Как да изберем консултант по GDPR?

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Санкциите, предвидени в Регламента, достигат до 20 млн. евро или 4% от световния годишен оборот. Но освен финансов риск, нарушенията на законодателството носят и репутационен риск. Загубата на доверие може да се окаже изключително сериозен проблем особено за компании, предлагащи публични услуги като телекоми, електроразпределителни дружества и др. За да се запознаят с изискванията на Регламента, много компании посещават семинари, обучения или се обръщат към консултанти. Как да се ориентират сред многообразието от предлагани услуги? За оценката на съответствието с изискванията на Регламента, критериите за избор на консултант и обученията разговаряме с професор д.т.н. Вeселин Целков, преподавател в Университета по библиотекознание и информационни технологии и член на Комисията за защита на личните данни. Вижте какво сподели той пред екипа на Economy.bg:

Проф. Целков, готови ли са администраторите на лични данни да отговорят на изискванията  на Общия регламент?
Темата за Общия регламент е много обширна и ние не можем да разчитаме, че с едно интервю, с един семинар, с една конференция ще бъдат осветлени всички проблеми. Основният въпрос, на който трябва да отговорят администраторите на лични данни, е доколко предприетите от тях технически и организационни мерки удовлетворяват изискванията на Общия регламент за защита на данните. Един много лесен отговор за България е, че ако един администратор е изпълнил всички изисквания на Закона за защита на личните данни и изискванията, които са посочени в Наредба №1 от 31.01.2013 година, и е спазвал указанията на Комисията за защита на личните данни, той е почти готов да посрещне голяма част от изискванията. Обаче има и няколко нови неща, които са изключително важни.

Кои са те?
Най-основното нещо е, че новият Регламент променя философията на проблема за защита на личните данни. А именно: основният акцент се дава в защита правата и свободите на субекта на данните, т.е. правата и свободите на отделното физическо лице. Не се акцентира върху това какви технически и организационни мерки трябва да предприеме администраторът в тая насока за сигурност на данните, а повече се акцентира точно върху правата и свободите на субекта на данните, което довежда до нов тип взаимоотношения администратор - субект на данни.

Бихте ли дали примери, които да илюстрират този нов тип взаимоотношения?

Всеки път, когато субектът на данните или физическото лице дава своите лични данни, администраторът е длъжен да го информира какви лични данни събира; каква е целта на събирането и обработването на тия лични данни; кое е правното основание; времето за задържане; евентуално ще бъдат ли предавани или няма да бъдат предавани на трети страни. Освен че е длъжен администраторът да информира субекта на данните, в неговите задължения е да може да докаже пред надзорния орган, в рамките на административно производство, че той наистина е информирал субекта на данни. По същия начин е, ако администраторът получи личните данни на физическото лице от трети страни. Той е длъжен пак да го информира. Сред новите права са правото да бъдеш забравен, правото за ограничаване на обработването. Има едно ново право -правото на преносимост на данните.

Накратко, какво представлява това право?
Вие сте абонат на една компания, доставяща публични услуги, и имате редовно сключени договори за определен вид услуги. Във връзка с тия договори администраторът е събрал определени ваши лични данни. В един момент вие решавате, че искате да прекратите отношенията си с този администратор. Искате да преминете към друг администратор. Тогава администраторът е длъжен да предостави вашите лични данни в подходящ вид в определен електронен формат, така че те от единия администратор да бъдат пренесени към другия администратор.

Кои са основните трудности, с които администраторите на лични данни се сблъскват при преценката дали са подготвени за Регламента?
Сега кои са основните трудности при отговор на този основен въпрос – т.е. дали предприетите мерки са достатъчни. Първият важен момент - това е оценката на съответствието с изискванията на Общия регламент. Вторият момент е, когато тази оценка е направена, какви препоръки ще бъдат дадени и какви мерки трябва да бъдат предприети, така че тези несъответствия да бъдат отстранени. И третият важен момент е обучението. Новият Регламент акцентира върху това, че администраторът трябва да положи доста усилия, така че всички негови служители да бъдат обучени по проблемите за защита на личните данни в съответствие с изискванията. И това обучение не трябва да бъде само общо обучение. Имаме обучение за управляващия борд; обучение за длъжностното лице по защита на данните; общо обучение за всички служители и профилирано или специализирано обучение за отделни групи служители, изпълняващи специфични задачи, свързани със защита на личните данни.

Каква е ролята на външните изпълнители или консултантите в този процес?
Човек може да види изключително много оферти, свързани с предлагане на услуги - от единични услуги, до пълни услуги. Тези оферти се различават както по обхват, така и във времето, в цената. Анализарайки състоянието в България и в Европейския съюз, се налага изводът, че е много трудно за отделния администратор на лични данни да вникне в духа на Регламента и сам да се справи с тия предизвикателства. Затова на пазара се е появила тази ниша за външни консултантни или одитори, главно в двете основни направления, а именно установяване на съответствието или оценка и анализ и второто – обучение.

На какви критерии трябва да заложи администраторът на лични данни при избор на консултанти?
На първо място, той трябва да постави най-общи изисквания, които са естествени. А те са – първо, репутацията на предлагащия услугата и опита. Второ важно нещо - това е компетентността. Проблемите с удовлетворяване на изискванията на Общия регламент изискват компетентност в много различни области на знанието – компетентност в правната рамка, компетентност в информационната сигурност, компетентност в управление на риска и оценка на въздействието, компетентност в организацията на знанията и управлението на дадена организация. Толкова много критерии са трудно постижими. Но истината е, че липсата на компетенция в една от тия предметни области веднага може да доведе до непълен одит и пропуски, които впоследствие могат да окажат много силно въздействие върху администратора на личните данни. По-нататък в общите критерии трябва да се отчетат и количествените измерения на извършени такива дейности или проекти в тази предметна област и различните референции, които са получили тези кандидати. Това са общите изисквания, а има и голяма група специфични изисквания.

Бихте ли посочили някои от специфичните изисквания?
Първо, дали предлагащият услугата познава философията на Общия регламент, което е изключително важно. Защото аз ви казах: има промяна във философията. Второто нещо, върху което администраторът трябва да обърне внимание: дали предлагащият услугата притежава методология за извършване на тази оценка или този анализ.

Какво трябва да представлява тази методология?
Тази методология е най-хубаво, ако е възможно, да бъде базирана на световни или европейски стандарти и добри практики. Още няма световен или европейски стандарт за защита на данните, но има достатъчно световни стандарти или стандарти на отделните страни или добри практики. За пример мога да посоча Обединеното кралство. Освен че трябва да има методика, предлагащият услугата трябва да има съответния инструментариум  - т.е. средствата, с които тази методика – като знание и последователност от действия, ще бъде реализирана в практиката. На трето място, предлагащият тая услуга трябва да бъде в състояние и да предостави ясни доказателства, че прилагайки методиката, използвайки инструментариума, ще осигури изпълнение на изискванията. Защото той може да направи 3-4 работи и въпреки всичко някои празноти да останат. Когато се избира външен изпълнител на услугата обучение, трябва да се акцентира върху две неща. Първо, учебната програма и второ, учебното съдържание.

Споменахте, че инструментариумът на консултанта е много важен. На какво трябва да обърне внимание администраторът на данни?
Трябва да се провери има ли предлагащият услугата средства, с които тези неща, за които говорихме, да бъдат извършени. На второ място да се види има ли образци и предлага ли като крайна услуга образци на документи. Това са различните видове политики – Общата политика за неприкосновеност, Политиката за осигуряване сигурността на данните, Политиката за контрол на достъпа и ред такива. Предлагат ли се програми за реализацията на тия политики? На трето място, предлага ли процедури – образец на процедури. Аз ви казах: има много нови взаимодействия. Например взаимодействията при установяване на нарушение. Когато администраторът на лични данни установи нарушение на защитата на личните данни, той трябва да предприеме задължително няколко мерки. Първото нещо е в срок от 72 часа да уведоми надзорния орган. При това ясно и точно. На второ място, администраторът при установяване на нарушение на защитата на личните данни трябва да прецени необходимо ли е, или не е необходимо да се информират субектите на данните. Ако е станал пробив в сигурността на данните на един голям телекомуникационен оператор и са изтекли примерно данните на 100 хил. абонати, тогава администраторът е длъжен да уведоми всеки един от субектите на данните по подходящ начин, че с данните е станало нещо. Т.е. предлага ли компанията, която иска да върши тая услуга, разписана процедура как това да стане, как да се извърши, къде да се регламентира, формат на уведомленията и т.н. На следващо място, предлага ли образци документи? В изискванията на Регламента казват, че трябва примерно за служителите в договорите да има клаузи за поверителност, клаузи за законосъобразно обработване на личните данни, клауза за преминато обучение. Предлагат ли се системи или технологични решения за водене на изискуемите от Общия регламент регистри? Общият регламент казва, че администраторът на личните данни е длъжен да поддържа списък с водените от него регистри, включително на хартия и в електронен вид.Това са най-общо нещата, свързани с установяване на съответствието.

А какви трябва да бъдат критериите към консултантите, предлагащи обучение?
Иска ми се да засегнем и критериите за обучението. Защото те са важни, а още повече на мен като университетски професор в Университета по Библиотекознание и информационни технологии обучението ми е така вътрешно присъщо и една от целите на живота ми. Трябва да бъдат ясно специфицирани дейностите и очакваните резултати. Дейностите трябва да включват в себе си структуриране задължително на видовете обучение. Трябва много ясно да се разбере, че имаме едно обучение изобщо, което е базовото обучение. То е необходимо за всички служители, но задължително трябва да има и специализирано, профилирано обучение. Това е обучението за управляващия борд – Какво трябва да знае управляващият борд? Той трябва да знае пет неща от Общия регламент. Какво трябва да знае Длъжностното лице по защита на данните? Какво трябва да знаят отделните служители във връзка със специфичните функции, които те изпълняват? Има едно обучение, което може да се предлага на всички, и това е инициализиращото обучение за запознаване с Регламента дотук. Трябва да има и предложение за поддържащо обучение, т.е. периодично обучение.

Защо трябва да има периодично обучение?
Периодичното обучение е свързано, първо, с някои промени в правната рамка или нови указания на надзорния борд или на европейския борд или установяване на някакво взаимодействие или подписване на меморандуми между надзорните органи. Това е един динамичен процес и ние не можем да мислим, че веднъж като сме извършили едно обучение и това обучение е вярно и за след 5 или за след 10 години. Второто важно нещо е, че технологиите се развиват много бързо и всяка една компания или всеки един администратор на лични данни има в своя бизнес план внедряване на новите технологии с цел да подобряват своя бизнес. Внедряването на новите технологии поставя нови предизвикателства и това трябва да бъде внимателно анализирано и хората във връзка с тия технологии да бъдат обучени. И последното нещо, което трябва да се предлага, е график на обучението – т.е. кога се извършва, защо се извършва, с какви целеви групи и т.н. Вече е ясно какви са очакваните резултати. Това са учебната програма за видовете обучения и съответното учебно съдържание.

Т.е. практиката да се предлага универсално обучение за всички, като изключим въвеждащото обучение, не е желана?
Точно така.

Какво трябва да обхваща методиката за оценка на съответствието с изискванията на Общия регламент?
Методологията или методиката за установяване на съответствието като минимум трябва да включва в себе си следните неща: събиране на общите сведения за организацията като първа точка; втора точка е инвентаризация на личните данни и процесите по обработката им. Трета точка е оценка на въздействието за защита на личните данни. Четвърта точка е оценка на сигурността на данните. Пета точка – анализ на съответствието, шеста точка – внедряване на принципа за отчетност, седма – препоръки и отстраняване на слабостите и осма – доклад и резултати. Това са минимално необходимите дейности. Те могат  да бъдат формулирани по друг начин, но това са предметните области, които трябва да бъдат покрити. Като за всяка стъпка в тази методология трябва да бъдат описани какви действия се очаква да бъдат направени, по какъв начин ще бъдат реализирани тия действия. Какви средства ще бъдат използвани и трябва да бъдат дефинирани входните данни и изходните резултати. Така изглежда ясно, но ако човек реши да го реализира...

Бихте ли дали примери?
Например по първата стъпка – общи сведения за организацията. В крайна сметка, като резултат трябва да бъде създадена колекция от данни, които първо идентифицират организацията. Това са всички параметри, които са изискуеми от GDPR - име на организацията, действие, представляващ, място, длъжностно лице по защита на данните, ако такова има, точки за контакт – тия неща трябва да бъдат установени в първите стъпки на това, което аз предложих като методология. На второ място, организационната структура, т.е. структурните звена. На трето място, какви информационни системи се използват. И на четвърто място, организацията като администратор на лични данни по сега действащия закон и по сега действащата наредба. Това е един пример какво трябва да се прави и какво трябва да се получи. Един пример за втората стъпка - инвентаризация на данните. Тук аз няма да навлизам в подробности. Отделните компании ги разглеждат по различен начин. Но в крайна сметка, като краен резултат, като бъде изпълнена тази стъпка, трябва да имаме ясен списък, първо, от регистрите с обработваните лични данни – което означава тип регистри, субект на данните, цел на обработка, правно основание и всички неща, които се изискват, на второ място - потока на движението на тия данни, на трето място - използваните информационни системи и на четвърто място - релацията регистри с лични данни - информационни системи, т.е. коя система какви лични данни използва в определените дейности на организацията. Искам да дам трети пример в точката оценка на сигурността на данните. Тази оценка трябва да включва в себе си, първо, оценка нивото на сигурност и в зависимост от определеното ниво за сигурност трябва да включва списък от минималните технически организационни мерки, които трябва да предприеме организаторът по различните видове сигурност – физическа сигурност, персонална, документална сигурност на автоматизираните информационни системи и мрежи и криптографска сигурност.

Какви са общите Ви впечатления за пазара на консултантски услуги, свързани с GDPR?
Първо, разнообразие и фрагментираност на пазара на услугите, за които говорим. Изключително многообразие на цените. Многообразие в нивото на компетентност и опит. Няма да давам оценка кои са компетентни, кои не са компетентни. Личното ми мнение е, че 90% от предоставящите услуги в тая предметна област не могат да отговорят на тия критерии, за които сега говорихме. Тези разсъждения са резултат на моя дългогодишен опит в тая предметна област - и в сигурността на информацията, и в защитата на личните данни. Те не ангажират Комисията за защита на личните данни. Комисията като колегиален орган не се е произнасяла с решение с приемане на критерии и т.н. Има и още много важни проблеми, за които трябва да се дискутира  например институцията Длъжностно лице по защита на данните.

Защо този проблем е толкова важен?
Длъжностното лице по защита на данните от гледна точка на философията на тая институция е коренно различно от общоприетото и установеното Служител по сигурност на информацията. Служителят по сигурността на информацията се появява в изискванията на Закона за защита на класифицираната информация. Въпреки че изглеждат сходно – едното е Data Security Officer, а другото - Data Protection officer,  философската разлика е, че служителят по сигурността на информацията има изпълнителски функции. Той трябва да прави първо, второ, трето, да предлага, да контролира и т.н., докато Длъжностното лице по защита на данните е независима институция. По-скоро то извършва контрол и проверка на изпълнителските действия. Можем да го оприличим на финансовия контрольор в една компания. Главният счетоводител предлага извършване на разход, а финансовият контрольор проверява законността и целесъобразността на разхода. Ако не се съгласи, тоя разход не се прави. По същия начин, ако се предлагат някакви нови дейности, нови процедури и т.н. винаги длъжностното лице по защита на данните трябва да даде становище.

Какви инициативи за информиране на гражданите и бизнеса е предприела Комисията за защита на личните данни?
Комисията за защита на личните данни полага доста усилия, свързани с информиране на обществото. Цяла поредица от големи информационни кампании в най-големите градове; различни публикувани указания, издаване на брошури, уастие в конференции, семинари, обучения и т.н. Първата голяма среща във връзка с нашата информационна кампания беше в Пловдив, предстоят такива срещи в Търново, Варна и Бургас. След това имаме едно много специализирано обучение с главните секретари на министерствата, така че да подготвим управлението на държавата да посрещне Регламента.