На свое заседание Управителният Съвет на Търговско-промишлена палата – Кърджали прие решение за провеждане на разяснителна кампания сред членовете си, относно изискванията и условията за правилно прилагане на Регламента за защита на личните данни /GDPR/, както и за да окаже максимално съдействие на фирмите от региона  да се справят с новите предизвикателства и да се подготвят за тях.

Позовавайки се на факта, че Българска търговско-промишлена палата подписа Споразумение за сътрудничество с Асоциацията за защита на личните данни за предоставяне на комплексни услуги, чрез регионалните палати на фирмите, които нямат ресурс да се справят сами. Целта е фирмите да бъдат улеснени при осъществяването на необходимите организационни и технически мерки, които след внедряването им ще дадат възможност да се постигне съответствие с GDPR и ще могат да го доказват. Това ще ги предпази от риска за налагане на санкции или глоби при проверка от надзорния орган.

Комплексните услуги са оформени в пакети, съобразени със спецификата и възможностите на съответната фирма и включват дейности като:

 – анализ (оценка) на текущото състояние на фирмата/организацията, за съответствие с условията на Регламента;

 – план за внедряване с конкретни препоръчителни мерки;

 – пакет на необходимите образци на документи (процедури, формуляри, бланки и др. );

 – преценка (становище) относно наличието на предпоставки за необходимостта от назначаване на „длъжностно лице по защита на данните“;

 – компютърни и технически тестове за оценка на сигурността на мрежите, трансфера на данни, уязвимостите при достъпа до лични данни;

 – актуализация на документите в едногодишен срок, в случай на законодателни промени или въвеждане на нови добри практики.

С оглед изложеното, сме длъжни да информираме фирмите, че подобни комплексни услуги се предлагат от множество други организации, консултантски фирми и адвокатски колегии. Нека фирмите сами да преценят къде да потърсят помощ.

Длъжни сме да информираме фирмите, че Комисията за защита на личните данни, която е националният контролен орган по Регламента, публикува на своята интернет страница 10 практически стъпки, които организациите трябва да извървят, за да внедрят GDPR. Комисията за защита на личните данни публикува на своя институционален сайт всички официално приети и одобрени информационни материали, свързани с прилагането на Общия регламент за защита на данните.

Кърджалийска търговско-промишлена палата (КТПП) е сдружение с нестопанска цел, което поддържа, насърчава, представлява и защитава стопанските интереси на своите членове. Вече над 20 години КТПП активно работи в услуга на българското предприемачество с цел – неговия просперитет и икономическото развитие на страната. Като регионална работодателска организация, която е част от системата на  Българска търговско-промишлена палата (БТПП)  води постоянен диалог с местните държавни органи за подобряване условията за стопанска дейност.

За изпълнение мисията и целите на КТПП, събира информация предимно свързана с предприемаческата дейност. Това до голяма степен са данни и показатели в областта на икономическото развитие. Освен бизнес-информация, КТПП събира още и лични данни на предприемачите/работодателите, както и лични данни на други лица, които работят/съдействат за развитие на икономиката.

Глобализацията и дигитализацията, бързото технологично развитие и навлизането на нови бизнес модели превръщат личните данни във все по-важен ресурс и ги поставят във фокуса на световните икономики и пазари.  

В същото време злонамерената употреба и недостатъчната защита на личните данни създават  все повече  заплахи за отделния човек.  

Социалните и икономическите процеси в днешния свят и заплахите за гражданите мотивираха Европейския съюз да предприеме драстични мерки. Режимът за защита на личните данни днес е предмет на една от най-обсъжданите законодателни реформи, а санкциите за нарушения в тази област достигат безпрецедентни размери.  

Така на 27 април 2016 г. беше приет Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на ЕС за защитата на физическите лица във връзка с обработването на лични данни и за отмяна на Директива 95/46/ЕО, придобил популярност като GDPR (GENERAL  DATA  PROTECTION  REGULATION).

Общия регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни. Той вече е в сила и се прилага в България от 25. май. 2018 г. GDPR разширява правата на субектите на данни и въвежда редица нови задължения за администраторите и обработващите лични данни.

Почти няма фирма, която да не обработва лични данни под една или друга форма. Основната цел на GDPR е да защити тези данни. Тоест, ако съхранявате или обработвате лични данни на ваши клиенти, потребители, служители, доставчици и други, Вие сте законово задължени да предприемете необходимите правни, организационни и технически мерки за защита на тези данни. Освен това всяко физическо лице има право да поиска от Вас достъп до своите лични данни, коригирането  или изтриването им. Ако Вие не му отговорите до един месец, физическото лице има право на обезщетение.  

В практичен аспект това означава, че фирмите трябва да въведат промени в начините на събиране, обработване и съхраняване на личните данни. Над 50 са мерките (организационни и технически), които, ако бъдат внедрени, ще подпомогнат всяка фирма да постигне съответствие с GDPR и съответно да го докаже.   За малките и средните предприятия GDPR предвижда някои облекчения, но това не ги освобождава от задължението им да приведат дейността си в съответствие с Регламента.

Така защитата на личните данни в наши дни се превръща в част от необходимите условия за развиване на бизнес. Много фирми ще поставят изисквания пред своите доставчици на продукти и услуги дейността им да е приведена в съответствие с GDPR като условие за търговски отношения.

Независимо от това много фирми  подценяват важността на GDPR. Други не са в състояние сами  да въведат подходящи технически и организационни мерки за защита на личните данни във фирмата си, съгласно изискванията на Регламента.

Част от мерките, които трябва да бъдат предприети, са посочени изрично в GDPR, за други са дадени примери. Част от организационните мерки могат да бъдат извлечени чрез принципите и задълженията, посочени в Регламента. Някои от тях изискват коренна промяна в начините на обработване на личните данни и премоделиране на вътрешните процеси.

GDPR е комплексен регулаторен механизъм. Някой фирми могат да се справят с наличния си вътрешен ресурс, докато за други е по-подходящо да използват външен експерт или екип от експерти, които да им помогнат с конкретни анализи, оценки, дейности по внедряване, изработване на процедури и правила, поддържане на съответствието с GDPR, обучение на служители. Независимо как ще предпочетат да подходят към GDPR, е необходимо като първа стъпка фирмите, които все още не са предприели необходимите действия да отделят време, за да установят как тяхното предприятие  работи с лични данни и какво трябва да се предприеме.

Административните санкции за нарушаване  изискванията по GDPR, предвидени в регламента, са в размер до 20 000 000 евро или 4% от годишния оборот на фирмата – нарушител, което от двете е по-голямо. Тези санкции не включват загубата на доверие на клиентите и партньорите, загубата на пазарен дял, разходите за съдебни процеси, загубата на бизнес възможности.  

УС на КТПП