Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
Регистрация
6 апр 2018, 13:20, 2440 прочитания

Венцислав Караджов: Прилагането на GDPR започва с анализ на бизнес процесите

Венцислав Караджов, председател на Комисията за защита на личните данни пред "Капитал"

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Профил
Венцислав Караджов е председател на Комисията за защита на личните данни и заместник-председател на Работната група за GDPR към Европейската комисия. Той е бил програмен директор в асоциация "Прозрачност без граници". Работил е по проекти на Европейската комисия, Американската агенция за международно развитие, Организацията за сигурност и сътрудничество в Европа и Програмата на ООН за развитие. До избирането му за председател на КЗЛД през 2014 г. е член на Централната избирателна комисия.
- Болници и фармацевтични компании задължително трябва да назначат DPO служители, тъй като те обработват чувствителни лични данни.
- Телекомуникационният сектор е добре подготвен за GDPR, а фирмите за комунални услуги - не.
- Както малкият бизнес наема счетоводни къщи, така вероятно ще наема вече и консултантски фирми.

Още по темата

Без паника

Какво трябва да знае всеки бизнес за личните данни преди 25 май

6 апр 2018

Има ли лесен път към прилагането на GDPR

Няколко казуса на по-малки и по-големи бизнеси и изводите, които можем да направим от тях

6 апр 2018
Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

Защо се въвежда GDPR?

- Реформата започна 2012 г. и беше ясно, че трябва да се случи по няколко основни причини. Досегашната правна рамка за защита на лични данни и тяхното свободно движение беше от 1995 г. Тогава очевидно не е имало как да се предвиди бързото развитие на ИТ технологиите, на социалните мрежи, на масовото споделяне на лични данни и най-вече предоставянето на услуги и на стоки в резултат на обработване на лични данни, купуване по интернет чрез предоставяне на адрес, на информация за номер на кредитна карта, на имената на физическото лице. През 1995 г. сме били далеч от идеята, че личните данни ще влияят по този начин.

Всички държавни и общински структури също се явяват администратори. Те вече обработват много големи обеми от данни на физически лица. Не само ЕГН, а постоянен и настоящ адрес, информация за здравословно състояние, данни за предоставяне на услуги - пенсии за инвалидност, преференциални карти за градския транспорт и т.н. Трябва да има завишени стандарти на защита и те идват с новата правна рамка.

Правилата от 1995 г. са във формата на директива, а сега - чрез регламент. Регламентът беше избран като формат, защото досега държавите членки имаха различен подход. В България за наше добро директивата се въведе почти както беше разписана. Това създаде самостоятелен орган в лицето на КЗЛД, която разглежда жалби на физическите лица в открито заседание пред комисия, извършва проверки и налага санкции. Но в другите държави - Люксембург, Германия, Белгия, структурите не бяха независими. Те бяха част от министерствата на вътрешните работи или на правосъдието. Тези служители се назначаваха от съответните министри. Поради тази причина правният режим във всички 28 държави беше различен. И за да спазва изискванията на закона един голям бизнес, който има представителства във всяка от тях, той трябваше да познава законодателството на всяка държава членка. Това много оскъпява бизнеса. Другото, което бизнесът искаше, е да се премахне регистрационният режим, който съществува по смисъла на директива. Компаниите твърдяха, че това много ги забавя, създава излишни затруднения и също оскъпява стоките или услугите.



Друга причина е възможността на технологиите да произвеждат специфични лични данни, които безспорно индивидуализират лицата. Такъв пример са биометричните данни. Вече има широко разпространени технологии, които взимат пръстови или ирисови отпечатъци, които еднозначно индивидуализират лицето. В някои редки и скъпо струващи производства например започна идентификация на работниците чрез такива отпечатъци. Това се случва в производствата за платина или живак, за да няма достъп на външни лица.

Освен това бизнесът стана много зависим от личните данни и се засилиха исканията за трансфери извън Европа. За да оптимизират процесите си, фирмите обработват определена информация от едно място - за човешки ресурси, счетоводни или маркетингови цели. Информацията се трансферира например в САЩ или Индия, за да се обработва там. Получи се обаче така, че няма ясни правила при какви условия се обработват тези данни. С реформата се налага трансферите извън Европа да се извършват при същите или по-високи изисквания като в Европа, включително и от фирми, които нямат основен офис в Европа.

Каква инвестиция трябва да направи бизнесът, за да приложи регламента?

- За да отговорим каква е инвестицията, трябва да е ясно какъв е бизнесът и доколко, за да се развива той, му е необходимо обработването на лични данни.

Най-малкото, което трябва да се направи, е анализ - какво предлагаме, кои са ни клиентите, това, което предлагаме, можем ли да го предложим, без да е необходимо да събираме лични данни и да ги обработваме? Ако стигнем до заключението, че лични данни не са необходими, няма нужда да се прилага GDPR.

Ако обаче не можеш да постигнеш бизнес целите си, без да обработиш лични данни, трябва да минеш на следваща стъпка - кои видове лични данни, в техния минимален обем, са ни необходими? Ако ви трябват само адресите на физическите лица, но не и информация за техния ЕГН, за това дали са семейни, колко души е семейството, имат ли малки деца, живеят ли с възрастни родители - няма нужда тя да се събира. Тоест услугата трябва да се предостави при минималната необходима информация. Това е втората стъпка. След това бизнесът трябва да прецени - ако събира определен вид лични данни, как да ги обработи, така че да не съществува опасност от тяхното незаконосъобразно разпространение и той да бъде изложен на санкция. За това трябва да има ясна схема: какви са личните данни, трябва ли да ги разкривам на трети страни (само вътре ли ги обработвам и трябва ли да ги представям на НАП, на бизнес партньори, на фирма за маркетингови проучвания). Тогава бизнесът решава - само аз отговарям за всички административни и технически правила, които трябва да приема. Трябва да прецени дали да ги обработва на хартия или в електронен вид, трябва ли да ги систематизира в регистри по видове данни. Когато личните данни са добре систематизирани, бизнесът ще може веднага да отговори на заявление от клиент, който има право да знае какви лични данни се събират за него и на кого се разкриват, за какъв срок от време се обработват и за какви цели са събрани.

След като установи, че трябва да предоставя данни на трети лица, бизнесът трябва да си изработи правила как ще се случва това. Дали ще ги предоставя в защитен вид, ще има ли криптиране, ще може ли да се стига до тях през интернет система, ако да - има ли необходимата защита. Тоест трябва да се направи един ясен бизнес план за какво ми трябват тези лични данни и как аз да ги обработвам така, че да имат определено ниво на защита.

Специалистът по защита на личните данни ще трябва да изработи вътрешната система за защита на информацията и да разпише длъжностните характеристики на всеки служител - какъв достъп и до кои лични данни трябва да има вътре в самата структура. Не може всеки да има достъп до всички данни. Принципът е, че имаш достъп съобразно компетенциите си в съответната структура. Служителят в човешки ресурси например се нуждае от достъп до по-голяма информация - номер на лична карта, ЕГН, адрес, защото ще трябва да сключва трудови договори. След това същата информация трябва да бъде предоставена на НОИ, за да се плащат осигуровки. Това трябва да бъде ясно разписано във всеки бизнес.

Колко бизнеси ще бъдат засегнати от GDPR в България?

- В България има 450 хиляди администратора на лични данни, регистрирани по сега действащия Закон за защита на личните данни. Процедурата в момента изисква фирмата да подаде документи за регистрация в КЗЛД, която да издаде удостоверение, че са спазени изискванията на закона, че фирмата обработва законосъобразно и добросъвестно личните данни на физическите лица.

Новият регламент изисква назначаване на лице за защита на личните данни (на английски data protection officer или DPO - бел.ред.) при три специфични хипотези: ако в предприятието има над 250 служители; системно обработва за целите на своя бизнес лични данни в големи обеми; или обработва чувствителни лични данни. Според статистическо проучване на КЗЛД от тези 450 хиляди администратора поне 45 хиляди трябва да назначат служител по защита на данните. Тази бройка е минимално необходимата, за да може да се спазят изискванията на закона.

Ако личните данни не се обработват законосъобразно, с влизане в сила на новия регламент санкцията ще бъде многократно завишена в сравнение със сега действащия закон за защита на личните данни. Сега прагът на санкцията е 100 хил. лв., а по новият регламент той ще бъде до 10 млн. евро, или до 20 млн. евро. Праговете на глобите зависят от вида нарушение, от това дали администраторът е предприел необходимите организационни и технически мерки, за да предотврати това нарушение или последиците му. Ако той е направил необходимото и въпреки всичко са се случили последиците, санкцията е до 10 млн. евро, а ако не е предприел и са настъпили значителни вреди за физическите лица, чиито лични данни обработват - до 20 млн. евро.

Кои сектори ще бъдат най-засегнати от новата регулация?

- Болници и фармацевтични компании задължително трябва да назначат DPO служители, тъй като те обработват чувствителни лични данни. Фирмите в областта на ИТ технологиите и комуникациите пък обработват такива данни в големи обеми. Отделно новият регламент изисква администраторите да са в състояние да удовлетворят правото на физическото лице за трансфер на събраните негови лични данни от един администратор на друг. Тоест вече мобилният оператор следва да може да събере в машинно четаем вид цялата информация - не само ЕГН, адрес и т.н., но и всякакви метаданни от използването на мобилните услуги. Например кой ви е звънял, в колко часа, отговорили ли сте, на колко души сте позвънили на определена дата, вашата геолокация - къде сте се намирали, когато някой ви е звъннал. Ако вие искате тези данни да бъдат предадени към новия оператор с цел да ги ползвате в бъдеще, фирмата трябва да има възможност за това.

Как ще бъде решено тълкуването на спорни казуси?

- Надзорните органи ще приемат тълкувателни указания към бизнеса. На ниво Европа се създава Борд по защита на личните данни, който ще замени сегашната Работна група 29. Той ще се състои от ръководителите на всички 28 надзорни органа. Те приемат насоки относно приложението на правната рамка. Тези насоки след 25 май стават задължителни за всички надзорни органи, които са участвали в тяхното приемане. Ако обаче бизнесът не е доволен от решението на надзорния орган, ще има възможност да го обжалва пред съда. Съдът и бизнесът не са задължени с тези правила, но пък надзорните органи при спор пред съда вероятно ще правят запитвания към Европейския съд в Люксембург. Доста тежка процедура ще бъде.

Отделно, когато става въпрос за голям бизнес с операции в повече от една държава, той ще има право да посочи един надзорен орган, който ще разглежда всички спорове, свързани с неговата работа. Ако жалбата е редовна и допустима, тя трябва да се гледа от органа, който е посочен като водещ, независимо от това къде е настъпило нарушението. Ако е подадена при нас в България, но е посочен ирландският надзорен орган, както би било за Facebook, той става водещ. Ние само препращаме информация и следим. Правилата стават съществено различни и доста по-сложни. Но от гледна точка на защита на правата на физическите лица е добре, тъй като системата и нивото на защита в цяла Европа ще бъде еднакво.

Има ли в момента добро познаване сред бизнеса в България за това, което предстои?

- Част от бизнеса е стартирал кампанията си да отговори на новите изисквания, но голяма част трябва да положи повече усилия. Най-вече усилия се полагат от тези бизнеси, които системно обработват лични данни - телекомуникационните оператори например. Но далеч повече усилия трябва да се положат от бизнесите, които предлагат комунални услуги, включително тези, които предоставят пощенски услуги. Подценява се новата правна рамка, а санкциите ще бъдат много големи. Фирмите, които извършват маркетингови проучвания, също трябва много добре да се запознаят, защото голяма част от тях в момента просто купуват база данни и започват да звънят по нея. Този директен маркетинг вече ще трябва да бъде по друг начин разглеждан.

Администрацията готова ли е?

- Тя ще бъде приравнена към правилата, които се прилагат към частния бизнес. Държавната и местната администрация трябва да подготвят кадри.

Започнал ли е този процес?

- На логистичен и анализационен етап да. Но трябва да бъде ускорен процесът по идентифициране и определяне на служителите, които ще се занимават с това, и тяхното професионално обучение. Затова предложихме с изменение в Закона за защита на личните данни да се създаде национален обучителен център. Очакваме това предложение да бъде прието и финансирано от държавата.

Всеки, който желае, ще може да мине през това обучение. То ще продължава поне три месеца. Предвидили сме да се създаде електронна обучителна програма, което ще позволява в един и същ момент до 10 хил. души да влизат в системата. Все пак в България трябва да се подготви доста голям брой служители, това е най-реалистичният подход.

В 2/3 от програмата това ще бъде онлайн обучение. То няма да започва от едно и също ниво за всички, а ще има първоначални тестове за определяне на нивото. Сертификат ще се издава след финален тест. Сертификатът ще е със срок на действие 3 години. След това лицето ще трябва да се яви на допълнителен тест. Ако не успее да го премине, служителят ще трябва да премине през допълнително обучение, за да се запознае с практиката, измененията в законодателството, които вероятно не е следял.

Този сертификат задължителен ли е за всички служителите за защита на личните данни?

- Не, няма такова изискване. Но регламентът казва, че служителят по защита на личните данни трябва да покаже практически и теоретични познания в областта, за да може да бъде вписан като такъв в регистъра. Това може да се докаже чрез договор, сертификат за обучение.

КЗЛД ще изготви примерни критерии, насоки за това, което ще следим при регистрацията на такива лица. Рискът обаче си е за фирмата или за държавната структура, която наема това лице.

Тези служители трябва да обединяват познания в областта на правото, публичната администрация, ИТ технологиите и сигурност на информацията. Това са комплексни познания. Те трябва да разбират от менажиране на системи и системни процеси, да ги обясняват и знаейки как работи предприятието, да разпишат изискванията към всеки служител с досег до лични данни.

Какви допълнителни бизнес услуги се раждат покрай въвеждането на GDPR?

- Както малкият бизнес наема счетоводни къщи, така вероятно ще наема вече и консултантски фирми, които да защитават интересите му и да му дават напътствия. Ниша ще има, защото санкциите ще бъдат много по-високи дори от санкциите за нарушаване на данъчна политика.

Версия на интервюто с Венцислав Караджов е публикувана във в. "Капитал" от 2 март 2018 г.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Крайният срок е
27 май!


Повече подробности на capital.bg/next

Остават броени дни до крайния срок за участие в конкурса за млади бизнес лидери Next Generation 2018!



“Капитал” и “Кариери” търсят активните, вдъхновени и вдъхновяващи мениджъри и предприемачи.

За да разкажем историите им.
И да ги наградим с EMBA стипендии от City College - международния факултет на The University of Sheffield.

Кандидатствай или номинирай Next Generation мениджър или предприемач!


Конкурсът се провежда с подкрепата на Trelleborg.

Прочетете и това

Речник на термините в GDPR 3 Речник на термините в GDPR

6 апр 2018, 2952 прочитания

GDPR като услуга GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018, 3183 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
След края на данните

GDPR ще доведе до промени в това как се обработват и унищожават личните данни на клиентите

Лъвски скок към офиси

Новият фонд с южноафриканско и българско участие Lion's Head ще инвестира в имоти в България и региона

Човек от изчезващ вид

Какво прави "непрофесионалния алпинист" Боян Петров уникален

"Слънчо" поглежда отвъд хоризонта

С проект по "Конкурентоспособност" за 1.6 млн. лв. компанията ще започне да изнася детски храни в региона

Индексите на борсата започнаха седмицата с ръст

"Стара планина холд" реализира най-голям ръст след съобщението за дивидент

Цвят и светлина

Сградата на операта в Сидни става светлинна скулптура

Ново място: Crafter

"Извинявайте, това бар ли е или магазин?"

K:Reader

Нов и модерен инструмент, който пренася в дигитална среда усещането от четенето на хартия.

Прочетете целия вестник или списание без да търсите отделните статии в сайта.
Капитал, брой 20

Капитал

Брой 20 // 19.05.2018 Прочетете
Капитал PRO, "Мобилтел" вече е А1, КЗК най-накрая започва да разглежда сделката за "Нова тв", без екотакса за електромобили

Емисия

DAILY @7AM // 23.05.2018 Прочетете