GDPR – От Осанна до Разпни го
В навечерието на датата, от която Общият правилник по отношение на отбраната на данните или GDPR (Регламента) стартира да се ползва, а точно 25.05.2018г., бизнесът е разграничен на няколко съществени групи във връзка с подготовката си за новите правила.
Макар нервността по тази правна рамка да няма аналог от незапомнени времена, правопропорционално е и некомпетентното отношение към условията към предприятията и организациите.
1) " Това не се отнася до моята активност "
Сериозна част от дребния и междинен бизнес още не е осъзнала нуждата от това даже да се запознае с текста на Регламента (често даже погрешно именуван Директива). Битуват изцяло неправилни схващания за нуждата от сходство с Регламента.
Например, някъде в онлайн пространството бе маркирана част от клаузата на член 30, алинея 5 от Регламента, а точно че задължението за поддържане на регистри не се ползва " във връзка с дружество или сдружение с по-малко от 250 чиновници ". Четенето и осмислянето на нормативния текст обаче явно не е довършено, информацията е изтълкувана неправилно, само че за сметка на това публикувана предостатъчно бързо. Така една част от бизнеса стигна до изцяло превратния извод, че Регламентът не се отнася до него, тъй като не има повече от 250 чиновници.
Неправилно се смята също и, че Регламентът не е влезнал в действие (което се случи преди две години), или пък се прави паралел със сегашната правна рамка и още веднъж се доближава до неправилни изводи, че строгите правила по някаква причина заобикалят дребния и/или междинния бизнес. По този метод за тези, както и за други бизнес групи, които пък изобщо не са осведомени с съществуването на нова правна рамка, Регламентът действително не съставлява проблем все още по простата причина, че не съществува за тях. Въпреки многото и разнообразни начинания, свързани с Регламента, главната смяна в разпоредбите, а точно съвсем всеобхватното и световното приложение на нормите, продължава да буди съмнение в попадащите в тази група организации.
2) " Всяко знамение за три дни "
Съществува и друга група от отдадени по тематиката, която пък намира, че суматохата във връзката с използването на Регламента припомня на " Проблемът 2000 " или даже на края на календара на маите и чакат всички терзания към него да изчезнат, по този начин както са се е появили. Те познават ненапълно новата правна рамка, само че информацията им е по-скоро от обществените мрежи и няколко публикации в медиите, нормално със заглавия от рода на " GDPR в една минута ". Нямат задълбочено отношение към новите правила и затова нямат и желание да отделят времеви или финансов запас с цел да приготвят организацията си за Регламента. Преценката е, че това е прекомерно дълъг и прекомерно безценен развой, който само ще забави бизнеса им и няма да докара до позитивни стопански резултати. Положителното при принадлежащите към тази група е, че най-малко осъзнават, че новите правила се отнасят и до тях. Опасно е обаче, че не ги намират нито за нужни, нито за наложителни. Очевидно, при тази група организации смяната в съзнанието на бизнеса, която Регламентът има упоритостта да наложи и виновното отношение към сигурността на информацията ще се случи доста по-бавно от предстоящото.
Въпреки горното следва да се признае, че в тази група влизат и организации, които механически и организационно са доста добре готови да пазят персоналните данни, до които имат достъп – даже още преди влизането в действие на Регламента през 2016 година Те не считат за належащо обаче да посветят още и в допълнение старания за актуализиране на вътрешните си правила, поддържане на регистри и образование на личен състав, т.е. по-скоро правната подготовка за новите правила е тази, която те намират за излишно обременяваща.
3) " Регламентът е комерсиален "
Третата група отношение към идната правна рамка събира тази част от бизнеса, която по някаква причина се усеща персонално " наранена " от наложените нови правила – Регламентът за тях се явява само един комерсиален инструмент, с който да се съсипят бизнеси, да се изхарчат пари и не дребна група от щастливи консултанти бързо за забогатее на гърба на предприятията.
Тази група обаче се характеризира с това, че все пак се приготвя за сходство с новите условия, само че не намира никаква изгода от тях. Напротив, счита че тази правна рамка е още един спомагателен регулаторен ангажимент в тяхното всекидневие, което предстои така и така на сходство с още и други нормативни правила.
В последна сметка значим е крайният резултат, а точно вложението във време и съответни средства за подготовка за използването на Регламента – по тази линия тази целева група организации е прецизна, въпреки и само тъй като е осведомена с големите загуби, които може да понесе. Тук се следи цялостната липса на осъзнатост по отношение на позитивните страни на Регламента и това, че слага фирмите, които са в сходство с него имиджово на доста по-високо равнище.
4) " Спазваме всички условия "
На фона на горните три групи, изпълнени с съмнение или изцяло незаинтересовани към бъдещите промени, въпреки всичко една не дребна част от огромния (частен или непознат инвеститорски) бизнес в България гледа извънредно съществено на датата 25 май 2018 година
Подготовката тече с цялостна мощ, даже и не за всички тя да е почнала в точния момент. Осъзнатостта от потребността от смяна на гледната точка при на третирането на персонална информация и стягането на сигурността на данните на физическите лица е осезаема. Освен това, тази група е добре осведомена освен с рисковете от доста по-сериозни санкции от до момента, само че и с позитивите от Регламента, а точно да извади на напред във времето виновните и съществени бизнес сътрудници. Те гледат на сходството с Регламента като на изцяло наложително изискване за всеки конкурентен бизнес, което ще ги открои от тези показали безконтролно отношение към разпоредбите.
На фона на по този начин обрисуваната картина от четири бизнес групи с изцяло разнообразни усещания към новата правна рамка за отбрана на субектите на персонални данни, консултантският бизнес у нас гъмжи от най—различни интензивности – от т.нар GAP разбори (б. а. - най-общо разбор на пропуските в метода на обработка на персонални данни на обособените организации, приключващ с отчет с ограничения за сходство с новия Регламент) и одити, до разнообразни семинари и образования. От една страна това е похвална разпоредителност, защото всеки, който има обикновено предпочитание да се запознае с новите моменти от правната рамка или да добави своите знания има избор от разнообразни услуги. Негативният миг се състои в това, че до скоро експертите, консултиращи в региона на персоналните данни, се брояха на пръстите на едната ръка, а в този момент към този момент всеки от студентската пейка до сътрудниците във всяка една ИТ компания или адвокатска фирма, оферират своето умело мнение по въпроса. По тази причина за организациите е извънредно мъчно, а даже и невероятно, да отсеят специалистите, от тези консултанти, които виждат в Регламента златна мина за бързо кеширане. Това е рисково за представителите на виновната част от организациите, тъй като попадналите на непрофесионални консултанти организации постоянно получават изцяло неправилна или даже лъжовна информация от " сертифицирани " специалисти.
Българският регулатор (КЗЛД) също показва интензивност в подготовката за май месец, само че все пак някои от най-важните детайли от нея не са подготвени - Законът за изменение и допълнение на Закона за отбрана на персоналните данни не е признат (и като че ли законодателят не бърза заради директното приложение на Регламента), образованията на длъжностни лица за отбрана на данните са също с незнайна орис. По тази причина, даже и измежду виновните организации от четвъртата група нагоре липсва изясненост по доста въпроси.
Въпреки горното, България има и мотив за горделивост, а точно съществуването на един подзаконов акт, който още от 2013 година се ползва паралелно със в този момент настоящата правна рамка, и който несъмнено ще е от сериозна помощ на прилагащите Регламента (дори и да претърпи някои структурни промени). Това е Наредба № 1 за минималното равнище на механически и организационни ограничения и допустимия тип отбрана на персоналните данни. Този акт съвсем няма аналог в другите европейски страни и съставлява извънредно сериозен и обстоен азбучник от правно-организационни и механически ограничения, които би трябвало да се подхващат от обособените организации, според от равнището на отбрана, което би трябвало да поддържат.
Без да навлизаме в детайлности какви са усещанията и на обособените субекти на данни във връзка задаващата се уредба, можем да твърдим, че това е моментната фотография, която отразява готовността на България да влезе в сходство с Регламента, и то след по-малко от месец – цветна, с позитивни и негативни елементи и с много липса на фокус.
И въпреки всичко в случай че до 25-и май най-малко свикнем с мисълта, че оттогава насетне " Регламентът за отбрана на персоналните данни ще стартира да се ползва ", а не " Директивата ще влезе в действие " ще е сериозна победа на здравия разсъдък.
Б. ред. - Авторът на публикацията юрист Ирена Георгиева е ръководещ съучастник в PPG Lawyers.
Макар нервността по тази правна рамка да няма аналог от незапомнени времена, правопропорционално е и некомпетентното отношение към условията към предприятията и организациите.
1) " Това не се отнася до моята активност "
Сериозна част от дребния и междинен бизнес още не е осъзнала нуждата от това даже да се запознае с текста на Регламента (често даже погрешно именуван Директива). Битуват изцяло неправилни схващания за нуждата от сходство с Регламента.
Например, някъде в онлайн пространството бе маркирана част от клаузата на член 30, алинея 5 от Регламента, а точно че задължението за поддържане на регистри не се ползва " във връзка с дружество или сдружение с по-малко от 250 чиновници ". Четенето и осмислянето на нормативния текст обаче явно не е довършено, информацията е изтълкувана неправилно, само че за сметка на това публикувана предостатъчно бързо. Така една част от бизнеса стигна до изцяло превратния извод, че Регламентът не се отнася до него, тъй като не има повече от 250 чиновници.
Неправилно се смята също и, че Регламентът не е влезнал в действие (което се случи преди две години), или пък се прави паралел със сегашната правна рамка и още веднъж се доближава до неправилни изводи, че строгите правила по някаква причина заобикалят дребния и/или междинния бизнес. По този метод за тези, както и за други бизнес групи, които пък изобщо не са осведомени с съществуването на нова правна рамка, Регламентът действително не съставлява проблем все още по простата причина, че не съществува за тях. Въпреки многото и разнообразни начинания, свързани с Регламента, главната смяна в разпоредбите, а точно съвсем всеобхватното и световното приложение на нормите, продължава да буди съмнение в попадащите в тази група организации.
2) " Всяко знамение за три дни "
Съществува и друга група от отдадени по тематиката, която пък намира, че суматохата във връзката с използването на Регламента припомня на " Проблемът 2000 " или даже на края на календара на маите и чакат всички терзания към него да изчезнат, по този начин както са се е появили. Те познават ненапълно новата правна рамка, само че информацията им е по-скоро от обществените мрежи и няколко публикации в медиите, нормално със заглавия от рода на " GDPR в една минута ". Нямат задълбочено отношение към новите правила и затова нямат и желание да отделят времеви или финансов запас с цел да приготвят организацията си за Регламента. Преценката е, че това е прекомерно дълъг и прекомерно безценен развой, който само ще забави бизнеса им и няма да докара до позитивни стопански резултати. Положителното при принадлежащите към тази група е, че най-малко осъзнават, че новите правила се отнасят и до тях. Опасно е обаче, че не ги намират нито за нужни, нито за наложителни. Очевидно, при тази група организации смяната в съзнанието на бизнеса, която Регламентът има упоритостта да наложи и виновното отношение към сигурността на информацията ще се случи доста по-бавно от предстоящото.
Въпреки горното следва да се признае, че в тази група влизат и организации, които механически и организационно са доста добре готови да пазят персоналните данни, до които имат достъп – даже още преди влизането в действие на Регламента през 2016 година Те не считат за належащо обаче да посветят още и в допълнение старания за актуализиране на вътрешните си правила, поддържане на регистри и образование на личен състав, т.е. по-скоро правната подготовка за новите правила е тази, която те намират за излишно обременяваща.
3) " Регламентът е комерсиален "
Третата група отношение към идната правна рамка събира тази част от бизнеса, която по някаква причина се усеща персонално " наранена " от наложените нови правила – Регламентът за тях се явява само един комерсиален инструмент, с който да се съсипят бизнеси, да се изхарчат пари и не дребна група от щастливи консултанти бързо за забогатее на гърба на предприятията.
Тази група обаче се характеризира с това, че все пак се приготвя за сходство с новите условия, само че не намира никаква изгода от тях. Напротив, счита че тази правна рамка е още един спомагателен регулаторен ангажимент в тяхното всекидневие, което предстои така и така на сходство с още и други нормативни правила.
В последна сметка значим е крайният резултат, а точно вложението във време и съответни средства за подготовка за използването на Регламента – по тази линия тази целева група организации е прецизна, въпреки и само тъй като е осведомена с големите загуби, които може да понесе. Тук се следи цялостната липса на осъзнатост по отношение на позитивните страни на Регламента и това, че слага фирмите, които са в сходство с него имиджово на доста по-високо равнище.
4) " Спазваме всички условия "
На фона на горните три групи, изпълнени с съмнение или изцяло незаинтересовани към бъдещите промени, въпреки всичко една не дребна част от огромния (частен или непознат инвеститорски) бизнес в България гледа извънредно съществено на датата 25 май 2018 година
Подготовката тече с цялостна мощ, даже и не за всички тя да е почнала в точния момент. Осъзнатостта от потребността от смяна на гледната точка при на третирането на персонална информация и стягането на сигурността на данните на физическите лица е осезаема. Освен това, тази група е добре осведомена освен с рисковете от доста по-сериозни санкции от до момента, само че и с позитивите от Регламента, а точно да извади на напред във времето виновните и съществени бизнес сътрудници. Те гледат на сходството с Регламента като на изцяло наложително изискване за всеки конкурентен бизнес, което ще ги открои от тези показали безконтролно отношение към разпоредбите.
На фона на по този начин обрисуваната картина от четири бизнес групи с изцяло разнообразни усещания към новата правна рамка за отбрана на субектите на персонални данни, консултантският бизнес у нас гъмжи от най—различни интензивности – от т.нар GAP разбори (б. а. - най-общо разбор на пропуските в метода на обработка на персонални данни на обособените организации, приключващ с отчет с ограничения за сходство с новия Регламент) и одити, до разнообразни семинари и образования. От една страна това е похвална разпоредителност, защото всеки, който има обикновено предпочитание да се запознае с новите моменти от правната рамка или да добави своите знания има избор от разнообразни услуги. Негативният миг се състои в това, че до скоро експертите, консултиращи в региона на персоналните данни, се брояха на пръстите на едната ръка, а в този момент към този момент всеки от студентската пейка до сътрудниците във всяка една ИТ компания или адвокатска фирма, оферират своето умело мнение по въпроса. По тази причина за организациите е извънредно мъчно, а даже и невероятно, да отсеят специалистите, от тези консултанти, които виждат в Регламента златна мина за бързо кеширане. Това е рисково за представителите на виновната част от организациите, тъй като попадналите на непрофесионални консултанти организации постоянно получават изцяло неправилна или даже лъжовна информация от " сертифицирани " специалисти.
Българският регулатор (КЗЛД) също показва интензивност в подготовката за май месец, само че все пак някои от най-важните детайли от нея не са подготвени - Законът за изменение и допълнение на Закона за отбрана на персоналните данни не е признат (и като че ли законодателят не бърза заради директното приложение на Регламента), образованията на длъжностни лица за отбрана на данните са също с незнайна орис. По тази причина, даже и измежду виновните организации от четвъртата група нагоре липсва изясненост по доста въпроси.
Въпреки горното, България има и мотив за горделивост, а точно съществуването на един подзаконов акт, който още от 2013 година се ползва паралелно със в този момент настоящата правна рамка, и който несъмнено ще е от сериозна помощ на прилагащите Регламента (дори и да претърпи някои структурни промени). Това е Наредба № 1 за минималното равнище на механически и организационни ограничения и допустимия тип отбрана на персоналните данни. Този акт съвсем няма аналог в другите европейски страни и съставлява извънредно сериозен и обстоен азбучник от правно-организационни и механически ограничения, които би трябвало да се подхващат от обособените организации, според от равнището на отбрана, което би трябвало да поддържат.
Без да навлизаме в детайлности какви са усещанията и на обособените субекти на данни във връзка задаващата се уредба, можем да твърдим, че това е моментната фотография, която отразява готовността на България да влезе в сходство с Регламента, и то след по-малко от месец – цветна, с позитивни и негативни елементи и с много липса на фокус.
И въпреки всичко в случай че до 25-и май най-малко свикнем с мисълта, че оттогава насетне " Регламентът за отбрана на персоналните данни ще стартира да се ползва ", а не " Директивата ще влезе в действие " ще е сериозна победа на здравия разсъдък.
Б. ред. - Авторът на публикацията юрист Ирена Георгиева е ръководещ съучастник в PPG Lawyers.
Източник: offnews.bg
КОМЕНТАРИ