Венцислав Караджов: GDPR ще направи правилата за бизнеса по-сложни, но за потребителите това е добре
Венцислав Караджов: GDPR ще направи правилата за бизнеса по-сложни, но за потребителите това е добре
“Не гледайте на това като на допълнителна административна тежест, а като на възможност да си подредите бизнес процесите.” С това послание Европейската комисия се опитва да въведе спокойствие около задаващата се Генерална регулация за защита на данните (GDPR). Новите правила ще променят ежедневието на огромна част от бизнеса в Европа в края на май тази година. Всеки, който събира имена, лични номера, адреси, биометрични данни или друга специфична информация за клиентите си, ще трябва да борави с данните по нов, стриктно структуриран и защитен начин, в много от случаите чак след като получи изричното съгласие на клиента за това.
В България GDPR ще засегне около половин милион бизнеси и институции, около 50 хиляди от които ще трябва да назначат служители с изцяло нови компетенции. Новата регулация вече ражда и нов бизнес на консултантски, юридически и ИТ услуги. Засега обаче огромна част от подготовката върви с големи неясноти. “Капитал” разговаря с председателя на отговорната за въвеждането на регулацията в България Комисия за защита на личните данни Венцислав Караджов, а през март ще издадем специален наръчник по GDPR за бизнеса.
Колко бизнеси ще бъдат засегнати от GDPR в България?
В България има 450 хиляди администратори на лични данни, които са регистрирани по сега действащия Закон за защита на личните данни. С регистрацията в Комисията за защита на личните данни фирмата удостоверява, че обработва законосъобразно и добросъвестно информацията за физическите лица. Според наше проучване поне 45 хиляди от тези компании и институции ще трябва да назначат служител по защита на данните.
Лице за защита на личните данни се назначава при три специфични хипотези: или в предприятието има над 250 служители, или системно обработва за целите на своя бизнес лични данни в големи обеми, или обработва чувствителни лични данни, включително и видеонаблюдение. Ако начинът на обработване на личните данни не е законосъобразен, санкцията ще бъде многократно завишена в сравнение със сега действащия закон. Сега прагът на санкцията е 100 хил. лв., а по новия регламент той ще бъде до 10 млн. евро или до 20 млн. евро в зависимост от вида нарушение и дали са предприети мерки за предотвратяване на последиците.
Защо се налага въвеждането на GDPR?
Реформата започна 2012 г. и беше ясно, че тя трябва да се случи по няколко основни причини. Правната рамка за защита на лични данни беше от 1995 г. Очевидно тогава не е имало как да се предвиди толкова бързото развитие на ИТ технологиите, на социалните мрежи, на масовото споделяне на лични данни и най-вече предоставянето на услуги и на стоки в резултат на обработване на лични данни. Досега правният режим във всички 28 държави беше различен. И един голям бизнес, който има представителство във всяка от тях, трябваше да познава законодателството на всяка държава членка. Това много оскъпява бизнеса.
Междувременно бизнесът стана много зависим от личните данни и се засилиха исканията за трансфери извън Европа. За да оптимизират бизнеса си, фирмите искат да обработват определена информация от едно място – за човешки ресурси, счетоводни или маркетингови цели. Когато тези данни се трансферират извън Европа обаче, няма ясни правила при какви условия се обработват.
Всичко това доведе до съществена промяна – до завишаване на изискванията при обработка на личните данни на европейските граждани.
Каква инвестиция трябва да направят компаниите, за да приложат регламента?
За да отговорим каква е инвестицията, трябва да е ясно какъв е бизнесът и доколко, за да се развива той, му е необходимо обработването на лични данни.
Най-малкото, което трябва да се направи, е анализ – какво предлагаме, кои са ни клиентите, това, което предлагаме, можем ли да го предложим на клиентите, без да е необходимо да съберем лични данни и да ги обработваме? Ако въз основа на анализа стигнем до заключението, че лични данни не са необходими, няма нужда да се прилагат правилата.
Ако обаче не можеш да постигнеш бизнес целите си, без да обработиш лични данни, трябва да минеш на следваща стъпка – кои видове лични данни в техния минимален обем са ни необходими? Ако ви трябват само адресите на физическите лица, но не и информация за тяхното ЕГН, за това дали са семейни или не, колко души е семейството, имат ли малки деца, живеят ли с възрастни родители или не, ако не ви трябва – няма нужда да се събира. Тоест услугата трябва да се предостави при минималната необходима информация.
След това бизнесът трябва да прецени – ако събира определен вид лични данни, как да ги обработи, така че да не съществува опасност от тяхното незаконосъобразно разпространение и съответно той да бъде изложен на санкция. За това трябва да има ясна схема: какви са личните данни, трябва ли да се разкриват на трети страни (само вътре ли се обработват и трябва ли да се представят на НАП, на бизнес партньори, на фирма за маркетингови проучвания…). Трябва да се прецени дали да се обработват на хартия или в електронен вид, трябва ли да се систематизират в регистри по видове данни. Когато личните данни са добре систематизирани, компанията ще може да отговори веднага на външното лице, което има право да знае какви лични данни се събират за него и на кого се разкриват, за какъв срок от време се обработват и за какви цели са събрани.
След като установи, че трябва да ги предоставя на трети лица, бизнесът трябва да си изработи правила как ще се случва това. Дали ще ги предоставя в защитен вид, ще има ли криптиране, ще може ли през интернет система да се влиза, ако да – трябва да има необходимата защита. Тоест трябва да се направи един ясен бизнес план за какво ми трябват тези лични данни и как аз да ги обработвам, така че да имат определено ниво на защита.
Кои сектори ще бъдат най-засегнати?
Болници и фармацевтични компании задължително трябва да назначат такива служители, тъй като те обработват чувствителни лични данни. Фирмите в областта на ИТ технологиите и комуникациите пък обработват такива данни в големи обеми. Отделно новият регламент изисква администраторите да са в състояние да удовлетворят правото на физическото лице за трансфер на събраните негови лични данни от един администратор на друг. Тоест вече мобилният оператор следва да може да събере в машинно четаем вид цялата тази информация – не само ЕГН, адрес и т.н., но и всякакви метаданни, които се получават в резултат на използването на мобилните услуги. Например кой ви е звънял, в колко часа, отговорили ли сте, на колко души сте позвънили на определена дата, вашата геолокация – къде сте се намирали, когато някой ви е звъннал. Ако вие искате тези данни да бъдат трансферирани към новия оператор с цел да ги ползвате в бъдеще, те трябва да имат възможност да ги трансферират. А другият трябва да има възможност да ги приеме и да ги включи в системата си.
От това възникват много спорове. Например дали тези, които са ви търсили, се включват във вашите лични данни или не? Може някой по случайност или по погрешка да ви е звъннал. Следва ли те да бъдат включени във вашия списък?
Как ще бъде решено тълкуването на такива спорни казуси?
Надзорните органи ще приемат тълкувателни указания към бизнеса, в които ще посочват начина им на разсъждение относно прилагането на новото правило. На ниво Европа се създава Борд по защита на личните данни. Той ще се състои от ръководителите на всички 28 надзорни органа. Те приемат насоки относно приложението на правната рамка. Тези насоки след 25 май стават задължителни и ще уеднаквят спазването на правната рамка. Ако обаче бизнесът не е доволен от решението на надзорния орган в съответната държава, ще има възможност да го обжалва пред съда. Доста тежка процедура ще бъде.
Отделно, когато става въпрос за голям бизнес, който работи в повече от една държава, той ще има право да посочи един от надзорните органи, където се намира неговото местоседалище, който ще разглежда всички спорове, свързани с неговата работа. Останалите органи, където може да са подадени жалби или сигнали, нямат право да разгледат жалбата. Ако е подадена жалба при нас в България, но е посочен ирландският надзорен орган, както би било за Facebook, той става водещ. Ние препращаме и следим. Ако заинтересованият орган не е съгласен с решението, изводите или размера на санкциите, стартира процедура пред борда, който се явява арбитраж.
Правилата стават различни и доста по-сложни. Но от гледна точка на защита на правата на физическите лица е добре, тъй като системата и нивото на защита в цяла Европа ще бъде еднакво.
Има ли в момента добро познаване сред бизнеса в България за това, което предстои?
Част от бизнеса е стартирал кампанията си да отговори на новите изисквания, но голяма част трябва да положи повече усилия. Най-вече усилия се полагат от тези бизнеси, които системно обработват лични данни – телекомуникационни оператори например. Но далеч повече усилия трябва да се положат от бизнесите, които предлагат комунални услуги, включително тези, които предоставят пощенски услуги. Подценява се новата правна рамка, а санкциите ще бъдат много големи. Фирмите, които извършват маркетингови проучвания, също трябва много добре да се запознаят, защото голяма част от тях в момента просто купуват база данни и започват да звънят по нея. Този директен маркетинг вече ще трябва да бъде разглеждан по друг начин.
Администрацията готова ли е?
Тя ще бъде приравнена към правилата, които се прилагат към частния бизнес. Държавната и местната администрация трябва да подготвят кадри. На логистичен и анализационен етап този процес е започнал. Но трябва да бъде ускорен процесът по идентифициране и определяне на служителите, които ще се занимават с това и тяхното професионално обучение. За това предложихме с изменение в Закона за защита на личните данни да се създаде национален обучителен център. Очакваме това предложение да бъде прието и финансирано от държавата. Всеки, който желае, срещу тарифа, определена от министъра на финансите, може да мине през това обучение.
Какво представлява то и колко хора могат да бъдат обучавани?
Обучението ще продължава поне три месеца. Предвидили сме да се създаде електронна обучителна програма, което ще позволява в един и същ момент до 10 хил. души да влизат в системата. Все пак в България трябва да се подготвят доста голям брой служители, това е най-реалистичният подход. В 2/3 от програмата това ще бъде онлайн обучение.
Този сертификат задължителен ли е за всички служители по защита на личните данни?
Не, няма такова изискване. Но регламентът казва, че служителят по защита на личните данни трябва да покаже практически и теоретични познания в областта, за да може да бъде вписан като такъв в регистъра. Това може да се докаже чрез договор, сертификат за обучение. КЗЛД ще изготви примерни критерии, насоки за това, което ще следим при регистрацията на такива лица. Рискът обаче си е за фирмата или за държавната структура, която наема това лице.
Тези служители трябва да обединяват познания в областта на правото, публичната администрация, ИТ технологиите и сигурност на информацията. Това са комплексни познания. Те трябва да разбират от менижиране на системи и системни процеси, да ги обясняват и, знаейки как работи предприятието, да разпишат изискванията към всеки служител с досег до лични данни.
Какви допълнителни бизнес услуги се раждат покрай въвеждането на GDPR?
Както малкият бизнес наема счетоводни къщи, така вероятно ще наема вече и консултантски фирми, които да защитават интересите му и да му дават напътствия относно GDPR. Ниша ще има, защото санкциите ще бъдат много по-високи дори от санкциите за нарушаване на данъчна политика.
Какво ще промени GDPR за потребителите? Знаят ли те достатъчно за промените?
Трябва да бъде ясно, че съгласието е само едно от основанията за обработка на лични данни. Има много и различни други – легитимен интерес на администратора, правни основания в закона. Банките имат право да взимат копие от вашата лична карта, защото има закон за мерките срещу изпиране на пари, които изрично изискват физическите лица да бъдат идентифицирани при извършване на транзакции над определен размер. Така че банките са задължени да свалят максимална информация за тези физически лица. При това условие съгласие не се изисква. Или предоставяне на информация за пенсионен фонд, индивидуални вноски от работодателя и т.н. Това става въпреки вашето съгласие, защото има законово изискване.
Когато няма законово изискване, тогава администраторът може да обработва данни само при съгласие. Вие трябва да разполагате с всичката информация, да я анализирате, осмислите и да си направите сам извода искате или не да предоставите тази информация. Ето пример: за да сключите договор с мобилен оператор, той има правно основание да ви събере личните данни – адрес, ЕГН, номер на лична карта и т.н. Но не може да иска от вас съгласие, ако не си плащате, той да прехвърли тези събрани лични данни на колекторска фирма. Това съгласие не е релевантно за целите на сключване на договора. Мобилният оператор има законното право да отиде пред съда и да докаже, че вие не сте си платили.
Интервюто взе Мария Манолова