Иван Савов: 2018-та беше година на внедряване на GDPR, 2019-та ще е година на санкциите
Вече мина де факто една година от въвеждането на GDPR и в България. Какво стана и какво има да става поради многото приказки за Апокалипсис по тематиката - Actualno.com беседва с господин Иван Савов, ръководител на Европейската федерация на сертифициращите организации и на Европейски институт за риск политика (ERPI) – сътрудник за Централна и Източна Европа на EU GDPR Institute.
Г-н Савов, по какъв начин върви налагането на Регламента за отбрана на персоналните данни (GDPR) година след влизането му в действие?
Регламентът за GDPR (Регламент Европейски Съюз 2016/679 за отбрана на персоналните данни - General Data Protection Regulation) беше признат 2016 година, а преходният интервал беше 2 годишен и изтичаше 2018 година, тъй че всички, които преди година се изненадаха, че на 25 май 2018 година влизат в действие новите условия, просто нямаха учредения за това.
Така или другояче, в изтеклата година компаниите започнаха под паника да внедряват системи за отбрана на персоналните данни. В целия свят беше по този начин. Внедряваха системи, влизаха в друга степен на подготвеност и на сходство. Голяма част от бизнеса пренебрегва тази нужда, надявайки се, че бързо ще отмине. Друга част работеха, внедряваха системи през консултанти, адвокатски адвокатски фирми с друга степен на триумф. 2018-та беше годината на внедряването. Настоящата 2019 година бих нарекъл годината на глобите. Защото при тези компании или организации, при които проформа са внедрeни системи за отбрана на персоналните данни, пробивите ще стават от ден на ден, а санкциите са големи и ресурсът на националните регулатори към този момент е задоволително огромен, с цел да реагира, да прави инспекции и да глоби. Вече следенето за използването на закона стартира.
И отново – една част от бизнеса осъзнава, че това стартира да се случва и виждам повишаване на интереса към тематиката и по-сериозно отношение –„ в случай че не сме го създали както би трябвало – дайте да стане както трябва; в случай че не сме нищо създали по въпроса - да стартираме тъй като виждаме какво става “. Виждаме санкции, в някои случаи от порядъка на милиарди. От по-дребни наказания до стотици хиляди и до милиони и милиарди... Гугъл бяха глобени и Фейсбук също тъкмо за това - че злоупотребяват с персонални данни и не извършват GDPR условията. Всеки бизнес е заплашен.
Все отново, да отбележим, че регулаторите са съответни – те няма да ти сложат санкция, която да те банкрутира, само че санкция, която да усетиш във финансите си и да те накара в действителност да предприемеш съответни ограничения. Така че сега имаме една втора вълна на осъзнаване и на усъвършенстване, което е доста добре, тъй като отрицателните феномени, пробивите от ден на ден се завземат от проведената престъпност и става въпрос за съществени финансови закононарушения – измами, източване на фондове, злоупотреби с пари и информация. Всичко това е обвързвано, последствията са за цялото общество са извънредно съществени. Колкото повече бизнесът и институциите се ангажират да съблюдават закона, толкоз е по-добре и за субектите. От позиция на хората също е доста значимо регламентът да се съблюдава. Като физически лица също се тревожим нашите данни да не бъдат откраднати, да не ни бъдат източени сметките, да не ни се открадне самоличността, каквито случаи има всекидневно.
Заради това самодейността на Европейски Съюз е приветствана в целия свят и в този момент трети страни стартират да догонват - да пишат сходно законодателство, тъй като светът е обвързван. Ако ние тук сме предпазени, би трябвало да имаме сигурност и отвън Европейски Съюз, само че влизаме в един американски уебсайт и... - там нещата не са положителни. Това ще се промени. Има към този момент самодейност на световно равнище, която придвижва нещата в тази посока. Това е неизбежно.
Доколко институциите спомагат и до каква степен пречат?
Всички заявяват положителни планове, само че те по принцип са бюрократични структури, които не са доста положителни в осъществяването на условията към тях – това е по формулировка. На бизнеса като му се каже „ ти би трябвало да спазиш тези условия “ той се стяга, прави го, съблюдава го. На администрацията като кажеш „ и ти би трябвало да спазваш тези условия “, те вършат един проект, споделят „ а, щом е 25 май 2018–та, аз одобрявам проект за влизане в сходство с GDPR до 2021 година и до тогава всички в моето министерство да сте влезнали в сходство “, което е смешка. Но отразява действителността. Аз не съм сюрпризиран, тъй като по този начин работи администрацията в целия свят. Ние бързаме да реагираме, тъй като ни санкционират, а в това време в Румъния държавната администрация гласоподава текстове от вида „ бизнесът ще го глобяваме до 100 млн. или до 20 млн. или до 4% от продукта, а санкциите на държавни администрации, на министерства и на отдели, които не съблюдават условията да са най-много 20 000 евро “. С други думи – „ ние няма да се наказваме, ще наказваме другите. Плановете ни са да осъществим условията в 2021 година, няма значение, че вие би трябвало да сте в сходство до 15 май 2018-та “. И какво се получава - ние вършим нещата както би трябвало, пазиме данните и идват клиентите при мен и питат – „ аз какво като направя тази система за отбрана на персоналните данни, като по-късно ще си подам данните към Национален осигурителен институт, към Агенцията по вписвания, към..., където влизаш по Интернет и... - тя е разрушена система и всичко се чете отвред “... Това е нещо, което би трябвало да решаваме дружно, а не да настояваме пред институциите, че всички еднообразно отговаряме пред закона, както написа и в самия закон - че касае и държавните структури, администрации, локалните структури, неправителствените организации, бизнеси – всички, безусловно, в това число там написа за юридически и физически лица, дори аз, в случай че съм физическо лице, което обработва данни на други физически лица би трябвало да съблюдавам този закон.
Кои са най-належащите за решение проблеми, свързани с използването на GDPR?
Всичко. Осъзнаване. Осъзнаване, че би трябвало да се създадат изискваните системи за отбрана на персоналните данни.
Кой е по-малко квалифициран компаниите или институциите?
Институциите не са готови. Бизнесът стартира да се приготвя.
При това състояние?
Продължаваме. Продължаваме да настояваме, с напън да желаеме влизане в сходство. Не да споделяме: „ Вие не сте, значи и ние няма да бъдем “. А да споделяме: „ Ние сме, значи и вие би трябвало да бъдете “. И надлежно да настояваме за правата и за глобите пред Европейския комитет за отбрана на данните, който към този момент действа и има пълномощия по използването на регламента.
Кога ще се появят първите документи на системи за отбрана на персоналните данни?
До към една година. Следващата пролет към този момент ще има упълномощени сертификации на системи по GDPR. Сега Германия наподобява най-напреднала в това отношение, само че ще бъде бързо догонена, тъй като много страни подхващат стъпки. Общо-взето постанова се като най-ефективен вид обвързването на акредитацията през националните акредитационни органи и утвърждението на регулаторите. Това ще даде опция да се инкорпорира акредитацията, надлежно и сертификацията по GDPR към Многостранното Споразумение за признание на валидността им и към световната верига на доверие. Защото, в случай че сертифициращият орган е упълномощен от орган, който е член на Многостранното съглашение за взаимно признание (EA MLA), какъвто орган у нас е Българската работа за акредитация, това допуска признание на валидността на акредитацията от другите национални органи и от там - и на сертификацията. Ние вървим в тази посока.
Кои ще са главните стъпки?
Ще настояваме Многостранното съглашение (EA MLA) за взаимно признание на акредитацията на сертифициращите органи да покрие и региона на GDPR. Вече го споделям и като представител на Европейската федерация на сертифициращите организации. Това е развой, по който ще работим и на интернационално равнище като представители на европейските институции. Принос в това отношение има и постигнатото, в границите на конференцията ни по GDPR предходната седмица в София, единодушие сред заинтригуваните страни в България да спомагат за разширение на обсега на Многостранното съглашение (EA MLA) с включване в него и на отбраната на персоналните данни. Другата основна стъпка ще е установяването на национална скица за акредитация на сертификацията, за което заинтригуваните страни – консултанти, сертификатори, акредитационен орган, регулатор се споразумяхме да обединим старания. Предстои тези изводи от конференцията да изпратим публично на държавното управление, Европейския комитет за отбрана на данните и Европейската комисия.
Не се ли опасявате, че тъкмо GDPR ще стане основа за развиване на черен пазар за бази данни?
Не. Нещата се стягат доста съществено. И световната база данни на сертифицираните компании, която ще инкорпорира GDPR в един миг, и всички други ограничения, които вземаме, и самото законодателство, и глобите, които се постановат възпират сходни изкривявания. Нещата се стягат. Примката се стяга към мошениците и измамниците.
А при документите какво е ситуацията?
Сертификатите са към този момент добре контролирани. С влизането в действие въз основата данни и контролите, които има и които се пускат като избрани политики през Международния акредитационен конгрес към органите за сертификация ще доведат до ограничение на фалшификациите.
Новият стандарт за киберсигурност по кое време ще навлезе в българската процедура?
Още не сме почнали да приказваме за него. Но не сме закъснели. Той излезе преди 2 – 3 месеца. Има една визия за e-Privacy директивата (Директива 2002/58/ЕО на Европейския парламент и на Съвета - Директивата за правото на цялост на персоналния живот и електронни комуникации), излизат още няколко неща в тази област и общо – взето чакам за цяла Европа на есен да стартира да се работи по този въпрос, както в този момент тук работим за установяването на национална скица за акредитация на сертифициращите органи по GDPR. Абсолютно належащо е. И неизбежно.
Интервю на Ива Иванова
Г-н Савов, по какъв начин върви налагането на Регламента за отбрана на персоналните данни (GDPR) година след влизането му в действие?
Регламентът за GDPR (Регламент Европейски Съюз 2016/679 за отбрана на персоналните данни - General Data Protection Regulation) беше признат 2016 година, а преходният интервал беше 2 годишен и изтичаше 2018 година, тъй че всички, които преди година се изненадаха, че на 25 май 2018 година влизат в действие новите условия, просто нямаха учредения за това.
Така или другояче, в изтеклата година компаниите започнаха под паника да внедряват системи за отбрана на персоналните данни. В целия свят беше по този начин. Внедряваха системи, влизаха в друга степен на подготвеност и на сходство. Голяма част от бизнеса пренебрегва тази нужда, надявайки се, че бързо ще отмине. Друга част работеха, внедряваха системи през консултанти, адвокатски адвокатски фирми с друга степен на триумф. 2018-та беше годината на внедряването. Настоящата 2019 година бих нарекъл годината на глобите. Защото при тези компании или организации, при които проформа са внедрeни системи за отбрана на персоналните данни, пробивите ще стават от ден на ден, а санкциите са големи и ресурсът на националните регулатори към този момент е задоволително огромен, с цел да реагира, да прави инспекции и да глоби. Вече следенето за използването на закона стартира.
И отново – една част от бизнеса осъзнава, че това стартира да се случва и виждам повишаване на интереса към тематиката и по-сериозно отношение –„ в случай че не сме го създали както би трябвало – дайте да стане както трябва; в случай че не сме нищо създали по въпроса - да стартираме тъй като виждаме какво става “. Виждаме санкции, в някои случаи от порядъка на милиарди. От по-дребни наказания до стотици хиляди и до милиони и милиарди... Гугъл бяха глобени и Фейсбук също тъкмо за това - че злоупотребяват с персонални данни и не извършват GDPR условията. Всеки бизнес е заплашен.
Все отново, да отбележим, че регулаторите са съответни – те няма да ти сложат санкция, която да те банкрутира, само че санкция, която да усетиш във финансите си и да те накара в действителност да предприемеш съответни ограничения. Така че сега имаме една втора вълна на осъзнаване и на усъвършенстване, което е доста добре, тъй като отрицателните феномени, пробивите от ден на ден се завземат от проведената престъпност и става въпрос за съществени финансови закононарушения – измами, източване на фондове, злоупотреби с пари и информация. Всичко това е обвързвано, последствията са за цялото общество са извънредно съществени. Колкото повече бизнесът и институциите се ангажират да съблюдават закона, толкоз е по-добре и за субектите. От позиция на хората също е доста значимо регламентът да се съблюдава. Като физически лица също се тревожим нашите данни да не бъдат откраднати, да не ни бъдат източени сметките, да не ни се открадне самоличността, каквито случаи има всекидневно.
Заради това самодейността на Европейски Съюз е приветствана в целия свят и в този момент трети страни стартират да догонват - да пишат сходно законодателство, тъй като светът е обвързван. Ако ние тук сме предпазени, би трябвало да имаме сигурност и отвън Европейски Съюз, само че влизаме в един американски уебсайт и... - там нещата не са положителни. Това ще се промени. Има към този момент самодейност на световно равнище, която придвижва нещата в тази посока. Това е неизбежно.
Доколко институциите спомагат и до каква степен пречат?
Всички заявяват положителни планове, само че те по принцип са бюрократични структури, които не са доста положителни в осъществяването на условията към тях – това е по формулировка. На бизнеса като му се каже „ ти би трябвало да спазиш тези условия “ той се стяга, прави го, съблюдава го. На администрацията като кажеш „ и ти би трябвало да спазваш тези условия “, те вършат един проект, споделят „ а, щом е 25 май 2018–та, аз одобрявам проект за влизане в сходство с GDPR до 2021 година и до тогава всички в моето министерство да сте влезнали в сходство “, което е смешка. Но отразява действителността. Аз не съм сюрпризиран, тъй като по този начин работи администрацията в целия свят. Ние бързаме да реагираме, тъй като ни санкционират, а в това време в Румъния държавната администрация гласоподава текстове от вида „ бизнесът ще го глобяваме до 100 млн. или до 20 млн. или до 4% от продукта, а санкциите на държавни администрации, на министерства и на отдели, които не съблюдават условията да са най-много 20 000 евро “. С други думи – „ ние няма да се наказваме, ще наказваме другите. Плановете ни са да осъществим условията в 2021 година, няма значение, че вие би трябвало да сте в сходство до 15 май 2018-та “. И какво се получава - ние вършим нещата както би трябвало, пазиме данните и идват клиентите при мен и питат – „ аз какво като направя тази система за отбрана на персоналните данни, като по-късно ще си подам данните към Национален осигурителен институт, към Агенцията по вписвания, към..., където влизаш по Интернет и... - тя е разрушена система и всичко се чете отвред “... Това е нещо, което би трябвало да решаваме дружно, а не да настояваме пред институциите, че всички еднообразно отговаряме пред закона, както написа и в самия закон - че касае и държавните структури, администрации, локалните структури, неправителствените организации, бизнеси – всички, безусловно, в това число там написа за юридически и физически лица, дори аз, в случай че съм физическо лице, което обработва данни на други физически лица би трябвало да съблюдавам този закон.
Кои са най-належащите за решение проблеми, свързани с използването на GDPR?
Всичко. Осъзнаване. Осъзнаване, че би трябвало да се създадат изискваните системи за отбрана на персоналните данни.
Кой е по-малко квалифициран компаниите или институциите?
Институциите не са готови. Бизнесът стартира да се приготвя.
При това състояние?
Продължаваме. Продължаваме да настояваме, с напън да желаеме влизане в сходство. Не да споделяме: „ Вие не сте, значи и ние няма да бъдем “. А да споделяме: „ Ние сме, значи и вие би трябвало да бъдете “. И надлежно да настояваме за правата и за глобите пред Европейския комитет за отбрана на данните, който към този момент действа и има пълномощия по използването на регламента.
Кога ще се появят първите документи на системи за отбрана на персоналните данни?
До към една година. Следващата пролет към този момент ще има упълномощени сертификации на системи по GDPR. Сега Германия наподобява най-напреднала в това отношение, само че ще бъде бързо догонена, тъй като много страни подхващат стъпки. Общо-взето постанова се като най-ефективен вид обвързването на акредитацията през националните акредитационни органи и утвърждението на регулаторите. Това ще даде опция да се инкорпорира акредитацията, надлежно и сертификацията по GDPR към Многостранното Споразумение за признание на валидността им и към световната верига на доверие. Защото, в случай че сертифициращият орган е упълномощен от орган, който е член на Многостранното съглашение за взаимно признание (EA MLA), какъвто орган у нас е Българската работа за акредитация, това допуска признание на валидността на акредитацията от другите национални органи и от там - и на сертификацията. Ние вървим в тази посока.
Кои ще са главните стъпки?
Ще настояваме Многостранното съглашение (EA MLA) за взаимно признание на акредитацията на сертифициращите органи да покрие и региона на GDPR. Вече го споделям и като представител на Европейската федерация на сертифициращите организации. Това е развой, по който ще работим и на интернационално равнище като представители на европейските институции. Принос в това отношение има и постигнатото, в границите на конференцията ни по GDPR предходната седмица в София, единодушие сред заинтригуваните страни в България да спомагат за разширение на обсега на Многостранното съглашение (EA MLA) с включване в него и на отбраната на персоналните данни. Другата основна стъпка ще е установяването на национална скица за акредитация на сертификацията, за което заинтригуваните страни – консултанти, сертификатори, акредитационен орган, регулатор се споразумяхме да обединим старания. Предстои тези изводи от конференцията да изпратим публично на държавното управление, Европейския комитет за отбрана на данните и Европейската комисия.
Не се ли опасявате, че тъкмо GDPR ще стане основа за развиване на черен пазар за бази данни?
Не. Нещата се стягат доста съществено. И световната база данни на сертифицираните компании, която ще инкорпорира GDPR в един миг, и всички други ограничения, които вземаме, и самото законодателство, и глобите, които се постановат възпират сходни изкривявания. Нещата се стягат. Примката се стяга към мошениците и измамниците.
А при документите какво е ситуацията?
Сертификатите са към този момент добре контролирани. С влизането в действие въз основата данни и контролите, които има и които се пускат като избрани политики през Международния акредитационен конгрес към органите за сертификация ще доведат до ограничение на фалшификациите.
Новият стандарт за киберсигурност по кое време ще навлезе в българската процедура?
Още не сме почнали да приказваме за него. Но не сме закъснели. Той излезе преди 2 – 3 месеца. Има една визия за e-Privacy директивата (Директива 2002/58/ЕО на Европейския парламент и на Съвета - Директивата за правото на цялост на персоналния живот и електронни комуникации), излизат още няколко неща в тази област и общо – взето чакам за цяла Европа на есен да стартира да се работи по този въпрос, както в този момент тук работим за установяването на национална скица за акредитация на сертифициращите органи по GDPR. Абсолютно належащо е. И неизбежно.
Интервю на Ива Иванова
Източник: actualno.com
КОМЕНТАРИ