Софтуер

Готови ли сме за новите правила за личните данни?

Computer World

Реалният сектор у нас не бърза с въвеждането на изискванията на Общоевропейския регламент за защита на личните данни (General Data Protection Regulation,GDPR) и изчаква промените в нормативната уредба. Това стана ясно по време на международната конференция „Колаборацията в основата на опазването на критичните данни“, организирана от ICT Media и ISACA Sofia Chapter със съдействието на Министерство на отбраната, ДАЕУ и ДАНС.

Повечето компании живо се интересуват от прилагането на регламента за защита на личните данни, но засега – само на нивото на консултациите, категоричен е директорът по бизнес развитие на „Парафлоу Комуникейшънс“ Тодор Ташев. 

Промените в законодателството се бавят

Има готов закон, който съответства на регламента, коментира Цанко Цолов, от Комисията за защита на личните данни. Той ще бъде внесен в Народното събрание през някое от ведомствата, защото институцията няма право на законодателна инициатива. Очакванията са, това да стане месеци преди влизането в сила на регламента. Но независимо дали промените ще бъдат приети от Народното събрание до края на май или - не, след 28 май 2018 г., всички български фирми са задължени да се съобразят с изискванията регламента. ( За разлика от европейските директиви, регламентите имат незабавно действие и стоят над националното законодателство в конкретната област, което има само уточняващ характер.)

Истината е, че почти няма компания, която да не се докосва до GDPR, по един или друг начин. Съвременният бизнес или обработва лични данни, или е техен администратор, или пък е обект, който предоставя данните на клиентите си. Всички физически куриери, облачни компании, разработчици на мобилни приложения трябва да изпълнят регламента. Макар да не са заплашени от глоба от националния контролиращ орган, българските компании могат да понесат финансови загуби от искове, заведени от лица, които смятат, че личните им данни не се съхраняват по предвидения начин. 

Как GDPR улеснява бизнеса?

Участниците в дискусията се обединиха около мнението, че регламентът е преработка на бизнес процесите в поток от данни и ще накара българските компании да решат дали те са им нужни - или не.

Според Борис Гончаров, директор стратегическо развитие на информационната сигурност в „Аматас“ ЕАД, защитата на данните не е нова тема за ИТ бранша, но проблемът е, че регламентът предвижда, когато личната информация бъде създадена, веднага да се класифицира, категоризира и защити по предвидения ред. От друга страна, той призна, че вместо да се трие ненужната част от нея, често се увеличава пространството за съхранение, например, чрез закупуване на нови сървъри. GDPR обаче ясно постановява, че компаниите могат да съхраняват това, което им е необходимо, т.е. вместо да увеличават пространството, ще трият ненуното. Подобна хипотеза съществува и в сега действащото законодателство, коментира адв. Весела Кабатлийска, експерт защита на лични данни в Адвокатско дружество „Динова Русев и Съдружници“. Но тъй като не са предвидени санкции, често ненужните данни остават. GDPR обаче ще сложи край на излишното събиране на лични данни. Освен за потребителите, това ще се окаже полезно за бизнеса, който ще внесе ред в процесите си и ще стане по-ефективен, коментираха експертите.

Имаме право "да бъдем забравени", но не и изтрити

GDPR ще доведе бизнеса в обака, тъй като доставчиците на услугата ще криптират данните си в съответствие с изискванията на стандарта, прогнозира Тодор Ташев.

Засега обаче не е ясно какъв е стаутът на облачната услуга по отношение на новия регламент: дали тя се отнася към операторите, които само съхраняват данните, или към администраторите, обработващи данните за бизнес проучвания. Регламентът въвежда и т.нар. „право да бъдеш забравен“ или данните ти да бъдат свалени от публичното пространство. Това обаче не означава „да бъдеш изтрит“ и отнесено към облачните услуги предполага, че данните на потребителя могат да не се индексират, т.е. да бъдат „минимизирани“. Същото се отнася и за данни, които подлежат на съхрание за по-дълъг срок по друг закон, например данни за заплати, които по нашата нормативна уредба се съхраняват 50 години, или данни за плащания, кредитни досиета и др.

Инвестиция в сигурността на данните

Компаниите ще трябва да посочат т.нар. експерт по поверителните данни (Data Privacy Officer), който може да е външен като одитора или вътрешен като CSO. Специалистът трябва да има познания по ИТ, право, управление на риска и оценка на въздействието.

Очакванията са, във връзка с GDPR, организациите да инвестират или в сигурността на данните, или в оперативната им обработка. По всяка вероятност болниците и други организации, които боравят с чувствителни данни ще заделят бюджети за сигурност, а онлайн компаниите и търговците – за обработката. Прогнозата сочи, още, че финансовите институции ще вложат поравно и в двете посоки. Не на последно място, очакванията са да се повиши и бизнес културата у нас, тъй като компаниите ще са длъжни да докладват за пробиви в системите си и за всички течове на лични данни. Към момента това почти не се прави, тъй като не се изисква от законодателството.

Виргиния Стаматова

© Ай Си Ти Медиа ЕООД 1997-2021 съгласно Общи условия за ползване

X