Вече мина де факто една година от въвеждането на GDPR и в България. Какво стана и какво има да става предвид многото приказки за Апокалипсис по темата - Actualno.com разговаря с г-н Иван Савов, председател на Европейската федерация на сертифициращите организации и на Европейски институт за риск политика (ERPI) – партньор за Централна и Източна Европа на EU GDPR Institute.
Г-н Савов, как върви налагането на Регламента за защита на личните данни (GDPR) година след влизането му в сила?
Регламентът за GDPR (Регламент ЕС 2016/679 за защита на личните данни - General Data Protection Regulation) беше приет 2016 г., а преходният период беше 2 годишен и изтичаше 2018 г., така че всички, които преди година се изненадаха, че на 25 май 2018 г. влизат в сила новите изисквания, просто нямаха основания за това.
Така или иначе, в изтеклата година фирмите започнаха панически да внедряват системи за защита на личните данни. В цял свят беше така. Внедряваха системи, влизаха в различна степен на готовност и на съответствие. Голяма част от бизнеса игнорира тази необходимост, надявайки се, че бързо ще отмине. Друга част работеха, внедряваха системи през консултанти, адвокатски кантори с различна степен на успех. 2018-та беше годината на внедряването. Настоящата 2019 година бих нарекъл годината на санкциите. Защото при тези фирми или организации, при които проформа са внедрeни системи за защита на личните данни, пробивите ще стават все повече, а глобите са огромни и ресурсът на националните регулатори вече е достатъчно голям, за да реагира, да прави проверки и да санкционира. Вече следенето за прилагането на закона започва.
И пак – една част от бизнеса осъзнава, че това започва да се случва и забелязвам нарастване на интереса към тематиката и по-сериозно отношение –„ ако не сме го направили както трябва – дайте да стане както трябва; ако не сме нищо направили по въпроса - да започнем защото виждаме какво става“. Виждаме глоби, в някои случаи от порядъка на милиарди. От по-дребни санкции до стотици хиляди и до милиони и милиарди... Google бяха санкционирани и Facebook също точно за това - че злоупотребяват с лични данни и не изпълняват GDPR изискванията. Всеки бизнес е застрашен.
Все пак, да отбележим, че регулаторите са адекватни – те няма да ти сложат глоба, която да те фалира, но глоба, която да усетиш във финансите си и да те накара наистина да предприемеш адекватни мерки. Така че в момента имаме една втора вълна на осъзнаване и на подобрение, което е много добре, защото негативните явления, пробивите все повече се завземат от организираната престъпност и става въпрос за сериозни финансови престъпления – измами, източване на фондове, злоупотреби с пари и информация. Всичко това е свързано, последиците са за цялото общество са изключително сериозни. Колкото повече бизнесът и институциите се ангажират да спазват закона, толкова е по-добре и за субектите. От гледна точка на хората също е много важно регламентът да се спазва. Като физически лица също се тревожим нашите данни да не бъдат откраднати, да не ни бъдат източени сметките, да не ни се открадне самоличността, каквито случаи има ежедневно.
Заради това инициативата на ЕС е приветствана в цял свят и сега трети страни започват да догонват - да пишат подобно законодателство, защото светът е свързан. Ако ние тук сме защитени, трябва да имаме сигурност и извън ЕС, но влизаме в един американски сайт и... - там нещата не са добри. Това ще се промени. Има вече инициатива на глобално ниво, която придвижва нещата в тази посока. Това е неизбежно.
Доколко институциите съдействат и доколко пречат?
Всички декларират добри намерения, но те по принцип са бюрократични структури, които не са много добри в изпълнението на изискванията към тях – това е по дефиниция. На бизнеса като му се каже „ти трябва да спазиш тези изисквания“ той се стяга, прави го, спазва го. На администрацията като кажеш „и ти трябва да спазваш тези изисквания“, те правят един план, казват „а, щом е 25 май 2018–та, аз утвърждавам план за влизане в съответствие с GDPR до 2021 г. и дотогава всички в моето министерство да сте влезли в съответствие“, което е шега. Но отразява реалността. Аз не съм изненадан, защото така работи администрацията в цял свят. Ние бързаме да реагираме, защото ни наказват, а в същото време в Румъния държавната администрация гласува текстове от типа „бизнесът ще го глобяваме до 100 млн. или до 20 млн. или до 4% от продукта, а глобите на държавни администрации, на министерства и на отдели, които не спазват изискванията да са максимум 20 000 евро“. С други думи – „ние няма да се наказваме, ще наказваме другите. Плановете ни са да изпълним изискванията в 2021 г., няма значение, че вие трябва да сте в съответствие до 15 май 2018-та“. И какво се получава - ние правим нещата както трябва, защитаваме данните и идват клиентите при мен и питат – „аз какво като направя тази система за защита на личните данни, като след това ще си подам данните към НОИ, към Агенцията по вписвания, към ..., където влизаш по Интернет и ... - тя е разбита система и всичко се чете отвсякъде“... Това е нещо, което трябва да решаваме заедно, а не да настояваме пред институциите, че всички еднакво отговаряме пред закона, както пише и в самия закон - че касае и държавните структури, администрации, местните структури, неправителствените организации, бизнеси – всички, абсолютно, включително там пише за юридически и физически лица, даже аз, ако съм физическо лице, което обработва данни на други физически лица трябва да спазвам този закон.
Кои са най-належащите за решаване проблеми, свързани с прилагането на GDPR?
Всичко. Осъзнаване. Осъзнаване, че трябва да се направят изискваните системи за защита на личните данни.
Кой е по-малко подготвен фирмите или институциите?
Институциите не са подготвени. Бизнесът започна да се подготвя.
При това положение?
Продължаваме. Продължаваме да настояваме, с натиск да искаме влизане в съответствие. Не да казваме: „Вие не сте, значи и ние няма да бъдем“. А да казваме: „Ние сме, значи и вие трябва да бъдете“. И съответно да настояваме за правата и за санкциите пред Европейския комитет за защита на данните, който вече функционира и има правомощия по прилагането на регламента.
Кога ще се появят първите сертификати на системи за защита на личните данни?
До около една година. Следващата пролет вече ще има акредитирани сертификации на системи по GDPR. Сега Германия изглежда най-напреднала в това отношение, но ще бъде бързо догонена, защото доста страни предприемат стъпки. Общо-взето налага се като най-ефективен вариант обвързването на акредитацията през националните акредитационни органи и одобрението на регулаторите. Това ще даде възможност да се инкорпорира акредитацията, съответно и сертификацията по GDPR към Многостранното Споразумение за признаване на валидността им и към глобалната верига на доверие. Защото, ако сертифициращият орган е акредитиран от орган, който е член на Многостранното споразумение за взаимно признаване (EA MLA), какъвто орган у нас е Българската служба за акредитация, това предполага признаване на валидността на акредитацията от другите национални органи и от там - и на сертификацията. Ние вървим в тази посока.
Кои ще са основните стъпки?
Ще настояваме Многостранното споразумение (EA MLA) за взаимно признаване на акредитацията на сертифициращите органи да покрие и областта на GDPR. Вече го казвам и като представител на Европейската федерация на сертифициращите организации. Това е процес, по който ще работим и на международно ниво като представители на европейските институции. Принос в това отношение има и постигнатото, в рамките на конференцията ни по GDPR миналата седмица в София, съгласие между заинтересованите страни в България да съдействат за разширяване на обхвата на Многостранното споразумение (EA MLA) с включване в него и на защитата на личните данни. Другата съществена стъпка ще е установяването на национална схема за акредитация на сертификацията, за което заинтересованите страни – консултанти, сертификатори, акредитационен орган, регулатор се споразумяхме да обединим усилия. Предстои тези заключения от конференцията да изпратим официално на правителството, Европейския комитет за защита на данните и Европейската комисия.
Не се ли опасявате, че точно GDPR ще стане основа за развитие на черен пазар за бази данни?
Не. Нещата се затягат много сериозно. И глобалната база данни на сертифицираните фирми, която ще инкорпорира GDPR в един момент, и всички други мерки, които вземаме, и самото законодателство, и санкциите, които се налагат възпират подобни изкривявания. Нещата се затягат. Примката се затяга около мошениците и измамниците.
А при сертификатите какво е положението?
Сертификатите са вече добре регулирани. С влизането в сила на базата данни и контролите, които има и които се пускат като определени политики през Международния акредитационен форум към органите за сертификация ще доведат до ограничаване на фалшификациите.
Новият стандарт за киберсигурност кога ще навлезе в българската практика?
Още не сме започнали да говорим за него. Но не сме закъснели. Той излезе преди 2 – 3 месеца. Има една визия за e-Privacy директивата (Директива 2002/58/ЕО на Европейския парламент и на Съвета - Директивата за правото на неприкосновеност на личния живот и електронни комуникации), излизат още няколко неща в тази област и общо – взето очаквам за цяла Европа на есен да започне да се работи по този въпрос, както сега тук работим за установяването на национална схема за акредитация на сертифициращите органи по GDPR. Абсолютно необходимо е. И неизбежно.
Интервю на Ива Иванова