Физическите упражнения и храненето са основни фактори за забавяне на застаряването

Асистент Таня Аврамова от ТУ – Варна: „Машинен инженер” е много добра професия и за нежния пол

Давид Oндрачка: „Българската история” може да се използва за смяна на мениджмънта на ЧЕЗ

„Инженерна екология” – нова и перспективна специалност в ТУ - Варна

Адвокат Марковски: Всеки има право на неизбежна отбрана и с незаконен пистолет

Адвокат Марковски: Имаш право да гръмнеш всеки, който ти влиза в къщата да краде

Юнкер: Македония е постигнала значителен напредък в посока Европа

Габриела Чех от "Фейсбук": Борим се с фалшивите профили с иновативни технологии

Гинка Върбакова за сделката с ЧЕЗ: Уважавана банкова институция ще ни предостави кредит

Реджеп Ердоган пристига на посещение у нас на 26 март за среща ЕС – Турция

Радан Кънев за манджите в политиката, грубите неистини и страхливия Бойко

ТУ-Варна в ерата на софтуерните технологии

Деница Маркова, магистър от ТУ – Варна: Като социален работник се чувствам изключително полезна

Д-р Николай Михайлов: Истанбулската конвенция - не сме объркани в превода. В клопка сме

Поръчителят на „Килърите”: Бизнесът и властта убиха Петър Христов

Скоро всеки работодател ще трябва да съхранява личните данни с необходимите нива на сигурност

21.3.2018 г. 10:01

Само след два месеца всички публични компании, както и всички лица, които работят с лични данни ще трябва да отговарят на нов общ регламент 2016/679 (GDPR), който ще започне да се прилага от 25 май 2018 г. С него се въвежда фигурата на длъжностното лице по защита на личните данни (DPO).

В тази връзка БГНЕС потърси мнението на адвокат Гинка Христова, която е председател на Международен правен център - сдружение с нестопанска цел, което се занимава с дигитално право. В момента центърът участва и в Алианс за защита на личните данни, който е посветен изцяло на работата в сферата на защита на личните данни. Тя е и участник в подготовката на Етичен кодекс, който да се създаде от всички администратори и да бъде в основата на тяхната работа.

Кои ще бъдат засегнатите фирми и организации от изискванията на новия регламент?

Засегнати са абсолютно всички администратори на лични данни, абсолютно всички лица, които боравят с лични данни – било то на свои служители, персонал или клиенти. Този регламент ще се прилага за абсолютно всички лица. Има различни задължения според зависи от типа данни, които се обработват. Много по-затегнати са изискванията за фирми и организации, които боравят със специфични лични данни – примерно болниците, които работят с данни за кръвна група, за ДНК информация. Така че това е малко по-специфично поле, което е засегнато. Но абсолютно всеки работодател трябва да обработва и съхранява личните данни с необходимите нива на сигурност. Това е важното.

В регламента изключително много са новите неща, макар, че трябва да се знае, че той дава общата рамка. Този регламент се прилага директно от всяка страна – членка на ЕС, а не както директивите, които следва да бъдат имплементирани със закон примерно в България. Прилага се общо и директно. От тук насетне всеки регулаторен орган – в случая за България Комисията за защита на личните данни трябва да изработи подзаконови нормативни актове, в които да даде по-голяма специфика и по-голяма конкретика примерно относно нивата на защита. И сега има такива в наредбите на Комисията за защита на личните данни, което със сигурност ще бъдат обновени с влизането в сила на новия регламент на 25 май.

В комисията се работи активно от много време насам, това в никакъв случай не е лека задача и това обяснява защо все още не са готови. А и е необходимо да влязат в сила новите изисквания на регламента. Има т. нар. работна група по чл. 29, която излиза с много препоръки и тълкувания на всички разпоредби в регламента. Те дават по-разбираемо тълкуване на понякога доста общи или неясни норми.

Как примерно един работодател трябва да процедира, за да влезе в изискванията на регламента?

Едно от най-новите неща е наличието на тази нова длъжност, която се предвижда – длъжностно лице по защита на данните – DPO. Това са лица, които трябва да отговарят за обработването и съхраняването на личните данни. Тъй като се предвиждат много нови права за самите лица, чиито данни се обработват – всеки един от нас като обикновен потребител може да поиска да бъдат заличени неговите лични данни, да бъде спряна тяхната обработка. Това DPO ще е лицето за контакт – то ще контактува с надзорния орган, ще е лицето, което ще контактува с всеки гражданин, а в случай на инцидент - с всеки потърпевш, чиито лични данни са изтекли по някакъв начин. Така че това е една изключително важна и отговорна длъжност, която регламентът GDPR предвижда.

Не е тайна, че има и скептицизъм – мнозина казват, че това е една длъжност, която е поредната, породена от евробюрокрацията. Адвокат Христова, обаче смята, че трябва да се гледа от друга гледна точка - това са още работни места и възможност да се защити по правилен начин личната информация на хората. Трябва да се подходи с позитивизъм и да се извлече максималното.

Трябва да се подготвят кадри – това е задължително. Малко са специалистите, които знаят наистина как да подходят, как да създадат примерно кризисни центрове – това е също един от новите моменти. За 72 часа трябва да се уведоми комисията в случай на проблем. Така че действително има неща, които изискват специфични познания.

Една малка фирма как може да си позволи да има такъв експерт – това е допълнително натоварване за бизнеса?

В регламента е казано, че задължително DPO трябва да има в случаите, когато става въпрос за публичната администрация, когато става въпрос за обработка на специфични данни и голям обем от данни. Тъй че едно съвсем малко предприятие не би следвало да попадне под ударите на тази регулация, но това не значи, че не би следвало да вземе мерки за защита на личните данни, дори за един човек. Регламентът дава възможност освен да се назначава нова длъжност, да има външни такива – нещо като аутсорцване на DPO-та. Тази възможност със сигурност би била икономически по-изгодна.

Колко хора ще трябва да се подготвят за DPO?

Много зависи от това кои бизнеси ще попаднат под това тълкувание. Към момента всяка една фирма, която обработва лични данни, трябва да вземе мерки, те да бъдат обработвани и съхранявани надлежно, няма значение колко е голяма. Може да не се стигне до там да наемат длъжностно лице за защита на данните, но това не значи, че могат да си позволят да се отнасят нехайно към личните данни. Това е основната идея.

Кой определя къде трябва да има DPO?

В регламента са посочени именно тези три изисквания. След това работната група по чл. 29 дава тълкувания, и естествено съдебната практика в последствие ще изработи, може би ще даде и конкретни цифри, в смисъл с работници и служители над определен брой, или обработващи лични данни на хора над определена цифра, но към момента няма такива точни и сигурни параметри.

Съдът е винаги последната инстанция. Надзорният орган може да издава санкционни актове, които след това могат да бъдат обжалвани в съда.

Регламентът се прилага директно, както е приет. Няма нужда да се преминава през нашето местно законодателство. В общественото пространство изникнаха и курсове и семинари, обяснителни беседи. Като всяко ново нещо, което предизвиква бум, не винаги всичко е на достатъчно високо ниво, нормално е, но според мен публиката е достатъчно наясно какво да търси и може да отсее тези събития, които дават добра информация.

Санкциите по европейския регламент ще бъдат също европейски, как се издържа финансово на това?

Санкциите са изключително високи като цифри. Но много по-важно е санкцията, която предвижда комисията да може да наложи, да се спре обработването на лични данни, което е по-важно от всяка една парична или имуществена санкция. Тъй че по-добре е хората да не се фиксират върху някакви цифри. Да, високи са санкциите. Но разходите е по-добре да бъдат направени за превенция – за обучение, за подготовка на кадри, която да се възприема като превенция, отколкото разходите при едно грандиозно изтичане на лични данни, което се случва, не рядко на големи фирми в международен план. Тъй че да се инвестира в превенцията за мен би било по-икономически изгодно.

Регламентът засяга и общините. Но те могат ли така бързо да отговорят на изискванията в него?

Общината трябва със сигурност да въведе вътрешни правила, разпоредби как се борави с тези лични данни. Съответно трябва да има длъжностно лице, което не може просто да се вземе от друг отдел и да му бъде вменена тази длъжност на DPO. Регламентът изрично посочва, че длъжностното лице по защита на данните не трябва да бъде в конфликт на интереси, т.е. ако то трябва да отговаря само пред най-високите нива на организацията и не трябва да има никакъв проблем да каже за това, че примерно в другия отдел има несъответствия с изискванията на регламента. Това, че да – една община трябва да бъде подготвена. Това със сигурност ще изисква някакви средства, но това са оправдани разходи.

Ще има ли някакъв гратисен период за публичните организации?

Гратисен период не се предвижда. Именно заради това в България не от чак толкова достатъчно времето, но в другите държави от доста отдавна се говори по този повод и се взимат много сериозни мерки. В последно време виждам и тук, от страна на бизнеса главно, че искат хората да бъдат подготвени, бизнесите им да бъдат подготвени, да съответстват на изискванията, което е похвално, чудесно е. От друга страна трябва да се изчака да се види и подзаконовата уредба. След влизането на регламента в сила ще се променят правилници, наредби, които също следва да бъдат прилагани, тъй че тепърва има много работа. 

Коментари