Датата 25 май 2018 г. разбуни духовете в българския малък и среден бизнес. Това е датата, в която Регламент (ЕС) 2016/679 влезе в сила и грубо казано „стартира“ своето задължително действие за всички държави-членки на ЕС. Общият Регламент за защитата на данните въвежда изисквания, касаещи потока на лични данни в публичния и частния сектор. Прилагането на разпоредбите, които се съдържат в Регламент 2016/679, предизвика повдигането на много и основателно задавани въпроси от страна на адресатите на нормите. Такива са „Длъжен ли съм да го правя – нали няма закон?!“, „Каква е целта на GDPR?“, „Това не е ли поредната бумащина, с която държавата иска да натовари бизнеса?“, „Поредната палка на властта ли е това?“, „Има ли изобщо смисъл от GDPR?“, „Аз трябва ли да направя нещо?“, „Кой пък ще тръгне да ме проверява точно мен?“ и др. подобни. За да се даде отговор на тези въпроси ще започнем от малко по-далеч, а именно – що е то това Регламент като правен акт и какво е неговото действие.
С приемането на България в Европейския съюз през 2007 г. в националния ни правопорядък се появи т.нар. „наднационално право“, или иначе казано правото на ЕС. Договорите, с които са създадени европейските общности, по своето естество представляват международни споразумения. Чрез тези споразумения държавите-членки създават квази-правителствени органи, на които предоставят нормотворчески, административни и съдебни суверенни права, ограничавайки своите такива в определени области. Тези институции са независими от националните държавни органи. Тяхната цел е да се създаде една общност, с единна правна регламентация и правов ред, чрез вменяване на задължения и предоставяне на права на държавите-членки и физическите и юридическите лица. Тези международни споразумения формират първичното право на Европейския съюз, или иначе казано те представляват „Конституцията“ на ЕС. Такива са „Договора от Маастрихт“ („Договора за Европейския съюз“), „Договора от Амстердам“, „Договора от Ница“ и други. За да функционира и да постигне своите цели първичното право налага необходимостта от приемането на различни актове, с които се конкретизират, тълкуват, прилагат и въвеждат нови правила. Такива актове са регламенти, директиви (чл. 288 от ДФЕС - Договор за функционирането на Европейския съюз), резолюции, програми, решения и други. Те формират т.нар. производно право на ЕС и притежават различна правна сила и действие, което обвързва държавите-членки и налага приоритетното им прилагане.
Описаната по-горе организирана съвкупност от правни норми представлява общностния правопорядък, който обвързва както държавите-членки, така и техните граждани. Тези норми стават действащо право на държавите-членки, без да е необходимо предприемането на каквито и да е било национални мерки, които да го допускат, обуславят или опосредяват.
За целта на настоящото изложение ще направим кратко разяснение на Регламента като правен акт и неговата приложимост.
Регламентът е основният нормативен акт в европейското право. Неговата роля е съпоставима със закона в нашето национално право. Отнася се до неограничен и неопределен кръг субекти, съдържа норми с общ характер и има действие по отношение на всички държави-членки и абстрактно по отношение на всички частни лица. Регламентът установява нормативни принципи, определя условията за приложението им и произтичащите от тях правни последици. Предназначението му е да урежда обществените отношения в рамките на държавите-членки, с ежедневна непосредствена приложимост, с директен ефект и действие спрямо всички. Съдържа общи неадресирани разпоредби, които засягат директно правната сфера на частните лица. Неадресирани означава, че адресатите на разпоредбите не са индивидуализирани, а са абстрактно определен кръг от субекти. Чрез регламентите ЕС директно урежда обществени отношения. Те са задължителни в своята цялост – това ги разграничава от директивите, които са задължителни само по отношение на резултата, който предписват (по-долу ще се направи препратка към новата директива за киберсигурност). Всяка държава-членка е длъжна да изпълнява регламентите. Тя не може избирателно или частично да прилага регламент, независимо от това каква е била позицията ѝ при приемането на акта. Друг съществен елемент е, че никоя държава-членка няма право със собствен акт да изменя или допълва регламент. Тя е длъжна да санкционира всяко негово нарушение или неизпълнение, независимо дали нарушител е държавен орган, или частно лице. Основното качество на регламента е неговата непосредствена приложимост и директен ефект, които се съдържат в принципа на примата на Общностното право, нормативно закрепен в чл. 288 от ДФЕС. Това означава, че всякакви национални мерки по обнародване, транспониране и въвеждане следва да се считат за забранени. Противното е възможно да доведе до разлика в приложението на регламента в държавите-членки, а неговата цел е да уреди едновременно по един и същ начин един и същ вид обществени отношения. От това следва да се направи изводът, че ако Общностното право не се ползва с примат то би било лишено от своята ефективност и смисъл. Няма регламент без норми с директен ефект, но не всички норми са с директен ефект. Той се преценява винаги конкретно за всяка отделна норма към момента на прилагането ѝ. Преценката се прави най-просто като се даде отговор на следните 3 въпроса: Кой? (кой е субектът на задължението); Какво? (какво поведение се изисква от субекта); Кому? (на кого дължи това поведение субектът). Другият вид норми, които могат да се открият в даден регламент са такива, които налагат предприемането на национални изпълнителни мерки. Наличие на подобни норми има и в Регламент (ЕС) 2016/679 (GDPR), например за минималното съдържание и вида на изискуемите регистри, органът и начинът по който длъжностните лица по защита на личните данни ще се сертифицират и др.
Тук е моментът да се спомене за отговорността, която държавите-членки носят пред ЕС, за прилагането на Общностното право, както част от необходимите стъпки за неговото приложение. По правило държавите прилагат регламентите само в условията на обвързана компетентност (друго е при директивите, които са задължително по отношение на резултата). Ако една държава - членка не прилага правилно и коректно даден регламент, всеки засегнат има право да отнесе въпроса пред компетентния съд в ЕС и тя да бъде осъдена. Никакви политически или административни (липсата на орган, компетентни кадри, незнание за наличието на регламент) пречки не могат да се ползват като оправдание за неприлагането или неизпълнението на даден регламент. Държавата-членка е длъжна да вземе всички необходими правни, бюджетни или административни мерки и да осигури процедурите, с които да се гарантира изпълнението на регламента своевременно, независимо дали от нея се изисква действие по самия регламент, или се изисква да се погрижи за правилното му приложение.
С това въведението за регламента като институт на правото приключва. В горното мисля, че се даде и конкретен отговор на първия въпрос – „… нали няма закон?!“ Закон има, просто трябва да претърпи корекции и да бъде съобразен с изискванията на новия ред. Нещо, което всички чакаме да се случи от известно време…, но същевременно нещо, което не бива да спира работата по привеждането на бизнеса Ви в съответствие с разпоредбите на GDPR!
Нататък в изложението ще Ви разкажем за случаи от нашата практика и ще представим становището на „Дейта Корп“ ООД, като по този начин ще разберете, че ние не просто имаме решение на Вашия проблем, ние Ви даваме сигурност!
„Каква е целта на GDPR, или какво е наложило неговото приемане?“
Отговорът на този въпрос се съдържа още в първите редове на Регламент (ЕС) 2016/679 и по-конкретно в изречение второ на съображение № 2:
(Съображенията представляват изложение на мотивите – законови, политически, обществени и икономически, които са наложили вземането на решение да се приеме обсъжданият акт. Съображенията са неразделна част от Регламента и намират своето място преди общите му разпоредби.)
„Настоящият регламент има за цел да допринесе за изграждането на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален напредък, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората.“
Това е крайната „заветна“ цел на Европейския съюз, а в частност и на GDPR. Тя трябва да бъде подплатена, гарантирана с и в съответствие с принципите, правилата и ПРАВОТО на защита на личните данни на физическите лица, намиращи се на територията на ЕС. Предметът и целите на Регламент (ЕС) 2016/679 се съдържат в общите му разпоредби и по-специално от чл. 1 до чл. 3. Причините за поставянето на тези цели – да се гарантират сигурността и защитата на личните данни на хората са неизчерпателно изброени от съображение (4) до съображение (7), включително. Просперитетът на технологиите и икономиката са създали нови предизвикателства пред сигурността на личните данни на физическите лица, като едновременно трябва да се гарантират и всички права и свободи на човека. Именно тук се намесва GDPR. „Той“ няма за цел да преустанови или забрани обмена и събирането на лични данни, а да го регламентира и канализира по начин, който да гарантира сигурността на данните. Прилагайки необходимите процедури за защита ще бъде по-лесно да се установи изтичането на лични данни и да се преустанови, или ограничи нерегламентираният достъп. Всеки достъп, трансфер или обработка следва да остави своята следа. Вземете за сравнение счетоводството - то няма за цел да спре паричния оборот, а да го контролира и „обяснява“. Много хора именно това ги спира и стряска.
При лични срещи, много клиенти ни питат: „Какъв е смисълът? – Поредната бюрократщина, бумащина и тежест за бизнеса ли е?“ и „Каква е ползата от GDPR?“
Дали е бумащина или не зависи от това, в какво състояние е била документацията за бизнесът Ви досега. Да, ще отнеме време да се направи. Да, ще се наложи да се поразровите и поразхвърляте, но в крайна сметка ще постигнете ред и сигурност. А ако всичко Ви е било изрядно подредено – това е чудесно! Сега ще се наложи само да гарантирате неговата сигурност и неприкосновеност. Да сведете до минимум риска от нерегламентиран достъп, пробив и изтичане на информация.
Ако погледнете на нещата като необходима възможност, а не задължение, всичко ще се случи бързо и лесно.
Смисълът се явява в това да се знае във всеки един момент какво се случва с личните данни на физическите лица – кой ги обработва, от къде ги има, защо ги обработва, на кого ги предоставя. Тук идва и моментът с киберсигурността – как ги съхранява и пази. Освен това, имайте предвид, че самият Тим Кук (изпълнителен директор на „Apple“) вижда ползите на Регламент (ЕС) 2016/679 и посъветва членовете на Конгреса на САЩ също да състави и приложи подобен акт, макар и в Щатите от години да съществува законодателство за защита на личните данни.
Практиката ни показва, че масово бизнесът е изпаднал в един хаос от документи от всякаквъв вид. В повечето случаи се губят документи и по „Закона на Мърфи“ се появяват точно, когато вече не са Ви необходими. Една от идеите на Регламента и Директивата за Киберсигурността е да се въведе ред във всичко – подреждане на документите, архивирането им, качването им на електронни носители, запазването им в сървърни и клауд – устройства, ограничаване на свободния достъп до тях, както и най- важното – криптирането им.
Затова бихме казали – да, първоначално е тежко за всеки бизнес да интегрира новите правила, но в последствие всичко се опростява и работата тръгва „като по вода“, а накрая ясно се вижда смисълът на всичко това. Дори ще си задавате въпроса как и защо не сте се сетили по-рано за това и защо не е имало някой да Ви покаже ползите и да Ви помогне да ги интегрирате в дружеството си.
Друг често задаван въпрос от клиентите ни по време на среща е „Кога ще започнат проверките и налагането на глоби?“.
Всъщност, проверките и налагането на глоби вече започнаха, като се очаква с всеки изминал ден те да се увеличават. Дори вече имаше казус с наш клиент – беше подаден сигнал и благодарение на съвестната и качествената му работа, както и на нашата такава, с оглед на разписаната документация и процедури – КЗЛД (Комисията за защита на личните данни) взе аргументирано решение, че не е установено налично нарушение и отказа да наложи санкция. Впрочем, по този начин ще опитат да процедират много дружества. Основната идея, според нас, ще е да дестабилизират и притискат основните си конкуренти, което е възможно да се превърне в порочна практика. Точно затова нашата практика е индивидуална към всеки от клиентите ни – целта е да намерим всички възможности за пробив и да подсигурим документално и технически сигурността на дружеството, относно работата му с лични данни на физически лица.
Наскоро ни попитаха „Този Регламент важи ли за мен?“.
Той важи за абсолютно всички, които обработват лични данни. Основните са юридическите лица, но в това число влизат и физическите лица – например хората на свободна практика – лекари, адвокати, одитори и т.н. Всеки трябва да има ясно писани правила и политики, във връзка със защитата на личните данни на своите клиенти и служители. В този смисъл са и текстовете от член първи до член четвърти включително от GDPR. Все пак става въпрос за защита на личните данни на физическите лица, а едно ЮЛ е изкуствено създаден институт и неговото съществуване без физическо лице е немислимо.
„Поредната палка на властта ли е това и трябва ли аз да направя нещо?“
Макар и грубо зададена първата част от въпроса не е лишена от смисъл и основание. Тук ще се въздържим от коментар за доверието на хората и бизнеса в държавата. Силно се надяваме, а и сме сигурни, че не би следвало да има подобни опасения. КЗЛД е един административен орган с контролни и административно - наказателни функции. Неговата дейност няма да се сведе до това да изнудва бизнеса и да се налагат огромни глоби с цел фалит на дружества. Все пак, този Регламент действа за целия Европейски съюз и контрол по неговото изпълнение може да бъде прилаган и от него. Към този момент самата Комисия действа плахо и несигурно. Обемът от работа е огромен и ще се разраства. Нещото, което може да се направи е да се съдейства на КЗЛД да осъществява своята дейност по контрол прозрачно, добросъвестно и законосъобразно. Как? – като приведете навреме бизнеса си в съответствие с разпоредбите на GDPR, съответно като не давате повод за проверки и санкции, а при евентуална проверка представите всичко необходимо и съблюдавате да се спазват правата Ви. Както вече уточнихме, Регламентът няма за цел да позапълни „дупките“ в държавните бюджети, нито цели фалита на мнозинството от бизнеса. Целта е, чрез страх от наказание (превантивна мярка), компаниите да бъдат стимулирани да предприемат всички необходими мерки по опазването на личните данни, които събират, обработват, съхраняват и трансферират.
„Кой ще тръгне да ме проверява точно мен?“
Този въпрос винаги предизвиква усмивка на лицата ни! Той обаче не е предизвикан от работата на КЗЛД или от приложението и съдържанието на разпоредбите на Регламент (ЕС) 2016/679. Неговата основа и основание се крие дълбоко в разбиранията и възгледите на българската народопсихология.
Затруднени сме с даването на отговор и опита да Ви убедим в противното, но ще се постараем! Дори и да сте убедени, че сте неуязвими и непоклатими ще си позволим да Ви дадем съвет – не винаги евтиното излиза евтино! Макар и в застрахователните среди вече да се говори и за застраховка, която покрива защитата на личните данни и киберсигурността, никой не може да Ви гарантира, че няма да станете обект на проверка. Още повече - дори и да нямате „теч“ на данни и проверката да не е насочена към Вас, е възможно да се окажете „свързано лице“ с проверяваната компания и да предизвикате интерес у КЗЛД. На следващо място бихме искали да Ви уверим, че „солените“, предвидени в GDPR, глоби далеч не са единственият разход, който е възможно да се наложи да поемете при едно евентуално установено нарушение. Такива са обезщетенията, административните такси по производствата, както и временната или пълна забрана за обработване на лични данни, което е равносилно на прекратяване на бизнес процесите, а от там и печалбите Ви.
Затова нашият призив към Вас е – бъдете разумни, а не самоуверени!
Друга много важна тема, която трябва да се засегне е и новият закон за киберсигурност.
Съставен с оглед на приемането на Директива (ЕС) 2016/1148 и обнародван на 13.11.2018г., Законът за Киберсигурност е пряко свързан с Регламент ЕС 2016/679 и до голяма степен се припокриват двата акта. Целта им е да се въведат високи мерки за сигурност на мрежите и информационните технологии. Но дори и без тези актове на Европейския Парламент и българския законодател всеки бизнес трябва да обърне сериозно внимание на компютърната си и софтуерна инфраструктура, поради множеството пробиви, които се случват от там и многократното покачване на риска от изтичане на информация – лични данни и търговки тайни и практики. Точно поради тази причина, ние от „Дейта Корп“ ООД имаме и екип от ИТ- специалисти, които виждат слабостите на нашите клиенти и се погрижват те да бъдат защитени и по тази линия. В днешно време от първостепенно значение е информацията на Вашето дружество да бъде превилно и сигурно събирана, изпращана, пазена и архивирана. Затова съветваме да бъдат интегрирани лицензирани и доказани софтуерни продукти, антивирусни програми, рутерни устройства и т.н. Много е важно във всеки един момент да се знае и да се оставя отпечатък кой е достъпвал личните данни на Вашите клиенти и служители, защо ги е достъпил, как ги е използвал и дали и на кого ги е разпространил – това би осигурило Вашата защита при евентуален непозволен достъп и/или увреждане от Ваш служител или трето, външно лице.