Dura lex sed lex*

- Не е необходимо при всяко изискване на документ за самоличност той да се предоставя чинно, без да бъдем осведомени защо и на кого това е нужно.

Знаете ли, че Законът за защита на личните данни съществува в България от 2002 г.? А, че ако сте работодател, това автоматично означава, че следва да се регистрирате като администратор на лични данни? Или ако искате да запазите имената и ЕГН на вашите клиенти на сървъра на дъщерно дружество в САЩ, следва да получите разрешение за това?

Сигурно след вече 15 години регулация на личните данни част от горните въпроси ще получат верен отговор. Но въпреки това правилата за защита на информацията, която изцяло или частично ни идентифицира в обществото, продължават сериозно да се неглижират в България. Често на законовите норми и императивните указания по тях се гледа като на палиативни мерки срещу несъществуващ проблем. Поредните утежняващи живота на обикновения търговец правила, които нищо не ни говорят, освен че създават повече задължения, хранят бюрократичния апарат и оправдават работата на още една държавна институция…

Абонирайте се за Капитал

Четете неограничено и подкрепяте усилията ни да пишем по важните теми

Иначе медиите почти всеки ден изобилстват от новини за откраднати данни на управители на фирми и измами с взети кредити чрез чужда информация. Когато обаче става дума да се спази законът, той се оказва една досадна пречка по пътя към безоблачния бизнес.

И така, в навечерието на Общия регламент относно защитата на данните (Регламентът) (1) и малко преди да започнат да се прилагат още по-строги норми и по-сурови глоби в защита на собствения ни интерес, а определението за "лични данни" да се разшири до почти всяка информация, която се отнася до определено лице, нека си припомним основните задължения по този иначе не лошо разписан Закон за защита на личните данни (ЗЗЛД) у нас.

Регистрация на администратор на лични данни

Лични данни представляват всяка информация, която се отнася до физическо лице и би могла да го идентифицира пряко или непряко чрез различни признаци (например предоставяне на данни от лична карта). Съгласно ЗЗЛД всяко лице, което обработва лични данни, т.е. събира ги, записва ги, съхранява ги, организира ги на някакъв принцип, е длъжно да се регистрира като администратор на лични данни в Комисията за защита на личните данни (Регулатор/ът). Регистрацията съдържа подробна информация как съответният администратор ще се отнася към предоставените му данни, така че да им е осигурено поне минимално ниво на защита (например заключва ги, ако са на хартиен носител; криптира ги, ако са на електронен носител, и т.н.). Освен това всеки администратор определя и заявява пред Регулатора за какви точно цели ще събира данни. Той следва да класифицира различната информация в отделни регистри, които са публични и всеки може да се осведоми за тях. Най-често се откриват регистър "Работници / Служители", регистър "Клиенти", регистър "Ръководни длъжности". Спазвайки това задължение, съответният администратор много ясно и точно разделя функциите по обработването на данните. Защо е нужно това? По този начин всяко лице – например служител - може да поиска справка дали неговите данни се ползват само за целите на управление на човешките ресурси и за осигурителни цели (каквото е задължението на администратора, щом данните са в регистър "Служители") или се предоставят например и за социологически проучвания или за маркетинг, без да е дадено съгласие за това. Така всеки ще може да провери дали неговите данни не се предлагат на трети лица за съвсем други нужди и дали не се злоупотребява с тях. Например рязко ще намалеят случаите, в които получаваме телефонни обаждания от непознати компании, които рекламират своите продукти и разговарят с нас сякаш имаме роднинска връзка.



Разбира се, целият този процес включва не само спазването на регулациите по закон от страна на администратора, но и активното участие и интерес от страна на лицето, чиито данни се обработват…

Защо е необходима регистрацията на администраторите и какви са правата на гражданите в тази връзка?

Най-циничният отговор е, защото подлежите на санкция, ако събирате лични данни, а не се заявите пред Регулатора – глоба в размер до 10 хил. лв.
Много по-необходимо е обаче физическите лица да осъзнаят своите права, свързани както с възможността да получат информация как и защо се претендира нуждата от техните данни, така и с интереса си напълно законосъобразно да откажат да им се събират такива или дори да поискат част от тях да се заличат. Нужно е да им се обясни логиката на всяко автоматизирано обработване на данни.

Липсва все още осъзнатост, че не е необходимо при всяко изискване на документ за самоличност той да се предоставя чинно, без да бъдем осведомени защо и на кого това е нужно. Още по-малко следва да се позволява данните ни да се копират и да се пазят от всеки търговец или туроператор, който прецени, че за него е по-лесно да има копия от личните документи на клиентите си. Всичко това трябва да става с нашето изрично и доброволно съгласие, често пъти дори обективирано в писмен вид и след като сме били ясно уведомени за причините и целите наши данни да бъдат събирани.

Отделно от това от огромно значение е всеки администратор да е наясно ще трансферира ли тези данни до други държави и ако да – дали те са членки на Европейския съюз и Европейското икономическо пространство, или се дефинират като трети страни. В голяма част от държавите извън Европа нивото на защита на данните е много по-ниско и едно безобидно изпращане на имейл с данни на клиент извън ЕС може до доведе до сериозни проблеми. Затова Регулаторът изисква да получи информация къде ще се изпращат данните и вместо администратора извършва подробно проучване дали тези данни ще бъдат защитени, или ще съществуват свободно в интернет пространството с неограничен достъп до тях. Съответно администраторите могат да получат разрешение или отказ за трансфер на данни в трети държави.

Изводи и бъдеще

Дори без да навлизаме в дълбочината на всички уловки, които ни поднася новият дигитален свят, в който живеем и от който Регламентът ще ни защитава, или пък да анализираме начина, по който гиганти като Google и Facebook използват нашите данни, често пъти на ръба на позволеното от закона, е време осъзнаването на нашите права и задължения в областта на личните данни да се усети като отговорност от глобално значение. Защото всеки път когато бързате да се регистрирате в нов електронен сайт, който продава любимата ви марка слънчеви очила на половин цена, и без внимание кликате върху онова изречение, което така ужасно бави процеса на плащане "Съгласен съм с Общите условия на…", някъде в тези условия подробно е описано как номерът на кредитната ви карта ще се съхранява 5 години на сървър в Китай (например). По-късно, когато част от парите по същата кредитна карта "изчезнат", ще сте поне наясно, че сте си доплатили за очилата до реалната им стойност, че и отгоре… Примерът е груб, но също така грубо поставя въпроса за необходимостта от вашето информирано съгласие да се обработват данните ви и вашето внимание по отношение на свободата, която предоставяте на трети лица (във възможно най-широкия смисъл) да използват персонифицирани данни за най-различни цели.

Думите са Тоомас Илвес, президентът на Естония, който наскоро направи революционно изказване, с което предложи движението на данни да се регламентира като пета свобода, звучат като прекрасен завършек на горните разсъждения: "И все пак свободното движение на данни не е само за търговия. Като всяка основна европейска свобода свободното движение на данни идва с права и отговорности, сред които най-важна е сигурността на данните. Наистина собствеността на лични данни и свободата да решаваме как да ги използваме са съществени условия за отключването на стойността на тези данни." (2)

Уви, връзка между свобода и отговорност у нас все още няма…

* Лат. Строг закон, но закон
(2) Одобрен декември 2015. Очаква се да влезе в сила пролетта на тази година, но да започне да се прилага в срок от две години
(3) Из реч на Т. Илвес пред Европейския парламент, февруари 2016 г.