″Да ограничат достъпа до публични регистри, това напълно лишено от логика решение е отдавнашна мечта на българската администрация. През годините бяха правени няколко опита за това (...) Тук трябва много да се внимава, защото е много вероятно подобен опит да бъде повторен, а GDPR изрично предвижда дерогации относно, данните, които са част от публични регистри или представляват информация от обществен интерес. Това означава, че данните, част от публичните регистри задължително трябва да останат публични″, твърди юристът в интервю за Medipool.
Госпожо Давидова, да започнем оттам – какво, всъщност е GDPR и какво се промени след 25 май?
Апокалипсисът най-после дойде! Шегувам се, разбира се. Погледната ″от високо“, цялата картина на защитата на личните данни не е променена особено. Сериозна регулация имаше и преди това. Знаете ли, принципите на защитата на личните данни винаги са били едни и същи от както това законодателство е видяло бял свят, те остават непроменени и днес след влизането в сила на Общия регламент за защита на личните данни – т.е. GDPR.
Предварително се извинявам на армията нови експерти по GDPR, че ще отнема малко от героичния им блясък, но основните положения при защита на личните данни са отдавна познати, и пак много се извинявам, не са нещо страшно, а обратното – те са прости и логични:
1. Личните данни трябва да се обработват справедливо и законосъобразно.
2. Да се обработват само с предварително определена и обявена цел
3. Количеството данни, които се събират, трябва да е пропорционално на целта.
4. Личните данни трябва да бъдат актуални във всеки един момент.
5. Да се съхраняват само толкова, колкото да се изпълни целта, за която са събрани.
6. Да се спазват правата на субектите на данни: право на информация, право на достъп, право на възразяване, право на поправка, право на изтриване право на жалба.
7. Осигуряване на адекватна техническа защита срещу незаконна обработка.
8. Да се прехвърлат на трети лица само при определени условия.
Това е – никога не е било различно и сега не се изисква нищо повече от администраторите на данни.
Най-честите злоупотреби с лични данни винаги са били свързани или с прекомерно събиране на данни или с използването на данните не за това, за което са били събрани първоначално.
Щом преди е имало същата защита, защо тогава изобщо се налага нова регулация?
Защото технологиите се развиват и предоставят много и нови възможности за злоупотреба с данни, а правото трябва да отговори на това, като даде адекватна защита на субектите на данни.
Преди 15 години не беше посилно да се направи таргетирано профилиране на хора, както това се прави сега благодарение на социалните мрежи, обменът на данни не беше така улеснен от облачните услуги. Днес тези възможности са факт и законодателят трябва да осигури гаранции, хората спокойно да могат да обменят информация и данни, без да се страхуват, че това, което сами и доброволно са предоставили, да кажем за да се похвалят, да споделят, да се ползват от всички видове онлайн услуги, ще бъде използвано за нещо различно от първоначалната идея.
GDPR не означава световно вето върху де що има лична данна по земята.
Точно обратното – GDPR е регулация, която цели да осигури свободния обмен на данни и информация при гарантиране правата на гражданите. Трябва да можем да се ползваме спокойно от всички възможности, които предлага съвременният свят, без да се притесняваме, че сме наблюдавани, профилирани и заради това класирани в нечий план или стратегия, която може да бъде използвана включително срещу нашите интереси и права.
Всъщност, фундаментално новите неща, които GDPR въвежда са едва четири: разширява се териториалният обхват на защита; въвежда се извънредно висок размер на санкции; нови изисквания към формата на съгласието за обработване на данни и въвеждане на задължение за някои структури да назначат Длъжностно лице по защита на данните (ДЛЗЛД). Всичко останало е само усъвършенстване и изчистване на старата регламентация.
Ако е толкова просто, защо беше тази масова истерия преди 25 май?
Ами, в началото и аз много се чудех защо има такова неразбиране и защо попадам на огромно количество щуротии по прилагане на регламента. Коментирах с колега, специалист по търговско и корпоративно право текста на GDPR и той ми каза, че за него това не е правен текст, а методика или учебно помагало.
Тогава си дадох сметка, от къде произтича проблемът с прилагането на GDPR. В повечето случаи правото ни дава конкретни отговори, рецепти и формули, които да прилагаме. Тук това няма как да стане, защото са покрити необятен кръг от ситуации. Затова GDPR ни дава подход и инструмент за решение, а не точен алгоритъм.
Всяка компания, всяка ситуация, трябва да прегледа дейността си през ″рентгена “ на принципите на защита на данните, които изброих по-горе: Какви данни на физически лица задължително трябва да събера, за да мога да си свърша основната дейност; за какво ги използвам; докога ги съхранявам; какви средства на защита осигурявам, информирал ли съм субектите на данни за правата им.
И за всяка компания отговорите ще са различни, съответно необходимите мерки ще са различни в зависимост от дейността, която упражняват и количеството данни, които обработват.
Колко струва на компаниите и за какво ще следят институциите?
Ако компаниите и до момента са спазвали изискванията на законодателството за защита на данните, те не би следвало да похарчат кой знае какъв бюджет, за да приведат вътрешните си политики в съответствие с изискванията на Регламента.
Безспорен положителни ефект от влизането в сила на GDPR е обновяване на фокуса върху защитата на личните данни. Наложи се всеки един Администратор, да прегледа и опресни вътрешните си процедури по събиране и обработване на лични данни, да опресни знанията на своите служители и да ги направи по-внимателни във връзка с обработването на лични данни. Наложи се Администраторите на данни да “изчистят” излишното и ненужно количество данни, които досега съхраняваха “за всеки случай”, и да оставят единствено необходимия минимум от данни, както и да дадат адекватни на новите технологии средства на защита на данните.
Точно това ще следят и институциите, които ще са ангажирани с контрола по прилагане на регламента: Обработването на лични данни при всеки администратор, отговаря ли на вече изброените принципи на защита и осигурени ли са адекватни мерки за сигурност.
Много ми се иска да подчертая, че GDPR се отнася не само до компаниите и частните предприемачи. От моя гледна точка той се отнася с двойно по-голяма тежест за органите на държавна и местна власт, макар да не съм забелязала дори сянка на притеснение у последните.
Повечето потребители свързват GDPR с масовото заливане на мейлите им с искане за съгласие за ползване на лични данни. Къде да дават своето съгласие и къде не?
Къде да дават съгласие и къде не ще преценят гражданите. Моята препоръка е по-скоро към компаниите: четете регламента с очите на разума и здравата логика, а не с очите на паниката.
В случая с необходимостта от искане на съгласие – четете чл. 6, чл. 7 и чл. 49 от регламента. Напълно ясно е, че когато има законово задължение за събиране на определени данни (напр. при сключване на трудов договор), съгласие не следва да се иска. Напълно ясно е, че когато закон изисква събирането на данни (напр. при деклариране на доход), съгласие не се иска.
Възможно ли е в българските условия GDPR да се превърне в поредното оръжие на тромавите институции срещу бизнеса?
За малко да кажа ″Не″, но после чух уточнението ″български условия“, а то е необятна вселена, що се отнася до възможности за пречки, и моето въображение не би могло да предположи какви варианти ще предложи реалността.
Факт е, че заради въвеждането на новия регламент ще отпадне задължителната регистрация на администраторите на данни към КЗЛД, което е по-скоро облекчение, отколкото затруднение пред бизнеса. Но как ще бъдат прилагани изискванията на регламента към конкретни администратори, не мога да кажа.
Имам известни притеснения, че ще има престараване в изискванията към Администраторите, но ще видим. Много държа да подчертая, че страховитите глоби няма да бъдат налагани толкова лесно. Няма да има ситуация “Добър ден, ти непоискани мейли ли изпращаш - я дай тука глоба 20 милиона”.
Налагането на финансова санкция според регламента е супер крайна мярка, която задължително е предхождана от много други далеч не толкова страшни действия от страна на контролиращия орган.
Може ли GDPR да се превърне в оръжие срещу самите потребители от страна на компаниите?
Потребителите и компаниите са равнопоставени и взаимнозависими едни от други. Те не биха могли да бъдат във война. Защо компаниите да използват оръжие срещу тези, от които зависи печалбата им? Задължителна част от развитието на всяка компания е добрата репутация и доверието, което имат потребителите в нея. Ако компаниите искат да оцелеят в конкурентна среда, те трябва да внимават и да защитават адекватно данните на потребителите, които при първи сигнал, че има вероятност от злоупотреба с данните им, ще се преместят при конкурента.
Положението стои по съвършено различен начин в държавния сектор. Там гражданите нямат нито избор, нито опция да откажат да предоставят данните си. Ето защо и регламента де факто предвижда по-строги изисквания именно към публичните органи, отколкото към частните компании. Така например, органите на публична власт до един са задължени да назначат служител по защита на данните, докато за компаниите от частния сектор това не е така.
В крайна сметка кой трябва да си назначи т.нар. длъжностни лица по защита на данните и кой не?
Фигурата на ДЛЗД е прекрасна илюстрация на това кое е предизвикателството при приложението на регламента. Няма рецепта, няма формула. Преценява се всеки конкретен казус, като се прегледа през принципите на защита на личните данни, които изброих в началото.
Два примера, които ще дадат отговор на вашия въпрос. Работодател с назначени, ако щете, 5 хиляди души служители. Събира и обработва основно лични данни на наетите лица във връзка с трудовото им правоотношение. Ниско рискови данни, събират се на основание трудов договор, съществува законово задължение за обработване, обема от данни, сроковете за тяхното съхранение са установени в трудовото законодателство. Няма основание да се назначава ДЛЗД независимо от големия брой физически лица, чиито данни се обработват.
Друг вариант обаче: малка компания с двама служители – разработват и продават мобилни приложения. На пръв поглед такава компания дори не следва да описва регистрите, които обработва. Но едно от приложенията, които компанията продава, дава възможност на клиентите си да обменят бързо файлове съдържащи медицински данни с лекарите си, с близките си и т.н – кръвни изследвания, снимки от скенер, рецепти и пр., а компанията софтуерно обслужва този обмен. В този случай се налага използването на услугите на ДЛЗД, поради съществото работата, която компанията извършва и данните, които обработват във връзка с това.
По друг начин казано, когато компаниите се колебаят дали трябва или не трябва да си назначат ДЛЗД, трябва да извършат конкретна преценка на собствената си дейност и нейната технология спрямо изискванията на регламента.
След въвеждане на регламента ключови институции в съдебната система започнаха засекретяване на публична информация по делата с оправданието, че това е изискване на GDPR. Един от фрапиращите случаи бе миналата седмица, когато при обвинението на Мирослав Боршош за НДК той бе посочен в документа като “длъжностно лице”. Наистина ли това е изискване по GDPR?
Аз нямам коментар за това. Няколко пъти прочетох новината в деня на излизането й, защото честно казано помислих, че не съм разбрала.
Не мога да коментирам и не мисля, че някой е в състояние да го направи. Просто защото Чл.2 от GDPR изрично изключва от приложното поле обработването на лични данни в полицейската и наказателната дейност.
По същия начин прокуратурата би могла да се позове и на Закона за здравето. Не съм в състояние да коментирам подобно нещо. Само ще отбележа, че ограничаването на принципа на публичност на Наказателния процес (чл.20 НПК) е нещо много, много опасно.
Какви са проблемите в българската адаптация на GDPR? Според различни неправителствени организации нашият проект за промяна на закона крие съществени рискове: разкриване на адвокатска или лекарска тайна, например?
Проблемите с българската адаптация започват още на техническо ниво.
Не е нормално и не подлежи на коментар факта, че две години българските отговорни институции не са в състояние дори да направят достоверен официален превод на GDPR.
На страницата на КЗЛД в момента стои такова съобщение: “Поради установени технически грешки в превода на български език на Общия регламент за защита на данните, е стартирана официална процедура за отстраняването на тези грешки.”
Предполагам, че ще има “престараване” в прилагането на регламента, но сериозни рискове пред защитата на професионалните тайни според мен не съществуват.
Най малкото защото Регламентът се прилага с приоритет пред българското законодателство. Дори и в случай на конфликт, ще се приложи GDPR, а там категорично няма такава опасност.
Аз вярвам в българския законодател и не вярвам подобна възможност да бъде осъществена. Извинявам се, но може ли нечий здрав разум, да допусне публичните органи да засекретяват имената на лицата в обвинителните актове (нарушавайки основния принцип на публичност - един от темелите на Наказателния процес), а от друга, частни лица – лекари, адвокати, обвързани с конфиденциалност по закон да бъдат задължени да разкриват имената на клиентите си. Това е абсурд, който не мисля, че ще бъде допуснат.
Според АЕЖ предложеният законопроект предвижда напълно недопустимо задължение журналистите да разкриват източниците си на информация, ако Комисията за защита на личните данни поиска това от тях. Според становището им текстовете, макар и непряко, допускат такава опция, ако комисията започне проверка на журналист за нарушение при обработването на лични данни?
Регламентът се прилага с приоритет пред българското законодателство. Дори и в случай на конфликт, ще се приложи, GDPR, а там категорично няма такава опасност. Практиката на ЕСПЧ относно защитата на журналистическите източници е доста константна през годините и е в полза на журналистите.
Следва ли да се заличават лични данни изобщо в публични съдебни актове е въпрос, по който неколкократно е изразявал становище ЕСПЧ. Например в делото Társaság a Szabadságjogokért срещу Унгария ([2009 г.] ЕКПЧ 37374/05 , съда констатира, че журналистите изпълняват функцията на "социален наблюдател" и така имат право на защита при легитимно събиране на информация по въпрос от обществено значение. Ограничаването на тази свобода "представлява форма на цензура", противоречаща на изискванията на член 10 от ЕКПЧ.
Организацията напомни също за заплахата за затваряне на публичните регистри, които са организирани по търсене с единен граждански номер. Регистрите са основен журналистически инструмент за проверка на информацията. Те трябва ли да бъдат закрити?
Да ограничат достъпа до публични регистри, това напълно лишено от логика решение е отдавнашна мечта на българската администрация. През годините бяха правени няколко опита за това, спомням си със сигурност два последователни през 2005 и 2006 година, когато бяха направени два опита за промяна на ЗЗЛД точно в тази посока - да се ограничи достъпът до публични регистри и да се затворят данните, свързани с наказателното преследване.
Тук трябва много да се внимава, защото е много вероятно подобен опит да бъде повторен, а GDPR изрично предвижда дерогации относно данните, които са част от публични регистри или представляват информация от обществен интерес. Това означава, че данните част от публичните регистри задължително трябва да останат публични.
*Фани Давидова е юрист. Занимава се професионално с темата защита на личните данни от 2002 година като член на екипа на Програма ″Достъп до информация″. Участвала е в работните групи по обсъждането и приемането на ЗЗЛД , както и в последващите основни изменения на закона. Съавтор е в частта за България в няколко поредни доклада за състоянието на Защитата на личните данни на Privacy International. Автор е на редица публикации по темата. В момента е HR Generalist в Glamira – международна компания, където е член на екипа по прилагане на изискванията на GDPR.
mediapool.bg