Предизвикателството, наречено GDPR
януари 30, 2019
GDPR е общоприетото съкращение на General Data Protection Regulation – регламент на Европейския съюз (ЕС), третиращ защитата на личните данни. Той влиза в сила на 25 май 2018 г. и ще отмени действащата в момента директива на ЕС за защита на личните данни от 1995 г. Регламентът влиза с директна сила във всички засегнати страни, без да е необходимо да бъде транспониран в местното законодателство (за разлика от директивите). Дори да няма приети законови текстове, от 25 май GDPR е валиден за всички страни от европейската икономическа зона (ЕИЗ). И не само – по същество GDPR представлява първият досега глобален закон за защита на личните данни. В изискванията попадат всички, които събират и обработват лични данни на лица, постоянно пребиваващи в държавите от ЕИЗ. Това се прави най-вече заради огромната концентрация на лични данни в технологични гиганти като Facebook, Google, Apple, Amazon и др.
Субект на GDPR са гражданите, чиито права по отношение на личните данни драстично се увеличават (виж данните), а обект на регламента са т.нар. администратори на лични данни – организации, които събират и обработват информация за граждани. Най-големите потребители на лични данни са телекомите, компаниите от финансовия сектор – банки и застрахователи, фирмите за комунални услуги, фирмите от небанковия финансов сектор и др. Регулаторен орган по спазването на GDPR е Комисията за защита на личните данни (КЗЛД). „Нейната отговорност е голяма не само защото трябва да дава разяснения и насоки на всички засегнати от този регламент, но и защото трябва да контролира изпълнението и евентуално да налага санкции, да комуникира с т.нар. длъжностни лица по сигурността на данните в организациите“, разяснява Марио Захаринов, партньор в одиторската компания „HLB България„. Дружеството е специализирано в независим финансов одит и във въвеждане на изискванията на GDPR. Сред най-големите клиенти на „HLB България“ са „Български енергиен холдинг“, „Национална електрическа компания“, АЕЦ „Козлодуй“, „Метрополитен“, „Евромаркет груп“ АД, „Енерго-про България“ ЕАД, ЗАД „Булстрад Виена иншурънс груп“ АД, ЗЕАД „Булстрад Живот Виена иншурънс груп“ ЕАД, „ГРУПАМА Животозастраховане“ ЕАД, „ГРУПАМА Застраховане“ ЕАД и др.
Досега администраторите на лични данни имаха едно основно задължение – да се регистрират в КЗЛД и да качат поддържаните от тях регистри и процедури. От 25 май тази година изискванията коренно се променят (виж данните): разширява се дефиницията на термина лични данни; увеличава се териториалният обхват на регламента; разширяват се правата на субектите и задълженията на администраторите; въвеждат се строги изисквания за събирането, обработката и използването на личните данни, чието спазване подлежи на периодичен контрол и сериозни санкции при неизпълнение. Това означава, че регламентът ще има много сериозно отражение върху дейността на организацията и няма да е лесен за внедряване. Повечето компании ще имат нужда от някаква степен на съдействие от страна на консултанти. След въвеждането на регламента юридическите лица и държавата ще се сблъскат с редица рискове, свързани с организационен хаос и финансова тежест, предупреждава Марио Захаринов.
Промените
Регламентът разширява драстично правата на физическите лица, чийто данни се съхраняват. Те вече трябва да бъдат информирани от администраторите затова какъв тип данни се събират за тях, на какво основание, с каква цел и как ще бъдат обработвани. Второто нещо е, че вече ще имат право на достъп до личните си данни и право на коригиране. Да речем, че имате договор с мобилен оператор – след 25 май ще можете да изискате от компанията достъп до информацията, която пазят за вас, информация как я обработват и кога ще я изтрият (има давностен срок, в който администраторите имат право да съхраняват данните). При директен маркетинг на вашия мобилен номер от трети страни – без да сте давали изрично съгласие за това, имате право да сигнализирате КЗЛД.
Контролът ще се осъществява по нови, по-строги правила. В момента при проверка от КЗЛД фирмата може да каже, че в определен срок ще събере необходимата документация, за да докаже, че спазва Закона за защита на личните данни. След влизането в сила на GDPR организацията няма да разполага с такъв срок – тя трябва на момента да докаже, че спазва изискванията на регламента.
Тук идва ролята на външните консултанти, които предлагат съдействие на организации, които не разполагат с достатъчно време и капацитет, при двете фази на внедряване на GDPR. Първата е фаза е пълен анализ на състоянието на компанията от гледна точка на личните данни: какви са бизнес процесите по събиране и обработка, какви политики и процеси има, какви информационни процеси участват, какви масиви от данни има; текущото им състояние трябва да се сравни с изискванията на регламента, да се опишат несъответствията – член по член; набелязват се рисковете от тези несъответствия, след което се набелязват мерки за преодоляване; мерките се приоритизират и се изготвя един цялостен план за внедряване на GDPR, който е различен за всяка организация. Втората фаза е реалното внедряване, което означава подготовка на всички необходими документи или промяна на такива, промяна на бизнес процесите от гледна точка на изискванията на GDPR, въвеждане на нови контроли, съдействие за създаване на новата длъжност „лице по сигурност на данните“, изграждане на системата и периодична поддръжка.
Длъжностното лице по защита на личните данни – задължително според новия регламент, може да е вътрешно за компанията лице или външен консултант. Длъжностното лице отговаря за цялостното прилагане на GDPR в администратора, за поддържането на всички регистри, за комуникацията с регулатора – за уточнения, консултации или за задължителното известяване при пробив на сигурността. Длъжностното лице трябва да е на директно на подчинение на висшето ръководство на администратора и да има достатъчно свобода на действие; то трябва да бъде достатъчно добре запознато с регламента, със законовата рамка и фирмената организация, както и да има известна IT култура, тъй като данните са в електронен вид и се поддържат от IT системи.
Съществено се увеличават санкциите, чийто максимум достига 4% от глобалния оборот или 20 млн. евро – която от двете суми е по-висока. Тук става много сериозно за големите технологични гиганти, които ще подлежат на проверка и санкция от чужд регулатор, ако са засегнати правата на чужди граждани.
Рисковете
След въвеждането на регламента администраторите и държавата ще се сблъскат с редица рискове, посочват от „HLB България„. Първият от тях е свързан с организационна и финансова тежест върху по-малки компании, защото внедряването на изискванията на новия регламент ще изисква доста ресурс. GDPR изключва най-малките фирми, но все още има неяснота какъв е прагът. В една от последните версии на документа е посочено числото 250, тоест всяка организация, която събира и обработва данните на повече от 250 души, трябва да се регистрира като администратор на лични данни. Тук е ролята на регулатора да изясни какъв е прагът, така че да не се позволява различно третиране. Новият регламент има две степени на приложение: едната е, когато администраторът въведе изискванията на регламента, но е под прага и не е длъжен да назначи длъжностно лице по безопасност на данните. По-безопасният подход е повече компании от сега регистрираните да се обявят като администратори на лични данни.
Втори риск са неяснотите при тълкуването на регламента, включително и за размера за долния праг. Трети риск е евентуалната намеса на външни регулаторни органи. „Колкото и добро разяснение да имаме от нашия регулатор и да знаем неговите правила, намесата на външен регулатор може да означава други изисквания, включително други критерии за налагане на глобите“, посочва експертът.
Друг риск, изцяло за сметка на администраторите на данни, е чисто формалният подход към изискванията на регламента. „Тоест да направим всичко необходимо, за да изглежда, че сме го въвели, без реално да сме го въвели. Това е наистина сериозен риск, защото формалният подход няма да свърши работа. Доколкото знам, нашият регулатор е направил няколко пробни одита на компании по сегашния закон, максимално доближавайки се до изискванията на GDPR, и тези одити минават изключително задълбочено и професионално. По никакъв начин едно формално съответствие няма да е достатъчно, за да се премине такъв одит“, счита Марио Захаринов от „HLB България“.
Още един риск е липсата на опит и установени практики – както при регулатора, така и при администраторите, и в същото време много кратките срокове. Въпреки че за регламента се знае много отдавна, до 25.06.2018 няма много време.
„В регламента се споменава за сертификация, каквато в момента не е разработена. Aко КЗЛД разработи методология, ще може да сертифицира организации по изискванията на GDPR и евентуално те да поемат част от одитите“, посочва експертът. Така администрацията може да увеличи капацитета си – чрез аутсорсинг на одитите, на сходен принцип с одитиращите компании при системите за управление на качеството по ISO.