Влизането в сила на новия Регламент за защита на лични данни в Европейския съюз (ЕС), известен като GDPR, много ще затегне правилата в областта. Изпълнението му стартира на 25 май 2018 г., а за да избегнат огромните глоби от нарушения, фирмите и организациите е необходимо да предприемат някои промени.
„По данни на Комисията за защита на лични данни (КЗЛД) в момента има вписани над 370 000 администратори на лични данни, а от тях поне 50 000 ще имат задължението да назначат отделен служител за тази дейност“, обясни председателят на надзорния орган Венцислав Караджов по време на обучение, организирано от Германо-българската индустриална и търговска камара (DBIHK).
Задължението им произтича от това, че те администрират по-голям обем от данни (на над 10 000 физически лица) или пък по-чувствителна информация.
Всички вписани в момента като администратори на лични данни в Комисията предстои да бъдат дерегистрирани, тъй като според новия Регламент това вече няма да е нужно. До този момент те подаваха заявления, на базата на които биваха одобрявани като администратори на лични данни, ако покриваха нужните изисквания. Оттук насетне няма да е необходимо да се регистрират, но за сметка на това ще трябва да са много по-стриктни в отчетността и прозрачността си спрямо физическите лица и КЗЛД.
„Наблюдението от страна на надзорния орган, когато има сигнали и жалби, ще бъде засилено, като инспекциите вече ще се извършват на място, а не както досега предимно по документи“, обясни Караджов.
В момента в България няма практика някой системно да се занимава със защитата на лични данни и обикновено в съда се явяват юристи, запознати с регулаторния режим. С навлизането на новия Регламент обаче вече говорим за „една специфична професия“.
„Изисква се тези лица не само теоретически, но и практически да познават правната рамка и съответно практиката на надзорния орган и на съда при прилагането на закона“, изтъкна още той и допълни че също се предполагат и познания в сферата на IT и вътрешно-устройствените правилници.
Служителят по сигурността на данните е необходимо да е сертифициран за извършването на тази дейност. Той ще има задължението да комуникира от името на организацията с правоохранителните служби, с българския надзорен орган КЗЛД и с тези в останалите страни от ЕС.
Изискванията към този нов тип служител са доста по-завишени както за да може да се опазят личните данни на физическите лица, така и заради изключително големите финансови рестрикции при нарушения. Припомняме, че глобите стигат до 4% от годишния глобален оборот на компанията, или до 20 млн. евро, като компанията ще бъде санкционирана с по-голямата от двете суми. За сравнение, според сега действащото българско законодателство, глобите не могат да надвишат 100 000 лв.
За да подпомогне процеса и да се избегне настъпването на хаос, КЗЛД предлага създаването на Национален обучителен център, в който тези служители да получат качествена подготовка и да е сигурно, че ще отговорят на изискванията. Според Караджов държавата е тази, която трябва да предприеме мерки и да финансира такъв център.
В своето предложение Комисията предвижда първоначалното обучение на тези служители да е безплатно, а последващото да се заплаща от фирмите администратори на лични данни. Статистиката сочи, че минимум 50 000 организации ще е необходимо да назначат такива експерти, но според Караджов някои от тях ще имат нужда от повече от един човек, което означава, че броят им ще нарасне още.
Макар и задължително, назначаването на тези служители е отговорност единствено на фирмите. Те са в правото си да назначат нов човек, да инвестират в обучението на вече нает или да прибегнат до услугите на външна фирма.
Във връзка прилагането на новия Регламент е разработен и закон, изготвен от надзорния орган. Той вече е внесен в Министерство на вътрешните работи и предстои с него да се запознаят държавните институции, с след това да бъде обсъден публично.