Санкция от 20 млн. евро или 4% от оборота грози компаниите в Европейския съюз, ако не спазват новия регламент за защита на личните данни. 

Регламентът влиза в сила от 25 май 2018 г. и изисква във всяка държавна институция или фирма, която е имала достъп до данните на 1000 души да има обучен служител по опазване на личната информация. 

Реформата е изключително сериозна, защото засяга личната информация на близо 500 милиона души – населението на ЕС. 

Какво са лични данни според GDPR?

- Трите имена

- ЕГН

- Адрес

- Имейл

- IP адрес, както и cookies – следите от дейността в интернет

- Медицинска информация

- Банкови данни

- Геолокация

- Всички данни, които могат да разкрият лична информация или да идентифицират човек чрез: религиозна принадлежност, физически особености, произход, роднини, членство в партия или организация, месторабота

Кого засягат ?

- За компаниите GDPR означава изцяло нов подход към личните данни, които събират и съхраняват. Регулацията засяга всяко дружество, което някога се е докосвало до данни на над 5000 души, но скоро този брой ще падне до 1000 души. Това означава, че регулацията засяга почти всяка фирма в България, тъй като се взимат предвид и личните данни на бившите и настоящите служители. 

Регламентът ще обхване без отлагане 80% от българските компании, но също така болници образованието детските градини, туристическия бизнес и целия икономически живот.  Институции като здравеопазване и образование няма нужда от праг за личните данни те са длъжни да защитят и минимален брой, защото информацията е чувствителна.

Това  не е поредната директива тип крива краставица. Тя е важна, защото вече физическият адрес на компютъра Ви е много по- важен и дава много повече информация за вас отколкото домашния ви адрес”, разяснява Палейкова и припомня как платформата Yahoo мълча две години за пробив в базата им данни, при които изтекоха и- мейли и пароли на милиони потребители, които после се търгуваха за кибер престъпления.

Регламентът уеднаквява режима на опазване на личните данни и няма да доведе до големи промени в България, защото сме приложили европейската директива от 1995 г. за защита на личните данни в пълен обем за разлика от Германия или Белгия например.

Администраторите няма да подлежат на предварителна проверка по документи и която изисква регистрация. Но самите те трябва да поддържат базите данни, така че да са отчетни към комисията и прозрачни към лицата, които данни съхраняват.

Фирмите имат срок от 72 часа да докладват пред Комисията за защита на личните данни и засегнатите граждани за изтичане или кражба на лични данни. Ако укрият тази информация и по-късно инцидентът бъде разкрит, глобата е 2% от оборота, разяснява експертът по киберсигурност от дигитално читалище SAFER Ваня Палейкова.

Може ли регламентът да бъде заобиколен ? 

Има няколко начина една компания да бъде разкрита, че не спазва GDPR:

- След проверка от български и най-вече чуждестранен контролен орган

- След жалба на клиент

- След сигнал от конкурент

- При пробив в сигурността и изтичане на данни

Какви мерки трябва да предприеме бизнесът ? 

- GAP анализ (предварителна оценка) за състоянието и защитата на личните данни, които съхраняват и обработват; 

- Организационни стъпки: преглед къде се съхраняват данните, колко са, какви са, трябва да се назначи отговорник по сигурността на данните, трябва да се гарантира, че, ако клиент иска да бъде „забравен“, фирмата ще заличи неговите данни. Трябва да има план за действие при инцидент отвън или отвътре;

- Технически стъпки: Пълна защита и отчетност на достъпа до данните: криптиране, маскиране и анонимизация на данните; 

- Трябва да бъде назначен пазител на данните – вътрешен експерт или външна фирма, която да се грижи за данните;

- Трябва да има план за действие при инцидент, както и разписани правила за работа с лични данни – къде се съхраняват, кой ги пази, кой работи в тях, как се обменят с трети страни;

Регламентът отваря голяма ниша и в бизнеса за кибер-сигурност, който предлага обучение за бизнеса. Рая Крумова е собственик на туристическа агенция и не е изненадана. В бизнеса с туристически услуги, продажба на екскурзии и самолетни билети отдавна има много нива на защита в системите за самолетни резервации, които кодират данните на пътниците, за да не може клиентът да бъде профилиран.

„В нашия бранш тази подготовка отдавна е направена още от самото начало със стартиране на изискване за личните данни. Те се съхраняват достатъчно добре. Всяка една от резервационните системи има допълнителни сертификати, които се инсталират на всеки един от компютрите. Второто ниво защитени са с пароли, които се подменят на всеки 2 до 6 месеца. Тази парола е персонална за всеки един, който влиза в тази система, сам го задава и сам го променя. Няма достъп чужд до твоя персонален номер и оттук нататък се следи кой кога влиза и какво прави. Въпреки че всеки един хакер, ако е решил да влезе в компютър не смятам, че пароли или каквото и да е ще са някакво препятствие за него ако е решил да го направи” , коментира Крумова.

Какво е състоянието на българският регулаторен орган ?

В България за регулацията отговаря Комисията за защита на личните данни. Тя ще е част от общ постоянно действащ орган за контрол на европейско ниво. Например - аутсорсинг фирма от IT сектора в България е хакната и са изтекли данни на германски граждани. Тогава разследването на инцидента и наказанието за българската фирма ще се случват в Германия и не може да се разчита на местно снизхождение. При киберинцидент всяка фирма се счита виновна до доказване на противното. 

„В момента у нас има 370 хил. администратори, които работят с лични данни. Две-трети от тях са проверени по документи само една трета с чувствителна информация са проверявани на място. Сега в рамките на година комисията ще трябва да извършва по 4-5 хиляди инспекции на място тъй като ние до този момент извършаваме 2 -3 хиляди. Тези проверки ще ангажират много финанси, защото комисията не разполага с местни клонове”, обясни председателят на комисията за защита на личните данни Венцислав Караджов.

Комисията е предложила изграждане на обучителен център за 45 хиляди души, които да подготви безплатно, но държавата не е отделила средства за изграждането му.

„Предоставена ни е сграда за обучителен център,  но тя не е ползвана в последните 25 години”, добави той.

Преоборудването и ремонта ще струва 1,5 млн. лв. Нужни са  допълнителни средства за софтуерна обучителна платформа, защото част от специалистите ще трябва да бъдат обучени и дистанционно” , уточни Караджов. По думите му материалите за обучение на комисията са готови и въвеждането на платформата за онлайн обучение ще струва 350 хиляди лева.