Какво ще се промени с влизането в сила на Общия регламент за защита на личните данни?

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Какви са причините, които налагат приемането на този Регламент, и кои са основните нови моменти в правната уредба? С тези въпроси се обърнахме към професор д.т.н. Вeселин Целков, преподавател в Университета по библиотекознание и информационни технологии и член на Комисията за защита на личните данни. Вижте какво сподели той пред екипа на Economy.bg:

Защо темата за Общия регламент за защита на личните данни е актуална в момента?
Наистина темата за Общия регламент за защита на личните данни или т.нар GDPR е изключително актуална за момента и тази актуалност се определя от няколко фактора. На първо място, съвсем скоро Регламентът влиза в действие. На 25 май 2018 година. На второ място, дефинираните в Регламента допустими максимални наказания- глоба и имуществена санкция, са изключително високи и стряскащи за бизнеса. Те са 10 млн. евро или 2 процента от общия оборот на компанията за предходната година и при определени условия. А при други условия тези наказания стигат до 20 млн. евро или 4% от общия годишен оборот. На трето място, в медийното пространство има изключително голямо разнообразие на различни медиийни послания. Непрекъснато можем да видим становища, мнение, тълкувания на регламента от различни институции и невинаги тези тълкувания са пълни, цялостни, съвсем коректни.

На какво трябва да обърнат сериозно внимание бизнесите, когато подбират организация, която да проведе подобно обучение?
Влизането в сила на Общия регламент за защита на данните дава поле за бизнес и има изключително много оферти за анализ на съответствието с изискванията, предложения за обучения в различен обем и в различен диапазон на цена за услугите от 0 лв. до хиляда евро например за няколкодневно обучение. Има едно решение на Комисията за защита на личните данни, в което се казва изрично, че Комисията към тоя момент не е акредитирала и не е упълномощила никого да провежда обучение и не е одобрявала учебни програми. Компаниите наистина трябва да търсят съдействие и по осъществяване на анализ на съответствието, и при обучение, но трябва да бъдат изключително внимателни.

Кои са причините, които доведоха до приемането на този Регламент?
Ние сме свидетели в последните години на една изключителна икономическа и социална интеграция, особено в рамките на Европейския съюз. Имаме свободно движение на хора, на капитали и по същия начин трябва да осигурим свободното движение на личните данни, като осигурим адекватно ниво на защита, т.е. да направим така, че гражданите на Европейския съюз да бъдат сигурни и уверени за това, че техните лични данни ще бъдат достатъчно добре защитени и ще бъдат употребени единствено и само за целите, за които са дадени и то законосъобразно. На следващо място, изключително бързо развитие на технологиите и внедряването на тия технологии в ежедневието. Вие сте свидетели на бума на социалните мрежи, Facebook, Twitter,  възможностите на Google и на практика няма дейност в ежедневието, която да не е свързана със събирането и обработката на лични данни. Сега действащата директива за защита на личните данни е от 95-а година и тя е достатъчно стара. Не отговаря нито на икономическото и социално развитие, нито на развитието на технологиите. Това са основните причини за необходимостта от създаването на този регламент. Създаването на този регламент беше един дълъг процес с много обсъждане. Той въвежда доста нови елементи, но не може да бъде съвършен и неговото приложение сега ще бъде апробирано в практиката. Все пак, хубаво е да има Регламент, който да отговаря на съвременните изисквания.

Какви са новите моменти в Регламента по отношение на разбирането за лични данни?
Регламентът въвежда доста нови моменти. Те могат да се разглеждат в различни аспекти. На първо място, в определението на понятието лични данни. Дават се вече нови легални дефиниции на това какво са генетични данни, биометрични данни, данни за здравословното състояние. Въвеждат се някои нови действия към обработването на лични данни. Вече имаме легална дефиниция на това какво означава ограничаване на обработването, какво означава профилиране, псевдонимизация и се дава дефиниция на понятието регистър на лични данни.

Какви са промените във връзка с правата на субектите на лични данни?
Дефинирани са правата на достъп, правото на коригиране. Нов елемент е правото на изтриване или правото да бъдеш забравен. Откривате профил във Фейсбук. В един момент решавате, че искате да закриете този профил. Давате заявка за заличаване на профила, профилът наистина се заличава, но основният и голям въпрос е какво става с данните, които вие сте предоставили на „Фейсбук“. Нов момент са правото на ограничаване на обработването, правото на възражения. Дава се правото на субекта на данните да откаже да бъде профилиран, да бъде обект на директния маркетинг.

Променя ли се ролята на администратора на личните данни?
При съществуващия Закон за защита на личните данни администраторът и Комисията имат относително споделена отговорност, т.е. администраторът, преди да започне обработка, трябва да подаде заявление в Комисията. Трябва да бъдат проверени определени условия. Ако нещо не е в ред, те си взаимодействат, така че администраторът да изпълни всички изисквания на Комисията и едва след вписване в Регистъра да може да започне обработката на лични данни, вече контролът е на Комисията. Докато сегашният дух на Регламента делегира изключително и само отговорността за обработка на личните данни върху администратора на лични данни.  Основното понятие администратор на лични данни се допълва с тълкуванията какво е „обработващ“. Въвежда се новото понятие „съвместни администратори“. Освен това се въвежда понятието „Група предприятия“. Доста нови неща са добавени в областта на взаимодействието между администратора на лични данни и субекта на данните. Много точно са дефинирани задълженията на администратора, т.е. той каква информация трябва да предоставя на субектите на данните в различните случаи. Въвежда се понятието „основно място на установяване“ на определена компания. Основното място на установяване съгласно действащия Регламент е там, където е главната квартира или регистрацията на компанията. Дава се възможност компании, които са извън Европейския съюз, да дадат правомощия на техен представител. Освен това се дефинират и задължителните фирмени правила, като съдържание, обем и т.н. Друга новост е преносимостта на данните. Точно и ясно са дефинирани целите на сигурността. А именно: поверителност, цялостност и наличност, както и устойчивост и възстановимост на системите и услугите. Добавени са две нови мерки: псевдонимизация и криптиране. Регламентът като пръв документ в тая предметна област има и някои пропуски, свързани с новите понятия.

Какви други задължения за администраторите на лични данни предвижда Регламентът?
Друга съществена новост, която вменява едно изключително тежко задължение за администратора на личните данни, са процедурите за управление на риска и оценка на въздействието. Това са две процедури, които са изключително сложни и тежки. Те тепърва предстои да бъдат конкретизирани и реализирани на практика. Друго нещо, което е ново – това е механизмът на сертифициране и акредитиране. Въвежда се механизъм на сертифициране на администратора на лични данни по отношение защитата на личните данни, който гарантира, че администраторът на лични данни изпълнява определени условия по защитата. Можем да дадем подобни аналози със сертификат по ISO 9001 или по ISO от фамилията 27000, сертификат за сигурност на информацията. Сертифицирането не е задължителна процедура, но личното ми мнение е, че наличието на сертификат за защита на личните данни ще стане едно от неотменимите изисквания за компаниите, които искат да предоставят обществени услуги или да извършват бизнес, свързан с обработката на големи масиви лични данни.

Комисията за защита на личните данни в България ще отчита ли наличието на сертификат по ISO27001 като преимущество?
При всички случаи наличието на такъв сертификат по ISO от фамилията 27000 е страхотен плюс за една компания, защото тя на практика ще е извървяла пътя по сертифициране в областта на сигурността. Сега по отношение на сигурността на личните данни, естествено, че ще има и допълнителни изисквания, но за тях ще говорим, когато те станат факт в Европейския съюз и в България.

Бихте ли ни разказали за някои от текущите инициативи на Комисията за защита на личните данни във връзка с Общия регламент за защита на личните данни?
Комисията за защита на личните данни е надзорният орган по защита на данните в Република България и неговата роля е изключително голяма. В момента Комисията е публикувала на сайта си 10 практически стъпки за прилагането на Общия регламент. Подготвила е Закон за изменение и допълнение на Закона за защита на личните данни във връзка с Регламента и във връзка с една нова директива, свързана със защита на данните в процеса на следствени действия. В момента Комисията работи по критериите и процедурите за акредитация и сертификация. Но тук искам да отворя само една скоба. Със своите действия Комисията е изпреварила с около 5 години влизането в сила на Регламента за защита на личните данни. От 30.01.2013 е в сила Наредба №1 за минималното ниво на организационните и технически мерки, които трябва да предприеме администраторът на лични данни. Комисията още през 2013 година е дефинирала целите на защита, а именно: поверителност, цялостност и наличност. Сред новите моменти в Регламента е изискването за управление на риска и оценка на въздействието. От 2013 година Комисията не само, че е дефинирала процедурата Оценка на въздействието, а е създала и алгоритъм, и критерии за нивата на въздействие, които администраторът ще получи при различните ситуации. Освен това в зависимост от нивата на въздействие са препоръчани необходимите технически и организационни мерки по различните видове сигурност – физическа, персонална, документална, сигурност на автоматизираните информационни системи и криптографска сигурност. Така че Комисията в този смисъл е изпреварила Регламента с около 5 години и няма да бъде скромно, ако кажем, че част от Регламента е преписан от Наредбата на Комисията за защита на личните данни. Но предстои много работа.