От две години е известно, че през май 2018 г. всички страни от Европейския съюз ще трябва да започнат да прилагат Общия регламент относно защитата на данните (GDPR), в т.ч. и България. GDPR влиза в сила от 25-и този месец и едно от най-важните неща в него, които хвърлят в ужас не само бизнеса, но и институциите е, че при сериозни нарушения относно опазването на личните данни, глобите може да достигнат колосалната сума от 20 милиона евро, еквивалентна на 40 милиона лева. 

Но готови ли сме за регламента, пита се в задачата, предвид факта, че доскоро МВР и правосъдното министерство си прехвърляха топката кой да внесе законовите изменения, с които трябва да се задвижи машината. Комисията за защита на личните данни (КЗЛД) от година и половина предоставя обучения и наръчници, но реално около регламента се разшумя през последните няколко месеца, когато стотици адвокатски кантори и IT фирми започнаха да правят обучения за бизнеса. Срещу заплащане, разбира се. Една от причините бизнесът сам да се организира е, че на КЗЛД й бяха отказани финансови средства да оборудва обучителния си център в София. Комисията няма и подразделения в страната, въпреки че ще играе важна роля с влизането в сила на GDPR.

Общият регламент относно защитата на данните на Европейския парламент и на Съвета датира от 27 април 2016 г. От МВР представиха измененията в Закона за защита на личните данни, в който ще се имплементират нововъведенията, на 30 април - по-малко от месец преди те да станат задължителни за целия частен и публичен сектор. Спорно е дали до 25-и ще успеят да минат задължителното обществено обсъждане, гласуване в Министерския съвет, внасяне в Народното събрание, а оттам - разпределение по комисии, гласувания в пленарна зала и т.н. до обнародването в "Държавен вестник".

Какво предвижда регламентът

По същество сегашният Закон за защита на личните данни до голяма степен отговаря на регламента. По думите на председателя на КЗЛД Венцислав Караджов GDPR обхваща между 80 и 95% от българския бизнес, но не повече от 20-30 на сто от него е готов (интервю пред БНР). Под защита на личните данни се разбира опазването на всякакъв род лична информация не само на служителите на дадена компания, но и на всички лица, с които тя има отношения, предоставяйки им стоки и услуги. Това ще рече имена, ЕГН, адреси, в т.ч. и електронна поща, както и чувствителна информация като здравен статус и пр.

Всички администрации, както и големите компании трябва да назначат "пазител на личните данни", който може да е преквалифициран или специално нает за целта служител, а може и да е компания, която играе ролята на подизпълнител. Важно е обаче да се знае, че при теч на лични данни например възложителят и подизпълнителят носят солидарна отговорност и при предявен иск и наложена санкция, тя се дели наполовина. 

За малките фирми обаче регламентът ще е свързан с нови разходи, най-малкото ако трябва да се закупи нов софтуер, наеме "пазител на данните" или фирма, която да ги криптира и т.н.

Всички публични институции също трябва да назначат такива "пазители". Но вече има въпросителни. Като например при личните лекари, които пазят информация за пациентите, която съдържа много по-чувствителни данни от трите имена на лицата.

Санкциите - шокиращи

И бизнесът, и институциите ще бъдат подложени на изключително сурови санкции при големи нарушения по опазването на личните данни на хората. Регламентът не прави разлика дали един теч на данни например излиза от НОИ или от IT компания, която обработва данните на хиляди души по света. Глобите може да достигнат до 20 милиона евро (40 милиона лева).

"Единствената разлика е, че санкциите ще бъдат много големи. Мисля, че всъщност това е причината да се говори толкова много за този регламент и е основното, което шокира бизнеса. Тъй като голяма част бизнеса, поради по-ниските санкции, ги калкулираше в услугата. Но сега вече поради големия им размер, те вече не могат да си го позволят. Това стресира компаниите. Това е причината да се говори толкова много, че трябва да се инвестира, че трябва да се промени начинът на мислене. Мисля, че това е основният проблем в България – бизнесът ще промени начина си на мислене, защото вече не може да калкулира в цената на услугата евентуалната санкция", заявява в интервю за Отворен парламент Караджов.

Българският законопроект обаче не обвързва размера на санкцията с оборота на предприятието, както предвижда GDPR (4 на сто от годишния оборот или 20 милиона евро). По него за най-дребните нарушения се предвиждат санкции от 1000 лева до 5000 лева, а за най-тежките до 40 милиона лева. За сравнение, по сега действащия закон, глобите са символични - до 2000 лева.

Важно е да се знае, че глоби ще се налагат дори и една компания да не носи пряко вина за нарушението. Ако е станала обект на хакерска атака, вследствие на което от нейната база данни са изтекли имена, имейл адреси, банкови сметки и пр., то тя трябва да уведоми органите до 72 часа от установяването на атаката и теча. Но ще се счита за виновна, защото не е предприела достатъчно добри мерки за защита на поверените й данни.

Иначе всяко лице може да поиска по всяко време данните му да бъдат заличени, за което му се издава и подробен протокол как точно се е случило заличаването.

Може ли КЗЛД да се справи?

Комисията за защита на личните данни ще играе важна роля по регламента като част от европейското бюро за защита на личните данни. Както и сега, ще извършва проверки по сигнали, в т.ч. съвместни с аналогичните си органи по защита в останалите страни от ЕС, ще налага санкции и пр. КЗЛД обаче не разполага с достатъчно ресурс да извършва проверки на място, няма подразделения в страната, нито достатъчно човешки ресурс, нито пък финансово обезпечение да командирова служители извън София.

Как държавата ще въведе регламента и ще отговори на въпросите около него, предстои да видим.