Новият европейски регламент за личните данни влиза в сила на 25 май. Всички компании, трябва да осигурят служител, който да отговаря за сигурността на личните данни.
Това вся смут сред редица компании и неправителствени организации. Едни масово започнаха да се снабдяват с метални шкафове с катинари, а други да търсят съветите на юристи.
Малко обаче са компетентните в тази сфера, твърдят започнати с новите текстове.
Личните лекари например са се видели в чудо, тъй като пазят досиетата на всичките си пациенти.
"Как си представяте цялата бумащина да я държа заключена в метални шкафове в други помещения и при необходимост да погледна конкретно досие. Това е излишно губене на време", коментира лекар от Пловдив.
Статистиката показва, че у нас около 30 на сто от фирмите изобщо нямат подобна позиция на човек, който да отговаря само за съхраняването на личните данни, 50 на сто са прехвърлили отговорността на друг, а 40% от компаниите очакват новият регламент да доведе след себе си сериозни трудности.
Глобата е до 4% от годишния оборот на фирма. На практика новият регламент ще засегне около 80 % от фирмите у нас. В това число влизат и редица болници и общински администрации.
Дали се спазва законът ще следи Комисията за защита на личните данни.
В интернет вече се появиха и колажи, които осмиват новия регламент, като паметните плочи с имената на покойниците, които също са лични данни.
Какво са лични данни според GDPR?
- Трите имена
- ЕГН
- Адрес
- Имейл
- IP адрес, както и cookies – следите от дейността в интернет
- Медицинска информация
- Банкови данни
- Геолокация
- Всички данни, които могат да разкрият лична информация или да идентифицират човек чрез: религиозна принадлежност, физически особености, произход, роднини, членство в партия или организация, месторабота
Кого засягат ?
- За компаниите GDPR означава изцяло нов подход към личните данни, които събират и съхраняват. Регулацията засяга почти всяка фирма в България, тъй като се взимат предвид и личните данни на бившите и настоящите служители.
Регламентът уеднаквява режима на опазване на личните данни и няма да доведе до големи промени в България, защото сме приложили европейската директива от 1995 г. за защита на личните данни в пълен обем за разлика от Германия или Белгия например.
Администраторите няма да подлежат на предварителна проверка по документи и която изисква регистрация. Но самите те трябва да поддържат базите данни, така че да са отчетни към комисията и прозрачни към лицата, които данни съхраняват.
Фирмите имат срок от 72 часа да докладват пред Комисията за защита на личните данни и засегнатите граждани за изтичане или кражба на лични данни. Ако укрият тази информация и по-късно инцидентът бъде разкрит, глобата е 2% от оборота.
Какви мерки трябва да предприеме бизнесът ?
- GAP анализ (предварителна оценка) за състоянието и защитата на личните данни, които съхраняват и обработват;
- Организационни стъпки: преглед къде се съхраняват данните, колко са, какви са, трябва да се назначи отговорник по сигурността на данните, трябва да се гарантира, че, ако клиент иска да бъде „забравен“, фирмата ще заличи неговите данни. Трябва да има план за действие при инцидент отвън или отвътре;
- Технически стъпки: Пълна защита и отчетност на достъпа до данните: криптиране, маскиране и анонимизация на данните;
- Трябва да бъде назначен пазител на данните – вътрешен експерт или външна фирма, която да се грижи за данните;
- Трябва да има план за действие при инцидент, както и разписани правила за работа с лични данни – къде се съхраняват, кой ги пази, кой работи в тях, как се обменят с трети страни;
Регламентът отваря голяма ниша и в бизнеса за кибер-сигурност, който предлага обучение за бизнеса.
Еврокомисията
Еврокомисарят по въпросите на правосъдието, потребителите и равнопоставеността между половете Вера Йоурова коментира, че "личните данни са златото на 21-ви век. Ние оставяме данните си на практика с всяка направена стъпка, особено в цифровия свят. Що се отнася до личните данни днес, хората са изложени като в аквариум. Защитата на данните е основно право в ЕС. Благодарение на новите правила европейските граждани отново ще могат да упражняват контрол върху своите данни."
"Сега имаме избор и можем да решим какво става и кой с какви видове данни разполага. Можете да попитате и предприятията трябва да ви отговорят. Можете също така да вземете данните си, ако решите повече да не използвате съответната услуга. Предприятията също ще имат полза от новите правила, тъй като тези правила ще бъдат едни и същи навсякъде и предприятията ще си взаимодействат само с един орган. Това улеснява разгръщането на стопанска дейност в друга държава членка", коментира тя.
"Правилата се основават на подход, отчитащ риска. Предприятията, които печелят пари от нашите данни, са натоварени с повече отговорности. Те следва също да дават нещо в замяна на потребителите — поне сигурността на техните данни. Предприятията, чиято основна дейност не включва обработката на данни, имат по-малко задължения и трябва най-вече да гарантират, че данните, които обработват, са защитени и се използват по законен начин. Ще има също така много строги правила", обяснява Йоурова.
"Всички, особено предприятията, които печелят от личните ни данни, ще имат интерес да спазват правилата. С Общия регламент относно защитата на данните Европа потвърждава цифровия си суверенитет и се подготвя за ерата на цифровите технологии. Освен това новите правила започват да налагат стандарт за неприкосновеността на личния живот в световен план. Те ще помогнат да се възвърне доверието, от което се нуждаем, за да успеем в една глобална цифрова икономика", допълва тя.
Андрус Ансип, заместник-председател, отговарящ за цифровия единен пазар коментира, че "неприкосновеността на личния живот на европейските граждани ще бъде по-добре защитена, а предприятията ще ползват един и същ набор от правила в целия ЕС. Надеждните правила за защита на данните са базата за функционирането на единния цифров пазар и за процъфтяването на интернет икономиката. Новите правила гарантират, че гражданите могат да имат доверие в начина, по който данните им се използват, и че ЕС може да се възползва максимално от възможностите, предлагани от основаната на данни икономика."
"Нашите нови правила за защита на данните бяха договорени поради конкретна причина: две трети от европейците бяха обезпокоени от начина, по който се обработваха данните им, и имаха чувството, че не могат да контролират информацията, която предоставят онлайн. Предприятията се нуждаят от яснота, за да могат да разгърнат дейността си в ЕС по безопасен начин. Неотдавнашните скандали с данните потвърдиха, че с по-строги и по-ясни правила за защита на данните постъпваме правилно в Европа".
Припомняме, на 6 април 2016 г. ЕС постигна съгласие за голяма реформа на нормативната уредба в областта на защитата на данните, като прие пакета за реформа на защитата на данните, включващ Общия регламент относно защитата на данните (ОРЗД), който замени директивата, която бе в сила в продължение на 20 години.
На 25 май 2018 г., две години след приемането на регламента и влизането му в сила, новите правила за защита на данните, валидни за целия ЕС, стават приложими. В Деня за защита на личните данни тази година Комисията публикува насоки, за да улесни прякото и безпроблемно прилагане на новите правила за защита на данните в целия ЕС, считано от 25 май. Комисията също така пусна в действие нов онлайн инструмент, предназначен за МСП.
Следващи стъпки Комисията ще продължи да подкрепя активно държавите членки, органите за защита на данните и предприятията, за да гарантира, че правилата се прилагат ефективно. Тя отпуска 1,7 милиона евро за съфинансиране на обучението на специалисти в областта на защитата на данните.
Още 2 милиона евро са отпуснати, за да се помогне на националните органи за защита на данните да достигат до предприятията, по-специално МСП, и физическите лица. От днес Комисията ще следи как държавите членки прилагат новите правила и ще предприема подходящи действия, когато е необходимо.
Една година след влизането в сила на регламента (т.е. през 2019 г.) Комисията ще организира мероприятие, за да се запознае с натрупания от различните заинтересовани страни опит в прилагането на регламента. Тази информация ще бъде използвана и за доклада, който Комисията трябва да представи до май 2020 г., относно оценката и прегледа на регламента.