Шест месеца GDPR: какво стана след първоначалната истерия

Шест месеца GDPR: какво стана след първоначалната истерия

© Reuters/EPA



Общият регламент за защита на личните данни (GDPR) въведе реформи, чакани двадесет години и все по-наложителни в светлината на разкритията как информационните гиганти се разпореждат с данните на потребителите си.


В същото време обаче неяснотите около прилагането му хвърлиха институции и частни фирми в паника и объркаха потребителите, от които се искаше да подписват съгласия за обработване на данни от банките и лекарите си. Проектозаконът за изменения в българския Закон за защита на личните данни не бе приет навреме и срещна мощен отпор от браншови организации.


Проблемите


"Сериозен проблем е липсата на подготвени и обучени специалисти по въпросите на защитата на личните данни в България. Липсата на познания и разбиране на основни понятия даде възможност на много самопровъзгласили се "експерти" да се опитат да се възползват от появилата се пазарна ниша. Достатъчно е само да си припомним истерията с искането на съгласие в ситуации, когато същото бе не само ненужно, но и недопустимо", коментира Пламен Ангелов, директор по международната дейност в Комисията за защита на личните данни (кой няма нужда да иска такова съгласие четете тук).




Според експерти от адвокатска кантора "Попов, Арнаудов и парнтьори" в последните шест месеца нелогичните практики като това личният лекар да връчва формуляр за съгласие намаляват. "От друга страна, подобно "презастраховане" определено е за предпочитане пред неглижиране на разпоредбите", казват те.


"Трудностите са разнородни – както организационни и правни, така и технически. Регламентът не казва директно: "направете А, B, C и D и ще постигнете законосъобразност". Не е и възможно да го направи, тъй като бизнесът и институциите имат всевъзможен и коренно различен предмет на дейност. Новата регулация въвежда правила и изисквания на по-принципно ниво, без особена детайлизация. Именно това може да се отчете като най-голямото затруднение за ръководствата на организациите – да приведат регламента към тяхната специфична дейност", смятат от кантората.


На въпрос има ли примери за злоупотреба от потребител – например заплаха от клиент за дълги, публични и скъпоструващи съдебни дела, пред която компанията да реши, че по-удачно за нея е да се придържа към споразумения, от "Попов, Арнаудов и партньори" сочат, че "Регламентът предоставя на администраторите на лични данни правото да наложат разумна такса, когато даден човек явно неоснователно и прекомерно често иска да "упражни" свое право. Това е удачен вариант за туширане на този род действия."


От началото на 2018 г. Комисията за защита на личните данни е получила над 690 жалби от физически лица на фона на 480 през цялата 2017 г. Наложила е 9 административни наказания за нарушения на GDPR, като общият размер на санкциите е 225 хил. лева.


Длъжностни лица по защита на данните – що е то


Въпреки че в началото на годината КЗЛД прогнозираше, че 45 хил. длъжностни лица за защита на данните не достигат на българския бизнес, това число се оказа прекалено голямо. Причината е вече отпаднало условие в проектозакона, на базата на който е направена и прогнозата. След 25 май 3400 администратори на лични данни са определили такова лице, обясниха от комисията, а броят на необходимите служители трябва да бъде преизчислен.


"Една от основните причини за сравнително бавния процес на определяне на длъжностни лица по защита на данните е липсата на достатъчно обучени експерти, които могат ефективно да изпълняват тези задачи", казва Пламен Ангелов.


При избора на организация, която предлага обучения по GDPR, е важно да се установи доколко авторитетна е тя – има ли международно признание и история на предлагани обучения, коментира Пол Джордан, изпълнителен директор за Европа на Международната асоциация на професионалистите в областта на неприкосновеността (IAPP). "Важно е тя да предлага продължаващо образование, завършващо със сертифициране."


Даниел Дрюър, длъжностно лице по защита на данните в Европол.

© Велко Ангелов

Даниел Дрюър, длъжностно лице по защита на данните в Европол.


Въпросните лица трябва да информират контролиращите институции и субектите на данни за правата и задълженията им, да действат и като лице за контакт и посредник, когато е необходимо, обобщава задълженията си Даниел Дрюър, който изпълнява тази функция в Европол. "Длъжностното лице служи като "канарче в мината" на администраторите на данни и в случаи на външен надзор и евентуално нарушаване на правата на субектите на данни", обяснява той. Човекът на тази длъжност може да алармира отрано и дори да предотврати нарушаване на регламента.


Но е важно длъжностното лице да действа независимо и от институциите, и от мениджмънта на компанията, сочи Дрюър. "Концепцията за независимостта не е изрично дефинирана в нито един от правните инструменти по защитата на данните. Но на практика става въпрос за функционална независимост при даването на мнение или съвет и за процедурна независимост по отношение на мениджмънта и организационната структура."


Законът за личните данни


Проектозаконът за личните данни срещна отпор от редица организации, сред които Програма "Достъп до информация" (ПДИ), Висшия адвокатски съвет, Камарата на частните съдебни изпълнители, Съюза на юристите, КРИБ и Нотариалната камара. Особено критикувани бяха предложенията за минимален праг на глобите (нещо, което отсъства в GDPR) и ограниченията за работата на медиите, както и падането на професионалната тайна. В крайна сметка спорните части от него отпаднаха и той бе приет на първо четене в парламента.


Балансът между защитата на личните данни и свободата на изразяване е задължение на държавите членки, сочи Ангелов. Според него финалният вариант предлага "справедливо и практически приложимо решение, при което медиите не са освободени от задължението да зачитат правата и интересите на субектите на данни, но в същото време могат да се ползват от конкретни облекчения и улеснения, като например безусловна защита на тайната на журналистическите източници, което им позволява да извършват обективно своята журналистическа дейност".


"Попов, Арнаудов и партньори" също са имали "сериозни резерви" по отношение на първоначалния проект. "Може само да ни радва, че мненията, включително становището на Висшия адвокатски съвет, бяха взети под внимание и доведоха до промени в текстовете. Това обаче не следва и напълно да ни успокоява, тъй като предстои да видим как всъщност ще се тълкуват разпоредбите на новия закон, т.е. как КЗЛД ще ги имплементира в дейността си като надзорен орган."


Бъдещето


"Мисля, че тепърва трябва да станем свидетели на широка културна промяна в мисленето на потребителите, макар че защитата на данните и въпросите на GDPR навлязоха в медиите както никога преди", коментира Пол Джорджан. "Това повдига повече въпроси за неприкосновеността на потребителя, а индивидуалните права все повече стават нормата за консуматора и гражданина. Това вероятно ще е най-видимо при различните поколения – по-младите граждани вероятно ще са по-загрижени за неприкосновеността си."


Пол Джордан, управляващ директор за Европа на IAPP.

© Велко Ангелов

Пол Джордан, управляващ директор за Европа на IAPP.


Имаме сериозни основания да се съмняваме дали големите играчи като "Фейсбук" и "Гугъл" ще спазват регламента, коментират от "Попов, Арнаудов и партньори", припомняйки, че и в момента ирландският регулатор разследва "Фейсбук", а няколко държави проверяват дали "Гугъл" проследява неправомерно локацията на потребителите. Но според тях дела като тези на австрийския правист Максимилиан Шремс (повече за него четете тук) показват, че "всеки може да се изправи срещу огромните мултинационални корпорации, ако правата му като субект на лични данни са засегнати. Не е нужно да си обществена личност, нито да инвестираш финансов ресурс, за да си упражниш правата, включително на жалба и/или дело по съдебен ред. Регламентът действително дава тази възможност на всеки – жалба срещу "Фейсбук" например може да се подаде и до българската Комисия за защита на личните данни, въпреки, че тя не е водещият надзорен орган за "Фейсбук."


На кого да се жалва българин в Испания, недоволен от френска фирма


Регламентът дава право на избор, обясни Пламен Ангелов. "В този случай той може да подаде жалба до КЗЛД, до испанския или до френския надзорен орган. В подобни хипотези влиза в сила един изцяло нов механизъм на сътрудничество и съгласуваност между надзорните органи, известен още като "обслужване на едно гише". Накратко, ако водещ надзорен орган за дружеството нарушител е френският, тогава българският, съответно испанският орган следва съвместно с френския орган да уточнят кой ще разгледа жалбата и какво ще е окончателното решение по нея."


Всичко, което трябва да знаете за:
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK