50 000 фирми ще са длъжни да назначат служител за защита на лични данни

Влизането в сила на новия Регламент за защита на лични данни в Европейския съюз (ЕС), известен като GDPR, значително ще затегне правилата в областта. Изпълнението му стартира на 25 май 2018 г., а за да избегнат огромните глоби от нарушения, фирмите и организациите трябва да предприемат някои промени.

„По данни на Комисията за защита на лични данни (КЗЛД) в момента има вписани над 370 000 администратори на лични данни, а от тях поне 50 000 ще имат задължението да назначат отделен служител за тази дейност“, обясни председателят на надзорния орган Венцислав Караджов по време на обучение, организирано от Германо-българската индустриална и търговска камара (DBIHK).

Задължението им произтича от това, че те администрират по-голям обем от данни (на над 10 000 физически лица) или пък по-чувствителна информация. За останалите администратори назначаването на такъв служител е препоръчително. 

Всички вписани в момента като администратори на лични данни в Комисията предстои да бъдат дерегистрирани, тъй като според новия Регламент това вече няма да е нужно. Досега те подаваха заявления, на базата на които биваха одобрявани като администратори на лични данни, ако покриваха необходимите изисквания. Оттук насетне няма да е необходимо да се регистрират, но за сметка на това ще трябва да са много по-стриктни в отчетността и прозрачността си спрямо физическите лица и КЗЛД.

„Наблюдението от страна на надзорния орган, когато има сигнали и жалби, ще бъде засилено, като инспекциите вече ще се извършват на място, а не както досега предимно по документи“, обясни Караджов. 
В момента в България няма практика някой системно да се занимава със защитата на лични данни и обикновено в съда се явяват юристи, запознати с регулаторния режим. С навлизането на новия Регламент обаче вече говорим за „една специфична професия“.

„Изисква се тези лица не само теоретически, но и практически да познават правната рамка и съответно практиката на надзорния орган и на съда при прилагането на закона“, изтъкна още той и допълни че също се предполагат и познания в сферата на IT и вътрешно-устройствените правилници.

Служителят по сигурността на данните трябва да е сертифициран за извършването на тази дейност. Той ще има задължението да комуникира от името на организацията с правоохранителните служби, с българския надзорен орган КЗЛД и с тези в останалите страни от ЕС.

Изискванията към този нов тип служител са много по-завишени както за да може да се опазят личните данни на физическите лица, така и заради изключително големите финансови рестрикции при нарушения. Припомняме, че глобите стигат до 4% от годишния глобален оборот на компанията, или до 20 млн. евро, като компанията ще бъде санкционирана с по-голямата от двете суми. За сравнение, според сега действащото българско законодателство, глобите не могат да надвишат 100 000 лв.

За да подпомогне процеса и да се избегне настъпването на хаос, КЗЛД предлага създаването на Национален обучителен център, в който тези служители да получат качествена подготовка и да е сигурно, че ще отговорят на изискванията. Според Караджов държавата е тази, която трябва да предприеме мерки и да финансира такъв център.

В своето предложение Комисията предвижда първоначалното обучение на тези служители да е безплатно, а последващото да се заплаща от фирмите администратори на лични данни. Статистиката сочи, че минимум 50 000 организации ще трябва да назначат такива експерти, но според Караджов някои от тях ще имат нужда от повече от един човек, което означава, че броят им ще нарасне още.

Макар и задължително, назначаването на тези служители е отговорност единствено на фирмите. Те са в правото си да назначат нов човек, да инвестират в обучението на вече нает или да прибегнат до услугите на външна фирма.

Във връзка прилагането на новия Регламент е разработен и закон, изготвен от надзорния орган. Той вече е внесен в Министерство на вътрешните работи и предстои с него да се запознаят държавните институции, с след това да бъде обсъден публично.