Какво трябва да знаят компаниите за GDPR (Q&A)

Една от най-мащабните законодателни промени в Европейски съюз (ЕС) – така мнозина определят новия Общ регламент за защита на личните данни, известен накратко като GDPR. Той цели да унифицира законодателството в областта за всички държави членки, да даде повече права на потребителите, като затегне примката около врата на компаниите, включително чрез налагането на драстично по-големи глоби за неспазване на правилата.

До влизането в сила на GDPR остава по-малко от месец, но въпреки краткото време до крайния срок, много фирми все още се питат дали Регламентът ги засяга или не. Отговорите на някои основни въпроси може да на мерите в редовете по-долу.

Кой попада под ударите на GDPR?

Всички организации, обработващи лични данни. Става дума за всеки един бизнес или търговец, неправителствена организация или държавна институция, свободно практикуващи счетоводители или архитекти, които обработват лични данни във връзка със своята дейност и се явяват администратори на такива. „Няма незасегнат бизнес, институция или организация, която има какъвто и да е персонал“, изтъква Десислава Кръстева, адвокат съдружник в Адвокатско дружество „Димитров, Петров и Ко“.

Кой ще следи за това дали се спазва GDPR?

Комисията за защита на личните данни (КЗЛД).

Какво представляват личните данни и кой е администраторът им?

Лични данни са всяка информация, с която може да бъде идентифициран даден човек или организация: име, ЕГН, данни по лична карта и т.н. Администратор е всяко физическо или юридическо лице, което събира и/или обработва дори само един вид от тези данни. Администраторът може да възложи обработката на лични данни на друг.

Само за събирането на онлайн базирани данни ли следи GDPR?

В контекста на дигиталния свят, в който се борави с огромни количества информация, основният фокус са онлайн данните. Тези на хартия обаче също са обект на защита в една или друга степен.

Важи ли GDPR и за квартално магазинче с няколко служители?

Да. "Основните принципи на GDPR важат за абсолютно всички и едно такова магазинче например ще трябва да внимава как и за колко време ще съхранява данните на своите служители или кандидат-служители, като не бива да ги пази за по-дълъг период от необходимото или да събира излишна информация", каза Десислава Кръстева.

Тя обяснява, че Регламентът все пак прави разграничение между различните субекти, обработващи лични данни, като за някои, като въпросното магазинче, правилата са по-малко рестриктивни.

„По наше наблюдение пред най-голямо предизвикателство ще бъдат изправени онлайн бизнесите, които се занимават с електронна търговия, новинарските и информационни сайтове, социалните платформи, компаниите, които предлагат cloud базирани CRM и ERP платформи, както и всяка друга организация, която използва сложни системи за обработка и съхранение на лични данни“, коментира Борислав Бориславов, технически директор на хостинг компанията ICN.Bg.

Каква е разликата между GDPR и досегашните изисквания в българското законодателство?

Единственото нещо, което GDPR отменя, е задължителната досега регистрация на субектите като администратори на лични данни. „На практика говорим за надграждане, без отпадане на стари задължения“, казва Десислава Кръстева. Член 5 от Регламента например въвежда ключовия принцип за отчетност, който е свързан с изключително много изисквания към документирането на това какво се прави с данните от входа до изхода, т.е. откъде имаме данните, как са получени, как се обработват, кой е имал достъп, на какво основание са получени и защо се обработват. „Всичко трябва да е документирано доста ясно и прозрачно“, изтъква Кръстева.

Ново е и изискването за уведомяване при нарушение на сигурността на данните при инцидент. Сигналът до КЗЛД трябва да бъде подаден до 72 часа след установяването на пробив. Ако има риск и за субектите, чиито данни са били засегнати, те също трябва да бъдат информирани.

Изцяло нови са задълженията към обработващите лични данни лица. Досега такива имаха само администраторите. „В случай обаче, че те възлагат обработката на тези данни на трети лица, тогава отговорност носи и администраторът, и лицето, на което е възложена обработката на тези данни“, казва Борислава Борисов. По думите на адвокат Кръстева тежестта на задълженията е сходна и за двете страни.

Тя дава за пример случай, при който компания наема колцентър да обслужва клиентите ѝ. Досега за всичко случващо се с данните, кол центърът е носел отговорност само пред възложителя по силата на договора помежду им. От наказателна гледна точка обаче тежестта е падала единствено върху плещите на компанията, която го е наела. „Вече много подобни бизнеси, които са били само адресат на едни договорни задължения с техните клиенти (администратори на лични данни, б.ред.), ще имат директни задължения по Регламента и също могат да бъдат санкционирани“, обобщи адвокат Десислава Кръстева.

Най-стряскащата промяна от всички обаче е размерът на санкциите.

А какви са те?

Досега максималната за българското законодателство санкция беше в размер от 100 хил. лв. Потенциалните глоби, заложени в GDPR, са до 20 млн. евро или 4% от глобалния оборот на предприятието. „За да се обоснове максималният размер на санкцията обаче трябва да е налице едно наистина изключително сериозно и драстично нарушение“, успокоява Десислава Кръстева. По думите ѝ има редица критерии в Регламента, които определят каква санкция да се наложи при евентуално нарушение. Все пак скокът е огромен, което навежда на мисълта, че и за по-малки нарушения, глобите ще са по-солени в бъдещи. Кръстева каза, че в България до този момент компаниите са санкционирани с глоби от порядъка на 15 до 40 хил. лв.

Винаги ли при пробив компанията ще бъде глобявана?

Не. Истината е, че няма 100% сигурна система или процес по обработката на лични данни, който напълно да изключва пробив в сигурността. Риск винаги има. Така че дали компанията ще бъде санкционирана, зависи от това какви организационни и технически мерки е взела тя преди това, за да защити данните. „Идеята е, че администраторите трябва да полагат съответните мерки за защита и ако към дадения момент тези мерки отговарят на съвременното технологично развитие според общоприетите стандарти, не би трябвало да бъдат санкционирани“, смята Десислава Кръстева.

Например при извършването на иновативна хакерска атака, системите на компаниите трудно могат да устоят, дава пример тя. Проблем в такъв случай ще е, ако организацията прецени да не докладва на КЗЛД за пробива, което вече е нарушение на Регламента.

"Глоби ще има и при немарливост", добавя Кръстева. Става дума за недостатъчно актуализирани антивирусни защити например. Също така в случаи, когато процедурните правила за това как се пазят или изнасят данни извън организацията не са съобразени с потенциалните рискове.

Как да се подготви компанията?

За да е изрядна към изискванията на GDPR, всяка компания трябва да се подготви в контекста на няколко аспекта. От правна гледна точка – като обнови всичките си документи (договори, декларации, общи условия и пр.). От техническа – започвайки от софтуерните решения и актуализация на защитите и стигайки до създаването например на отделна уеб страница за управление на лични данни и т.н. От процедурна – всеки бизнес трябва да изгради ясна система за обработка на лични данни, да определи кой, кога и при какви условия може да борави с тях и пр.

Идеята е да има яснота, прозрачност и отговорност за това какво се случва с личните данни по същия начин, по който боравим с парите. "Както организациите проследяват паричните транзакции, така е необходимо да има проследимост и при събирането и използването на лични данни", обяснява адвокат Десислава Кръстева.

Една от най-големите заплахи е тази от кибератаки. За да се предпази от тях, коментира Борислав Борисов от ICN.bg, всяка компания трябва да направи пълен анализ на онлайн системите си и да ограничи всяка възможност за пробив в системи, където се съхраняват лични данни. „Препоръчваме да се централизира информацията и да се уеднаквят базите данни, където се събира персоналната информация. Колкото по-централизирана е информацията, толкова по-лесно е нейното управление. Съответно могат да се контролират външните системи, по-лесно да се следи достъпа до данните и тяхното обработване и да се пазят логове за това как, кога и от кого те са били манипулирани по някакъв начин“, казва още той.

Когато говорим за онлайн защита и киберзаплахи, е много важно да обърнем внимание на превенцията като метод за защита. Именно чрез нея компаниите могат да защитят своя бизнес и да предотвратят евентуални пробиви в сигурността, изтичане на данни и достъп до критични системи. Ето защо е от значение използването на познатите форми на защита на информацията, каквито са SSL и S/MIME сертификатите, DDoS защитата, поставянето на сигурни пароли и потребителски имена за вход във важни бизнес системи и т.н.

Уловката на GDPR обаче е, че неговите задължения са под формата на някакъв вид самоконтрол.  „Предизвикателството е голямо, тъй като оставя изкушението, едва ли не, че можем да отлагаме във времето, а това не е добро решение, защото времето, което имаме за реакция след това при проверка, жалба или инцидент, е изключително малко“, казва още тя.

Предвид, че спуснатите от ЕС законодателни документи все пак трябва да се синхонизират с местните практики, това създава главоболия на компаниите с тълкуването на някои насоки и принципи. Николина Георгиева и Андриана Андреева от рекламна и консултативна агенция „Кеар Дайрект“ смятат, че за да е напълно изрядна, една фирма трябва да се консултира с юрист по темата. Те изтъкват, че забавянето на законите на местно ниво е един от основните им проблеми в процеса по подготовката.

Какво се случва, ако компанията не е готова на 25 май?

„Малко вероятно е да очакваме дори от компании, които отдавна се занимават с това, да са изцяло приключили с подготовката“, смята Кръстева. Не им остава друго, освен да продължат да привеждат дейността си в съответствие с GDPR. „25 май не е някаква крайна дата, от която насетне да не можем нищо да оправим. Спазването на изискванията всъщност не е еднократен акт, а изисква ежедневни усилия, така че всяко действие с лични данни – всеки нов проект, продукт, система, дейност, да е съобразявано с тези изисквания“, обяснява тя.

Всъщност компаниите, чиято дейност от години е свързана с обработка на лични данни, отлично осъзнават колко чувствителна е темата и са много по-изрядни в това да се съобразяват с потребителските права. „В този ход на мисли глобите не ни притесняват, тъй като винаги сме се съобразявали с всички действащи регламенти в тази посока“, обясняват Николина Георгиева и Андриана Андреева от „Кеар Дайрект“. Като хора от компания, занимаваща се със събиране и обработка на лични данни, те са категорични, че въпреки „солените“ глоби, заложени в GDPR, основният мотив да се спазват правилата трябва да е бизнес етиката.

Има ли промяна в начина на събиране на информация?

„По-скоро има в това каква информация трябва да се предостави на лицата преди да бъдат събрани техните данни“, уточнява адвокат Десислава Кръстева. Тя обяснява, че досега хората е трябвало да бъдат запознавани с това какъв тип данни за тях се събират, с каква цел и кой ще ги получи, както и какви са техните права. Вече ще трябва да се добави и информация за основанието, на което се обработват данните, информация за срока на обработка и критериите, по които ще бъде определен той. Идеята на GDPR е да даде повече правомощия на потребителя и в тази връзка следва да му се даде повече информация.

Кой ще е длъжен да назначи длъжностно лице по обработка на лични данни?

По статистика на КЗЛД около 50 000 фирми ще имат това задължение, но може да се окажат и повече, тъй като параметрите за това изискване са доста широки. Със сигурност държавните институции трябва да го направят. „Също организации, които обработват по мащабен начин специална категория лични данни като информация за здравето, биометрични данни, религиозна и расова принадлежност, сексуална ориентация, философски и политически убеждения“, дава пример адвокат Кръстева. Това се отнася и за организации, които събират информация за присъди и нарушения, както и за такива, които извършват редовно и системно наблюдение на субектите на данни. Често в списъка попадат и фирми, които извършват таргетирана реклама. По думите на Кръстева текстовете в Регламента подлежат на тълкования, като едно от нещата, които се разискват, е какво е „систематично мащабно наблюдение“ например.

Кой трябва да поеме ролята на длъжностното лице?

„Задълженията могат да се поемат от досегашен служител, но трябва да се има предвид, че кръга от други функции, които той може да съвместява с тази, е много малък“, изтъква Кръстева. Причината е, че в Регламента е изрично посочено, че не трябва да има конфликт на интереси. Лицето не бива да е човек, който да взема управленски решения, свързани с обработката на лични данни. Това означава, че се изключват служители като HR мениджъра например, посочва адвокатът. По нейни думи не може да и юристът, който след това би защитавал администратора в съда при евентуални нарушения.

Накратко това означава, че длъжностното лице по защита на лични данни трябва да е независимо, да има съответните компетентности и опит, но същевременно да не участва във вземането на решения. Според Кръстева тази тема тепърва ще бъде предмет на дискусии.

Любопитното е според нея е и това, че въпросният служител не може да бъде уволняван за това, че изпълнява функциите си по защита на личните данни. Казусът е интересен, защото този човек им задължение да съдейства на КЗЛД и да ѝ предоставя нужната информация, а работодателят един вид плаща на някой да работи в съдействие на Комисията и да осигурява правата на субектите, а не в полза на самата организация.

За редица организации ще се окаже по-ефективно тази дейност да бъде аутсорсната, включително защото някои малки организации няма да имат ресурса или необходимостта от назначаването на човек на пълен работен ден. Например хай-тек компания с няколко души персонал, която борави с огромни количества информация, би попаднала в кръга на длъжните да назначат такъв човек, който обаче няма да има толкова много работа, че наемането му на щат да е обосновано.

Според Десислава Кръстева една външна организация може да даде по-добра експертиза, включително защото изискванията към това длъжностното лице към този момент са изключително комплексни – правни, технически, да познава дейността на самата организация, да има комуникативни умения и да бъде посланик на тези правила както вътре в организацията, така и към комисията.