Ирен Дабижева: Работи се по европейски стандарти за съответствие с GDPR

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Регламентът въвежда редица нови изисквания към бизнеса и предвижда тежки санкции за неспазването им. Придържането към одобрен кодекс на поведение или одобрен механизъм за сертифициране обаче може да се използва като елемент за доказване, че са спазени задълженията на администратора. Свързахме се с г-жа Ирен Дабижева, изпълнителен директор на Българския институт за стандартизация, за да ни разкаже повече за процеса по закупуване на стандарт и конкретно за стандартите от серията ISO/IEC 27000.  Ето какво сподели тя пред Economy.bg:

Г-жо Дабижева, с какво точно се занимава Българският институт за стандартизация?
Българският институт за стандартизация е създаден по реда на Закона за националната стандартизация като публично-правна организация, която работи в обществена полза и не разпределя печалба. Държавата ни признава за единственствената стандартизационна организация в България, която се занимава с разработване, въвеждане, одобряване, публикуване и продажба на стандарти.

По какъв начин става закупуването на стандарти?
Продажбата на стандартите става много лесно. Имаме доста добър уебсайт, който е с много функционалности. Купуването на стандарти може да стане директно през сайта, като се стремим максимално да улесним нашите клиенти.

Какви стандарти могат да бъдат закупени от БИС? И когато говорим за закупуване на стандарт, всъщност какво се купува?
Българският институт за стандартизация оперира с фонд от над 35 хил. стандарта. Като една част от тях са чисто български стандарти, така известните „БДС-та“. Най-голяма част от нашия фонд представляват европейски стандарти, които се въвеждат като национални. Също така има и международни стандарти, въведени като национални. Европейските стандарти носят абревиатура EN. Идва от френското наименование „европейска норма“. Международните стандарти носят абревиатура ISO. ISO е международната организация за стандартизация. Принципът на стандартизация в международен мащаб е,  че организацията, която разработва дадения стандарт, е носител на авторските права върху него. Поради тази причина те не могат да бъдат безплатни. Впрочем и по време на стария режим, преди 89-а година, стандартите не бяха безплатни. Те са носители на ноу-хау.  Още нещо, стандартите, особено европейските стандарти, въведени като национални, се явяват едни инструменти в подкрепа на европейското законодателство. Така че всеки, който иска да бъде в крак с изискванията на европейското законодателство, трябва да прилага европейските стандарти.

Кой може да си закупи от БИС стандарт?
Всеки. В Закона за националната стандартизация се казва, че стандартите са общодостъпни. Разбира се, отново подчертавам „общодостъпни“ не значи „безплатни“. Всеки, който иска, може да си купи стандарт.

Как става самото сертифициране по даден стандарт, който вече е закупен?
Българският институт за стандартизация не се занимава със сертификация. Ние не извършваме така нареченото оценяване на съответствието с изискването на стандарта. Пазарът на сертификационни услуги в България е свободен.

Т.е. това са различни звена от една обща верига?
Да, т.нар. „инфраструктура по качеството“, която включва стандартизация, метрология, акредитация, сертификация и т.н. Това е една обща верига, но ние сме отделни институции, с отделни права и задължения.

Трябва ли всеки, който реши да се сертифицира по даден стандарт, да го закупи от вас или може да го закупи и от избрания от него консултант?
Да, такъв е законовият ред. Въпреки че в много случаи той се нарушава. Всеки закупен от нас стандарт на всяка страница получава един знак с името на фирмата, която го е закупила и с номера на поръчката.

Възможно ли е човек предварително да се запознае по някакъв начин със съдържанието на конкретен стандарт?
Дали сме такава възможност. В нашия Бизнес информационен център или така известната „Библиотека“ всеки може да дойде и да чете безплатно стандарти. Отчитайки факта, че на клиенти от цяла България би им било трудно да идват до София, за да четат стандарт, предоставяме т.нар. услуга „Стандартите на Вашия екран“ на много достъпни цени. Отдаваме голямо значение на сътрудничеството с университетите в България. Смятаме, че времето на следване е моментът, когато студентите трябва да се запознаят с тези документи; да свикнат да работят с тях; да ги виждат пред себе си, за да могат след това, когато станат специалисти и отидат в производството или въобще в живота, да са вече научени да използват стандартите. За тази цел сме разкрили информационни центрове по стандартизация в 9 университета. Това са няколко компютъра в университетската библиотека по желание на университета, от които могат да се четат пълнотекстово стандарти от нашата база данни. Те са достъпни за четене както за студенти, така и за преподаватели. Напълно безвъзмездно. Единственото ни условие е университетите да включват в своите учебни програми темата „Стандартизация и стандарти“.

Във връзка с влизането в сила на Регламента за защита на личните данни в края на май догодина все повече компании проявяват интерес към Стандарт за управление на системата за информационна сигурност ISO/IEC 27001. Бихте ли ни разказали повече за групата от стандарти, към които той принадлежи?
Стандартите от серията ICO/IEC 27000 се разработват от един съвместен комитет между двете международни организации за стандартизация. Те носят абревиатурата ISO IEC. Общата тема на всичките тези стандарти е сигурността на информацията. Те са доста на брой. Ако започнем отначало, стандартът ISO/IEC 27000 е речникът, който въвежда общия език в цялата серия стандарти. В ISO/ IEC 270001 са посочени изискванията към системата за управление сигурността на информацията. ISO/IEC 270002 е код за добра практика, т.е. допълнителни указания за всяка организация, която иска да изгради такава система. След това следват вече конкретни части, които се занимават с конкретни видове услуги в областта на информацията и информатиката. Това са стандарти, които са пригодени за сертификация. Написани са по схемата, по която е написан основният стандарт за управление, а той е за управление на качеството, така известният стандарт ISO 9001.

Все повече компании използват облачни технологии. В тази група има ли стандарт, който да се отнася конкретно към тях?
Има един стандарт -  ISO/IEC 27018:2014. Пълното му заглавие е „Информационни технологии, методи за сигурност, код за добра практика за защита на личните данни в публични облачни пространства, действащи като оператори на лични данни“. Той определя указания, базирани обаче на ISO/IEC 27002. Хубаво е да говорим за цялата серия стандарти, защото те не са самостоятелни. Той е приложим, както и всички стандарти от серията ISO/IEC 27000 за организации от всякакъв вид и големина, включително публични и частни компании, правителствени органи, неправителствени организации т.н. Т.е. те са едни универсални стандарти, които могат да се прилагат от всякакви видове фирми, организации, заводи, корпорации и т.н.

Във връзка с Регламента за защита на личните данни очаквате ли въвеждането на тези стандарти да бъде възприето като добра практика от страна на администраторите на лични данни?
Да очаквам, защото ние имахме вече разговори с Комисията за защита на личните данни. Естествено, и тя като институция, а предполагам, че и българското законодателство ще се променят до известна степен, за да отговарят напълно на Европейския регламент. В Регламента е казано, че като контролиращ орган държавата трябва да определи или държавната структура, която тя е създала специално във връзка с личните данни, или акредитационния орган. Не мога тук да гадая, но по всяка вероятност Комисията за защита на личните данни ще бъде конституирана от държавата като такъв контролен орган, който ще извършва контрол над сертифицираните вече организации, т.е. оператори на лични данни. В този смисъл ние вече имаме разговори с тях и, разбира се, ще окажем всякакво съдействие, което е свързано със стандартите.

А на европейско ниво разработва ли се стандарт, който по-пълно да отговаря на изискванията на Регламента за защита на личните данни?
Европейското законодателство върви в следната последователност - издават се директиви или регламенти. Когато към дадена директива или регламент е необходимо да се разработят серия стандарти, Европейската комисия дава мандат. Напоследък терминът, който е възприет, е „Искане за стандартизация“ към европейските организации за стандартизация. Те приемат този мандат и започват разработването на съответните стандарти. Но това все пак е един дълъг процес. По Регламента за защита на личните данни има вече издаден такъв мандат и работа по разработване на конкретни стандарти, свързани с този регламент, е започнала на европейско ниво.