Фирмите в България вече са в паника заради новия европейски регламент за защита на личните данни, известен като GDPR.

Проблемът е, че от 25 май разпоредбите на GDPR стават задължителни за всяка държава от ЕС, а те все още не са пренесени в нашия Закон за личните данни. При липсата на ясни законови текстове бизнесът не знае какви са новите изисквания и как да се подготви, пише Вестник СЕГА.

Правителството и до момента не е включило в законодателната си програма, разписана до юни, разглеждане и приемане на проект за изменение и допълнение на действащия Закон за защита на личните данни, алармира Българската стопанска камара в отворено писмо до правителството. Важния проект го няма дори на портала за обществени консултации. Едва миналия четвъртък премиерът Бойко Борисов намекна, че е наясно с проблема. От Брюксел той обеща, че утре, заедно с вицепремиера Томислав Дончев, ще съобщи какъв е планът на правителството.

Новият еврорегламент засяга стотици хиляди предприятия - от бакалията, фризьорския салон и малката счетоводна къща до банки, застрахователи и пенсионни фондове. С него трябва да се съобразят и всички държавни ведомства, общини, болници, училища и т.н., защото всички те по различни причини събират и обработват лични данни на гражданите - имена и ЕГН, адрес и телефон, номер на лична карта, банкови сметки. GDPR обаче силно разширява обхвата на понятието "лични данни" и добавя към тях мейл, IР адрес, пръстов отпечатък и много други. В изказването си в Брюксел премиерът се съсредоточи само върху ЕГН-то. Защо се стигна до забавянето и правила ще се пишат и обсъждат едва два месеца преди влизането на регламента в сила, не бе обяснено.

Ключовото за всички фирми и институции е, че трябва да променят документацията и правилата си за работа така, че да взимат от гражданите само необходимия минимум информация. Тези, които обработват по-големи масиви данни - например банките, НОИ, пенсионните фондове, болниците, ще трябва да си назначат специални кадри, които да ги консултират за опазването на персоналната информация и за необходимите действия за спазване на еврорегламента. Всичко това означава допълнителни разходи.

Особена тревога буди у българските фирми липсата на неяснота за видовете нарушения и глобите - нещо, което би трябвало да се разпише с промени в българския Закон за личните данни. Според еврорегламента например максималната санкция, с която една компания може да бъде наказана за злоупотреба с персонална информация, е гигантска - 20 млн. евро. Това е таванът, но всяка страна членка може да определи и по-ниски наказания, ако прецени, че са достатъчно респектиращи. GDPR изисква всеки администратор на лични данни веднага да подаде сигнал до съответния държавен орган, ако например хакери проникнат в масивите. Поради липсата на законови промени обаче все още не е ясно каква би била у нас глобата за фирма, която не реагира адекватно и бързо на хакерска атака.

Допитване на в."Сега" до различни фирми показа, че няма значение дали са малки или големи, всички са притеснени от новия регламент. "За застрахователните компании това е най-големият проблем на годината, независимо че ни се стоварват и нови финансови регулации, но при тях поне има яснота", коментираха от голяма застрахователна компания.

Притеснени сме, защото новите правила за защита на личните данни ще ни отворят много административна работа, коментираха от Асоциацията на счетоводителите и счетоводните предприятия. Счетоводните къщи се опасяват, че ще трябва да преподпишат договорите си с фирмите, които обслужват, за да включат специални клаузи за защита на личните данни. Това е допълнителна работа и за двете страни, изисква време, а крайната дата на въвеждане на регламента наближава.

Организаторите на туристическото изложение "Травъл академи", което ще се проведе в края на март в София, са изключително щастливи, че са успели да уговорят експерти от Комисията за защита на личните данни да участват с информация пред туроператорите какво се изисква от тях по отношение на GDPR. "По-лесно беше да уговорим присъствието на премиера Бойко Борисов на изложението, отколкото на КЗЛД", заяви Антон Пенев, шеф на една от големите туроператорски агенции у нас. Освен че работят с лични данни на десетки хиляди туристи, които не е ясно как точно трябва да защитят, туроператорите поставят и проблема с e-mail адресите на още по-голям брой клиенти. "Имейл адресите също вече попадат под графата лични данни и доколкото знаем, от нас ще се изисква при изпращането на съобщения за различни промоции да имаме писмено съгласие на хората", казва Пенев.

Има и съмнения, че КЗЛД може да се превърне в цедка за консултантските фирми, които трябва да обучават новите специалисти по защита на личните данни, които по-големите компании ще бъдат длъжни да назначат. На практика комисията може да акредитира само определени фирми, което да свие конкуренцията и да вдигне цените за обучение, допускат някои представители на бизнеса. А може да се окаже, че изобщо не е необходимо да има такова обучение.

Тези дни на неясната ситуация около GDPR реагира и Българска стопанска камара. Липсата на информация за предстоящите законодателни промени създава предпоставки за спекулации и разпространяване на погрешна информация от различни източници и препятства фирмите да се подготвят и да отговорят на изискванията, заявиха от БСК. От камарата смятат, че информационната кампания на Комисията за защита на личните данни не е достатъчна. И призовават премиера и министрите на правосъдието и вътрешните работи да спешат максимално приемането на законовите промени.

НОВ БИЗНЕС

На фона на липсата на информация в последните седмици и месеци се развихря нов апетитен бизнес. Истински експерти, но и самозвани "консултанти" и "специалисти", трескаво организират семинари и курсове за обучение по новите правила за защита на личните данни. Много от лекторите на практика само преповтарят материалите по темата, които и бездруго са достъпни за всеки в интернет - на сайта на Комисията за защита на личните данни и т.н.

Друга бизнес ниша, която тепърва ще се разраства, е на т.нар. "длъжностни лица" по личните данни, които всеки администратор на големи обеми лични данни ще трябва да си назначи. Според шефа на КЗЛД Венцислав Караджов поне 40 000 предприятия ще трябва да наемат такива "стражи" на персоналната информация. Въпросните служители могат да бъдат привлечени отвън или да са вътрешни за фирмата хора, които да съвместяват работата. Трети вариант е предприятието да сключи договор с компания, която предлага такива консултантски услуги.

КАКВО ДА СЕ ПРАВИ

Всяка фирма трябва да:

- изгради стройна и ясна система за обработка на личните данни

- приеме вътрешни правила и политики за обработка и съхраняване на данните

- периодично да ревизира и подобрява въведената система.

Налага се да бъдат обновени всички документи, свързани със събиране на лични данни - общи условия, договори, декларации и др. Фирмата трябва да обработва само такава информация, която действително е необходима за работата й, и това трябва да е отразено в документацията й.