fallback

Любомир Захаринов: Повечето компании у нас ще имат нужда от консултанти по GDPR

Целта е експертите да направят пълен анализ на състоянието на компанията и да я подготвят за новия регламент, твърди партньорът в HLB България

09:01 | 12.03.18 г.
Автор - снимка
Създател
Автор - снимка
Редактор

Любомир Захаринов, партньор в одиторската компания HLB БългарияСнимка: Личен архив

На 25 май тази година в сила влиза Регламентът на Европейския съюз (ЕС) за защита на личните данни, известен още като GDPR. Той ще засегне над 190 страни по целия свят и е свързан с над 80 нови изисквания, с които бизнесът ще трябва да се съобрази.

Целта на новия регламент е да се хармонизира защитата на основните права и свободи на физическите лица по отношение на обработката на данни, така че да се осигури свободно движение на тази информация между страните членки.

За компаниите това ще означава редица промени на организационно и на документално ниво, за да могат да отговорят на изискванията за защита на седем основни права на гражданите. Ако компаниите от ЕС не изпълнят въпросните изисквания, ги грози санкция от 20 млн. евро, или 4% от оборота им.

Промените, които ще настъпят, до голяма степен са свързани с разрастването на интернет операциите на редица големи компании, като технологичните гиганти от САЩ. Идеята е да се обхванат не само оператори на данни от ЕС, но и такива във всяка точка на света, които макар и не базирани на негова територия, съхраняват и обработват информация за негови граждани.

Същевременно новият регламент обръща специално внимание и на самите потребители, като ги овластява по нов начин. Освен, че ще могат да получат достъп до личните данни, които са предоставени от тях, потребителите вече ще могат да вземат важни решения за промяната им, както и за пълното им заличаване.

За да разберем какъв е механизмът за внедряване на GRDP, разговаряхме с Любомир Захаринов, партньор в одиторската компания HLB България*. Той е завършил в Breda University of Applied Science Холандия. Управлява и редица проектни дружества – Дом за възрастни хора-„Дом заедно“ – www.domzaedno.com, хотел Казабланка - www.casablanca-obzor.com, и др.

Господин Захаринов, бихте ли обяснили кои са основните аспекти на регламента, които бизнесът трябва да има предвид от гледна точка на изискванията към него?

- Регламентът разширява драстично правата на физическите лица, чиито данни се съхраняват. Те вече трябва да бъдат информирани от администраторите за това какъв тип данни се събират за тях, на какво основание, с каква цел и как ще бъдат обработвани. Второто нещо е, че вече ще имат право на достъп до личните си данни и право на коригиране. Контролът ще се осъществява по нови, по-строги правила. В момента при проверка от КЗЛД фирмата може да каже, че в определен срок ще събере необходимата документация, за да докаже, че спазва Законът за защита на личните данни. След влизането в сила на GDPR организацията няма да разполага с такъв срок – тя трябва на момента да докаже, че спазва изискванията на регламента.

Длъжностното лице по защита на личните данни е задължително според новия регламент. Длъжностното лице отговаря за цялостното прилагане на GDPR в администратора, за поддържането на всички регистри, за комуникацията с регулатора – за уточнения, консултации или за задължителното известяване при пробив на сигурността. Длъжностното лице трябва да е под директно на подчинение на висшето ръководство на администратора и да има достатъчно свобода на действие; то трябва да бъде достатъчно добре запознато с регламента, със законовата рамка и фирмената организация, както и да има известна ИТ култура, тъй като данните са в електронен вид и се поддържат от ИТ системи.

Съществено се увеличават санкциите, чийто максимум достига 4% от глобалния оборот, или 20 млн. евро – която от двете суми е по-висока. Тук става много сериозно за големите технологични гиганти, които ще подлежат на проверка и санкция от чужд регулатор, ако са засегнати правата на чужди граждани.

Какви по-конкретно са етапите за внедряване на GDPR?

- Първата фаза е пълен анализ на състоянието на компанията от гледна точка на личните данни: какви са бизнес процесите по събиране и обработка, какви политики и процеси има, какви информационни процеси участват, какви масиви от данни има; текущото им състояние трябва да се сравни с изискванията на регламента, да се опишат несъответствията - член по член; набелязват се рисковете от тези несъответствия, след което се набелязват мерки за преодоляване; мерките се приоритизират и се изготвя един цялостен план за внедряване на GDPR, който е различен за всяка организация.

Втората фаза е реалното внедряване, което означава подготовка на всички необходими документи или промяна на такива, промяна на бизнес процесите от гледна точка на изискванията на GDPR, въвеждане на нови контроли, съдействие за създаване на новата длъжност “лице по сигурност на данните”, изграждане на системата и периодична поддръжка.

Една от предвидените стъпки е внедряването на ИТ системи за повишаване на информационната сигурност. Това значи ли, че новият регламент ще включва значителни разходи за компаниите?

- Регламентът изисква внедряване на мерки за повишаване на информационната сигурност. Това включва както технологични решения, така и специалисти по информационна сигурност. Администратора или обработващия имат точно 72 часа, за да разберат дали е имало изтичане на данни. Закупените устройства/софтуери съобщават за проблеми, но специалистът по ИТ сигурност установява теча на данни. Каквито и системи да се внедрят, ако го няма специалистът, който да ги конфигурира правилно, нещата няма да се получат. Хубаво е да има многослойни защити и централизиран мониторинг.

Колко важно е компаниите да потърсят консултация от организации като HLB, за да се справят с новите изисквания?

- Повечето компании ще имат нужда от някаква степен на съдействие от страна на консултанти. След въвеждането на регламента администраторите и държавата ще се сблъскат с редица рискове.

- Първият от тях е свързан с организационна и финансова тежест върху по-малки компании, защото внедряването на изискванията на новия регламент ще изискват доста ресурси. Тук е ролята на регулатора да изясни какъв е прагът, така че да не се позволява различно третиране. Новият регламент има две степени на приложение: едната е, когато администраторът въведе изискванията на регламента, но е под прага и не е длъжен да назначи длъжностно лице по безопасност на данните. По-безопасният подход е повече компании от сега регистрираните да се обявят като администратори на лични данни.

- Втори риск са неяснотите при тълкуването на регламента, включително и за размера за долния праг.

- Трети риск е евентуалната намеса на външни регулаторни органи. Колкото и добро разяснение да имаме от нашия регулатор и да знаем неговите правила, намесата на външен регулатор може да означава други изисквания, включително други критерии за налагане на глобите.

- Друг риск, изцяло за сметка на администраторите на данни, е чисто формалният подход към изискванията на регламента. Тоест да направим всичко необходимо, за да изглежда, че сме го въвели без реално да сме го въвели. Това е наистина сериозен риск, защото формалният подход няма да свърши работа. Доколкото знам, нашият регулатор е направил няколко пробни одита на компании по сегашния закон, максимално доближавайки се до изискванията на GDPR и тези одити минават изключително задълбочено и професионално. По никакъв начин едно формално съответствие няма да е достатъчно, за да се премине един такъв одит.

- Още един риск е липсата на опит и установени практики – както при регулатора, така и при администраторите, и в същото време много кратките срокове. Въпреки че за регламента се знае много отдавна, до 25.05.2018 няма много време.

Как точно могат да им помогнат консултантите от HLB?

- Както вече споделих, консултантите ще направят пълен анализ на състоянието на компанията от гледна точка на личните данни, на бизнес процесите по събиране и обработка, на политиките и информационни процеси. Ще анализират текущото им състояние съобразно изискванията на регламента, ще опишат несъответствията - член по член; ще определят рисковете от тези несъответствия и ще набележат мерки за преодоляване, както и мерки за приоритизиране и цялостен план за внедряване на GDPR, който е различен за всяка организация.

Какво може да направи една компания, наела консултант, за да улесни целия процес и неговата работа?

- Да подготви своите налични процедури относно описание на бизнес процесите, политиките и информационните процеси и да съдейства на избрания консултант.

Колко е важен новият регламент за страната, за Европа и в световен мащаб?

- Важен и от една страна, защото е пряко приложим и неспазването му санкционира със сериозни глоби, а от друга създава правила за използването и съхранението на личните ни данни като граждани.

* HLB Bulgaria е дружество, специализирано в независим финансов одит и във въвеждане на изискванията на GDPR. Сред най-големите клиенти на HLB България са Български енергиен холдинг, Национална електрическа компания, АЕЦ “Козлодуй”, Метрополитен , Евромаркет Груп АД, Енерго-про България ЕАД, ЗАД Булстрад Виена Иншурънс Груп АД, ЗЕАД Булстрад Живот Виена Иншурънс Груп ЕАД, ГРУПАМА Животозастраховане ЕАД , ГРУПАМА Застраховане ЕАД и др

Всяка новина е актив, следете Investor.bg и в Google News Showcase. Последна актуализация: 10:03 | 14.09.22 г.
fallback