Само след два месеца всички публични компании, както и всички лица, които работят с лични данни ще трябва да отговарят на нов общ регламент 2016/679 (GDPR), който ще започне да се прилага от 25 май 2018 г. С него се въвежда фигурата на длъжностното лице по защита на личните данни (DPO).
Засегнати от новия регламент са абсолютно всички администратори на лични данни, абсолютно всички лица, които боравят с лични данни – било то на свои служители, персонал или клиенти. Този регламент ще се прилага за абсолютно всички лица. Има различни задължения, в зависимост от типа данни, които се обработват. Много по-затегнати са изискванията за фирми и организации, които боравят със специфични лични данни – примерно болниците, които работят с данни за кръвна група, за ДНК информация. Но абсолютно всеки работодател трябва да обработва и съхранява личните данни с необходимите нива на сигурност. Това е важното.
В регламента има много нови неща, макар, че той дава само общата рамка. Този регламент се прилага общо и директно от всяка страна – членка на ЕС, а не както директивите, които следва да бъдат имплементирани със закон. Оттук нататък всеки регулаторен орган – в случая за България това е Комисията за защита на личните данни – трябва да изработи подзаконови нормативни актове, в които да даде по-голяма специфика и по-голяма конкретика, например относно нивата на защита. И сега има такива в наредбите на Комисията за защита на личните данни, но със сигурност те ще бъдат обновени с влизането в сила на новия регламент на 25 май.
Едно от най-новите изисквания е наличието на длъжностно лице по защита на данните – DPO. Това са лица, които трябва да отговарят за обработването и съхраняването на личните данни, тъй като се предвиждат много нови права за лицата, чиито данни се обработват – всеки един от нас като обикновен потребител може да поиска да бъдат заличени неговите лични данни, да бъде спряна тяхната обработка. Това DPO ще е лицето за контакт – то ще контактува с надзорния орган, ще е лицето, което ще контактува с всеки гражданин, а в случай на инцидент – с всеки потърпевш, чиито лични данни са изтекли по някакъв начин. Така че това е една изключително важна и отговорна длъжност, която регламентът GDPR предвижда.
Трябва да се подготвят кадри – това е задължително. Малко са специалистите, които знаят наистина как да подходят, как да създадат кризисни центрове – това е също един от новите моменти. За 72 часа трябва да се уведоми комисията в случай на възникнал проблем.
В регламента е казано, че задължително DPO трябва да има в случаите, когато става въпрос за публичната администрация, когато става въпрос за обработка на специфични данни и голям обем от данни. Тъй че едно съвсем малко предприятие не би следвало да попадне под ударите на тази регулация, но това не значи, че не би трябвало да вземе мерки за защита на личните данни, дори за един човек. Регламентът дава възможност освен да се назначава нова длъжност, да има външни такива – нещо като аутсорсване на DPO-та. Тази възможност със сигурност би била икономически по-изгодна. за малките фирми.
Повече по темата четете тук.