ЧЕЗ откри позиция директор "Защита на личните данни"

Г-н Чифлигаров, кои сектори ще са най-силно засегнати от новата регулация за опазване на личните данни? Как тя се отразява като цяло на сектора на комуналните услуги?

Регламентът засяга всички сектори, тъй като лични данни на практика се обработват при всяко едно взаимоотношение на лица с институции, търговски дружества и други организации със стопанска или нестопанска цел. В тази връзка не може да се прави разделение на силно и слабо засегнати сектори. Със сигурност във фокуса на общественото внимание ще са сектори и организации, работещи с големи обеми лични данни, такива които обработват чувствителни лични данни и не на последно място - организации, чиято дейност е свързана с профилиране на лицата (групирането им по предварително определени критерии) с цел предлагане или предоставяне на продукти и услуги. Компаниите от сектора за комунални услуги, независимо че за основните услуги са налице законови основания за обработка на личните данни на лицата, също са задължени да приведат, в случай, че са установили несъответствие, обработката на лични данни в своите бизнес процеси в съответствие с изискванията на Регламента.

Как ще бъде решено тълкуването на спорни казуси?

Комисията за защита на личните данни е институцията, която регулира, координира и контролира обработката на лични данни от страна на администраторите на лични данни във всяка една сфера, в която такива данни се обработват. Всеки казус може да бъде отнесен към тази комисия и тя ще предостави съответното становище, а когато е необходимо ще предприеме и необходимите мерки спрямо администраторите или обработващите лични данни, засегнати от този казус.
 
Според Вас бизнесът в България познава ли добре това, което предстои?

Не съм проверявал скоро за нови статистически данни по този въпрос, а и не съм срещал подобна систематизирана информация за компаниите в България. Ситуацията у нас едва ли е по-различна от това, което показват публичните данни от различни европейски проучвания. Например към края на 2017 по данни на RSM, шестата по големина компания за услуги в областта на одит и данъчни консултации, представена в 120 държави с 800 офиса, над 40 хил. служители и приход от 4,9 милиарда долара, в проучване, осъществено измежду 400 компании (включително компании от България), представени в European Business Awards, отчитат, че:

- 28% не са запознати с новата регулация;
- Повече от половината (51%) считат, че регулацията е прекалено сложна за малкия и среден бизнес, но са съгласни, че тя трябва да се приложи;
- 8% са отчели готовност;
- 26% са потвърдили, че няма да са готови към 25/05/2018;
- 60% от компаниите заявяват необходимост от външни консултанти за постигане на съответствие

Личното ми мнение, на база срещи през последните месеци с представители на организации от различни области, е че ситуацията у нас не се различава съществено от заключенията на RMS.

Има ли единен стандарт, който да гарантира, че една компания наистина е готова за новия регламент? Има ли акредитирана организация, която да може да удостовери готовността на дадена компания за новите правила?

Отговорът на този въпрос все още е отрицателен. И по двете направления се работи и аз лично се надявам, че възможно най-скоро, на европейско и национално ниво, ще бъдат представени насоки и решения в тази посока.   

Защо, всъщност, според Вас се въвежда GDPR?

В последните месеци темата се коментира достатъчно интензивно и не искам да се впускам в детайли относно ползите от прилагането на Регламента. Като лице, чиито данни се обработват от множество администратори, считам, че коректното прилагане на правната рамка ще подобри от една страна защитата на данните ми, а от друга страна ще ограничи случаите на нерегламентираната им употреба за маркетингови и търговски цели, за които не съм предоставил съгласието си.

В "ЧЕЗ България" ЕАД бе създадена позицията директор "Защита на личните данни". Какви са конкретно задълженията?

Имам отговорността и в същото време честта да изпълнявам функциите на длъжностно лице по защита на данните в дружествата от групата на ЧЕЗ. Едно от основните ми задължения е да защитавам правата и интересите на т.нар. субекти на данните и да комуникирам с тях, когато те смятат, че правата им са нарушени. Субект на данни е всяко физическо лице, с което се свързват тези данни. С оглед на дейността на дружествата от групата на ЧЕЗ, това са преди всичко нашите клиенти, служители и търговски партньори. Директорът за защита на личните данни информира и съветва ръководството и служителите на компанията за техните задължения при обработката на лични данни с цел да се избегнат нарушения в правата на лицата.

Какви други промени, освен създаването на специалната позиция, предприе концернът, за да приложи регламента за защита на личните данни?

Защитата на личните данни е част от дългосрочната политика на ЧЕЗ в областта на информационната сигурност, за която е разработен и се изпълнява дългосрочен план за развитие и е предвиден съответният бюджет. За влизането в сила на новия европейски регламент дружествата от групата на ЧЕЗ стартираха в началото на 2017 г. общ проект за осигуряване на съответствие на дейностите си с изискванията на регламента. На първо място бе извършен задълбочен анализ на новите изисквания, те бяха съпоставени с действащите в дружествата правила и процеси и в резултат от анализа бяха начертани конкретни мерки за постигане на пълно съответствие с регламента. В момента се изпълнява последният етап, а именно внедряване на одобрените решения. Освен споменатото по-горе по отношение на създадената позиция директор "Защита на личните данни" в началото на април представихме новата функция и предстоящите промени пред потребителските организации, които са членове на Потребителския съвет към ЧЕЗ.

Предстои да пуснем специални секции на сайтовете на компаниите на ЧЕЗ, където ще се съдържа конкретна и полезна информация за регламента. След 25 май всяко дружество на ЧЕЗ ще има собствена политика за поверителност, в която ще бъдат посочени правилата на дружеството по отношение на обработваните лични данни на неговите клиенти и партньори. Като цяло информационните системи, които използват дружествата на ЧЕЗ, покриват всички стандарти за сигурност на информацията, като се прилагат надеждни технически и организационни мерки за осигуряване сигурността на обработването, включително и за предотвратяване на нерегламентиран достъп до данните на клиентите и партньорите на ЧЕЗ.

Без да влизаме в много подробности, мога да споделя, че имаме план за внедряване на допълнителни технологични решения за сигурност и защита на личните данни, които се обработват, за изпълнение на задълженията ни като доставчик на услуги за крайните ни клиенти. В допълнение във връзка с влизането в сила на новия регламент е, че разработихме и имплементирахме няколко програмни приложения – за обработване на заявките за упражняване правата на физическите лица, имаме готовност да обработваме съгласието на клиента, когато основанието за обработка на личните данни изисква такова съгласие. Актуализирали сме и процедурата за реакция на нарушения, свързани със защитата на личните данни. Предвиждаме и изготвянето на нов специализиран сайт за функциите на Директора по защита на личните данни за групата дружества ЧЕЗ в България, като единно лице за контакт с физическите лица по отношение на личните данни.