понеделник, 18 март 2019  RSS
    Барометър | Региони | Компании | Лица | Назначения


    2511 прочитания

    Промени ли се бизнес средата в България след GDPR?

    За подготовката на компаниите, подадените жалби и уведомления за нарушаване на сигурността вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД
    07 януари 2019, 14:37 a+ a- a

    От 25 май 2018 започна да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на техните лични данни. Високите санкции, предвидени в Регламента - до 20 млн. евро или 4% от световния годишен оборот, привлякоха вниманието на бизнеса и медиите към темата. Повече от половин година по-късно, успяха ли компаниите да приведат практиките си в съответствие с изискванията на Регламента? Кои са най-честите оплаквания на субектите на данни? Какво предстои? С тези и други въпроси се обърнахме към професор д.т.н. Вeселин Целков, преподавател в Университета по библиотекознание и информационни технологии и член на Комисията за защита на личните данни. Вижте какво сподели той пред екипа на Economy.bg в края на 2018:

    Какво се промени, откакто се прилагат изискванията на GDPR? Вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД, пред Economy.bg.

    Какво се промени, откакто се прилагат изискванията на GDPR?
    Вече 7 месеца се прилагат изискванията на Регламент ЕС 2016/679 относно защита на физическите лица при обработването и движението на техните лични данни. Така известен като Общия регламент за защита на данните или съкратено GDPR. Ние можем годината 2018 да я разделим на два периода. Първият период е до 24 май. Вторият период е от 25 май насам. Tрябва да се отбележат няколко неща. На първо място, Регламентът е насочен към защита на физическите лица, по-скоро за защита на техните права. Използва се втората част от заглавието на Регламента – относно защитата на данните, а фокусът на целия Регламент е защитата на физическите лица. На практика Регламентът значително е увеличил правата на субектите на данните. За пример може само да кажем, че ако тези права са били 4 преди прилагането на Регламента, то след прилагането му тези права стават вече 14. Тези права на субектите на данните пораждат нови задължения за администраторите на лични данни. Това налага един нов модел на взаимодействие между физическите лица, администраторите на лични данни и надзорния орган.

    Успяха ли администраторите на данни да се подготвят за Регламента? Вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД, пред Economy.bg.

    Успяха ли администраторите на лични данни да се подготвят през тези две години за постигане на съответствие с Регламента?
    Терминът „подготвят“ през тези 2 години не е съвсем точен. Защото, следвайки обичайната практика, това нещо започна да се случва едва през последните няколко месеца.  Администраторите на лични данни бих могъл, лично за себе си, да ги разделя на няколко групи. В първата група попадат доставчици на обществени услуги, публични услуги, администраторите от банковия сектор, които започнаха работа доста преди 25 май. Може би цяла година по-рано със създаване на екип за управление на процеса при анализ на съответствието, с привличане на качествени външни консултанти, с приемане на подробен план за действие. При тази група администратори може да отчетем, че резултатите са относително положителни. Т.е. те имат правилно и подробно разработени политики. Всички, които трябва, имат разработени правила, имат процедури, поддържат регистри, назначили са длъжностно лице по защита на личните данни, където е необходимо, провели са необходимите обучения. Втората група администратори бяха решили да решават нещата относително самостоятелно или използвайки недотам компетентни консултанти. Личното ми мнение е, че резултатите от тази дейност са съмнително верни. Т.е. някои неща са правилни, някои неща не са правилни. И тук искам да отбележа за компетентността на консултантите. Голяма група – почти всички структури, които се занимават с предоставяне на правни услуги, решиха, че те могат да предоставят и консултации по привеждане в съответствие с изискванията на Регламента. Друга група компании, които са свързани с високи технологии, решиха, че и те също могат да предоставят услуги, свързани с Регламента, като и в тия две групи консултанти всеки гледаше нещата от собствената си страна. Единият гледа от правнонормативната страна, другият - от технологичната страна на въпроса. И в двете групи се наблюдават съществени слабости от липсващото експертно знание в другата част. В 90% от случаите, поне личното ми мнение и личното ми знание е, че всички тези доставчици на консултантски услуги не познават практиката и прякото приложение на изискванията и как се развиват процесите в реалния живот. Нямат и опит и това води до съществени слабости. Трета група администратори –  даже и консултанти не ползват, не се опитват и да ползват собствения си опит. Придобиват по различен начин – било със закупуване, било по приятелски начин - съмнителна по качество документация, т.е. взимат едни темплейти с правила, процедури, къде успешно, къде неуспешно ги адаптират уж към техните си конкретни условия. И четвъртата група администратори не правят нищо. Те изчакват да видят какво ще се случи, разчитайки, че нищо няма да се случи. Сега това са действията на администраторите. 

    Вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД, за действията на надзорния орган пред Economy.bg.

    А какви дейности предприе КЗЛД през същия този период?
    Една относително мащабна информационна кампания, указания, препоръки, участие в няколко конференции. България беше съорганизатор на Световната конференция. Личното ми мнение – съжалявам, че бяхме съорганизатор, защото България трябваше да бъде организатор на тази световна конференция и всички професионалисти и структури, занимаващи се със защитата на данните и на неприкосновеността, трябваше да дойдат в България, а не да отидат в Брюксел, защото в Брюксел са ходили много пъти. А България имаше какво да им даде. Лично мнение изразявам по отношение дейността на надзорния орган. Можеше да се извърши много повече, но се разпиляваха част от усилията, липсваше и необходимата компетентност, капацитет и може би и желание за регулиране на нещата – това е личното ми мнение. Изразявано нееднократно. 

    Вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД, за някои от най-разпространените заблуди във връзка с Регламента, пред Economy.bg.

    Какво се случва с физическите лица, субекти на данните през този период?
    Първо, безспорно повиши се знанието. Второ, повиши се отговорността към това, че личните данни са притежание на субекта на данните и негово задължение е той да си ги опазва и съхранява. Третото важно нещо е, че се повишава упражняването на правата. Хората разбраха своите права и започват все повече и повече да ги упражняват. В целия този процес, естествено, се достигна и до някои крайности. 

    Бихте ли ни разказали за някои от тях?
    Първата най-фрапантна крайност е свързана с опазването на данните. Хората, разбрали-недоразбрали, казват личните данни са си мои лични данни и няма да ги давам. Имаме примери - човек отива в банката и те му казват „дай си картата“ или „кажи си ЕГН-то, за да се идентифицираш, да може да извършиш съответната банкова операция или транзакция“. Той казва „няма да ги дам, защото те са си мои“. Също такива случаи има с пациенти в болницата. Това са крайности, но тези крайности въпреки всичко дават повод за размисъл. Втората голяма крайност е една грешка, породена може би от факта, че при изброяването на правните основания за използване на личните данни на първо място е поставено съгласието. Може би съгласието е поставено на първо място, защото то на английски е consent и по азбучен ред е първо. Едва ли не даването на съгласие се превърна в алфата и омегата на обработването на лични данни, а на практика и в действителност даването на съгласието е последното и най-слабото правно основание за обработване на личните данни. Още повече, че съгласието може да бъде оттеглено едва ли не по всяко време. Друга такава крайност е правото за заличаване на личните данни. Правото за заличаване на лични данни не е тотално право, то е свързано и с други права и задължения. Например човек, ако има кредит в някоя банка, не може да отиде и да каже „искам да ми заличите всички данни“ , защото тези данни са свързани с други правни основания. В тия крайности категоричното ми мнение е, че имаше много позитиви. 

    Кои са те?
    Позитивите на първо място са за администраторите, за тези, които са подходили сериозно при прилагането изискванията на Регламента. Те са направили инвентаризация на обработваните от тях лични данни. Тази инвентаризация се изразява най-вече в това какви данни се обработват, за какви цели, какво е правното основание, как се обработват, къде се съхраняват, кой ги достъпва, какво е времето за съхранение, какъв е начинът за унищожаване. Много харесвам един пример, който даде Любо Минчев – собственик на Телелинк. Той сравни инвентаризацията на личните данни с почистването на едно старо чекмедже от бюфета, в което човек си слага всякакви работи, които евентуално могат да му потрябват и като почва да го прочиства, вижда, че почти всички работи трябва да ги изхвърли. Така чисто статистически се оказва, че 50% от личните данни, които администраторите  до този момент са обработвали или съхранявали по някакъв начин, вече не им трябват. Оказва се, че една малка част евентуално могат да им потрябва и те я архивират. Около 20% са реално използваните лични данни, а това на практика значително намалява и отговорността, и разходите на администраторите, защото едно  е да съхраняваш 100 единици, друго е да съхраняваш 20 единици. На второ място, в позитивите бих отбелязал повишаване на отговорността и ангажиране на управляващия борд на администраторите на лични данни. Без ангажиране на управляващия борд, без проблемът за защита на личните данни да е вътрешно убеждение на управляващия борд за отделния администратор на личните данни, то няма как да имаме ефикасна организация на правата на хората и защита на техните лични данни. И на трето място – че се повиши в значителна степен информираността и отговорността на физическите лица – субекти на данните.

    Промени ли се броят на постъпилите жалби в КЗЛД след 25 май 2018?
    Няколко факта, които илюстрират какво става след прилагането на регламента. От началото на 2018 година до края на ноември, т.е. началото на декември в Комисията за защита на личните данни са подадени над 700 жалби. За сравнение през 2017 тези жалби са били 480, т.е. виждаме около 2 пъти повишаване, а за последните 6 месеца, откакто се прилага Регламентът, жалбите са около 450. 

    Кои са най-често срещаните оплаквания на субектите на данни? Вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД, пред Economy.bg

    Кои са най-често срещаните оплаквания на субектите на данни?
    Естествените администратори на лични данни, към които са насочени жалбите, са свързани с телекомуникациите, видеонаблюдението, банки и кредитни институции, електронни медии и образование. Тук искам да кажа, че и Комисията не дефинира достатъчно ясно и подробно правилата за видеонаблюдение и затова жалбите за видеонаблюдение са доста. Те в голямата си част са свързани с решаване на междуличностни конфликти и са много ресурсоемки. Комисията отделя много време изобщо за изпълнение на всички стъпки от процедурата на разглеждане на жалбата, включително с инспекции на място. Съвременните технологии са такива, че камерите са дистанционно управляеми, безжични. Изобщо доста трудности има Комисията в тази насока. Една друга група жалби са свързани с неизрядните платци. Доста хора, получавайки кредити или задлъжнявайки към една или друга институция, се опитват да не си плащат сметките и почват да се чувстват със застрашени лични данни в случаите, когато фирми за събиране на кредити поискат съответното плащане. Трябва да информираме обществеността, че този процес и всички процедури по предоставяне на вземанията на фирми за събиране на кредити вече е много добре изчистен и почти всички жалби се обявяват за неоснователни.

    Вече има ли в Комисията постъпили уведомления за нарушения на сигурността?
    Само за 6 месеца в Комисията са постъпили 32 уведомления, което, ако го сметне човек, е горе-долу по едно уведомление на седмица, а сигурно броят на тия уведомления ще расте. Това е свързано със задължението на администратора на лични данни да поддържа специален регистър с нарушенията на сигурността, в който те трябва много ясно да отбележат какви са причините за нарушения на сигурността. Да отбележат какви мерки са предприети за отстраняване на тези слабости и да кажат как и кога са информирали засегнатите субекти на данните и как и кога са информирали надзорния орган. Интересен е този факт. Само да отбележа, че в Комисията за защита на личните данни е създадена специална методика за обработка и реакция при такива уведомления, защото и нашият надзорен орган, бидейки част от цялата система за защита на личните данни на Европейския съюз, има задължение за уведомяване на Европейския борд за засегнати надзорни органи и т.н.

    Какво предстои във връзка с прилагането на Регламента?Вижте какво сподели проф. д.т.н. Веселин Целков, член на КЗЛД, пред Economy.bg.

    Какво предстои?
    Първо към администраторите на лични данни, трябва да кажа, че е направена само първата стъпка. Т.е. до известна степен е приготвена рамката за прилагане изискванията на новия регламент, правната и технологична, организационна рамка. Предстои всички тези права и процедури да бъдат имплементирани в реалния живот и прилагани. Пред Комисията за защита на личните данни като национален надзорен орган предстои много работа, защото има много несвършени неща, но това пък може би е свързано с факта, че през април изтича мандатът на сегашния състав на Комисията и той просто иска да остави доста работа и за следващите състави. За хората – важно е осъзнаването на значимостта на личните данни. И само едно допълнение – аз и част от моя екип от докторанти и сътрудници разработихме специална методика за това какво трябва да се направи, за да се посрещнат и изпълнят изискванията на Регламента за защита на физическите лица или Регламента за защита на личните данни. В тази методика са включени и определени инструменти, с които съответните действия трябва да бъдат свършени. Те са изцяло съобразени със световните стандарти и с най-добрите практики на страните от ЕС, най-вече на надзорния орган на Великобритания, надзорния орган на Испания, Франция, а също така и с  българския опит, който съвсем не е малък. Тази методика беше представена на традиционната годишна конференция за защита на личните данни в Русия, организирана от структурата, която отговаря за комуникациите в Руската федерация – Роском надзор. Една голяма международна конференция с над 30 страни участници, с представители на различните администратори на лични данни и държавни институции. За използването на тази методика беше проявен интерес както от правителството на Русия, така и от цялото управление на Руската федерация. За финал бих искал да пожелая на администраторите, обработващите и физическите лица през новата година да са живи и здрави, нови успехи и спазване на изискванията на Регламента.

     
    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 34 минути
    Жените в България са най-младите майки в ЕС
    Жените в Европейския съюз раждат все по-късно
    преди 2 часа
    Великобритания може да проведе европейски избори
    При отлагане на Брекзит страната ще продължи да изпълнява задълженията си според договора с ЕС
    15 март 2019, 11:58
    Софтуер Груп открива 200 нови работни места в България до 2021
    Компанията подписа договор с Европейската инвестиционна банка за 18 млн. евро инвестиционен заем
    15 март 2019, 10:58
    80% от българите не се наспиват добре
    На 15 март отбелязваме Световния ден на съня