Когато за пръв път чух за GDPR глобите в България, реакцията ми беше смесица от притеснение и скептицизъм. Дали наистина регулаторът глобява малкия бизнес? Оказва се – да, и то сериозно. Случаят с НАП от 2019 г. го доказа по най-болезнения начин: глоба от 5,1 милиона лева за изтичане на данни на над 5 милиона български граждани. Оттогава темата за GDPR нарушенията и санкциите стана много по-конкретна за всеки, който управлява бизнес у нас.
В тази статия ще обясня какви са нивата на GDPR глобите, кои са най-честите нарушения, как работи Комисията за защита на личните данни (КЗЛД) и най-важното – как мога да защитя бизнеса си, преди да е станало твърде късно.
GDPR предвижда ясна йерархия на санкциите. Важно е да разбера, че не всяко нарушение автоматично води до максималната глоба – регулаторът отчита тежестта, умисъла и взетите мерки. Ето как изглеждат нивата:
Законът за защита на личните данни (ЗЗЛД) предвижда по-ниски санкции за по-леки нарушения – обикновено формални пропуски при регистрацията или непълна документация. Тези глоби варират между 1 000 и 5 000 лева и са най-честата форма на санкциониране на малкия бизнес в България. Макар и по-малки по размер, те са напълно реални и се налагат от КЗЛД при проверки.
Тази категория санкции се прилага при по-сериозни нарушения на GDPR – например липса на договор с обработващ лични данни, непровеждане на задължителна оценка на въздействието (DPIA) или непознаване на условията за дадено съгласие. Санкцията е до 10 милиона евро или 2% от общия световен годишен оборот на предприятието – прилага се по-голямата сума.
Максималните GDPR глоби са запазени за най-тежките нарушения – обработка на лични данни без правно основание, нарушаване на основните принципи на GDPR, или игнориране на нареждания на надзорния орган. Тук санкцията достига 20 милиона евро или 4% от годишния оборот. Точно в тази категория попада и прословутият случай с НАП.
През юли 2019 г. хакери пробиха системите на Националната агенция за приходите и изтекоха данните на над 5 милиона български граждани – имена, ЕГН, адреси, данъчна информация. Последва официална проверка от страна на КЗЛД, след която на НАП беше наложена глоба от 5,1 милиона лева – рекорд за България.
Какво научих от този случай? Дори публични институции с огромен бюджет за IT сигурност могат да бъдат санкционирани. За малкия и среден бизнес, където ресурсите са по-ограничени, рискът е дори по-висок, ако не се вземат превантивни мерки навреме.
За да разбера по-добре какви са правата ми и задълженията ми като администратор, препоръчвам да прочета и статията Каква отговорност нося като администратор на уеб сайт? – там намирам много практична информация.
След като прегледах практиката на КЗЛД, установих, че най-честите причини за нарушения и санкции по GDPR са:
Комисията за защита на личните данни (КЗЛД) е независимият регулатор в България, натоварен с прилагането на GDPR и ЗЗЛД. Тя може да действа по два начина:
При проверка трябва да мога да предоставя: политика за поверителност, регистър на дейностите по обработване, договори с обработващи, доказателства за съгласие от субектите на данни и процедури за управление на нарушения.
За да разбера по-добре какви са правата ми при защита на личните данни, препоръчвам да прочета: GDPR и лични данни - какви са правата на потребителите?
Добрата новина е, че повечето GDPR глоби са напълно предотвратими. Ето какво мога да направя веднага:
Политиката трябва да описва конкретно какви данни събирам, за каква цел, на какво правно основание, колко дълго ги съхранявам и на кого ги предавам. Общите шаблони от интернет не вършат работа – нужен ми е документ, съобразен с реалната ми дейност.
Ако имам онлайн магазин или уебсайт, общите ми условия трябва да съдържат ясна информация за обработката на лични данни. За изготвяне на общи условия и политики за поверителност, съобразени с GDPR, мога да се обърна към специалист.
Банерът за бисквитки трябва да дава реален избор – не само „Приемам всичко". Маркетинговите съобщения изискват изрично opt-in съгласие, което мога да докажа при проверка.
Всяка фирма, която обработва данни вместо мен или от мое име – счетоводителят, IT поддръжката, имейл платформата – трябва да е обвързана с договор за обработка на лични данни (DPA).
При изтичане на данни имам само 72 часа да уведомя КЗЛД. Ако нямам ясна процедура предварително, рискувам да пропусна срока и да получа допълнителна санкция.
Много нарушения са резултат от незнание – служител изпраща имейл до грешен получател, или запазва лични данни на незащитено устройство. Редовното обучение намалява риска значително.
Трябва да знам точно какви лични данни събирам, откъде идват, кой има достъп до тях и кога се изтриват. Тази информация се съдържа в регистъра по чл. 30 от GDPR.
Ако усещам, че не знам откъде да започна, или вече имам притеснения за съответствието на бизнеса си с GDPR, най-разумното решение е да потърся професионална помощ. За цялостно въвеждане на GDPR в бизнеса е важно да разполагам с актуална документация, обучен екип и ясни процедури.
Освен това, ако управлявам онлайн магазин, препоръчвам да се запозная и с новите правила за защита на личните данни (GDPR) – там е обяснено достъпно какво се е променило след влизането в сила на регламента.
GDPR глобите в България са реалност – не просто заплаха на хартия. Санкциите варират от няколко хиляди лева за формални нарушения до десетки милиони евро за тежки случаи. Случаят с НАП показа, че дори най-голямата данъчна администрация в страната не е имунизирана.
Моите задължения като администратор на лични данни са ясни: политика за поверителност, регистър на дейностите, договори с обработващи, процедури за нарушения и информирано съгласие. Не е нужно да бъда юрист – но трябва да взема сериозно тези изисквания.
За персонализиран GDPR наръчник, съобразен с конкретната ми дейност, мога да получа специализирана правна помощ. А за професионални общи условия и политики за поверителност – също. Превенцията е многократно по-евтина от глобата.
Автор и дата на последна актуализация на текста спрямо законодателството:
Станимир
Ненов
