Десислава Кръстева: Защитата на данните е важна, защото всеки бизнес ги ползва
Защитата на данните е важна, защото всеки бизнес ги ползва Не очаквам да се стигне до максималните глоби, казва адвокатката, съдружник в адвокатско дружество „Димитров, Петров и Ко.“ и старши правен експерт във фондация „Право и интернет“
– Защо се наложи въвеждането на нов регламент за защита на личните данни, адвокат Кръстева?
– GDPR е една от най-големите реформи на европейското законодателство през последните години. Причините за реформата са няколко. Досегашната директива е остаряла вече, тя е от 1995 г. и не отговаря на съвременното развитие на технологиите. Амбицията на европейските институции е да разпрострат действието на този регламент и върху организации, които не са установени в Европейския съюз, но предлагат стоки и услуги на територията му.
Те са насочени най-вече към високотехнологични онлайн услуги, които генерират приходи въз основа на обработването на данни на европейски граждани.
Важно е и
засилването на
защитата на
гражданите,
тъй като с развитието на технологиите възникват все повече и различни рискове за защита на данните.
Санкциите са толкова по-високи от сегашните, за да обхванат всички мащабни бизнеси. Смята се, че международният ефект, който се цели, няма как да бъде постигнат чрез санкции от локален характер. Това са основните доводи на европейския законодател.
– Влизането в сила на регламента сякаш предизвика паника сред бизнеса у нас.
– Паниката или хаосът не се дължат на самия GDPR. Голяма част от причините за тях всъщност са изисквания, които и досега са били налице, но до момента на тях се е гледало не толкова сериозно. Няма организация, която да не обработва лични данни.
В този момент редица организации, които дълги години са обработвали лични данни, предприемат по-съществени действия, за да се съобразят с изискванията.
– Може би големият размер на глобите също е притеснил компаниите. Има ли опасност да се налагат несъразмерни санкции спрямо оборотите например?
– Не мисля, че има такава опасност. Заложените в регламента максимални размери не са санкциите, които обичайно ще бъдат налагани. И сега размерът на санкциите в България за малък или среден бизнес е доста висок –
между 10 000 и
100 хил. лв. за
едно нарушение
Можеше и да се натрупват.
Санкциите ще бъдат налагани пропорционално – спрямо нарушението, мащаба на организацията и има въведени много критерии, на чиято база ще се налагат тези санкции. Не очаквам да видим глоба в максимален размер не само в България, а изобщо в рамките на ЕС, освен в извънредни случаи, при драстично и мащабно нарушение от голяма организация като банка или международен интернет гигант.
– Подготвен ли е българският бизнес за тези изисквания?
– Голяма част от компаниите до момента се подготвяха или сега започват да се готвят за изисквания, които са били приложими към него повече от 15 г. Много организации тепърва започват, изобщо не са готови. Други, които са били в съответствие с предишните изисквания, също имат какво да допълват. Привеждането в съответствие с регламента не е еднократен акт, а постоянен процес.
Очаквам, че в бъдеще българският бизнес ще продължи да полага грижи в тази посока. Не мисля, че е по-зле подготвен, отколкото организации от други държави в ЕС. Мога да го кажа от опит. Голяма част от работата ми е за чуждестранни компании и опитът ми досега сочи, че няма голямо разминаване в нивото на готовност в България и в други страни от ЕС.
Евентуално по-напред са само в Германия и Австрия. В Германия регулаторът винаги е бил изключително строг, правилата са били много по-завишени и до момента. За тях защитата на личните данни е станала част от задължителните неща, които прави всеки един бизнес. В останалата част от ЕС организациите продължават да се привеждат в съответствие.
– Възникна ли нова индустрия за консултантите с идването на регламента?
– Наблюдава се подобно явление. Започвайки от това, че материята, особено в България, беше по-непопулярна, нямаше търсене на такъв тип услуги на нашия пазар. Експертите не са чак толкова добре подготвени. Наред с това се появиха, бих казала, неморални практики на представяне на определен продукт, стока или услуга на нещо, което е задължително да бъде закупено или извършено, за да си в съответствие. Имахме случай, когато в болница бяха ходили консултанти, които заявили, че не трябва да ползват обичайните си правни консултанти, защото регламентът забранява те да ги консултират по въпроса за защита на личните данни. Или представянето като задължително на извършването на пълен одит. Това е нещо препоръчително, особено в големите компании, но не е задължително изискване на регламента. Нужно е да се информираме и да знаем, че универсално решение няма.
– За какво да внимават гражданите?
– Те нямат повод за притеснение, регламентът засилва правата и защитата им. Когато се говори за защита, трябва да се знае, че защита на личните данни не означава забрана те да бъдат събирани. Трябва да се преценява дали за лицето, което ги иска, е необходимо да ги получи. Със сигурност работодателите им могат и трябва да обработват личните им данни.
– Но не всеки има право да ни иска личната карта и да я снима например.
– Българската Комисия за защита на личните данни има практика, в която допуска заснемането на документ за самоличност, когато това е предвидено по закон. Основен такъв е Законът за мерките срещу изпирането на пари. В него влизат банки, фирми за бързи кредити, нотариуси, когато изповядват сделки, и т.н. Те нямат право да обслужат клиент, който преди това не е бил идентифициран. Но от години е ясно, че не е законосъобразно някой да задържа личната ни карта като гаранция. Регламентът дава на гражданите правото на информация. То се състои в това, когато техни лични данни се събират, администраторът да им предостави информация за какво са необходими, на какво основание и да им разясни техните права. Така те могат да разпознаят дали срещу тях стои администратор, който е подготвен и ще защитава добре личните им данни.
CV
Адв. Десислава Кръстева завършва право в СУ „Св. Климент Охридски“ през 2003 г. От 15 г. специализира в областите защита на личните данни, право на информационните и комуникационни технологии и телекомуникационно право. Тя е сертифициран професионалист по защита на личните данни за Европа (Certified Information Privacy Professional/ Europe (CIPP/E)) и сертифициран мениджър по управление на защитата на личните данни Certified Information Privacy Manager (CIPM) от Международната асоциация на професионалистите по лични данни (IAPP)
Тази публикация е част от ежедневния преглед на печата на правна тематика
Коментирайте