Само след два месеца всички публични компании, както и всички

Само след два месеца всички обществени компании, както и всички лица, които работят с персонални данни ще би трябвало да дават отговор на нов общ правилник 2016/679 (GDPR), който ще стартира да се ползва от 25 май 2018 година С него се вкарва фигурата на длъжностното лице по отбрана на персоналните данни (DPO).

В тази връзка БГНЕС потърси мнението на юрист Гинка Христова, която е ръководител на Международен юридически център - съдружие с нестопанска цел, което се занимава с цифрово право. В момента центърът взе участие и в Алианс за отбрана на персоналните данни, който е отдаден напълно на работата в областта на отбрана на персоналните данни. Тя е и участник в подготовката на Етичен кодекс, който да се сътвори от всички админи и да бъде в основата на тяхната работа.

Кои ще бъдат засегнатите компании и организации от условията на новия правилник?

Засегнати са безусловно всички админи на персонални данни, безусловно всички лица, които боравят с персонални данни – било то на свои чиновници, личен състав или клиенти. Този правилник ще се ползва за безусловно всички лица. Има разнообразни отговорности съгласно зависи от вида данни, които се обработват. Много по-затегнати са условията за компании и организации, които боравят със характерни персонални данни – примерно лечебните заведения, които работят с данни за кръвна група, за ДНК информация. Така че това е малко по-специфично поле, което е наранено. Но безусловно всеки шеф би трябвало да обработва и съхранява персоналните данни с нужните равнища на сигурност. Това е значимото.

В регламента извънредно доста са новите неща, въпреки, че би трябвало да се знае, че той дава общата рамка. Този правилник се ползва непосредствено от всяка страна – членка на Европейски Съюз, а не както директивите, които следва да бъдат имплементирани със закон примерно в България. Прилага се общо и непосредствено. От тук насетне всеки регулаторен орган – в тази ситуация за България Комисията за отбрана на персоналните данни би трябвало да създаде подзаконови нормативни актове, в които да даде по-голяма специфичност и по-голяма конкретика примерно по отношение на равнищата на отбрана. И в този момент има такива в наредбите на Комисията за отбрана на персоналните данни, което сигурно ще бъдат актуализирани с влизането в действие на новия правилник на 25 май.

В комисията се работи интензивно от доста време насам, това никога не е лека задача и това изяснява за какво към момента не са подготвени. А и е належащо да влязат в действие новите условия на регламента. Има така наречен работна група по член 29, която излиза с доста рекомендации и тълкувания на всички разпореждания в регламента. Те дават по-разбираемо пояснение на от време на време много общи или неразбираеми правила.

Как примерно един шеф би трябвало да действа, с цел да влезе в условията на регламента?

Едно от най-новите неща е съществуването на тази нова служба, която се планува – длъжностно лице по отбрана на данните – DPO. Това са лица, които би трябвало да дават отговор за обработването и съхраняването на персоналните данни. Тъй като се плануват доста нови права за самите лица, чиито данни се обработват – всеки един от нас като елементарен консуматор може да изиска да бъдат заличени неговите персонални данни, да бъде спряна тяхната обработка. Това DPO ще е лицето за контакт – то ще контактува с надзорния орган, ще е лицето, което ще контактува с всеки жител, а при положение на случай - с всеки пострадал, чиито персонални данни са изтекли по някакъв метод. Така че това е една извънредно значима и виновна служба, която регламентът GDPR планува.

Не е загадка, че има и песимизъм – мнозина споделят, че това е една служба, която е следващата, подбудена от евробюрокрацията. Адвокат Христова, обаче счита, че би трябвало да се гледа от друга позиция - това са още работни места и опция да се отбрани по верен метод персоналната информация на хората. Трябва да се подходи с позитивизъм и да се извлече оптималното.

Трябва да се приготвят фрагменти – това е наложително. Малко са експертите, които знаят в действителност по какъв начин да подходят, по какъв начин да основат примерно спешни центрове – това е също един от новите моменти. За 72 часа би трябвало да се уведоми комисията при положение на проблем. Така че фактически има неща, които изискват характерни знания.

Една дребна компания по какъв начин може да си разреши да има подобен специалист – това е в допълнение натоварване за бизнеса?

В регламента е казано, че наложително DPO би трябвало да има в случаите, когато става въпрос за обществената администрация, когато става въпрос за обработка на характерни данни и огромен размер от данни. Тъй че едно напълно малко дружество не би следвало да попадне под ударите на тази регулация, само че това не значи, че не би следвало да вземе ограничения за отбрана на персоналните данни, даже за един човек. Регламентът дава опция с изключение на да се назначава нова служба, да има външни такива – нещо като аутсорцване на DPO-та. Тази опция сигурно би била стопански по-изгодна.

Колко хора ще би трябвало да се приготвят за DPO?

Много зависи от това кои бизнеси ще попаднат под това тълкувание. Към момента всяка една компания, която обработва персонални данни, би трябвало да вземе ограничения, те да бъдат обработвани и съхранявани съответно, няма значение какъв брой е огромна. Може да не се стигне до там да наемат длъжностно лице за отбрана на данните, само че това не значи, че могат да си разрешат да се отнасят безгрижно към персоналните данни. Това е главната концепция.

Кой дефинира къде би трябвало да има DPO?

В регламента са посочени точно тези три условия. След това работната група по член 29 дава тълкувания, и естествено правосъдната процедура в следствие ще създаде, може би ще даде и съответни числа, в смисъл с служащи и чиновници над избран брой, или обработващи персонални данни на хора над избрана цифра, само че все още няма такива точни и сигурни параметри.

Съдът е постоянно последната инстанция. Надзорният орган може да издава санкционни актове, които по-късно могат да бъдат обжалвани в съда.

Регламентът се ползва непосредствено, както е признат. Няма потребност да се минава през нашето локално законодателство. В публичното пространство изникнаха и курсове и семинари, обяснителни беседи. Като всяко ново нещо, което провокира взрив, не постоянно всичко е на задоволително високо равнище, обикновено е, само че съгласно мен публиката е задоволително наясно какво да търси и може да отсее тези събития, които дават добра информация.

Санкциите по европейския правилник ще бъдат също европейски, по какъв начин се устоя финансово на това?

Санкциите са извънредно високи като числа. Но доста по-важно е глобата, която планува комисията да може да наложи, да се спре обработването на персонални данни, което е по-важно от всяка една парична или имуществена глоба. Тъй че по-добре е хората да не се фиксират върху някакви числа. Да, високи са глобите. Но разноските е по-добре да бъдат направени за предварителна защита – за образование, за подготовка на фрагменти, която да се възприема като предварителна защита, в сравнение с разноските при едно грандиозно приключване на персонални данни, което се случва, не рядко на огромни компании в интернационален проект. Тъй че да се влага в предварителната защита за мен би било по-икономически преференциално.

Регламентът визира и общините. Но те могат ли по този начин бързо да отговорят на условията в него?

Общината би трябвало сигурно да вкара вътрешни правила, разпореждания по какъв начин се борави с тези персонални данни. Съответно би трябвало да има длъжностно лице, което не може просто да се вземе от различен отдел и да му бъде вменена тази служба на DPO. Регламентът категорично показва, че длъжностното лице по отбрана на данните не би трябвало да бъде в спор на ползи, т.е. в случай че то би трябвало да дава отговор единствено пред най-високите равнища на организацията и не би трябвало да има никакъв проблем да каже за това, че примерно в другия отдел има несъответствия с условията на регламента. Това, че да – една община би трябвало да бъде готова. Това сигурно ще изисква някакви средства, само че това са оправдани разноски.

Ще има ли някакъв гратисен интервал за обществените организации?

Гратисен интервал не се планува. Именно поради това в България не от чак толкоз задоволително времето, само че в другите страни от много от дълго време се приказва по този мотив и се взимат доста съществени ограничения. В последно време виждам и тук, от страна на бизнеса основно, че желаят хората да бъдат готови, бизнесите им да бъдат готови, да подхождат на условията, което е похвално, отлично е. От друга страна би трябвало да се изчака да се види и подзаконовата уредба. След влизането на регламента в действие ще се трансформират правилници, наредби, които също следва да бъдат прилагани, така че занапред има доста работа. /БГНЕС