Общият Регламент за защита на личните данни (GDPR), който влиза в сила от 25 май тази година, изисква всеки бизнес и орган на публичната администрация да организира така процесите си, че да предоставя по-голяма видимост и достъп на гражданите до това кой и как използва личните данни.
Все повече компании обаче си дават сметка, че не са направили достатъчно, за да са изрядни, пише в анализа на Весела Кръстанова от екипа на Института за пазарна икономика.
Проучвания[1] показват, че малките бизнеси изпитват най-голяма увереност, че сегашното им устройство е оптимално и не са им необходими следващи стъпки за подобряване.
Важно е да се отбележи, че директивата изисква внимание с обработката на личните данни не само на служители и дългосрочни клиенти, но на всеки, който предоставя данните си дори за кратко- така дори бизнесът ви да е малък, ако обработвате голям набор от данни, е твърде вероятно да е необходима добра система за отчет и съхранение.
За подготовка за новия регламент (особено на малките и средни предприятия) призова и българският еврокомисар по цифрово общество Мария Габриел по време на конференция за защита на личните данни в края на януари тази година.
Комисията за защита на личните данни (КЗЛД) и председателят ѝ Венцислав Караджов определят нивото на експертиза на българските администратори на лични данни като незадоволително. На новия регламент не трабва да се гледа като на административна тежест, защото той предоставя стратегическа възможност на компаниите да управляват процесите по съответствие с регламента така, че да постигнат други важни цели като намаляване на риска, оптимизация на процесите,прозрачност и достъпност на данните и дори някои бизнес възможности.
Комисията за защита на личните данни планира да създаде Национален обучителен център в сграда, отпусната за целта от Министерството на отбраната. За финансирането на проекта Комисията зависи от Министерството на финансите.
Цените на обучителните курсовеще се определят от същото министерство. Комисията поема отговорността да започне мащабна кампания за разясняване на изискванията по новия Регламент и да започне обучителен курс, който ще подготвя специално назначени специалисти и служебните лица, които ще съвместяват тези функции, но нямат необходимата експертиза. Цените според Караджов, ще се определят от същото министерство.
По думите на Венцислав Караджов тази задача (обученията – бел. авт.) не е приоритет на Комисията, но в България има над 450 000 администратори на лични данни, голяма част от които в публичната администрация, които работят с чувствителни данни. Предвид това, според него би било оптимално Комисията, като единствен оторизиран орган, да се погрижи за подготовката на кадрите, които ще отговарят за личните данни.
Последните месеци все по-често се срещат платени обучения, организирани от различни центрове. Комисията обаче не е оторизирала нито една компания за това и участието на администраторите в такива не е задължително.
Караджов пояснява още, че при нарушения, в зависимост от характера им и изминалия срок, Комисията е в състояние да съветва и консултира администраторите преди или вместо да налага глоби. В крайна сметка, след налагането на глобите няма гаранция,че администраторите ще променят практиката си.
Големите компании, тези, които извършват мащабен мониторинг върху индивиди и тези, които боравят с чувствителна информация, най-вероятно ще се наложи да инвестират в нов софтуер и наемане и обучение на длъжностни лица по личните данни.
Броят на новите администратори и софтуерни пакети ще зависи от естеството на бизнеса, броят служители и клиенти или количеството на лични данни, които трябва да се обработват. Наемането на такива лица за организацииите, за които това се отнася, ще бъде допълнителна тежест само при положение, че подобна функция вече не съществува вътрешно или под формата на външна консултантска фирма. Оценките на личните данни също ще костват допълнителен ресурс на компаниите в зависимост от честотата на провеждане и нивото на сигурност, което се изисква.
От една страна допълнителната тежест е пропорционална на обема операции на дадения бизнес. При положение че най-малката компания от Глобалните 500 (500-те най-големи компании в светове мащаб по оборот) - Royal Bank of Scotland - има годишен оборот от 21,6 млрд. долара.
Можем веднага да си представим мащабът на задълженията по изпълнениена изискванията за тези организации. Примери за компании у нас, управляващи големи масиви данни, са ВиК дружествата, мобилните оператори, топлофикационните и електроразпределителните предприятия.
От друга страна операционализацията на процесите допринася не само до високо ниво на изрядност на компаниите и избягване на скъпо струващи нарушения, разглеждане на жалби, административно разследване или съдебни спорове. Все пак, за администраторите на данни, които работят в интернационални компании, тези допълнителни разходи за привеждане в съответствие биха били компенсирани от намаляването на фрагментацията при спазване на различните изисквания за различните страни досега. Това е един от най-големите плюсове от Регламента, освен равните права на гражданите на ЕС за обработката на личните им данни.
Но това не са единствените възможности, които новият регламент предоставя. За компаниите, които могат да се ангажират с новите изисквания и да използват GDPR, това означава и шанс да разширят действително базата данни на своите клиенти.
Според Крис МакМилан от Oliver Wyman: "Освен че отговарят на основните изисквания и изграждат защитен „канал” около данните си, разумните компании ще използват GDPR в свое предимство чрез "открадване" на данни от конкуренти.
С разрешение на потребителите няма нищо, което да спре дадена компания за финансови услуги, да иска данни от технологична компания или обратно. Компаниите, които не използват GDPR, за да подобрят стойността на услугите си за клиентите, ще бъдат изоставени и вероятно собствените им данни ще бъдат ограбени от техните конкуренти."
Европейската Комисия определя GDPR както твърдо в подкрепа на правата на потребителите, така и добър за бизнеса поради две причини. Според нея, като се премахнат разходите и административната тежест от необходимостта да се информират националните органи за защита на данните относно данните, които съответните компании обработват при достъпа до нови пазари, предприятията биха могли да спестят около 130 млн. евро годишно.
Комисията също така изчислява, че премахването на пречките пред трансграничната търговия чрез опростяване на изискванията за международен трансфер на данни при процъфтяващата онлайн търговия може да донесе ползи за бизнеса в ЕС от порядъка на 2,3 млрд. евро годишно.
Освен хакерските атаки (голяма част от които се целят точно към незащитени бази данни за отправна точка на други престъпления), които зачестяват и костват милиони на големите компании, така и развиващият се онлайн бизнес изискват по-голяма хармонизация и регулация на процесите по защита на личните данни. Това в крайна сметка е право на гражданите.
Друг е въпросът дали в някои страни (България?) новият регламент няма да се използва като от частни бизнеси, така и от самата Комисия за защита на личните данни, за организиране на скъпоструващи обучения и генериране на (неикономически) приходи и печалба.
Както се вижда от изказването на Караджов, Комисията вече прави своите сметки за провеждане на обучения срещу заплащане, като дали[2] това заплащане ще постъпва по сметките на комисията или на министерство на финансите, няма значение.
Предвид това, че Комисията е държавен орган, който се издържа от данъкоплатците, тя на първо място би следвало да направи всичко възможно, за да информира (безплатно) бизнеса и гражданите за изискванията на новия регламент, вместо да мисли за варианти какви точно курсове ще организира и какъв паричен ресурс ще събере от това.
Това информиране може лесно да се направи с качването на ясна информация онлайн, възможност за телефонни консултации, приемна и т.н. Ако дори и след такива усилия някой е останал неинформиран, тогава не е работа на Комисията да се превръща в платен консултант, който един път да се издържа от данъци и втори път да взима още пари на същите тези данъкоплатци, за да ги консултира. Има достатъчно консултанти и адвокати, които и сега правят това.
-----------------------------------
* Авторът е стажант в ИПИ
[1] Виж, например, оценката на софтуерната фирма Senzing ER за Великобритания: https://senzing.com/wp-content/uploads/2018/02/Senzing-GDPR-Report.pdf