GDPR се роди заради Google и Facebook

Новият Регламент за защита на лични данни в Европейския съюз (ЕС), накратко GDPR, който на практика засяга всички организации, всъщност се роди заради компании като Google и Facebook, които започнаха да злоупотребяват с потребителската информация. Това каза експертът по информационна сигурност Борис Гончаров по време на бизнес форума „Сложи ред в хаоса на GDPR“, организиран от Canon.  Според него най-голямата тежест ще падне върху банките и телекомите, които събират множество данни за клиентите си.

Гончаров обясни, че в GDPR търпи различни интерпретации в много свои точки. Така например в частта за техническата защита се казва, че „трябва да защитавате конфиденциалността на личността и целостта на данните“, което според експерта е равносилно на „в Космоса има звезди и ние сме на Земята“. „Тук възможностите за интерпретация са огромни“, изтъкна той. 

Всички обаче са стреснати от строгите правила и солените глоби, заложени в новия европейски регламент, а юристи и IT специалисти се надпреварват да помагат. Гончаров обаче смята, че нито едните, нито другите имат необходимата експертиза в  областта на защитата на лични данни. "Положението е слепецът води слепеца", обобщи той.

Гончаров е категоричен, че покупката на софтуер не решава цялостно проблема. „Моят съвет е да се следват вече установените рамки като тези от Международната организация по стандартизация“, каза той и даде пример със стандарта ISO:22301.

GDPR идва в момент, в който потокът от данни доминира съвременния дигитален свят. Вече седмици наред сме свидетелите на скандала с изтичането на лична информация за десетки милиони потребители на най-голямата социална мрежа в света Facebook. Ако този казус се беше случил при вече действащ Регламент, компанията неминуемо щеше да понесе много по-големи финансови щети от сегашните.

Санкциите за неспазване на новите правила са изключително стряскащи – до 4% (или до 20 млн. евро) от годишния глобален оборот на компанията, като размерът на глобата ще е в размер на по-голямата от двете суми.

Досега проблемът със защитата на личните данни оставаше встрани под претекст, че липсва бюджет за тази дейност, но сега това придобива задължителна тежест. Месеци наред в медиите излизат статистики, алармиращи за ниската степен на готовност на българските компании. „GDPR предизвиква главоболя навсякъде, като единствено в Германия и Великобритания може би положението е по-добре, тъй като мислят за проблема отдавна“, казва Гончаров.

Мултинационалните компании също са по-добре подготвени. „GDPR е регламент, който в своята същност е актуален от много години насам, а и ние имаме едно доста добро законодателство, което третира защитата на лични данни“, коментира пред Economic.bg Християн Стоянов, мениджър бизнес развитие в Canon България.

Той обясни, че компанията отдавна е готова да посрещне всяко такова искане, тъй като има решения, позволяващи във всеки един момент да има ясна проследимост кой създава документи в организацията, какво прави с тях и защо.

В тази връзка Гончаров напомня, че Регламентът има процедурни, технически и юридически изисквания. „GDPR не прави разлика кое какъв контрол е, а иска цялостно съответствие“, изтъква той и добавя, че „ако искате да разберете къде се намирате спрямо изискванията, трябва да отчетете всички тези елементи“. 

GDPR изисква целия жизнен цикъл на данните – от създаването, през записването, използването и споделянето до прекратяването на употребата, да бъде защитен. Един от проблемите обаче е, че досега регулаторите не са дали достатъчно добри указания как да се случи това. 

Организации като Canon разчитат на опита, който компанията има на глобално ниво, докато малките фирми изглеждат значително по-объркани. Един от основните въпроси е, трябва ли, или не да се назначи отделен служител по защита на лични данни. А отговорът на Борис Гончаров е, че това зависи от типа информация, която се събира от фирмата и за каква цел се ползва. Ако основната дейност не е базирана на събирането и обработката на лични данни, няма нужда от нов отделен такъв човек. 

На въпрос дали Canon ще наеме служител за защита на лични данни, Стоянов обясни, че компанията има цял екип, който се грижи за съвместимостта с GDPR и секторните правила в различните държави. Той е категоричен, че персоналният човек, който ще отговаря за GDPR в една компания, има изключително важна роля. „Трябва да има взаимно доверие и от двете страни, защото това е човекът, който държи ключовете за данните и той е този, който представлява компанията пред отговорните органи и удостоверява това, че по правилен начин се защитават всички лични данни“, казва той.

Стоянов обърна внимание, че отговарянето на всеки един регламент изисква някакви инвестиции – било то в хора, било то финансови, включително хардуерни или софтуерни.

„За международните компании също е изключително трудно да отговорят на абсолютно всички изисквания в регламента, имайки предвид, че той засяга дори държави, които не са от ЕС“, коментира още Християн Стоянов. Той сподели, че големите компании могат да бъдат от полза на останалите именно със своята експертиза. „Ние например можем да помогнем в частта със защитата на документи, можем да дадем ценни съвети как те да бъдат организирани, как във всеки един момент да бъдат проследими както за контролните органи, така и за самите организации“, каза Стоянов.