В. Караджов, председател на Комисията за защита на личните данни: С GDPR бизнесът вече не може да калкулира глобите в цените на услугите

GDPR – какво предстои?
04.12.2017
В. Караджов, председател на Комисията за защита на личните данни: GDPR предвижда институциите да назначат служител по защита на данните
03.05.2018

В. Караджов, председател на Комисията за защита на личните данни: С GDPR бизнесът вече не може да калкулира глобите в цените на услугите

От 25 май 2018 г. следва да се прилага Общ регламент относно защитата на данните (GDPR) на Европейския парламент и на Съвета от 27 април 2016 г. Той е задължителен и ще се прилага пряко във всички страни на Европейския съюз.

По темата с председателя на Комисията за защита на личните данни – г-н Венцислав Караджов, разговаря Пламена Игнатова.

 

 

– Г-н Караджов, на 25 май влиза в сила новият регламент за защита на личните данни (Общ регламент относно защитата на данните – GDPR), каква част от публичния живот ще обхване?

– Общият регламент за защита на личните данни е един от малкото правни актове, които засягат не само бизнеса, но и държавната администрация – тогава, когато обработва лични данни с цел да изпълни определени предоставени й със закон задължения или услуги на гражданите. Включително предоставянето на здравни услуги, събиране на данъци и пр. Така че регламентът е правната рамка, която определя начина, по който ще се обработват лични данни след 25 май 2018 г.

– Каква част от частния сектор засяга? Прави ли се разлика между микропредприятията и големите корпорации?

– Ако не 100% то поне 95% от българския бизнес ще бъде засегнат. Само компаниите, които предлагат на едро стоки и услуги, и които нямат голям брой служители няма да бъдат пряко засегнати от новите правила.

Регламентът казва, че ако една фирма има 250 и повече служители, то тя се счита за редовно обработваща лични данни и следва да спазва изискванията на регламента за това да се определят регистри на видовете лични данни и съответно да има завишена отговорност, включително за тяхното съхранение и неразпространение.

Но дори една компания да има двама служители, тя може да се явява обработващ за сметка на администратора. Например двама IT специалисти в България биха могли да обработват и да поддържат голяма база данни на телекомуникационна компания в Германия. В този случай тези двама специалисти ще обработват много голям обем от данни. И поради факта, че ще го правят, те трябва да имат организационните и техническите способности да ги обработват законосъобразно и да не ги предоставят на трети лица. Тоест, независимо от това, че са малко като служители в компанията, те ще трябва да спазват много по-високи и завишени изисквания, така както например една голяма компания с 250 служители.

– Да дадем пример с едноличен търговец, който притежава онлайн магазин. Трябва ли този „самотен бизнесмен“ да наеме фирма, която да пази данните на клиентите, да назначи нови собствени служители или друго?

– Онлайн магазините, ако обработват личните данни на повече от 10 000 физически лица, трябва да извършат вътрешен преглед на информацията, която събират и обработват и въз основа на този вътрешен преглед да преценят какво трябва да направят, за да постигнат изискванията на новия регламент. Да преценят дали ще трябва да закупят софтуер, който да защити тази информация, дали ще трябва да разделят сегашния хардуер и част от информацията да не бъде достъпна отвън, т.е. да отделят сървърите, с които предоставят електронен достъп отвън.

Трябва да преценят и дали тази информация, която имат и съхраняват за продължителен период от време, е актуална и ще им трябва в бъдеще. Може да се окаже например, че са имали клиент преди 5-6 години, но той като физическо лице е бил спорадичен клиент. Тази информация няма нужда да бъде пазена, тъй като очевидно е доказано през годините, че той повече не се е интересувал от техните услуги и информацията по никакъв начин вече не е относима към техния бизнес. Следователно трябва да бъде заличена.

Анализът трябва да се извърши от самите структури. Това е една инициатива която ще представлява преглед на бизнеса – какво цели да постигне и как го е планирал. Дали може да постигне целите без обработване на лични данни. Ако му трябва обработване на лични данни, то в какви обеми – дали за целите на доставката са му необходими ЕГН и номер на лична карта на клиента, или просто му трябва един адрес, или телефон или имейл за връзка.

– Всичко това е свързано с допълнителен финансов ресурс. Готов ли е малкият бизнес да инвестира?

– На ниво браншови организации би могло да се помогне на малките и средни предприятия без да се налага да инвестират огромни средства за осъвременяване на вътрешните си правила.

Според този анализ бизнесът ще установи какви са основанията за използване на видовете лични данни – дали ще са договорни, дали ще са базирани на съгласие от физическото лице, дали ще се предоставя информация на държавни структури, както някои онлайн търговци са задължени. И целият този анализ, ще подскаже на бизнеса дали трябва да предприеме допълнителни организационни вътрешни мерки за ограничаване на достъпа до определена информация, както и техническите мерки, за които говорихме – използване на софтуер, дали е лицензиран, дали е остарял, дали е необходимо да се вземе друг софтуер, който е по-функционален и ще повиши защитата, дали да не се раздели хардуера.

– Но браншовата организация няма да раздава пари за нов софтуер, например.

– Всичко е позволено, няма забрани за това как да отговори бизнеса на повишените изисквания. Ако браншовата организация, в която членуват тези малки и средни предприятия, стартъпи и микропредприятия, е инициативна, тя би могла да помогне. Може да разработи кодекси за поведение и етични кодекси, в които да включи минимални изисквания за обработване на лични данни в съответния сектор.

Хубавото е, че тези изисквания може да бъдат консултирани с Комисията за защита на личните данни. Тогава, когато са одобрени, те биха могли да бъдат пресъздадени от малкия бизнес, така че да послужат за ориентири без да се налага той да заплаща за консултантски услуги. В тези кодекси за поведение ще бъдат разработени основните правила при обработването и ще бъдат дадени конкретни примери и указания как да се обработват определен вид лични данни в сектора с цел постигане на определени цели, които са общи за сектора.

– Няма ли вътрешни правила и сега?

– Да, вътрешните правила не са ново изискване по регламента. От 2002 г. насам са изискване на българския закон за защита на личните данни. Така че за фирмите не би трябвало да е нещо ново създаването на такива правила. Те определят отговорността на различните служители вътре в организацията и достъпа до лични данни, включително тяхното съхранение.

Към Закона за защита на личните данни има издадена Наредба номер едно за това какви рискове биха могли да възникнат в зависимост от начина на обработване на личните данни – дали на хартия, по електронен път и т.н. Имаме конкретни указания в тази наредба какво следва да бъде предприето от администраторите. Тази наредба може да бъде една много добра насока какво трябва фирмите да направят до 25 май.

– Тогава защо бизнесът казва, че не е готов за изискванията на регламента?

– Но моето лично мнение е, че няма да има съществено отклонение от тези правила, които и сега съществуват. На нашата електронна страница публикуваме информация през последната година и половина.

Масово се заговори по темата напоследък, защото се получи паника в бизнеса от големите санкции. Очевидно проблемът идва от това, че досега той не обръщаше сериозно внимание на правилата за защита и обработване на лични данни. Единственото, което правеше до момента една голяма част от българския бизнес, става въпрос за около 80% от него, е да спази задължението си да подаде заявление за регистрация като администратор на лични данни, тъй като неспазването на това задължение водеше до автоматична санкция от страна на КЗЛД.

– Правилата са прилагани проформа?

– Разработването на вътрешни правила, обучението на служителите, допълнителни изисквания за софтуер и хардуер, за документална, физическа и техническа защита, изобщо не се съблюдаваше. С изключение на случаите, при които се подаваха жалби от страна на физически лица. Тогава Комисията извършваше проверка и издаваше предписания, които трябваше да бъдат изпълнени и тяхното неизпълнение водеше до допълнителна финансова санкция. Тази икономическа принуда принуждаваше тези, които са обект на проверка, да предприемат необходимото. В този смисъл, основно телекомуникационният сектор спазваше високо ниво на защита на личните данни.

– Глобите от 4 на сто от годишния оборот или до 20 млн. евро са стряскащи. Съобразени ли са с възможностите на бизнеса в съответната държава и с икономическата ситуация в нея изобщо?

– От една страна действително трябва да се съобразят санкциите и нашият закон за административните нарушения също изисква напасване с икономическата ситуация в България. Но от друга страна регламентът е създаден с цел да уеднакви практиката във всички държави членки. В него съществуват такива правила, които трудно ще обяснят различни санкции в България в сравнение с други страни в Европа.

Защо? – Регламентът променя съотношението на отговорността – администратор (фирма или публичен орган), който събира или обработва лични данни и обработващ (подизпълнител, който за сметка на администратора, срещу заплащане, обработва лични данни). В нашия закон за защита на личните данни, който е създаден въз основа на приетата през 1995 г. директива, това съотношение беше изцяло прехвърлено като отговорност на администратора. Защото той трябваше да упражнява контрол върху обработващия. Сега обаче регламентът казва, че те са солидарно отговорни, което променя съществено начина, по който ще се търси и налага отговорност.

– Как точно ще се споделя отговорността?

– Да използваме примера с българската IT фирма: тя обработва база данни на чужд администратор, базиран в Германия. Става теч на данни. Преди това отговорността беше изцяло на германската фирма, а сега ще бъде солидарно. Тоест – германската фирма оттук нататък ще изисква много по-високо ниво на съответствие с правилата от българската фирма подизпълнител, тъй като отговорността ще бъде взаимна. Когато бъде осъдена германската фирма основен администратор на личните данни, то тя ще насочи регресен иск към българската компания. И ако например е осъдена за голяма сума, стотици хиляди евро, да не говорим за милиони, то 50% от тази сума може да бъде търсена като отговорност от българската фирма.

– Ако вината се носи солидарно не е ли в такъв случай стимул за компаниите да наемат фирма, вместо да обучат свои собствени служители, да ги преквалифицират и пр.?

– Това е мениджърско решение. Но по начало фирмата трябва да прецени съобразно потребностите и бюджета си какво може да си позволи. Малките фирми сега наемат счетоводни компании и изнасят тази част от работата извън организацията. По същия начин могат да наемат и външни консултанти, които се занимават с обработката на лични данни.

– Защо трудно ще обяснят различни санкции в България в сравнение с други по-богати страни в Европа?

– Става въпрос за процес. Фирма, която обработва лични данни на европейски граждани в повече от една държава членка, вече ще може да определи водещ орган. Ако не го определи, ще е водещ този по седалището. Има доста български фирми, които предлагат услуги не само у нас. Тогава, когато гражданин на ЕС в друга държава членка – Полша, Испания и т.н., в която те предлагат услуги, счете, че неговите лични данни са незаконосъобразно обработени, той ще подаде жалба или сигнал до съответния полски, испански и т.н. орган. Тази жалба, ако е редовно подадена, ще бъде препратена на българския надзорен орган.

Органите в Полша и Испания се конституират в производството пред българския надзорен орган и стават наблюдаващи. Оттук нататък те може да искат да участват със съвместни инспекции, т.е. при проверка на място – ако например множество граждани са подали сигнали до тях и общественият интерес е много по-висок. Това е на ниво проверка.

На ниво вече взимане на решения, ако водещият орган е българският, той не може да вземе окончателно решение преди да е съгласувал с останалите текста на решението и ако те са несъгласни може да повдигнат спора за разрешаване пред нов орган, който се създава – Борд по защита на данните. Бордът е юридическо лице и той може да издава не само задължителни предписания към органите, но и да взима задължителни за изпълнение решения по спорове между тях.

Когато се вземе такова задължително решение, то трябва да бъде пресъздадено едно към едно в решението на водещия орган. Включително и с пропорционалността на санкцията съобразно нарушението. В този смисъл ще е много трудно за българския надзорен орган да съобрази икономическата ситуация в България със санкцията, предвидена в регламента.

– Какво следва ако все пак го съобрази?

Ако българският надзорен орган не спази тези изисквания, особено задължителното решение на Борда, и въпреки всичко започне да налага ниски санкции, съобразявайки икономическата ситуация в страната, то това, което ще се случи в годишния отчет на този надзорен орган, ще бъде ясно описано отклонението от общата практика. Този отчет се изпраща в ЕК и ЕП, съответно до държавите членки чрез Съвета на ЕС. Председателят на борда всяка година трябва да отиде в парламента и да защити този отчет пред европейските депутати. Тогава България ще бъде посочена като изключително негативен пример за неспазване на общите правила. От което следва, че ще има комуникация с българското правителство, конкретни въпроси към надзорния орган защо не се спазват тези правила и най-вероятно ще се създаде едно нетърпимо положение спрямо България.

– Има ли все пак някакъв вид превенция или защита от високите санкции?

– Можете да проследите пазара и да видите как в рамките на до няколко месеца, в Европа този процес вече започна, ще се появят и т.нар. кибер застраховки – така, както в момента се плаща Каско и независимо от това дали сте виновен или не, фирмата, с която сте сключили Каско, ви възстановява щетите или ги поправя за сметка на платената премия. П о същия начин ще се търси сигурност от страна на фирмите, особено тези, които обработват големи обеми от лични данни.

Особеното при тези застраховки е, че компанията, която ги предоставя, трябва да направи отделен вътрешен одит на фирмата. Тоест IT специалисти и юристи, които разбират от обработване на лични данни, ще проверят дали фирмата е предприела необходимото и ако установят, че не е – ще й дадат конкретни предписания. Или фирмата ще ги изпълни и ще има ниска премия по една такава „кибер застраховка“, или няма да ги изпълни и ще трябва да плаща по-висока премия. Хубавото е, че при одита фирмата ще е наясно какво точно не е в ред.

– Ще се издават и сертификати за добра организация при защита на личните данни. Задължителни ли са те?

– Процесът на сертифициране, който се въвежда чрез регламента, е доброволен и срещу заплащане. Регламентът казва, че надзорният орган – регулаторът, ще трябва да изработи правила, за да акредитира фирми, които да извършат сертифициране. Така както сега фирми извършват проверки по ISO.

– След 25-и подлежат ли фирмите на спорадични проверки?

– Така както е сега, така ще бъде и след 25-и. Разлика относно проверките няма да има. Единствената разлика е, че санкциите ще бъдат много големи. И аз мисля, че всъщност това е причината да се говори толкова много за този регламент и е основното, което шокира бизнеса.

Тъй като голяма част бизнеса, поради по-ниските санкции, ги калкулираше в услугата. Но сега вече поради големия им размер, те вече не могат да си го позволят. Това стресира компаниите. Това е причината да се говори толкова много, че трябва да се инвестира, че трябва да се промени начинът на мислене. Мисля, че това е основният проблем в България – бизнесът ще промени начина си на мислене, защото вече не може да калкулира в цената на услугата евентуалната санкция.

– Ще носи ли една компания вина, ако е обект на злонамерена хакерска атака?

– Ако например има теч на лични данни, администраторът трябва в рамките на до 72 часа от момента на установяването да уведоми контролните органи. Ако става въпрос за хакерска атака, трябва да се включи и ГДБОП. Администраторът обаче ще носи отговорност за това, че не е предприел административни и технически мерки реципрочни на нивото на което е рискът за обработване на данните. И сега по нашия закон има такива санкции, но те са много ниски – между 500 и 2000 лева .

– Регламентът предвижда заличаване на личните данни по искане на притежателя им. Как ще се удостоверява, че е сторено?

– Заличаването в зависимост от начина на съхранение – може на хартия, може и софтуер, ще трябва да става чрез протокол, по заповед на съответния представляващ организацията и в зависимост от това как се обработва, ще трябва да бъде описан начинът, по който са унищожени. Например ако са на хартия, може да бъде описан начинът на унищожаване по страници, редове, через шредер, например. Въпросът е, че ако лицето поиска, трябва да му се предостави копие от този документ или друг вид информация как е станало заличаването. Ако лицето не е удовлетворено от начина, по който е станало заличаването, след като подаде сигнал при регулатора, ние извършваме проверка и пред нас трябва да бъде доказано, че тези данни съществува основание да бъдат заличени (защото има случаи, в които лицето смята, че те трябва да бъдат заличени, но пък законът задължава администраторът да ги пази определен период от време – като Законът за счетоводството, който изисква 50 години съхранение на информация). Когато съществува такова задължение, администраторът не може да заличи тези данни, но следва да посочи на физическото лице основанието защо не може да ги заличи. А ако ги е заличил и ние извършим проверка, той трябва да ни докаже, че в неговата система тези данни не съществуват.

________________________________

Очаквайте и втората част от интервюто с г-н Караджов в блога „Отворен парламент“.