четвъртък, 13 декември 2018  RSS
    Барометър | Региони | Компании | Лица | Назначения


    11026 прочитания

    Как да не нарушаваме правилата за защита на личните данни?

    За затрудненията, с които се сблъсква бизнесът, и риска от санкции вижте какво сподели адв. д-р Цветослав Митев
    21 февруари 2018, 18:09 a+ a- a

    От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни и поставя редица изисквания към бизнеса. С какви затруднения се сблъскват компаниите при спазването на GDPR и на какво трябва да обърнат внимание? С тези въпроси се обърнахме към адв. д-р Цветослав Митев, специалист с дългогодишен опит в областта на ИТ право, защита на данните, конкурентно право, корпоративно и търговско право и др., преподавател по Право на ЕС в УНСС и вписан към Холандската адвокатска колегия - Брюксел. Поводът за нашата среща е семинар, организиран от „Сиела Норма“, на тема „12 мерки за избягване на санкции за нарушения на Регламент (ЕС) 2016/679 – Общ регламент за защита на личните данни (GDPR)“. 

    Адв. Митев, по Ваши впечатления с какви затруднения се сблъсква бизнесът при спазването на GDPR?
    Основно затруднение, с което се сблъсква бизнесът, е разбирането на някои от термините, въведени с GDPR. Например терминът „мащабно обработване“ на лични данни. Той е обяснен по някакъв начин от Работната група 29, наследена в новия режим от специален комитет, който реално продължава нейните правомощия и функции, но все още няма ясна легална дефиниция.

    Защо правилното разбиране на термина "мащабно обработване" на лични данни е важно? Вижте какво сподели адв. д-р Цветослав Митев пред Economy.bg.

    Защо разбирането на този термин е важно?
    Защото именно основно от този термин зависи прилагането на изключенията, съществуващи по GDPR, което живо вълнува бизнеса. Защото е свързано с време, разходи, назначаване на хора. Защото именно от този термин основно ще излезе отговорът на три важни въпроса. Длъжно ли е предприятието, администраторът в случая на лични данни, да назначи лице по защита на данните; длъжен ли е да направи детайлен анализ, оценка на въздействието при обработка на лични данни и на риска, който те създават, ако има такъв, и длъжен ли е съответно администраторът да въведе специални правила - съответно вътрешни правила по повод воденето на т.нар. „регистър“. В каква детайлност? Тези три ключови въпроса зависят основно от разтълкуването и прилагането на този термин.

    Какви са вашите лични очаквания за това какво ще се разбира под мащабно обработване на лични данни?
    Според мен редица предприятия ще останат под радара. Ще се обърне внимание на т.нар. Big Data компании, които обработват повече данни в по-големи мащаби, реално, където имаме в по-голяма степен трансгранично пренасяне на данни. Това според мен ще бъде акцентът. Поне в началото. В първите години. Което, разбира се, ще внесе едно спокойствие в задължените субекти.

    Ще окаже ли значение броят на служителите на компанията?
    Това са част от изключенията – под 250 лица съответно няма да има нужда да се води регистър. Впрочем много предприятия и в момента водят. Моята препоръка винаги, когато консултирам предприятия в тази насока, е да водят някакъв регистър.  В случай на проверка много по-лесно може да се обясни поведението на администратора. В бизнеса, в едно предприятие винаги има обработка на данни и е добре да се знае потокът на тези данни.

    Бихте ли споделили конкретни интересни примери или казуси от своята практика, свързани с GDPR?
    Изясняването на термините е една от основните трудности, с които се сблъсква бизнесът, но далеч не е единствената. Особено в някои по-специфични сектори, например при преводаческите агенции. При тях постъпва огромно количество данни, някои от които са чувствителни. Какво се случва, когато един документ съдържа данните на множество лица? Всяко едно от тях ли трябва да даде съгласие? Този казус предстои да бъде решен. Затегнат е режимът, предвидено е изрично като особен случай на чувствителни данни – видеонаблюдението. Говорим за Регламент, който е акт с директен ефект, така че от значение ще бъде и практиката на Съда на европейския съюз.

    Вижте какво сподели адв. д-р Цветослав Митев за предложението за Регламент относно зачитането на личния живот и защитата на личните данни в електронните съобщения.

    На какво бихте посъветвали компаниите да обърнат внимание?
    Това, което според мен си струва също да бъде разяснено е, че в момента част от компаниите си дават сметка, че GDPR е само едно начало. По-голямата част от компаниите не си дават сметка за това. Паралелно с GDPR, който е така добре медийно отразен, съществува със същата ключова дата 25 май 2018 г., един друг проект на Регламент, който също ще започне да се прилага. Той в момента очаква първо четене в Европейския парламент. Касае така наречените „бисквитки“ и  електронната комуникация – размяна на имейли и други съобщения и най-вече крайните устройства, крайните софтуерни продукти и приложения, т.нар. браузери и подобни приложения - какво те съхраняват, къде го съхраняват. Тук имаме един много ясен режим, който се задава - на разграничение на отделните видове „бисквитки“ и оттам съответно редица компании, в ИТ бранша основно, ще се окажат в неизпълнение. Поне по предложението, което в момента е за обсъждане в Европейския парламент, ясно се вижда, че има едно препращане към GDPR за по-голяма част от терминологията, но в крайна сметка е една отделна материя. Софтуерните компании, разработчиците на браузери, на приложения, подобни на браузери, ще трябва със сигурност да променят начина на функциониране на софтуера. Какво означава това в практическо измерение? Например повечето браузери са зададени да одобряват всякакви видове „бисквитки“, а сега ще трябва евентуално да е обратното и да е ясно информиран потребителят дали дава съгласие и за какви видове „бисквитки“ дава своето съгласие. Тежестта ще бъде основно за ИТ компаниите, за потребителите ще бъде едно облекчение.

    Освен в областта на защита на личните данни, имате богат опит и в областта на защита на конкуренцията. Виждате ли прилики между двете?
    На практика това е според мен целта, която е задала Европейската комисия в момента - да се стигне до изравняване на двата режима като тежест. От много години се занимавам с конкуренция, имам и докторат в тази област и за мен този паралел е много ясен и логичен. Отново говорим за административни санкции, отново говорим за режим, който се задава по линия на учредителните договори и от много, много години вече има достатъчно практика за прилагане правилата на конкуренцията. Точно в призмата на налагане на санкции има един паралел за налагане на санкции до определен процент от оборота - при конкуренцията до 10% . И то отново могат да бъдат привличани дружествата майки, което се вижда ясно и по режима, който се задава по линия на Общия регламент за защита на личните данни. Тук, разбира се, все още е до 4%. Но така или иначе това е тенденцията. Дори има един елемент на много по-голяма строгост, защото при правилата на защита на конкуренцията засега Европейската комисия е избрала подход, при който не може да се търси наказателна отговорност. Което не е случаят в САЩ или в трети страни. Там още по-сериозно са въведени тези правила. Докато тук, в режима на защита на личните данни имаме една възможност за реализиране на наказателна отговорност. Държавите решават. Тази възможност може да бъде упражнена чрез приемане на допълнителни мерки съответно в националното законодателство. Специално в случая на България това не е реализирано, но е зададено като възможност на органа. Т.е. счита се, че защитата на личните данни по някакъв начин създава много по-голям риск, отколкото нарушаването на правилата на конкуренцията. Защото тук се касят пряко гражданите.

    По какъв начин GDPR засяга държавната администрация? Вижте какво сподели адв. д-р Цветослав Митев пред Economy.bg

    Като че ли повечето хора разглеждат GDPR като набор от мерки, които са насочени срещу големите компании, събиращи лични данни.  По какъв начин засяга Регламентът държавната администрация?
    GDPR е едно логично следствие на един много по-голям процес т.нар. Digital Agenda – въвеждането на информационни технологии в рамките на Европейския съюз и Европейското икономическо пространство. Аз се занимавам по-интензивно с тази материя някъде от 2011-2012 година. Тогава още беше проект GDPR и той беше изключително необходим на тези процеси на електронизация и на електронно управление. Тогава не съществуваше още Законът за електронна идентификация в България, на който съм горд, че съм съавтор. Реално именно процесите на електронно управление основно наложиха възникването на този документ. Макар че източниците на правото на ЕС не специфицират законодателен инструмент - „кодекс“, реално този Регламент в случая се явява една кодификация на множество декларации и обсъждания, например Уругвайската декларация от 2012 година. Тя беше издадена на много високо ниво по време на Конференцията на комисарите в областта на защита на личните данни от всички държави членки. Още тогава профилирането беше идентифицирано като проблем. Подробно беше засегнато в тази декларация как автоматизираната обработка на лични данни предстои, ще се случи и трябва да се вземат изключително сериозни мерки, за да не се стигне до нежелано профилиране. Основна защита се дава на лицата, защото те биха били потърпевши, ако профилирането не беше сложено в тези рамки, в които в момента съществува. Неслучайно в Закона за електронната идентификация имаме възможност за секторен идентификатор именно заради чувствителните данни – за данни, свързани с електронно гласуване, за данни, свързани със здравния статус на гражданина. Секторните идентификатори ще навлязат и ефективно ще бъдат въведени, както е в много други държави в Европейския съюз към днешна дата – Австрия, Естония и др.

    Темата за санкциите е често дискутирана, предвиждат се големи глоби. Според Вас прекалено голямо внимание ли се обръща на този въпрос?
    Действително е предвидена възможност да бъде реализирана наказателна отговорност и според мен ще се стигне и до този етап. Аз имам и публикации по темата, които са в различна посока от основния ъгъл на отразяване, водещ до едно сплашване. Това, което съм се опитал да отбележа е, все пак да не забравяме, че има едни ясни критерии за налагане или неналагане на санкциите. Съответно ще се вземат предвид естеството, продължителността на нарушенията, тяхната сериозност, значимост – много, много фактори, които са посочени съответно, така че да няма едно произволно налагане на санкции.

    Лектор сте на семинар, организиран от „Сиела Норма“. Къде е поставен фокуса? Семинарът е с изключителна практическа насоченост. До момента по линия на други семинари се представи доста детайлно уредбата, но липсва някак си практическа насоченост - какво точно трябва да се направи; откъде точно трябва да се започне. Има, разбира се, колеги, които влязоха в такъв детайл, но много по-малко, пренебрежимо малко. Идеята ни е да дадем ясна представа откъде да започнат, какво трябва да свършат и най-вече да се ориентират дали попадат в изключения или не.


     

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 8 часа
    Папа Франциск ще посети България през май
    От 5 до 7 май той ще посети градовете София и Раковски
    преди 12 часа
    Столична община пусна електронен калкулатор за данъка на колите
    Чрез калкулатора всеки собственик на автомобил в София може да се ориентира какъв данък МПС дължи
    преди 12 часа
    Две трети от младите българи до 29 години живеят в пренаселени домакинства
    България е на второ място в ЕС по този показател
    преди 13 часа
    Тереза Мей оцеля при вота на недоверие
    Тя се зарече да реализира Brexit