Необходимо ли ще е за работодателите да се сертифицират?

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Едно от новите положения в Регламента е въвеждане на възможност за сертифициране на администраторите на лични данни. Какво представлява сертифицирането и ще носи ли ползи на компаниите? С тези и други въпроси се обърнахме към адв. Митко Карушков, съдружник в Адвокатско дружество „Камбуров и Съдружници“, и адв. Марио Арабистанов от същото дружество. И двамата практикуват най-вече в областта на технологиите, медиите и телекомуникациите. Вижте какво споделиха пред екипа на Economy.bg:

Как ще се измени процедурата по регистрация на администратори на лични данни от 25 май 2018?
Адв. Митко Карушков: Може да очакваме, че действието по регистрация на администратор на лични данни ще отпадне. Тежестта ще мине в по-голяма степен върху самите администратори на лични данни, които ще имат възможност да се сертифицират, без да са длъжни.

Бихте ли пояснили в какво се изразява възможността за сертифициране, предвидена в Регламента?
Адв. М.К.: Сертифицирането не е задължително, то е възможност. Представлява като процес една подготвителна част и една да я наречем „изпълнителна“ част. Подготвителната част конкретно в България очакваме да се случи по следния начин: Комисията за защита на личните данни да разработи правила, по които да се извърши сертифицирането, и да подготви правила за сертифициране на сертификатор.
Адв. Марио Арабистанов: Т. нар. „Акредитиране“

Какво ще се очаква от сертификатора, който е акредитиран?
Адв. М.К.: Сертификаторът, който е акредитиран, ще може да сертифицира администратори на лични данни.
Адв. М.А.: Да уточним, че това, че една компания е сертифицирана от акредитиран сертификатор в никакъв случай не означава, че тази компания изпълнява задълженията си по новия регламент. Тя, разбира се, е възможно да допуска своите нарушения. Тази сертификация би означавала, че въпросната компания спазва някакви добри практики и това е установено от акредитирания сертификатор. Последващите нарушения, които би могла една компания да извърши, нямат нищо общо със самата сертификация.

Бихте ли дали някакъв аналог?
Адв. М.К.: Можем да направим аналог с шофьорската книжка. Издаването на шофьорска книжка сертифицира, че съответния човек има умения да управлява МПС.

Ще има ли полза за компаниите да се сертифицират?
Адв.: М.А.: Според мен ще има. В Регламента се предвижда приемане на Етичен кодекс за работата с личните данни. Сертифицирането на една компания ще значи много за репутацията ѝ и съответно тя ще държи на нея. Особено по-големите компании. Това ще дава сигурност на субекта на данните. Според мен при извършване на проверки от нашата комисия или от друг компетентен орган, би могло да се вземе предвид, че компанията е сертифицирана и действително е спазвала етичните правила.
Адв. М.К.: Това е свързано с „документалната тежест“ върху администраторите на лични данни. Те и сега имат задължение да изработят правила за обработването на лични данни, за събирането, съхраняването, изваждането на определни процеси към обработващите лични данни. Сега съществуват такива задължения, които са определени чисто законово като необходимия хигиенен минимум. Докато с новия регламент  администраторите се задължават да опишат всеки един процес в детайл, а не само като минимални мерки за защита при обработка на данните. Изпълнението на тези задължения чрез документални и фактически процеси, съответстващи на изискванията на Регламента, може да подлежи на сертификация. Не е задължително, но може да подлежи на сертификация.

Това подробно разписване на всички правила трябва да се случи преди 25 май 2018, така ли?
Адв. М.А.: Желателно е към момента на влизане в сила самите компании да са подготвени, да започнат да действат по новите правила, а не тепърва да се нагласят и напасват върху вече действащото право.
Адв. М.К.: Един от моментите, за които се говори, че са ключово нови, е свързан със санкциите. Ние смятаме, че ако компаниите обърнат същото внимание на мерки – документални и фактически, така че да бъдат в съответствие с изискванията на Регламента, рискът от санкции ще остане по-скоро теоретичен.