Общият регламент относно защитата на личните данни (GDPR) стъпва на три основни стълба – големи права на субектите на данни, прозрачност на процеса и засилване на възможността за одит и контрол. Кибер сигурността е само парче, макар и много важно в тази защита, каза Цанко Цолов от Комисията за защита на личните данни на дискусия по време на Четвъртия регионален форум за Югоизточна Европа за кибер сигурност и кибер престъпления.
По данни на КЗЛД, около 4% от компаниите в Европа и също толкова от американските им колеги са готови да покрият изискванията на GDPR. Близо 2 на сто изобщо не са чували за новия регламент. Над 55 процента от европейските компании са вече близо по изпълнение на плана, като отвъд океана делът им е около 40 на сто.
Останалите проценти се разпределят между компаниите, които са в различна степен на подготовка. „Това означава, че Европа не е „заспала” по отношение на сигурността на данните, а напротив – създала е доста адекватно законодателство”, заяви Цанко Цолов пред участниците във форума, организиран от Международната академия за обучение по киберразследвания, ГДБОП и IDC България.
GDPR всъщност не е нещо ново, регламентът стъпва върху 20 години практика в европейските директиви и на 15 години от нашия закон, коментира Пламен Ангелов от Комисията за защита на личните данни. Според него, често споменаваното „право да бъдеш забравен” представлява доразвитие на правото за заличаване на данните, което съществува в законодателството и в момента.
Заедно с регламента се заговори и за Data Protection Officers (DPO) – специалисти, които да се грижат за защитата на личните данни. Те могат да бъдат както от компанията, така и външни лица, но с достъп до мениджмънта и да могат да предлагат политики, каза Цанко Цолов. В това отношение американските компании изпреварват европейските – около 56% вече имат такива служители срещу малко над 40 на сто за представителите на Стария континент.
Около 45 000 DPO специалисти ще бъдат необходими у нас, прогнозира още Цолов. В момента Комисията за защита на личните данни провежда обучения, а от институцията се надяват скоро да има и магистърски програми в областта.
Едно от основните предизвикателства пред покриването на изискванията на GDPR е изискването данните да не напускат Европейския съюз, посочи Джиорджи Раш, директор на IBM Security Unit за Централна и Източна Европа. Въпреки че регламентът не посочва доставчици и технологии, ако компаниите не изберат правилния инструмент, може неволно да влязат в противоречие с правилата.
Вихрен Славчев, изпълнителен директор на Мнемоника, допълни, че риск представляват и опитите на компаниите да бъдат „зелени”. В стремежа си към пестене на електричество, доставчиците „местят” данните в центрове в различни точки на света за светлата част на денонощието. Така неволно се нарушава изискването личната информация да не напуска Европейския съюз.
GDPR не позволява различия при третирането на данните в страните от ЕС, но и други европейски държави се опитват да се придържат към изискванията. „В Украйна всеки ден постъпват оплаквания за злоупотреба с личните данни. Имаме собствено законодателство, което използва същата база като европейския регламент”, сподели Юля Боровска от офиса на омбудсмана на Украйна. Според нея, законодателният орган на страната все пак ще взаимства някои неща от GDPR, като например санкциите. В момента е предвидено компаниите, които не успеят да покрият изискванията на регламента, да бъдат глобявани с 20 млн. евро или с 4% от глобалния им годишен оборот.