Сертификати за спазване на GDPR още няма в България, предупредиха експерти
Сертификат, който да докаже, че институция или бизнес спазва Общия регламент за защита на личните данни (GDPR), все още не може да бъде получен в България.
Това посочиха експерти по време на конференцията "Защита на личните данни: прилагане на регламента, акредитация на органи за сертификация по GDPR - практика и предизвикателства".
Процесът за акредитацията на сертифициращите органи не е финализиран и съответно на този етап е невъзможно да се предлага услугата по сертификация, отбеляза Иван Савов, председател на Европейския институт за риск политика (ERPI).
Преди дни Комисията за защита на личните данни (КЗЛД) съобщи изрично, че не е оторизирала нито една организация или център да провежда обучения, нито е одобрявала програми за това. Тя подчерта и, че администраторите нямат задължение да участват в такива обучения.
За да бъде одобрена схема на сертифициране, тя трябва да получи одобрението и на КЗЛД, но и на европейския орган, който обединява 28-те национални комисии, за да се гарантира, че правилата ще са еднакви в целия ЕС. На база на неговото становище местната институция ще решава дали да приеме определена сертификационна схема.
"Един от основните аспекти на въведената правна рамка и практика остава подпомагането на доброволните мерки, каквато е сертифицирането, предприемани от администраторите", уточни Венцислав Караджов, председателят на Комисията за защита на личните данни. "Следващата стъпка на национално ниво е приемането на подзаконови нормативни актове като наредба по акредитация и отнемане на акредитация на сертифициращите органи и наредба относно критериите, механизмите и процедурите за сертифициране, печати и маркировки."
"Моето усещане е, че все още по нашите ширини няма нагласата за използване на този механизъм", отбеляза Цанко Цолов от КЗЛД. "За нас е важно да се спазват правилата, важно е да намерим механизми, които да гарантират спазването на правилата и те да се използват както между администраторите, така и ние да имаме увереност, че когато имаме сертификация, издадена от акредитиран орган, този сертификат е валиден, е истински."
Акредитацията и сертификацията не са нов процес, посочи той, но имат ново измерение. "Имаше един режим на регистрация. Този режим на регистрация легитимираше администратора на лични данни, че законосъобразно обработва личните данни. Тази регистрация изчезна. (...) Сега администраторът сам трябва да доказва, че спазва изискванията на регламента. Именно с това се даде нов шанс и нов живот за сертификацията като цяло."
Цолов припомни, че сертификатът не е гаранция за спазване на регламента, но може да се използва за част от доказателствата за това при проверка от КЗЛД.