Поне 135 милиона лева ще му струват новите правила

45 000 фирми засегнати, трябва да назначат служители по сигурността на информация, търсят се 90 000 души

Комисията за защита на личните данни иска 2 млн. лв., за да обучава

Поне 135 000 000 лв. ще струва на българския бизнес спазването на новия регламент за защита на личните данни, който влиза в сила от 25 май 2018 г.

Тези суми са само за обучението на служители, които да отговарят за запазването на събраната от компаниите информация на техни клиенти.

Те ще следят дали работодателят им събира ЕГН-та, адреси, интернет “бисквитки” и всякакви други данни законосъобразно. При теч на информация пък ще трябва да докладват на държавата.

От 25 май влиза в сила новият европейски регламент за защита на личните данни, който разширява защитата и задълженията на бизнеса.

От новите правила ще са засегнати 45 000 компании, обясни пред “24 часа” председателят на Комисията за защита на личните данни Венцислав Караджов.

Всяка фирма

трябва да има

2-3-ма

служители, които

да отговарят за

сигурността на

информацията

А минималната цена за обучение на един служител е 1500 лв.

Ще трябва да бъдат назначени и обучени като служители за защита на информацията поне 90 000 души, каза Караджов. Те трябва да са технически грамотни, но в същото време не може да са от отделите на фирмите, които пряко обработват лични данни.

Реално с новия регламент фирмите вече няма да се регистрират като администратори на лични данни. Всяко физическо или юридическо лице, което обработва такава информация вече ще се счита за администратор и ще подлежи на контрол, предвижда еврорегламентът.

Дори малки фирми не могат да разчитат, че ще се справят само с един служител, обясни Караджов. Причината е, че при установено нарушение на сигурността на събраните лични данни всяка фирма има 72 ч да уведоми комисията и засегнатите хора. “Ако има само един служител, той няма да може да изпълнява това задължение”, допълни той.

Уведомяването на комисията при проблем със защитата на личните данни пък е едно от условията, за да не бъдат налагани предвидените в регламента санкции. Глобите в новия европейски регламент са в размер на 20 000 000 евро

или 4% от

оборота на

компанията,

която го е нарушила. Глобата е фиксирана на европейско ниво и нашата комисия няма да има възможност да налага по-малки санкции, въпреки че събраните от глоби средства ще постъпват в бюджета на България. При фирми, които работят и извън България, процедурата ще се контролира и от орган в друга държава от ЕС, който ще може да изисква наказание.

В момента с обучение на служители по защита на данните се занимават частни компании. При тях таксите са много високи, със средна цена от 3000 лв. на обучен човек.

Комисията за защита на личните данни иска да изгради свой обучителен център, за да предлага тази услуга по-евтино и с гарантирано качество, каза Караджов. По негови сметки за изграждането на обучителния център ще са нужни 2 млн. лв. Инвестицията щяла да се изплати, защото

в бюджета

можело да бъдат

върнати поне

15 млн. лв.

от такси за обучение, които да заплаща бизнесът.

Фирмите ще трябва да инвестират и в нов софтуер за обработка на личните данни, предупреди още Караджов. Причината е, че сегашните програми с отворени кодове, които се ползват масово от бизнеса в България, не отговарят на техническите изисквания за защита. Каква е нужната инвестиция обаче, било трудно да се каже, защото зависела от избраните софтуерни продукти и техните лицензионни такси.

Допълнително фирмите ще трябва да променят процедурите си за обработване на лични данни. С влизането в сила на новия регламент те вече ще трябва да доказват как са събрани личните данни, както и дали е законно каквото и да било обработване на информацията.

За да се намалят изискваните инвестиции, е хубаво фирмите много внимателно да прегледат какви лични данни на клиенти събират и обработват. И ако реално тези данни не са им нужни за дейността им, да спрат да го правят, съветва Караджов. По принцип най-трудно ще е спазването за регламента от компании, които освен нормални лични данни като ЕГН или адреси обработват и т.нар. чувствителна информация, която включва данни за заболявания и пр., които биха могли да уязвят човек.

Засега Комисията за защита на личните данни не е планирала засилени проверки на фирмите след 25 май, успокоява шефът ѝ. “Нашата цел е да разясним максимално широко новите правила и да съдействаме на бизнеса да си обучи хора и да създаде ясни структури. Ако при нас постъпят множество жалби от конкретен тип администратори или конкретна фирма, естествено че ще отидем да извършим проверка. Ние заради това сме създадени като орган. Когато има оплаквания, не можем да ги пренебрегваме”, каза Караджов.

Геолокацията вече извън закона, спамът също ще бъде наказван

Регламентът позволява и глоби за коалиции, които дават в ЦИК фалшиви подписи

Биометричните данни, геолокацията, имейлите и IP адресите вече ще са лични данни след влизането в сила на новия европейски регламент от 25 май. Това означава, че събирането и обработването им от ведомства и компании без изричното съгласие на човек ще е престъпление.

“Обработването на геолокация, за да бъдат таргетирани реклами например, вече ще е абсолютно нарушение, освен ако потребителят не е дал на “Гугъл” изричното си съгласие”, обясни председателят на Комисията за защита на личните данни Венцислав Караджов.

Разпращането на спам и закупуването на бази данни с имейл адреси от компании също ще са нарушение на новите правила за защита на личните данни. Досега тази търговия с имейл адреси беше извън регламентите както на национално, така и на европейско ниво и много фирми се възползваха от това.

Благодарение на новия регламент българската комисия вече ще може да глобява и инициативните комитети и коалициите. Досега те не понасяха санкции, когато са предоставили в ЦИК незаконно събрани подписи и ЕГН-та, за да се регистрират за избори, защото съдът отменяше глобите им. “Общият регламент за разлика от нашия закон предвижда и други форми, освен юридическо и физическо лице да са администратори. Което означава, че инициативните комитети и коалициите попадат в тази хипотеза. След като имаме разширена дефиниция, не виждам вече как съдът ще отменя нашите наказателни постановления. При много от комитетите и коалициите на предните избори беше установено с графологични експертизи, че са събирали лични данни не от самите лица”, разказа Венцислав Караджов.

Венцислав Караджов, председател на

Комисията за защита на личните данни:

Глобата е 20 млн., но съдът може да я намалява

Фирмите трябва ясно да обясняват за какво събират лични данни

- Г-н Караджов, от 25 май IP адресите стават лични данни, а интернет бисквитките ще подлежат на контрол. Какво трябва да направи бизнесът, за да отговори на тези изисквания на регламента?

- Трябва да уведомят физическите лица за какво ще използват техните лични данни чрез тези бисквитки. Разбира се, тогава, когато определени бисквитки са крайно необходими за функциониране на сайта и когато лицето е отишло на него, примерно за покупка на стоки през интернет, то е ясно, че за да извърши това, ще трябва в един момент да предостави лична информация – име, номера на банкови карти, адрес за получаване на стоката и пр. Така че там, за да можеш да ползваш услугите на сайта, трябва да се съгласиш с тези условия. В противен случай няма как да се ползва пълната функционалност. Но сайтовете трябва да обясняват тази информация на достъпен език на клиентите си, така че потребителят да е наясно, а не само да презюмира каква негова лична информация ще бъде използвана.

- Каква е защитата върху имейлите? Вярно ли е, че дори препращането на имейл може да бъде прието като нарушение на регламента?

- Това са специфични казуси. Примерно вашата фирма има договори за аутсорсване на определени дейности. И съответно предоставяте определена информация на фирмата, която ще извършва тази дейност. Тя ще се яви обработваща на лични данни, ако се налага. И ако тази информация се обработва само на базата на съгласие, а не по силата на закон, тогава ще е нужно изрично съгласие на физическото лице. Но при информиране, че става въпрос за търговска дейност и човек ви изпраща този имейл, очевидно, че има неговото съгласие. Но това са конкретни казуси, които ще се тълкуват спрямо конкретиката. Примерно ЕРП-тата предоставят услуги през търговски дружества и няма как да не предоставят лични данни.

- Много скъпо ли е въвеждането на регламента за бизнеса?

- От моя гледна точка нещата не се променят толкова съществено. Бизнесът и сега спазваше тези правила или поне трябваше да ги спазва. Новото за бизнеса е, че ще трябва много ясно да документира своите действия, за да докаже законосъобразното обработване на личните данни. Това ще ангажира доста ресурси – човешки и IT. До момента бизнесът не наблягаше толкова много на принципа на доказване, защото и санкциите не бяха много големи. Големите санкции в новия регламент обаче пресират бизнеса. Налагането на глоба в размер на 10 или 20 млн. евро или на 4% от оборота на фирмата са пряка щета.

- 20 млн. евро глоба затваря 2/3 от фирмите в България. Как ще ги налагате?

- За нашата икономика действително тези глоби са голям проблем. Но в случая имаме европейска реформа под формата на регламент, който е задължителен акт за държавите членки. След като сме част от ЕС, трябва да спазваме правилата, а те са такива. Санкциите важат за всички държави членки. Не очаквайте обаче тези санкции да бъдат наложени още на 26 май. Комисията ще издаде указания към фирмите какво и как да направят. Нашата цел не е да сринем бизнеса. Има опция примерно за констатирани нарушения, които не водят пряко до сериозно увреждане на физически лица, ще даваме предписания на фирмите какво следва да направят. И тези предписания трябва да бъдат изпълнени в даден от нас срок. Така че санкцията ще бъде налагана, когато е извършено много сериозно увреждане на правата на физическите лица.

- Ще може ли съдът да намалява разрмерът на глобата?

- Да, може да я намали, ако е несъгласен с мотивите. Никой не може да каже на съда как да прецени съответните факти и обстоятелства. Има обаче и друг аспект. Другите надзорни органи ще разсъждават от позицията на тяхната съдебна система. И ако при нас се получи дъмпинг на санкциите, ще се повдигне въпросът дали това законодателство се прилага еднакво във всяка държава. И може да се постави въпросът доколко в България се прилага със същите стандарти и критерии единното европейско законодателство.

ВЕНЦИСЛАВ КАРАДЖОВ
ВЕНЦИСЛАВ КАРАДЖОВ