Реалният сектор у нас не бърза с въвеждане на изискванията

Реалният сектор у нас не бърза с въвеждане на изискванията ...

Готови ли сме за GDPR?.


Реалният сектор у нас не бърза с въвеждане на изискванията на Общоевропейския регламент за защита на личните данни (General Data Protection Regulation,GDPR) и изчаква промените в Закона за защита на личните данни. Това стана ясно по време на международната конференция „Колаборацията в основата на опазването на критичните данни“, организирана от ICT Media.

 

От ляво на дясно: Адв. Весела Кабатлийска (адв. дружество „Динова Русев и Съдружници“), Цанко Цолов, член на Комисия за защита на личните данни, Борис Гончаров (

 

Повечето компании живо се интересуват от прилагането на регламента за защита на личните данни, но засега – само на нивото на консултациите, категоричен е директорът по бизнес развитие на „Парафлоу Комуникейшънс“ Тодор Ташев. 

Има готов закон, който съответства на регламента, коментира Цанко Цолов, от Комисията за защита на личните данни. Той ще бъде внесен в Народното събрание през някое от ведомствата, защото институцията няма право на законодателна инициатива. Очакванията са, това да стане месеци преди влизането в сила на регламента. Но независимо дали промените ще бъдат приети от Народното събрание до края на май, или - не всички български фирми са задължени да се съобразят с изискванията регламента, след 28 май 2018-та.( За разлика от европейските директиви, регламентите имат незабавно действие и стоят над националното законодателство в конкретната област, което има само уточняващ характер.)

Истината е, че почти няма компания, която да не се докосва до GDPR, по един или друг начин: или обработва лични данни, или е техен администратор, или пък е обект, който дава личните данни. Всички физически куриери, облачни компании, разработчици на мобилни приложения трябва да изпълнят регламента. Макар да не са заплашени от глоба от националния контролиращ орган, българските компании могат да понесат финансови загуби от искове, заведени от лица, които смятат, че личните им данни не се съхраняват по предвидения начин. 

Участниците в дискусията се обединиха около мнението, че регламентът е преработка на бизнес процесите в поток от данни и ще накара българските компании да решат дали те са им нужни - или не.

Според Борис Гончаров, директор стратегическо развитие на информационната сигурност, „Аматас“ ЕАД, Защитата на данните не е нова тема е информационната сигурност, но проблемът е, че регламентът предвижда, когато данните бъдат създадени, веднага да се класифицират, категоризират и защитят по предвидения ред. От друга страна, той призна, че вместо да се трие ненужната информация, често се увеличава пространството за съхранение, например, чрез закупуване на нови сървъри. GDPR обаче ясно постановява, че компаниите могат да съхраняват това, което им е необходимо, т.е. вместо да увеличават пространството, компаниите ще трият ненуното. Подобна хипотеза съществува и в сега действащото законодателство, коментира адв. Весела Кабатлийска, експерт защита на лични данни, Адвокатско дружество „Динова Русев и Съдружници“. Но тъй като не са предвидени санкции, често ненужните данни остават. GDPR обаче, залага санкции и ще сложи край на ненужното събиране на лични данни. Освен за потребителите, това ще се окаже полезно за бизнеса, който ще внесе ред в процесите си и ще стане по-ефективен, коментираха експертите.

GDPR ще доведе бизнеса в обака, тъй като доставчиците на услугата ще криптират данните си в съответствие с изискванията на стандарта, прогнозира Тодор Ташев.

За сега, обаче не е ясно какъв е стаутът на облачната услуга по отношение на новия регламент: дали тя се отнася към операторите, които само съхраняват данните или към администраторите, обработващи данните за бизнес проучвания. Регламентът въвежда и т.нар. „право да бъдеш забравен“ или данните ти да бъдат свалени от публичното пространство. Това обаче не означава „да бъдеш изтрит“ и отнесено към облачните услуги предполага, че данните на потребителя могат да не се индексират, т.е. да бъдат „минимизирани“. Същото се отнася и за данни, които подлежат на съхрание за по-дълъг срок, по друг закон, например. данни за заплати, които по нашата нормативна уредба се съхраняват 50 години, или данни за плащания, кредитни досиета и др.

Компаниите ще трябва да посочат т. нар експерт по поверителните данни (Data Privacy Officer), който може да е външен като одитора или вътрешен като CSO-то. Специалистът трябва да има познания по ИТ, право, управление на риска и оценка на въздействието.

Очакванията са, във връзка с GDPR, организациите да инвестират или в сигурността на данните, или в оперативната им обработка. По всяка вероятност болниците и други организации, които боравят с чувствителни данни ще инвестират в сигурността, а онлайн компаниите и търговците – в обработката. Прогнозата сочи, още, че финансовите институции ще вложат по равно и в двете посоки. Не на последно място, очакванията са да се повиши и бизнескултурата у нас, тъй като компаниите ще са длъжни да докладват за пробиви в системите си и за всички течове на лични данни. Към момента това почти не се прави, тъй като не се изисква от законодателството.

 

 

 

 

 

 

Източник: computerworld.bg