GDPR – От Осанна до Разпни го

Ирена Георгиева 24 април 2018 в 07:55 10275 0

В навечерието на датата, от която Общият регламент относно защитата на данните или GDPR (Регламента) започва да се прилага, а именно 25.05.2018г., бизнесът е разделен на няколко основни групи по отношение на подготовката си за новите правила.

Макар истерията по тази правна рамка да няма аналог от незапомнени времена, правопропорционално е и некомпетентното отношение към изискванията към предприятията и организациите.

1) "Това не се отнася до моята дейност"

Сериозна част от малкия и среден бизнес още не е осъзнала необходимостта от това дори да се запознае с текста на Регламента (често дори неправилно наричан Директива). Битуват напълно погрешни схващания за необходимостта от съответствие с Регламента.

Например, някъде в онлайн пространството бе отбелязана част от клаузата на чл. 30, ал. 5 от Регламента, а именно че задължението за поддържане на регистри не се прилага "по отношение на предприятие или дружество с по-малко от 250 служители". Четенето и осмислянето на нормативния текст обаче очевидно не е довършено, информацията е изтълкувана погрешно, но за сметка на това разпространена доволно бързо. Така една част от бизнеса стигна до напълно превратния извод, че Регламентът не се отнася до него, защото не притежава повече от 250 служители.

Неправилно се счита също и, че Регламентът не е влязъл в сила (което се случи преди две години), или пък се прави паралел със сегашната правна рамка и отново се достига до погрешни заключения, че строгите правила по някаква причина заобикалят малкия и/или средния бизнес. По този начин за тези, както и за други бизнес групи, които пък въобще не са запознати с наличието на нова правна рамка, Регламентът реално не представлява проблем към момента по простата причина, че не съществува за тях. Въпреки многото и различни инициативи, свързани с Регламента, основната промяна в правилата, а именно почти всеобхватното и глобалното приложение на нормите, продължава да буди недоверие в попадащите в тази група организации.

2) "Всяко чудо за три дни"

Съществува и друга група от посветени по темата, която пък намира, че паниката във връзката с прилагането на Регламента напомня на "Проблемът 2000" или дори на края на календара на маите и очакват всички притеснения около него да изчезнат, така както са се е появили. Те познават донякъде новата правна рамка, но информацията им е по-скоро от социалните мрежи и няколко статии в медиите, обикновено със заглавия от рода на "GDPR в една минута". Нямат задълбочено отношение към новите правила и по тази причина нямат и намерение да отделят времеви или финансов ресурс за да подготвят организацията си за Регламента. Преценката е, че това е твърде дълъг и твърде скъп процес, който единствено ще забави бизнеса им и няма да доведе до положителни икономически резултати. Положителното при принадлежащите към тази група е, че поне осъзнават, че новите правила се отнасят и до тях. Опасно е обаче, че не ги намират нито за необходими, нито за задължителни. Очевидно, при тази група организации промяната в съзнанието на бизнеса, която Регламентът има амбицията да наложи и отговорното отношение към сигурността на информацията ще се случи много по-бавно от очакваното.

Въпреки горното следва да се признае, че в тази група влизат и организации, които технически и организационно са много добре подготвени да пазят личните данни, до които имат достъп – дори още преди влизането в сила на Регламента през 2016 г. Те не смятат за необходимо обаче да посветят още и допълнително усилия за актуализиране на вътрешните си правила, поддържане на регистри и обучение на персонал, т.е. по-скоро правната подготовка за новите правила е тази, която те намират за ненужно обременяваща.

3) "Регламентът е комерсиален"

Третата група отношение към предстоящата правна рамка събира тази част от бизнеса, която по някаква причина се чувства персонално "засегната" от наложените нови правила – Регламентът за тях се явява единствено един комерсиален инструмент, с който да се съсипят бизнеси, да се изхарчат пари и не малка група от щастливи консултанти бързо за забогатее на гърба на предприятията.

Тази група обаче се характеризира с това, че въпреки всичко се подготвя за съответствие с новите изисквания, но не намира никаква полза от тях. Напротив, смята че тази правна рамка е още един допълнителен регулаторен ангажимент в тяхното ежедневие, което подлежи и без това на съответствие с още и други нормативни правила.

В крайна сметка важен е крайният резултат, а именно инвестирането във време и адекватни средства с цел подготовка за прилагането на Регламента – по тази линия тази целева група организации е стриктна, макар и единствено защото е запозната с огромните загуби, които може да понесе. Тук се наблюдава пълната липса на осъзнатост относно положителните страни на Регламента и това, че поставя компаниите, които са в съответствие с него имиджово на много по-високо ниво.

4) "Спазваме всички изисквания"

На фона на горните три групи, изпълнени с недоверие или напълно незаинтересовани към бъдещите промени, все пак една не малка част от големия (частен или чужд инвеститорски) бизнес в България гледа изключително сериозно на датата 25 май 2018 г.

Подготовката тече с пълна сила, дори и не за всички тя да е започнала навреме. Осъзнатостта от нуждата от промяна на гледната точка при на третирането на лична информация и затягането на сигурността на данните на физическите лица е осезаема. Освен това, тази група е добре запозната не само с рисковете от много по-сериозни глоби от досега, но и с позитивите от Регламента, а именно да извади на преден план отговорните и сериозни бизнес партньори. Те гледат на съответствието с Регламента като на напълно задължително условие за всеки конкурентен бизнес, което ще ги открои от тези проявили безотговорно отношение към правилата.

На фона на така очертаната картина от четири бизнес групи с напълно различни възприятия към новата правна рамка за защита на субектите на лични данни, консултантският бизнес у нас гъмжи от най—различни активности – от т.нар GAP анализи (б. а. - най-общо анализ на пропуските в начина на обработка на лични данни на отделните организации, приключващ с доклад с мерки за съответствие с новия Регламент) и одити, до различни семинари и обучения. От една страна това е похвална инициативност, тъй като всеки, който има елементарно желание да се запознае с новите моменти от правната рамка или да допълни своите познания има избор от различни услуги. Негативният момент се състои в това, че до скоро професионалистите, консултиращи в областта на личните данни, се брояха на пръстите на едната ръка, а сега вече всеки от студентската скамейка до партньорите във всяка една ИТ компания или кантора, предлагат своето компетентно мнение по въпроса. По тази причина за организациите е изключително трудно, а дори и невъзможно, да отсеят експертите, от тези консултанти, които виждат в Регламента златна мина за бързо кеширане. Това е опасно за представителите на отговорната част от организациите, защото попадналите на непрофесионални консултанти организации често получават напълно погрешна или дори лъжовна информация от "сертифицирани" експерти.

Българският регулатор (КЗЛД) също демонстрира активност в подготовката за май месец, но въпреки това някои от най-важните елементи от нея не са готови - Законът за изменение и допълнение на Закона за защита на личните данни не е приет (и сякаш законодателят не бърза поради прякото приложение на Регламента), обученията на длъжностни лица за защита на данните са също с неизвестна съдба. По тази причина, дори и сред отговорните организации от четвъртата група по-горе липсва яснота по много въпроси.

Въпреки горното, България има и повод за гордост, а именно наличието на един подзаконов акт, който още от 2013 г. се прилага редом със сега действащата правна рамка, и който определено ще е от сериозна помощ на прилагащите Регламента (дори и да претърпи някои структурни промени). Това е Наредба № 1 за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Този акт почти няма аналог в другите европейски държави и представлява изключително сериозен и подробен каталог от правно-организационни и технически мерки, които трябва да се предприемат от отделните организации, в зависимост от нивото на защита, което трябва да поддържат.

Без да навлизаме в подробности какви са възприятията и на отделните субекти на данни по повод задаващата се уредба, можем да твърдим, че това е моментната снимка, която отразява готовността на България да влезе в съответствие с Регламента, и то след по-малко от месец – цветна, с положителни и отрицателни детайли и с доста липса на фокус.

И все пак ако до 25-и май поне свикнем с мисълта, че от тогава насетне "Регламентът за защита на личните данни ще започне да се прилага", а не "Директивата ще влезе в сила" ще е сериозна победа на здравия разум.

Б. ред. - Авторът на статията адвокат Ирена Георгиева е управляващ съдружник в PPG Lawyers.

Най-важното
Всички новини
Най-четени Най-нови