикателства пред защитата на личните данни

Всяка неделя разказвам за смешни истории, свързани със социалните мрежи, GDPR и сигурността на личните данни в интернет. От днес заглавието на рубриката се променя – освен номера на разходката, ще споменавам и проблема, който „отличниците“ на защитата на личните данни не са успели да решат.

На 6 август bTV роди заглавието „Киберексперт: Вече има изтеглен кредит с чужда самоличност“, което бързо обходи интернет пространството. За разлика от подзаглавието „Не е ясно дали случаят има общо с пробива в системите на НАП“.

Преди два дни сайтът на bTV Media Group публикува Съобщение във връзка с регистрираните онлайн потребители.

Днес съобщението вече не е достъпно. Няма да спекулирам какви са причините то да изчезне. В него ставаше дума, че компанията е получила информация, според която е възможно да е осъществен нерегламентиран достъп до една от клиентските бази данни на медията. Налице е риск от компрометиране на лични данни на регистрирани онлайн потребители – потребителско име и e-mail адрес, име; домашен адрес; телефонен номер; данни за вида абонамент и метод на плащане. В засегнатата база данни не са съхранявани пароли или информация за плащане.

Няколко медии съобщиха, че съобщението е изпратено по електронната поща на регистрирани потребители. Те са получили уверения, че са  предприети всички мерки за минимизиране или елиминиране на потенциални вреди. Информирани са компетентните органи и им се съдейства.

Този инцидент и несръчната реакция на медията поставя поне два въпроса:

Защо на сайта на компанията няма публикувана Политика за защита на личните данни? Достъпният на сайта документ засяга политиката „за поверителност при ползване на уебсайтовете на БТВ Медиа Груп ЕАД“.

Защо съобщението не съдържа реквизитите, които Общият регламент относно защитата на данните (GDPR) изисква – позоваване на чл. 34, пар. 1, посочване на момента, когато компанията е узнала за нарушението на сигурността, подробно описание на предприетите мерки.

Несръчната комуникация породи още поне два проблема през седмицата, които нямат връзка със защитата на данните, но показват колко е важно, когато съобщаваш нещо, да можеш да го обясниш на хората по правилния начин. Първият пример от седмицата беше съобщението на  УниКредит Булбанк   до клиентите си, че трябва да посетят банков филиал, за да актуализират данните си.

Ето как банката съобщава, че ако не посетят неин офис, може да има лоши последствия: „Важно е клиентите да знаят, че в Закон за мерките срещу изпиране на пари има изискване за прекратяването на вече установените делови взаимоотношения при невъзможност данните му да бъдат актуализирани.

Евентуалното прекратяване обаче е процес, подчинен на заложените в приложимата правна и договорна рамка критерии и срокове. Това означава, че клиентите ще разполагат с достатъчно време да посетят банков филиал, за да бъдат актуализирани данните и клиентското му досие.“

Наистина ли не можахте да измислите някаква по-приемлива формулировка? Или да предложите алтернатива? А клиентите, които са в чужбина? Списъкът с въпроси е безкраен.

На следващо място е ДАНС с проекта на Инструкция за достъпа на Държавна агенция „Национална сигурност” до информационните фондове на Министерството на образованието и науката. Ведомството се мотивира така:

„Проектът на Инструкция за достъпа на Държавна агенция „Национална сигурност“ до информационните фондове на Министерството на образованието и науката е изготвен в изпълнение на разпоредбата на чл. 30, ал. 3 от Закона за Държавна агенция „Национална сигурност“, според която министерствата и ведомствата предоставят достъп до информационните си фондове на Агенцията по ред, определен със съвместна инструкция на председателя на агенцията и съответния министър или ръководител на ведомство.“ На фона на всичките притеснения в обществото за защитата на данните, обяснението е меко казано неудовлетворително.