При оценката на риска в случай на установено нарушение на сигурността на личните данни Комисията за защита на личните данни извършва не просто проверка, свързана със самото настъпило нарушение и дейностите по обработка на данни във връзка него, а обхващат всички дейности на администратора. Много български компании правят грешката да считат, че изискванията на GDPR са свързани с еднократен акт, докато правилният подход е непрекъснато да се проверява, да се актуализира и да се поддържа информацията, документацията и подготовката за реакция. Слабостта е, че много трудно динамиката на бизнеса успява да се съчетае със спазването на толкова детайлни, документални, формални изисквания. Това каза адв. Десислава Кръстева, старши правен експерт във фондация "Право и Интернет", в предаването "Бизнес старт" на Bloomberg TV Bulgaria с водеща Роселина Петкова.

За начина, по който се прави оценка на риска при нарушение на сигурността на данните гостенката каза, че това е "относително ново". "Миналата година Комисията за защита на личните данни публикува на своята страница определени свои методологии как извършва проверки. Част от информацията, която е публикувана, включва и методология как да се оцени рискът, свързан с нарушения на сигурността на данните. Предвидена е формула, защото това е доста комплексен процес, но най-общо казано, когато се преценява какъв е рискът във връзка с настъпило вече нарушение, се преценява от гледна точка на това какви данни са засегнати, какви последици може да има от засягането на тези данни за физическите лица, за които те се отнасят, обемът данни, който е засегнат - за колко лица се отнася и много други аспекти".

"Оценката е комплексна, но на базата на нея вече следват и различни стъпки от страна на Комисията за защита на личните данни в зависимост от степента на риска". 

Във всички случаи, когато Комисията бъде уведомена от администратор за настъпило нарушение в сигурността на данните тя проверява цялата информация относно това нарушение, обясни събеседничката. "Това е във всички случаи, независимо от нивото на риска. Обичайно на този етап се задават и въпроси, относно допълнителни обстоятелства, извън уведомлението, за настъпилото нарушение в сигурността на данните и едва, когато Комисията счита, че е събрала достатъчно информация, за да прецени нивото на риска, предприема последващи действия, които могат да се изразяват в проверка по документи или проверка на място. Така е разписано в нейните методологии". 

Дори, когато говорим за проверка по документи, трябва да отбележим, че актуалните практики на Комисията включват не просто проверка относно самото настъпило нарушение и относно дейностите по обработка на данни във връзка с това нарушение, а обхващат цялостно всички дейности на администратора, отбеляза Кръстева. "Можете де си представите това като цялостен одит на дейността на администратора по отношение на спазването на изискванията за защита на личните данни - по подобие на цялостните анализи, които се правиха в началото на 2018 година, преди влизането в сила на регламента".

Като цяло защитата на личните данни не се променя като регулации, но, разбира се, с напредване на времето се повишават рисковете, свързани с тази защита. Естествено и самата практика на Комисията за защита на личните данни се развива и става по-строга от гледна точка на това, че вече мина доста дълго време от влизането в сила и започването на приложението на т.нар. GDPR. Предполага се, че днес бизнесите са много по-добре подготвени и трябва адекватно да реагират на заплахите, добави адвокат Кръстева. 

"От гледна точка на опазването на сигурността на данните, вероятно много повече компании са подготвени добре, особено във високотехнологичния сектор, телекомуникации, банки и т.н. Причината е, че те имат изисквания, съгласно редица регулации, да осигуряват информационна сигурност, а и защото това е част от защитата на техния бизнес. От гледна точка на GDPR обаче продължава да има доста пропуски. Това се дължи не толкова на недобросъвестност, а просто изискванията на този регламент са много сериозни и детайлни, свързани с осъществяване на практически действия". 

Много от компаниите правят грешката да възприемат осъществяването на тези изисквания като еднократен акт, изтъкна адвокатът. "Това не е така. Това е постоянно усилие". 

За съжаление част от бизнесите след 2018 година, след паниката по навлизането на регламента, който предвижда много сериозни санкции при неспазване на GDPR, настъпи известно успокоение в компаниите, каза още адв. Кръстева. "Те решиха, че всъщност нищо не се случва и това са формални изисквания. Напротив, санкции се налагат и постепенно се увеличават. Контролът и сигурността, когато се наблюдава какво прави един администратор стават все по-високи и трябва да сме все по-внимателни".

С какво време разполага комисията за оценка на администраторът на лични данни при установено нарушение на сигурността на данните? Има ли още в България компании, които не са добре подготвени и може лесно да се пробие защитата им? Кои са основните предизвикателства пред защитата на данни? Какви са рисковете при обмяната на лични данни между различните бизнеси при ежедневната им работа с контрагенти и партньори? Защо още в началния етап на преговори с различни контрагенти и изготвяне на договори трябва да се работи и с документи за защита на личните данни? Защо личните данни трябва да се третират от бизнесите точно както се третират паричните потоци в компанията? Как GDPR промени бизнес средата в България? Как върви обучението, свързано с прилагането на GDPR в българските компании? За какво трябва да внимаваме, ако използваме в бизнеса си изкуствен интелект? 

Вижте целия коментар във видеото.

Всички гости на предаването "Бизнес старт" може да гледате тук.