Всяка организация ще има отговорник по личните данни

Назначаването на главен отговорник по защитата на личните данни е една от най-съществените промени, които настъпват с новия регламент GDPR на ЕС, поясни Вихрен Славчев, управител на Мнемоника

От 26 май 2018 г. всяка организация трябва да има отговорник по защита на личните данни. Изискването важи за всички видове структури, които имат досег до нечии лични данни – на клиенти, на служители, на партньорски организации. То обхваща както частните фирми, така и държавните органи, нестопанските и неправителствените организации, които имат един или повече служители. Размерът няма значение – изискването е валидно както за големите организации с хиляди служители, така и за микро-предприятията с 1-2 работници.

Задължението произтича от новата норма в ЕС – Регламент за защита на личните данни, известна още като GDPR. Тя бе създадена, за да унифицира правилата за защита на личните данни в Европа. До този момент въпросната защита се осъществяваше по различен начин в различните страни от ЕС. Това доведе до съществени различия, което е проблем за гражданите. Ситуацията трябва да се промени с въвеждането на единния регламент за защита на личните данни на ЕС. Той бе приет и влезе в сила от 25 май 2016 г., а неговото прилагане трябва да започне от 25 май 2018 г.

„Става дума за единен регламент, а не за директива. Регламентите на ЕС са норми, които се въвеждат директно в националното законодателство“, обясни Вихрен Славчев, управител на Мнемоника, чиято дейност от 2009 година насам е съсредоточена основно върху сигурността и защитата на данните в организациите.

„Досега в ЕС повечето страни имаха отделни регулации за личните данни – някои по-добри, други по-лоши; всеки законодател в ЕС се справяше различно, но това направи трудно да се управляват личните данни на ниво ЕС. А хората стават все по-чувствителни към това кой, къде и как обработва личните им данни,“ казва Славчев.

Нов елемент в защитата на личните данни, който произтича от  GDPR, е правото на всеки гражданин да пита: всеки жител на ЕС има право да поиска да знае по кое време, от кого, как и защо са били преглеждани личните му данни, кога за последно са достъпвани и от кого. При промяна на лични данни организациите, боравещи с такава информация, са длъжни да пазят и старото състояние на данните.

Въвежда се правото „да бъдеш забравен“ – всеки гражданин може да поиска от всяка организация да прекрати съхраняването и обработката не негови лични данни. За целта той трябва да подаде заявление. На това основание организацията е задължена да му върне отговор и да посочи кои данни ще бъдат запазени от гледна точка на други действащи закони и до кога.

Друга съществена разлика, по думите на Славчев, е начинът на проверка на съответствието с изискванията за защита на личните данни. „До момента у нас най-съществено беше да се покаже какъв продукт е въведен – например за криптиране,“ обяснява Славчев. „Сега обаче при проверките съгласно този нов регламент ще се следят функционални изисквания – от организацията ще се иска да покаже и да докаже, че данните не могат да изтекат и че са надеждно защитени, без значение дали за целта се използва даден продукт. Данните може да са криптирани чрез сложен софтуер или да са просто заключени в шкаф – това няма да има значение, стига да са недостъпни за неоторизирани лица“.

Неспазването на изискванията на GDPR ще се санкционира финансово. В зависимост от тежестта на нарушението глобата може да варира от 2 до 4 процента от общия годишен оборот за предходната година, но не по-малко от „10 до 20 милиона евро“.

Назначаването на главен отговорник по защитата на личните данни е една от най-съществените промени, които настъпват с новия регламент. Такъв служител ще има за задача да се грижи за защитата на всички лични данни, с които организацията борави.

За качествата на отговорника регламентът не посочва конкретни изисквания, но задължава специалиста да има „експертно познание за законите за защитата на личните данни и практиката“. Главният служител по защитата на личните данни следва да е пряко подчинен на най-висшето ръководство на организацията.

Задача на отговорника е да информира и съветва организацията и всички нейни служители за техните задължения, произтичащи от спазването на GDPR и другите закони за личните данни. Отговорникът трябва да провежда мониторинг на съответствието с GDPR и всички други норми, касаещи личните данни. Това означава и да провежда вътрешни събития, обучения, одити. Той може да съветва ръководството какви мерки да предприема – особено при промени на процесите в организацията. Предполага се, че отговорникът работи в пряка връзка с висшето ръководство на организацията и е контактното лице по всички въпроси, свързани със защита на личните данни.

Според някои източници, по отношение на специалистите по защита на личните данни, GDPR заимства вече действащи положения от федералния Закон за защита на данните в Германия, който изисква организациите да имат служител по защита на данните във всички структури с над девет служители, заети в автоматизираната обработка на лични данни, или над 20 души, заети с неавтоматизирана обработка на данни. Според германското законодателство, служителят по защита на личните данни трябва да бъдат подходящо квалифициран и е защитен от уволнение, с изключение на случаите на тежко нарушение на задълженията си.

Съгласно регламента, главният отговорник по защитата на личните данни има и редица права, освен задължения. Той може да изисква ресурси от организацията, за да изпълни изискванията на GDPR, включително за собственото си обучение и подготовка. Такъв служител следва да има достъп до всички дейности на фирмата, свързани с обработката на данни. Отговорниците по защитата на личните данни имат изрично съгласие да имат независимост в своята работа и могат да изпълняват други задачи и задължения в организацията, ако това не пречи на задължението им за опазване на личните данни.