Венцислав Караджов

Неприкосновеността на личните данни вече е опцията по подразбиране и потребителят не може да получава документи с предварително попълнено съгласие за обработване на данни. Тази защита се отнася и за обработващите лични данни трети лица – например, колекторски фирми, на които мобилните оператори предават данни за клиентите си.

Това стана ясно по време на Бизнес тема: Новите правила за защита на личните данни или т. нар. GDPR.

От 25 май 2018 г., когато влиза в сила регламентът, всичко в областта на личните данни ще се промени. Важно е компаниите да знаят, че регламентът има пряко действие, което не зависи от промените в българския закон.

Потребителите ще имат правото да знаят за какво се използват данните им, ще могат да изискват те да бъдат заличавани, ако е отпаднало основанието, въз основа да което са дали достъп до лична информация и могат да забранят използване на тази информация за профилиране. Регламентът има пряко действие, което означава, че няма защо да се чакат законовите промени, които вероятно ще бъдат представени през следващите седмици.

Регламентът подробно описва на какво основание могат да се обработват лични данни. Това може да е законово изискване (например, КТ) или на основание съгласие на лицето. Съгласието трябва да е изрично за всяка цел на обработването, не трябва да има непропорционално събиране и съхранение на лични данни, подчерта председателят на Комисията за защита на личните данни Венцислав Караджов.

Според регламента това изрично съгласие трябва да бъде конкретно изразено и информирано, което значи, че за всяка една дейност на обработване трябва да има съгласие на лицето, чиито лични данни се обработват. Тоест потребителите трябва да са уведомени за целта на обработване, на кого ще разкривате личните данни, колко време ще ги задържите, как ще ги пазите и т.н., посочи Караджов „В досега действащия режим можеше да се получи съгласие без конкретна цел, сега, ако промените целта, ви трябва ново съгласие. Например мобилните оператори вземат едно съгласие, че ще ви се обработват личните данни и могат да ги дават на трети лица. Сега съгласието трябва да е конкретно изразено, което доста ще затрудни мобилните оператори.”

Трябва да бъде ясно описано основанието, на което компаниите могат да използват личните данни и ако целта, за която те искат да ги използват, е различна от целта, за която те са събрани в тоя регистър, те няма да могат да ги използват, изрази мнение Караджов. Този въпрос тепърва ще се разглежда от Комисията за защита на личните данни. Караджов добави, че някои от допълнителните цели могат да бъда възприети – примерно, ако една банка е събрала лични данни на клиентите, за да заплаща задълженията за ток и те поискат да се плаща и за вода, банката би могла да използват една част от тези лични данни, само като добави абонаментния номер. Тази друга цел е съвместима, но не и ако данните ще се ползват за маркетинг.

Имаше въпроси за това колко конкретно трябва да е съгласието. Въпросът със съгласието е доста интересна тема на европейско ниво, каза още Караджов, подчертавайки, че тази тема се обсъжда и в Работна група 29, която обединява надзорните органи по защита на личните данни, макар указанията й още да не са задължителни. Според нейните препоръки, съгласието няма да може да се иска от телекомуникационните оператори като основание, на което да може да откаже сключването на договор, както е сега. Занапред, ако лицето не е съгласно личните му данни да се обработват, телекомът не може да откаже сключването на договор. Отново съгласието трябва да е изрично и конкретно – например, за евентуално събиране на задължения.

Един чувствителен проблем е предоставянето на личните данни за обработване от трети лица. Караджов даде пример с мобилен оператор, наел фирма да проучи доколко качествени са услугите и необходимостта от предоставяне на допълнителни услуги на клиентите. Фирмата започва да използва тези данни нерегламентирано и да си прави копия, като след това започва да предлага на клиентите бяла карта и така нататък.

Караджов коментира и проблема с Агенцията по вписванията, чийто регистър съдържа много лични данни и достъпът до тях става възможен за всеки, който купи електронния продукт. Системата трябва да се промени така, че потребителите изрично да дават съгласието за конкретното обработване на лични данни, но това не е направено. Изглежда лесно, но струва средства, които не са предвидени по бюджета на агенцията. Може да се отиде в офис на агенцията, да се подадат съответните декларации на място и така личните данни ще бъдат заличени, коментира председателят на КЗЛД.

Когато има закон, въз основа на който се обработват лични данни, това е по-силно от изричното съгласие, каза Караджов. Такъв е случаят със събирането на лични данни за служителите, доколкото това се изисква от КТ. В отговор на конкретен въпрос за изискването за публикуване на лични данни на акционерите в АД, той каза, че това е по специалния закон за ценните книжа, който има предимство пред общия. Законодателят е решил, че обществената необходимост да се знае кои са тези лица и гаранцията, която тя дава на голяма част от българските граждани, стоят по-високо от защитата, която ще даде законът за личните данни.

По въпроса за повторното използване на данни от публичния сектор Караджов смята, че това би трябвало да е възможно, доколко би допринесло за обществено значими цели. Но въпросът е дали тази информация може да бъде добита по друг начин. Ако е възможно тази информация да бъде добита с други средства или чрез други регистри и конкретен регистър иска да го направи чрез представяне на лични данни, тогава вече има проблем, тъй като на конкретния регистър не му е нужно личните данни да бъдат бъдат публични и при него.

Караджов бе категоричен, че банките нямат право да искат при отпускане на кредит данни за трети лица, които не са поръчители по конкретния заем. Никой няма право да дава съгласие за трето лице.

Друг въпрос е за срока за обработване на лични данни. Има задължителни срокове, например по закона за счетоводството имаме много дълги срокове, но за това има правно основание. Ще се проверява дали администраторът си е поставил разумни разумни срокове и дали е извършил оценка на риска. Ако например личните данни не ти трябват 5 години, защото те вече не са релевантни за услугите, които предлагаш, по-добре е като си направиш оценка на риска, да си сложиш по-кратък срок, да ги унищожиш, но да имаш протокол за тяхното унищожаване.

Друг интересен въпрос се отнасяше за това как се доказва, че са използвани публични данни – например, взети от фейсбук, но после изтрити? Според Караджов, такива данни не са публични в този смисъл, тъй като потребителят не е публикувал адреса си, например, с цел събиране на вземания. Той добави: „Има си начин как може да добиете тези лични данни: първо, на голяма част от нефинансовите структури им разрешихме да имат ограничен достъп до национална база данни, така че вие може да си проверите, ако сте част от структура, на която е разрешен този достъп. Той е ограничен до актуален настоящ адрес и три имена. Второ, когато купувате това вземане, вие си го вземате с риск, че например 70% от тези адреси са вече сменени, иначе кой ще ви го продаде толкова евтино. Аз и комисията мислим, че тази информация, която се публикува във фейсбук и интернет, не може да е оправдание за тормоз на физическите лица.”

Лицето за защита на данните не е задължително да бъде само физическо лице, може да бъде и юридическо лице. Регламентът изисква то да има познания, т.е. компетентност по прилагането на регламента и те да бъдат доказани пред комисията, за да може то да се регистрира. Трябва да помислим как точно юридическите лица ще докажат този капацитет – например, изискването за повече от 5 г. практика в защита на личните данни, обясни Караджов. Вероятно ще се искат биографии на наетите експерти.

Комисията планира да бъде изграден национален обучителен център. Ще бъде създадена платформа, която ще позволява едновременен достъп на 10 000 лица независимо в коя част на света се намират, обясни Караджов. Те ще могат да се подготвят, да попълват тестове и след това да се държи изпит. Обученията може да се провеждат и от други структури. Въпросът с доказването на опит от служителя по защита на личните данни ще залегне и в предстоящите промени в закона, очаквани през следващите седмици. „Трябва да помислим за достатъчно гъвкава методика, така че хем да може да отсява наличието на опит и познания, хем да не ограничава така наречения пазар на тези лица, които ще управляват данните”, каза председателят на комисията.

Регламентът дава повече контрол на гражданите. Това ще даде тласък на цифровата икономика и ще изгради механизми за развитие на бизнеса, подчерта членът на комисията Цанко Цолов. Цялата философия на закона е да направи компаниите по-конкурентноспособни, каза той. По думите му бизнесът иска да анализира данните, а хората искат да знаят за какво се използват тези данни (например, ако се взема машинно решение, какви са критериите за вземане на това ). Цолов посочи, че 74% от гражданите на ЕС разбират, че компаниите събират и обработват по нецелесъобразен начин личните данни. Може би най-голямото стратегическо предимство е, ако една компания успее да убеди своите клиенти и партньори, че тя използва и обработва личните данни по законосвоебразен начин.

Цолов обърна внимание на факта, че когато компании извън ЕС обработват лични данни на европейски граждани, те също трябва да се съобразят с новите правила.­

Единият набор от правила за защита е валиден в целия ЕС – договаряйки се с един надзорен орган, компаниите се договарят с целия ЕС. Друга новост е, че регламентът не прави разлика между публичния и частния сектор.

Това коментира и въпроса как КЗЛД ще оцени дали рискът е висок (от това зависи каква стратегия и какви организационни мерки ще вземе компанията). В регламента е описано при кои случаи и при обработката на какви данни, администраторът трябва да се консултира с комисията преди да започне обработката. Отпада режимът на регистрация, който съществува в момента. Вместо това се предвижда консултация при висок риск, мащабна обработка, видеонаблюдение, обработка на чувствителни данни.

Отпадането на регистрацията е в тежест за администраторите, защото досега това бе вид индулгенция, а сега трябва да доказват, че спазват регламента. Неприкосновеността на личните данни е процес, подчерта Цолов. Сега компаниите трябва да докажат на всеки, който поиска, че са в съответствие с целия регламент. Тежестта на доказването е изцяло в тежест на администратора, обобщи членът на комисията.

Всички данни трябва да бъдат съхранявани за определен период, нямате право право да съхранявате данни по презумпция за бъдеща защита в съдебно дирене например, каза Цолов. Администраторът сам определя срока за съхранение на данните, което зависи от целта на обработка и от законовите изисквания (примерно ведомости за заплати се пазят 50 години). След изтичането на този срок е в сила „правото да бъдеш забравен“ .

Цолов коментира и назначаването на служител по сигурността на данните, което е нов момент. Изискването се отнася предимно, но не само за големите администратори на данни. „Лично моето мнение е, че един личен лекар е един-единствен служител, но той може да обработва данни на 3000-5000 човека и отгоре на всичко тези данни са чувствителни. Така че ще търсим баланса  за това доколко да бъдат освободени администраторите и от кои дейности да бъдат освободени. Но винаги позицията на комисията е да не се натоварва бизнесът с излишни задължения”, каза той.

Този служител трябва да има постоянна връзка с висшия мениджмънт, в някои случаи  може да бъде част от борда. Никой от администрацията няма право да ограничи изпълнението на задълженията му по регламент. Цолов подчерта, че този служител няма да е нито ИТ специалист (макар че трябва да има познания в ИТ сферата), нито адвокат нито правист, а човек, който познава бизнес организацията отвътре. На второ място, това ще е човек, който познава риска и може да извършва оценка за съответствие.

Гражданите имат право да изискват от администратора постоянен преглед на данните, които той обработва и поиска да ги актуализира. Цолов обаче признава, че има неяснота за това как да трябва да действа администраторът при умишлено подадени грешни данни от потребителя, тъй като правото да се иска корекция е на лицето. Всички данни трябва да бъдат съхранявани за определен период. Гражданинът може да поиска да съхранявате неговите данни за определено време (въпреки че е изтекъл срокът съгласно вашата цел и вие сте готови да ги унищожите) и не може да откажете, обърна се членът на КЗЛД към участниците във форума.

По думите му определянето на сроковете за съхранение на данните са пример за добри практики, които да се запишат в кодексите за поведение, които може да се създават на браншово ниво. Според регламента комисията насърчава и подпомага изготвянето на тези кодекси.

Най-тежкото нещо, което трябва да извършите във вашите организации, е да класифицирате данните, да отделите тези, които чувствителни и да създадете политики за данните, подчерта Цолов. Такава политика е да не се изпращат лични данни по електронна поща.

Цолов се спря и на трансфера на данни между ЕС и САЩ. Ако американска компания е сертифицирана в областта на обработката на данни и тя каже “аз защитавам по начина, приет в ИСО 27018” и този стандарт е припознат от нас и валиден в ЕС, то ние можем на това основание да трансферираме данни между двете организации, обясни той. Същото е и ако компанията декларира че спазва етичния кодекс, но трябва да се контролира дали го спазва.

Регламентът дава възможност за сертифициране системи, продукти, услуги и хора. Ние, българската служба за акредитация и българското бюро по стандартизация имаме да извървим един нелек път, за да разработим условията за сертифициране, заяви Цолов. Това е механизъм, който доказва на наши партньори и клиенти, че съответсваме на регламента. Към момента има обявена само една единствена схема, тя е на испанския орган, който е за сертифициране на хора, каза експертът.

„Живо ни интересува как би се погледнало, ако поискаме лицето за защита на личните данни да бъде сертифицирано”, допълни Цолов. По думите му това ще гарантира качеството на хората, които ще заемат тези позиции.

Сертифицирането се извършва от външна организация, а комисията ще изготви само критериите за това.

Ако приложим един такъв модел, въпросът, който си задваме, е  в какво биха инвестирали различните типове компании, продължи Цолов. Той даде пример с изследване на Харвардския университет, което разглежда три типа компании, които обработват чувствителни данни – здравни заведения, банки и търговци. Здравните компаниите ще насочат най-много усилия и средства в областта на защитата на данните. В другата крайност са компаниите, които са на пазара и търсят работа с клиенти, които извършват маркетингови дейности. За тях е важен бързият обмен и обработката на данни. Тяхната инвестиция ще бъде насочена повече към технологии за обработка на данни и уведомленията. Банките са по средата, като ще инвестира както в сигурност, така и  в скорост на обработка.

Много често се смесват изискванията на GDPR с киберсигурността, но това е само част от защитата на данните. За разлика от САЩ, европейското разбиране за неприкосновеност на личните данни освен технологичния аспект, включва и правен аспект, както и огромен организационен аспект. Излезе една директива за мрежова сигурност и доста често чувам, че изпълнявайки директивата за мрежовата сигурност ние сме в съответствие с регламента, каза Цолов. Според него това не е правилно.  Целият процес трябва да се управлява от бизнеса, а ИТ и прависти участват в тези екипи.