Проектът на ВМРО за цензурата в интернет противоречи на регламента GDPR

Позиция на Асоциацията за защита на личните данни по повод поредния законопроект, предлагащ рестрикции за медии и социалните мрежи

Предложените от ВМРО промени в Закона за защита на личните данни (ЗЗЛД) противоречат както на българското законодателство, така и на Общия регламент за защита на личните данни (GDPR) - Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. Този законопроект не бива да бъде приеман, се казва в позиция на Асоциацията за защита на личните данни, като уточняват, че позицията им по проекта не обхваща темите извън защитата на личните данни. (Пълния текст на позицията вижте в прикачения файл.)

Законопроекти за налагане на цензура в интернет

Проектът за промени в Закона за личните данни беше внесен в края на май от шестима депутати на ВМРО начело с Александър Сиди и Искрен Веселинов, веднага след като парламентарната медийна комисия отхвърли друг законопроект на същите депутати - за промени в Закона за радиото и телевизията (ЗРТ). И двата законопроекта преследват очевидната цел за налагане на цензура в онлайн пространството чрез създаване на правомощия на специализирани държавни органи да обявяват дадена информация в онлайн медия за невярна (дезинформация) и да нареждат премахването й, да искат затваряне на сайтове и други онлайн платформи, като налагат и глоби. Проектът за промени в ЗРТ, отхвърлен от медийната комисия, възлага такива правомощия на Съвета за електронни медии.

Вторият законопроект - за допълнения в ЗЗЛД, предвижда функцията на цензор да извършва Комисията за защита на личните данни (КЗЛД). Проектът предлага да се въведе задължение за всички собственици на сайтове, онлайн платформи, профили в социалните мрежи, блогове и др. да оповестят на видно място имената си, телефон, адрес и мейл за контакт и да носят отговорност за разпространяване на дезинформация в интернет, а по искане на КЗЛД съдът да издава разпореждане за спиране на достъпа до сайт, профил, блог и др. Срещу този законопроект също се появиха сериозни възражения. Пред "Капитал" адвокат Александър Кашъмов го определи като закон за цензурата и защита на дезинформацията (вижте тук).

Противоречия с GDPR и българското законодателство

В становището на Асоциацията за защита на личните данни се набляга на противоречието на законопроекта за промени в Закона за защита на личните данни с GDPR регламента, както и с базисни принципи на законодателството.

На първо място, няма причина да се извежда отделно като администратор на лични данни "собственикът на интернет сайт, онлайн платформа, профил в социална мрежа", тъй като правилата за защита на личните данни са предназначени за всички администратори и обработващи лични данни по смисъла на законодателството за защита на личните данни. От друга страна: "Не всички собственици на профили в социалните мрежи например отговарят на определението за "администратор на лични данни"[...] Не е задължително понятието "собственик на сайт, профил в социална мрежа, онлайн платформа" и др. (каквото и да се влага като смисъл в думата "собственик" в случая) да съвпада и да се припокрива с термина "администратор" на лични данни."

В Регламент (ЕС) 2016/679 се казва, че той не се прилага, когато даден човек обработва лични данни за своя лична дейност или за домакинството си, без това да има връзка с професионална или търговска дейност. Така например не може да се счита за администратор на лични данни човек, който си поддържа телефонен или адресен указател, води кореспонденция или участва в социални мрежи и онлайн дейности в лично качество. Принципно не е задължително интернет сайт, блог, профил да обработва лични данни, а точно тази дейност е условие да има администратор на такива данни. Тази базисна липса на съобразяване на законопроекта с понятия, термини и дефиниции на законодателството за защита на личните данни "би създала и погрешно разбиране за наличие на задължения у лица, които не са в обхвата на законодателната рамка, очертана още на европейско ниво, при това с регламент".

Нещо повече, възниква и реторичният въпрос: по какъв начин ще бъдат защитени личните собственици на профили в социалните мрежи например, за които регламентът не се прилага, но проектозаконът задължава да публикуват в профила си три имена, адрес или телефон и електронна поща за контакт?

Регламентът ясно посочва как администраторите на лични данни спазват правилата за прозрачност и като съобщават данните, които го идентифицират, на лицето, чиито лични данни обработват. В този смисъл законопроектът би могъл дори да подведе някои администратори, че за тях тези правила не важат.

Съвсем друг въпрос е, че понятието "невярна информация" и "дезинформация" съвсем не се покрива с обработването на лични данни, невярната информация може да се отнася например до медицински факти, статистическа информация и др. и въобще а не е свързана с лични данни. В този смисъл подобна регулация в закона за личните данни е неуместна, смятат от асоциацията.