Предизвикателствата през бизнеса свързани с GDPR

Интервю с Емилияна Неева, Главен юрисконсулт в Кредисимо АД

Емилияна Неева е с единадесетгодишен опит в правната сфера. Тя е сред малцината, които завършват специалност „Право“ с пълен отличен в НБУ, като в последствие специализира и в King’s College London. От 2013 г. е юрисконсулт в компанията лидер в областта на онлайн кредитирането – Credissimo, като в рамките на две години успява да създаде изключително успешен екип от професионалисти, като от 2015 г. заема длъжността ръководител отдел „Правен“. Предишният й опит включва различни ръководни и водещи позиции в кантора на ЧСИ, в най-голямото дружество за изкупуване и събиране на вземания в страната, както и във водеща адвокатска кантора.
През януари, Credissimo беше избрана от КЗЛД и се проведе симулативна проверка в сътрудничество с Дирекция за защита на личните данни на Република Македония при осъществяване на проект “Support to access to right on Protection of Personal Data”. Срещнахме се с нея, за да обсъдим какви промени въвежда Credissimoи какви са предизвикателствата през бизнеса свързани с изискванията за GDPR.

1. Какво е GDPR и кого засяга?
През 2016 г. беше приет Общ регламент за защита на личните данни, Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 (GDPR/Регламентът), който започва да действа считано от 25 май 2018 г. GDPR ще замени местните закони за защита на личните данни, валидни както в България, така и във всяка държава от Европейския съюз, катоРегламентът е по-скоро рамков нормативен акт, който в по-голямата си част определя рамката, в коятодържавите членки следва да уредят своите национални законодателства, регулиращи защитата на личните данни на физическите лица. Нещо повече,GDPR ще бъде приложим за всеки администратор или обработващ лични данни, който не е установен в ЕС, но обработва лични данни на граждани, които се намират в ЕС. Тоест, този нормативен акт създава нови принципи на обработка на лични данни – разширява се териториалният обхват, създават се нови фигури, задължителни за повечето компании, както и се предвиждат правила за обработка, трансфери и пр. на лични данни.

2. Какво следва да предприемат администраторите на лични данни?
Новите задължения, които GDPR въвежда се делят най-общо на технически и организационни, като те трябва да може да бъдат доказани пред контролните органи. Нормативният акт на практика изменя основния принцип на правото „невинен до доказване на противното“, като вече ще е приложимо „виновен до доказване на противното“.
Съществена промяна е отпадане на задължението администраторите да се регистрират в Комисия за защита на личните данни (КЗЛД), който е надзорен орган по GDPR за България. Вместо това, те са задължени да поддържат регистри на дейностите по обработване на данни. Това задължение се отнася и до обработващите лични данни- физически или юридически лица, които действат от името на администратора и които също трябва да могат да докажат, че обработват данните в съответствие с новите императивни норми. В противен случай ще бъдат глобени, като имуществените санкции, могат да възлизат до 20 млн. евро или, в случай на предприятие до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока. В този смисъл, размерът на глобите е показателен колко важни са тези обществени отношения и нуждата от унифицирана регулация, най-вече в отговор на все по-навлизащия свободен пренос на лични данни и интернет услуги в световен мащаб, които са неизменна част от ежедневието ни.

3. Как ще се отрази това на бизнеса, който администрира лични данни?
От бизнес до бизнес има разлика и не бихме могли да говорим общо, тъй като отражението за всеки ще е различно. В този смисъл, значение има видът лични данни, които се обработват, както и обемът. Например, една болница събира по-чувствителни лични данни с оглед медицинската диагностика и лечение на лицето в сравнение с една финансова институция, която се интересува само от лични данни, които са необходими за определяне на кредитоспособност (наличие на трудов договор, размер на доход, други кредити и т.н.) и идентификация.
Респективно, администратори, които обработват лични данни на голям брой физически лица, следва да предприемат по-високи организационни и най-вече технически мерки при осъществяване на дейността си в контекста на защитата на личните данни, тъй като евентуален пропуск носи висок риск и ще окаже отражение върху голям брой субекти на данни.

4. Необходимо ли е обучението на специален служител, който да отговаря за опазването на личните данни?
Да, GDPR въвежда фигурата на „Длъжностно лице по защита на данните“. Изискването е задължително за публичните органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции, адмнистратори, които извършват операции по обработване на данни, които изискват редовно и систематичнонаблюдение на субектите на данните, както и администратори, чиито основни дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

5. Какви промени въвежда Credissimo, за да изпълни изискванията за GDPR?
Кредисимо е динамична високотехнологична компания и е една от най-бързо развиващите се ФинТек структури в небанковия финансов сектор. Като лидер на пазара на онлайн кредитирането, дружеството непрекъснато следи най-новите технологии, респективно нормативни изисквания и въвежда най-добрите решения при осъществяване на дейността си, в това число и в контекста на обезпечаване защитата на личните данни на своите клиенти. Смело мога да кажа, че се стремим и успяваме винаги да сме една крачка преди нашите конкуренти и не случайно сме избирани няколко години подред за дружество номер 1 в онлайн кредитирането.

Разбира се, редом с успехите, идва и голямата отговорност не само пред контролните ни органи, а и най-вече пред нашите клиенти. За нас е основен приоритет защитата на личните данни, които обработваме, както и ясните и прозрачни условия, при които осъществяваме дейността си. Доказателство за това е, че Credissimo е съосновател на Асоциация за отговорно небанково кредитиране, която има за цел именно налагане на добрите практики в нашия сектор.
В този смисъл, новият регламент и изисквания са приоритетни за нас и дейността ни, като още миналата година при публикуване на GDPR направихме екип от специалисти, с които внимателно анализирахме необходимите промени и в момента се работи по техническото изпълнение, така че Credissimo е подготвено за промените, които ще са в сила май месец тази година. Все още очакваме уредба от българския законодател с оглед GDPR, така че имаме предвид и евентуални последващи допълнителни изисквания, които да съобразим.

Бих искала да отбележа, че Credissimo беше избрана от КЗЛД и този месец се проведе симулативна проверка в сътрудничество с Дирекция за защита на личните данни на Република Македония при осъществяване на проект “Support to access to right on Protection of Personal Data”, финансиран със средства от ЕС, не само защото имаме дъщерно дружество в Република Македония, а считам като поредно доказателство, че сме високотехнологична компания, лидер на пазара. Радвам се, че имаме възможност на такава добра колаборация с КЗЛД, тъй като вярвам, че контролните органи не само трябва да следят спазването на закона и налагат глоби, а и да помагат превантивно на администраторите при осъществяване на общата ни цел, а именно защита на потребителите.