В. Караджов, председател на Комисията за защита на личните данни: С GDPR бизнесът вече не може да калкулира глобите в цените на услугите
02.05.2018

В. Караджов, председател на Комисията за защита на личните данни: GDPR предвижда институциите да назначат служител по защита на данните

От 25 май 2018 г. следва да се прилага Общ регламент относно защитата на данните (GDPR) на Европейския парламент и на Съвета от 27 април 2016 г. Той е задължителен и ще се прилага пряко във всички страни на Европейския съюз.

В публикацията от вчера, председателят на Комисията за защита на личните данни – г-н Венцислав Караджов, разказа за задълженията според Регламента, отнасящи се до бизнес организациите в страната. Същевременно стана ясно, че GDPR е и един от малкото правни актове, които засягат и държавната администрация – тогава, когато обработва лични данни с цел да изпълни определени предоставени й със закон задължения или услуги на гражданите. Днес ви представяме продължение на интервюто на Пламена Игнатова с господин Караджов, като са засегнати въпроси за ангажиментите на публичните институции във връзка с изискванията на Регламента.

Г-н Караджов, какво е новото за публичните институции?

Новото е, че всички те трябва да назначават служител по защита на данните. Дали той ще съвместява някакви функции, или неговата длъжностна характеристика ще бъде променена така, че да включва тези допълнителни функции, това е вече решение на всяка държавна институция. Но в държавните администрации съвместяването на функции е ограничено до шест месеца и ако се подходи по начина на съвместяване, то не може тази длъжност да се съвместява от едно и също лице дълго. Тоест ще трябва да имат подготвени хора, повече от 3-4-ма души в структура. Другият вариант е да променят длъжностните характеристики на някои служители и да им вменят и тези функции.

Служителят по защита на данните трябва да бъде приравнен в държавните структури на финансовия контрольор и той трябва да бъде пряко подчинен на ръководителя на институцията. Освен това има изисквания за несъвместимост и конфликт на интереси. Не може да съвместява и функцията на главен секретар например и на служител по защита на личните данни. Защото не може този, който взима решенията, да контролира сам себе си.

Какви ще са санкциите за публичния сектор?

Същите като при частния, няма никаква разлика.*

Министерствата и агенциите са предимно на бюджетна издръжка, някои от тях не генерират приходи. Как ще отговорят на една евентуална санкция от стотици хиляди евро?

Санкционираме както и досега – структурата. Представляващият структурата носи отговорността. Както, когато някоя държавна структура загуби дело в съда и й се налага санкция, тя трябва да бъде заплатена от съответната структура. За следващата бюджетна година, ако сега не разполагат с пари, трябва да се искат средства, които трябва да бъдат отпуснати за тази санкция.

Сред личните лекари вече има брожения, че не знаят какво трябва да направят, за да защитят личните данни на пациентите си.

Националната здравноосигурителна каса (НЗОК) ще трябва да предприеме действия за изработване на защитен електронен сайт – нещо подобно на онлайн банкирането. От общопрактикуващите лекари и зъболекари не може да се очаква, при положение че нямат и ресурсите, да предприемат всички мерки за защита на личните данни. А при тях и самите данни са чувствителни.

Затова Здравната каса трябва да разработи защитен сайт, а лекарите и медицинските сестри да си закупят по един електронен подпис от оторизиран дилър на тези услуги. По този начин ще влизат в системата, като данните, които вкарват, трябва да остават само в системата, а не както е сега – и в системата, и при тях.

В НЗОК ще има информация с този електронен подпис кой е влязъл, кога и по какъв начин е обработил тези лични данни. На принципа „необходимост да се знае“ електронният подпис може да бъде с ограничен достъп до информация – например – само до пациенти на съответния лекар.

Ако това не се направи, има голяма възможност хора с нездрав интерес, т.нар. хакери, да влязат в системата на един общопрактикуващ лекар и оттам чрез неговия достъп, който той има до НЗОК, да добият достъп до цялата система.

Вероятно не всички общопрактикуващи лекари имат финансова възможност да заплатят сами за електронен подпис.

Един лекар с две медицински сестри на практика ще плати не повече от 150-180 лева. Това не са средства на фона на това, че иначе трябва да закупи хардуер, който ще бъде амортизиран след две години, ако трябва да закупи лицензиран софтуер и т.н. Ако не го направи, а го глобят с например 50 000 лева – той би ли могъл да покрие тази санкция?

Кабинетът, парламентът как участват в този процес?

На техническо ниво ние сме съдействали да се изготвят промени в Закона за защита на личните данни. Този проект беше изпратен до Министерство на правосъдието (МП) и Министерство на вътрешните работи (МВР). Законът, който е изработен и е консултиран включително с ДАНС, в момента е в МВР. МВР трябва да започне съгласувателната процедура. МП се отказа да е съвносител.

Имахме предложение за създаване на национален обучителен център, разполагаме със сграда, но ни трябват финанси за оборудване. Вместо това обаче всякакви фирми от различни браншове организират курсове – има и такива на много високи цени, както и такива със съмнителна експертиза.

 

_______________

* Напомняме, че глобите възлизат на 4 на сто от годишния оборот или до 20 млн. евро.