Личите ни данни попадат под нова строга регулация след по-малко от месец. От 25 май 2018 г. във всички държави-членки на Европейския съюз ще се прилагат нови правила за защита на личните данни. В България също влиза в сила Общия регламент за защита на личните данни (GDPR). Новата правна рамка запазва редица основополагащи принципи и понятия от съществуващата към момента нормативна уредба, но в същото време въвежда по-високи стандарти за защита на данните, разширени права на гражданите и придава нови задължения на администраторите на лични данни.

Задълженията вървят в неразривна връзка с предвидените санкции за дружества, които не се съобразят със строгите изисквания за поверителност - до 20 милиона евро заплашва организациите, които не успеят да опазят или злоупотребят с лични данни.

Какво представлява новата регламентация, какви са стъпките, които трябва да предприемат фирмите и какви права имат гражданите, по тези и други въпроси потърсихме адвокат Станислав Николов - член на Софийска адвокатска колегия, сертифициран експерт (CIPP/E) от Международната асоциация на професионалистите по защита на личните данни (IAPP).

- Какво определя Общият регламент за защита на данните (GDPR)?

- Важно е да подчертаем, че става въпрос именно за регламент, тоест за законодателен акт на ЕС, който ще бъде пряко приложим у нас веднага след влизането му в сила на 25 май 2018 г. Националният ни Закон за защита на личните данни ще се измени или ще има изцяло нов такъв, но към момента все още няма публично оповестен проект, което означава, че новият или измененият закон може да стане факт доста след 25 май 2018. Независимо от това, считано от тази дата, всички разпоредби на регламента ще следва да се спазват – със или без актуализиран национален закон.

Кои са основните новости в нормативни изисквания в областта на защитата на личните данни?

- Говорейки за лични данни, преди всичко следва да отбележим, че новата регулация изрично разширява дефиницията за лични данни като приема, че такива са и онлайн идентификаторите, данни за геолокацията, изостря грижата ни по отношение на така наречените специални (чувствителни) категории лични данни като генетичната и биометричната информация за лицата и др. Правилата относно даването на съгласие за обработване на лични данни също стават много стриктни. Не би следвало вече да виждаме предварително отбелязани кутийки в сайтовете, нито пък съгласието да е включено измежду дългите общи условия. Мълчаливите съгласия и другите разнообразни „хитрости“ от страна на компаниите ще трябва да останат в миналото, тъй като вече това няма да представлява валидно дадено съгласие и рискът от значителни санкции за компаниите ще е голям. Администраторите на лични данни ще трябва да предоставят и изключително подробна информация на своите клиенти-физически лица – относно правата им, целите за обработване на личните данни, източника на личните им данни и куп други. Идеята е гражданите да могат лесно да се ориентират по отношение на всичко, което касае техните лични данни, като за целта компаниите ще дължат редица активни действия в тази насока. Действително има доста новости, които Регламентът въвежда, но те зависят и от конкретния бизнес на администратора или обработващия. Може да обобщим, че Регламентът ще засегне абсолютно всички, но в различна степен.

- Кои са задълженията на всички оператори на лични данни в хоризонт до май месец тази година?

- Истината е, че отлагателното действие на Регламента даде на бизнеса и институциите цели две години, в които да осигурят съответствие с новите правила. Практиката показва, че малцина са подготвените навреме и то основно големи дружества. Въпреки това, все още има малко повече от месец, в който една малка или средна компания би могла да направи анализ на процесите си по обработване на лични данни, да прегледа и редактира документацията си - вътрешни правила, формуляри, договорите с доставчици и клиенти и клаузите по повод личните данни, сроковете за съхранение на документи, да преразгледа организационните и техническите мерки за защита на личните данни и др. С оглед санкциите и тенденцията хората да стават все по-предпазливи и изискващи, когато става дума за личните им данни, съветвам компаниите да подходят сериозно към темата и ако нямат вътрешен капацитет, да се обърнат към квалифицирани експерти. Освен това, осигуряването на законосъобразност в обработването на лични данни никога не е еднократно действие, а постоянен процес.

- Кои са задълженията за администраторите и обработващите лични данни, необходимо ли е хората боравещи с данните да имат конкретно разрешително или да са вписани в регистър?

- Както знаете, Комисията за защита на личните данни води регистър на администраторите на лични данни и общо взето всяка компания, която има служители, следваше да се регистрира като администратор под угрозата от санкция, в случай, че пропусне. Масовото схващане, макар погрешно, беше, че с регистрацията са изпълнени всички задължения в сферата на личните данни. За радост на всички, Регламентът вече не изисква подобна регистрация, което намалява донякъде административната тежест. Въпреки това, въвеждат се други видове регистри – като например „Регистър на дейностите по обработване“, който следва да се води от администраторите и обработващите. Регистърът трябва да се поддържат в писмена форма, като може да бъде и в електронен формат. Регламентът не изисква да го заявяваме в Комисията, а само задължава да се осигури достъп в случай на поискване от Комисията.

- Какво трябва да направи една фирма, за да спазва правилата на ЕС за защита на данните? Имплементирането на регламента в правната реалност налага ли конкретна техническа обезпеченост за фирмите?

- За да бъдат в синхрон с правилата, дружествата трябва да действат в 2 насоки – организационна и техническа. Подходящите организационни мерки могат да бъдат назначаване на длъжностно лице по защита на личните данни, организиране на обучения на служителите за работа с лични данни, разработване на добра вътрешна политика за личните данни, извършване на оценка на въздействието върху защитата на личните данни и др. Съвременните условия на информационното общество обаче предполагат, че дори да са взети всички организационни мерки, личните данни едва ли ще бъдат добре защитени. Нужно е още нещо, а именно – предприемане на технически мерки. Те също могат да варират – от простичкото използване на пароли до криптиране на компютрите. Всичко зависи от конкретния обработващ и какви са нуждите.

- Какви нови права се пораждат за гражданите във връзка с регламента?

- Гражданите ще се ползват от широк набор от права. В този ред на мисли, част от задълженията на администраторите и обработващите е да информират физическите лица за правата им, дори за правото им на жалба до Комисията за защита на личните данни. Регламентът значително разширява добре познатите ни до момента права на субектите на лични данни, като същевременно залага и съвсем нови – такова е да речем правото на преносимост. Ако например имаме договор с дадена компания и тя е събрала нашите лични данни в електронен формат, ние може да поискаме да ни се предадат в структуриран и широкоизползван формат, който позволява машинно четене – напр. в excel. Щом си получим електронния файл с личните данни, можем да го предадем на друг администратор, а не наново да даваме информацията. Нещо повече, когато е технически възможно, може да поискаме от администратора, на когото сме дали личните си данни, да ги прехвърли директно към друг администратор – например ако искаме да сменим нашия застраховател с друг. Така ще спестим време.

- В страната усилено текат обучения за юристи, нотариуси, счетоводители, държавни служители към Общини. Има ли смут сред гилдиите, които са най-засегнати от технологията на прилагане на регламента?

- Да, така е – в момента има силна активност по темата. Моите наблюдения са, че организациите преминаха през няколко етапа. Първият беше етапът на игнориране на Регламента и оставянето му „за по-нататък“. Вторият беше етапът на всеобщо отрицание, тъй като голяма част от разпоредбите са донякъде абстрактни, трудни са за тълкуване от неспециалисти и често могат да доведат до демотивация. Сега обаче сме в третия етап, в който представители на всички тези гилдии, които изброихте, си помагат взаимно и споделят своя опит в имплементацията на Регламента и получените от тях знания. И това е хубаво. Не само за организациите, които си намаляват риска от санкции, а най-вече за субектите на лични данни. Личните ни данни не могат да са защитени, ако тези, които разполагат с тях, не са запознати със задълженията си.

- Организирате обучение в Пловдив през идната седмица, на което ще запознаете заинтересованите страни с новите условия за защита на личните данни. Според вас кои са основните трудности, които те срещат?

- Организирахме редица обучения за наши клиенти в София. Огромният интерес ни накара да проведем и общо обучение, на което да присъства по-широк кръг от заинтересовани лица. И въпреки това, разбираемо, почти всички бяха с дейност в гр. София, затова решихме да сме в помощ и на организациите извън столицата, като първата избрана от нас локация е именно Пловдив. Въпросите, които получавам, ме карат да смятам, че често трудностите идват от невъзможността да се отчетат спецификите на конкретния бизнес или структура. Има една неяснота от кого какво точно се очаква. Налица са общоважими задължения, но има и такива, които зависят от съответния администратор или обработващ и преценката не е лесна. Друга често срещана трудност е свързана с техническите (IT) решения, които са налични и помагат да опазим личните данни. Именно затова, сред лекторите на предстоящия ни семинар в Пловдив е и IT специалист с голяма експертиза в тази област. GDPR предполага комбиниран подход – нито само правен, нито чисто технически.