Бизнесът трябва да обучи десетки хиляди служители по новите правила за личните данни
Бизнесът трябва да обучи десетки хиляди служители по новите правила за личните данни
Десетки хиляди обучени служители не достигат на българския бизнес, за да спази новите правила за личните данни – това съобщи председателят на Комисията за защита на личните данни Венцислав Караджов днес на конференцията “GDPR София”, организирана от Digital National Alliance и с участието на българското европредседателство.
45 000 обучени служители ще са необходими на българските администратори, за да могат да се съобразят с европейския регламент, който влиза в сила на 25 май тази година. В него има изискване компаниите, обработващи голям обем лични данни или особено чувствителни такива, да имат нарочен служител, който да следи за опазването им.
Според статистическо проучване на комисията на българските администратори на лични данни ще са необходими поне 45 000 такива души – и то само ако има точно по един на фирма, отбеляза Караджов. В действителност ще са нужни повече работници, които да бъдат взаимозаменяеми, тъй като нито един човек не може да бъде на работа непрекъснато. Той обясни още, че те могат да съвместяват и други функции, но ще трябва да бъдат обучени.
Правилата за назначаване на такъв служител няма да бъдат променяни, но той ще трябва да докаже компетентност и практическия познания, като КЗЛД ще изработи примерна методика за това и ще създаде регистър с тези служители. На практика това ще бъдат лицата, които ще работят с комисията и ще имат отговорността да я информират за нарушения на сигурността – нещо, което вече трябва да се прави в срок от 72 часа след пробив на системата.
КЗЛД започва разяснителна кампания извън столицата – на 15 февруари в Пловдив, на 6 март във Велико Търново, на 19 и 20 април във Варна и в Бургас съответно. Събитията са насочени към широката публика, администраторите и към всички заинтересовани лица. В хода на събитията КЗЛД ще представи основните моменти в новата правна рамка и необходимите практически стъпки за администраторите с цел въвеждане в дейността им на новоприетите стандарти за защита и обработване на личните данни. КЗЛД ще създаде и обучителен център.
България е една от 26-те държави – членки на Европейския съюз, които все още не са въвели необходимите законови промени, за да съобразят с новия Общ регламент за защита на личните данни (GDPR), макар той да бе одобрен през 2016 г. и да имаше двугодишен период за подготовка, преди да влезе в сила.
Промените в закона се очакват през март или април, обясни днес Караджов и уточни, че комисията е представила съответните текстове на министерствата на вътрешните работи и на правосъдието и едновременно с това ги е съгласувала неформално с Европейската комисия.
Най-важното от Общия регламент за защита на личните данни
Общият регламент за защита на личните данни (или GDPR) създава нови правила за защита на европейските граждани. Това е най-голямата реформа на регулациите по тази тема 1995 г. насам. Тя предвижда строги и сложни изисквания, както и тежки наказания.
Наказания
За несъобразяване с GDPR – глоба до 20 млн. евро или 4% от глобалния оборот на компанията, в зависимост кое е по-голямата сума.
Изисквания на субекта на данни
Компаниите, работещи с европейски клиенти, трябва да могат да ги снабдят със следната информация: какви лични данни съхраняват, как ги използват и какви разрешения за това имат.
При пробиви на сигурността
Фирмите ще бъдат длъжни в рамките на 72 часа да уведомят властите и засегнатите потребители.
Специален служител
Някои компании – включително тези, които извършват мащабен мониторинг върху индивиди, и тези, които работят с лична информация, свързана с присъди и престъпления, ще бъдат длъжни да назначат служител, който да отговаря за защитата на личните данни.
Достъп до данните
Гражданите ще имат право да получат копие на данните си и при някои обстоятелства да поискат те да бъдат изтрити. Ето как фирмите могат да се справят с това:
Опис
Те трябва да имат списъци с данните, които съхраняват; къде ги съхраняват; какви права имат да ги използват или пренасят; за какви цели и колко дълго могат да се разпореждат с тях.
Категоризация
Фирмите няма нужда да снабдяват субектите с нискорискови данни (тоест информация, която не може да доведе до идентифицирането им, като например хранителните им предпочитания) Но ще трябва да им показват високорисковите данни (тези, по които пряко или непряко могат да бъдат идентифицирани, например името или адреса).
Механизми за изпълнение на исканията
Компаниите трябва да уредят начин, по който потребителите да предявяват такива искания, както и да създадат системи за изпълняването им.
Изпълнение
Срокът за това е един месец.
Използване на лични данни
Компаните употребяват данни, за да анализират потребителите и да развиват алгоритми, с които да печелят преимущество пред конкуренцията. Новите регулации ще направят това по-трудно. Те ще затруднят досегашната практика да се разчита на еднократното съгласие на потребителите за употреба на личната им информация. Ето две възможности за това:
Подновяване на съгласието
- Някои фирми използват помощта на консултанти и маркетолози за кампании, с които да постигнат висок процент на изразено съгласие.
- Компаниите трябва да обяснят за какво смятат да използват данните и да получат изрично съгласие за това.
Анонимизиране на личните данни
- Други използват софтуер, който да скрива въпросните данни, като така запазва в тайна идентичността на отделния потребител.
- Като анонимизират данните, те могат да ги използват за аналитични цели, без затова да е нужно изрично съгласие.