Доц. д-р Цвета Маркова: Регулиращата функция на правото трябва да настигне създалите се обществени отношения като последица от технологиите

Ренета Николова Доц. Маркова, всички институции, организации и бизнесът, боравещи с лични данни, са в очакване на влизането в сила от 25 май на новия европейски регламент за защита на личните данни - GDPR. Представете ни най-общо какво представлява този регламент? Регламентът за защита на личните данни беше приет през 2016 година и влиза в сила на 25 май 2018‑а. За разлика от директивата регламентът има пряко приложение в държавите членки, т.е. не се очаква и не е задължително имплементирането на регламента в националното законодателство. Въпреки че е възможно всяка държава да направи определени ограничения в приложението му, тя не може да заяви, че няма да го прилага. С влизането на регламента в сила от 25 май всички граждани на ЕС ще имат право да отправят питания, да правят възражения, да получават информация къде се съдържат техни лични данни, какви точно са тези лични данни, кой и как ги обработва. Така че говорим за доста различия в сравнение със сегашния режим. Всеки администратор на лични данни - съществуващите в момента и тези, които предстои да се обособят като такива, трябва да направи преценка за начина, по който съхранява и обработва информацията, представляваща лични данни. На базата на този анализ трябва да прецени дали му е нужен служител по личните данни, или някаква промяна в софтуера или във физическата, документалната или някакъв друг вид сигурност. Очаква ни много работа. Надявам се, че подготовката, която е започнала в Бългаия преди повече от година, е на задоволително ниво. Кои са задължителните неща, които трябва да знае бизнесът и които трябва да бъдат направени, защото до 25 май няма много време? Бизнесът задължително трябва да направи анализ къде се съдържа информацията за личните данни. Обикновено тя е в „Човешки ресурси“ за служителите на фирмите, в счетоводството - за служителите и клиентите на фирмите, както и за материално отговорните лица заради издаването на фактурите. Прави се картографиране, като се изследва разпределението на информацията в пространството. Освен това в зависимост от факта дали администраторът има една или повече площадки - например административна сграда и друга изнесена дейност, било строеж, кариера, завод, вид производство, което е различно от управлението, се анализират всички площадки. Изследва се и софтуерът, който се използва, и дали тази дейност е аутсорсвана. Ако счетоводството се извършва извън администратора, тогава трябва да се види дали отношението между администратора и изпълняващия услугата е в съотношение администратор и обработващ и в съответствие с изискванията за обработване на лични данни. След като се извърши анализът, наречен ГАП анализ, трябва да се направи оценка дали е необходим специален служител за защита на данните. Трябва да се изготвят нови договори - трудови и търговски, с включване на клауза, че при изпълнението на договора страните ще се водят от изискванията на регламента или това да се направи с анекс към вече съществуващите договори. Добре е фирмите да направят документ, който да сложат на публично място в офиса и/или в страницата си и който да съдържа правилата за работа с личните данни, нещо подобно на общите условия в застраховането, и всеки един, който има интерес, да има достъп и да може да се запознае с тях. Непротивопоставянето на тези общи условия, които се свеждат само и единствено до прилагането на регламента, не вменява никакви други отношения или задължения, така че това е процедурата. При запитване от лице каква информация се съдържа за неговите лични данни, администраторът е длъжен да предостави отговор. Добре е и е много важно за администратора при направата на анализ, едновременно с констатацията къде и как се съхранява информацията - на хартиен, магнитен носител или някъде другаде - веднага да се търси законовото основание. Както дадох примера с трудовите правоотношения - това е Кодексът на труда, с Кодекса за социалното осигуряване, с всички разпоредби, свързани с данъчно, пенсионно осигуряване - това са законовите основания. Съгласието на лицето, което в регламента е изведено на първо място, е възможност, която регламентът предвижда само в случаите, когато обработката не е на основание на някаква законова разпоредба. Във всички случаи, в които администраторът може да се позове на законово основание или някакво друго правно основание (вътрешноведомствен акт, наредба, инструкция на камарите или синдикатите), съгласието не е необходимо. Ако не е налично основание в някой законов акт, тогава е необходимо искането на ясно и точно съгласие - по какъв начин и каква точно информация се предоставя. В масовия случай това са три имена и ЕГН, дори е спорно за личната карта, защото тя се губи и се издава нова, въпреки че чрез нея може да бъде идентифицирано едно лице. Отделно от това са много други обстоятелства, например свързани със здравния статус на едно лице. Криминалната регистрация и данни за здравословното състояние ще бъдат предмет на специални директиви. Прави ли регламентът разлика между една малка фирма, която има до 20 служители, и една голяма компания, която има 2 хил. служители? Да, прави разлика. Един от критериите се отнася до броя на служителите, но не само до служителите. Могат да бъдат клиенти, пациенти, лица. Броят на записите е до и над 10 хил. записа. Има и една преценка, която се отнася до категориите информация, където нито броят на личните данни на физическите лица, нито броят на записите имат единствено значение, а характерът на информацията. Когато тя е от по-специален, по-специфичен характер като обработването на лични данни на лица или някакви други признаци на личността, тогава при всички случаи ще се изисква прилагане на правилата на регламента. Като цяло може да кажем, че при малките фирми с по-малък брой служители или клиенти обработването ще е по-лесно и няма да се налага задължително назначаването на служител за защита на данните. Регламентът допуска 1 служител за защита на данните да обслужва повече от 1 администратор. Така че тази работа може да се аутсорсва. Чуха се такива неща, че едва ли не всяка фирма трябва да назначи такова лице, и то даже не едно, а две. Считам, че преценката трябва да се прави с оглед на всяка една конкретна ситуация, с оглед на естеството на работата на администратора на личните данни. Какво според Вас наложи тази кардинална промяна по отношение на личните данни? Какво даде старт за промяна в такъв сериозен мащаб? Подготовката за промяна беше започнала може би още преди 5-6 години. Тя се състоеше в осмислянето на новото значение на технологиите. Когато за първи път се урежда материята през 80-те до средата на 90-те години, носителите на информация са само хартиени. Сега вече преобладаващата част от информацията се съдържа в дигитален вариант. Повечето от дейностите, които се извършват, са чрез използването на различни софтуерни продукти - било за счетоводство, било за човешки ресурси. Дори свързаните със сигнално-охранителна техника дейности разчитат на използването на различни софтуери, извеждането и съхраняването на информацията в облачни пространства. За да отговоря съвсем кратко на Вашия въпрос, ще кажа, че новите технологии, излизането на технологичния прогрес на изцяло ново ниво провокира нов поглед. Технологиите изпревариха правото в известен смисъл. Това се отнася и за електронните услуги, електронното управление, електронната търговия. Въвеждането на регламента се налага, защото регламентиращата и регулираща функция на правото трябва да настигне създалите се обществени отношения като последица от технологиите. Една от съвсем новите мерки за защита, които регламентът въвежда, е, че при поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице. Да, това е една нова и много интересна възможност - всеки субект на данни има правото „да бъде забравен“. Този принцип е въведен в изключително облекчение на обработващия данни. Приема се, че ако и доколкото не съществува задължение за обработващия да пази тази информация, обработващият и администраторът могат да приложат при поискване от лицето този принцип и да унищожат информацията за него. По принцип винаги унищожаването на една информация по съответния ред, както изисква всеки конкретен случай (със или без протоколи, със или без комисия), може да смятаме за един от най-ефективните начини за опазването, неразпространението, недискредитирането й. Бих препоръчала този подход, тогава, когато не е необходимо пазенето на една информация, или другия, който се използва - ако договорът между страните е с някакъв срок, в него да се предвиди клауза колко години след изпълнението му ще се пази информацията. Аз имам едно предположение, че за някои от дейностите това няма да е приложимо. Особено ако става въпрос за пране на пари или по Закона за ДАНС - за дейности, които биха изисквали по-дълъг срок на съхранение. Ще имаме възможност да изпробваме, да съпреживеем изпълнението на регламента, може би на принципа проба и грешка. Предстои да видим. Като бивш председател на Държавната комисия по сигурността на информацията виждате ли противоречие между двете тенденции - от една страна, тоталната защита на личните данни, а от друга, все по-засилващата се необходимост те да бъдат разкривани с оглед на адекватен отговор на предизвикателства като тероризма, изпирането на пари, финансовите измами? Има определена конкуренция и тя се открива на следната плоскост. От една страна, гражданите, физическите лица ще станат доста по-предпазливи при предоставянето на личната си информация. Искрено се надявам това да е в институциите, органите или ведомствата, където те предоставят информация, и им се изисква във връзка с упражняването на техни права получаването на услуги или друг вид правоотношения и най-вече повишаване на самоконтрола в социалните мрежи. За първи път се заговори за това, че ние сами носим отговорност къде и какво предоставяме като лична информация. Искам да обърна специално внимание на обема от информация, която според новия регламент представлява лични данни. Това не са само трите имена и ЕГН. Новото, което се включва, е IP адрес, имейл, снимки, пръстови отпечатъци, банкови данни и т.н. Като чувствителни лични данни, които се ползват с по-високо ниво на защита, са данните за здравето, биометричните данни, данните, отнасящи се до расов или етнически произход и политически възгледи. Обработването и съхранението на тези данни е забранено, освен ако няма изрично съгласие от субекта на данните. Така че ни предстои наистина много и интересна работа за прилагането на този регламент. Стига се до такива крайни анализи, че там, където контролът на достъп до някакво помещение или сграда се осъществява с камери, едва ли не без съгласие на лицето, на потенциалния нарушител няма да може да бъде използвана тази информация, за да му бъде търсена отговорност. Това не е вярно. Никой, който е извършил нарушение, няма да бъде забравен. Винаги когато общественият интерес относно лицето се съотнася с възможността да бъдат запазени неговите лични данни, преценката е в полза на интереса на обществото. Там, където сигурността е приоритет от по-висока степен, личният интерес ще отстъпи на този на обществото. Глобите за нарушение на регламента са драстични, даже бих казала нереалистични. Защо според Вас се въвеждат такива суми? Глобите са от порядъка на 20 млн. евро, или 4% от оборота за предходната година - която от двете суми е по-голяма. Смятам, че този изклюително висок размер е определен, имайки предвид случаи, в които вредоносният резултат и изтичането на информация, представляваща лични данни, засяга голям кръг от хора или има тежки последици за тях в резултат от обработката на личните им данни. Може би са подобни на този случай, за който се говори напоследък и беше изслушан Зукърбърг. Така че тук таргетът са огромни компании с много клиенти. Такива биха могли да бъдат мобилните оператори например. Това не е малкият и средният бизнес. Не се цели унищожаване на бизнеса, защото никой няма интерес от това. Никой няма да даде 20 млн. евро, каквито няма. По-скоро се цели заостряне на вниманието, създаване на предпазливост от страна на самите лица, известна загриженост на самите граждани при предоставянето на информация. До този момент липсваше подобна отговорност. Така че този регламент и в частта за глобите ще работи основно върху нагласите на самите лица, предоставящи информация - лични данни. Как ще заработи регламентът според Вас в социалните медии? Там се качва много лична информация. Изключително труден отговор. Да кажем, че има някаква форма на имплицитно дадено съгласие със самия факт на публикуването на подобна информация. Приемаме, че лицето, което би искало да се възползва от възражение, че някой обработва неговата лична информация, може да получи противопоставяне от администратора, който е използвал неговата предоставена информация, с аргумент, че тя е на свободен достъп. Така че аз мисля, че отговорът тук е на плоскостта на съгласието. Тук може би трябва да се анализира и интерпретира в каква степен това съгласие е изрично, информирано и отговаря на изискванията на регламента. Друг интересен въпрос, който се поставя, е за информацията - лични данни, съдържаща се в публични регистри, каквито са Търговският и Имотният регистър. Там обаче имаме посочено конкретно правно основание. Освен това достъпът до личните данни се извършва посредством електронен подпис. Така че, както и в друг вид дейности, каквато е нотариалната дейност, може да се установи в кой момент, по какъв повод, във връзка с какъв случай се използва тази информация. Можем да кажем, че в никой случай не бива да се отстъпва от принципа на публичност на тези регистри, защото този принцип е гаранция за сигурността в гражданския оборот. Ако не можете да направите справка и да придобиете информация относно вещните права върху имот, то на практика е по-добре да не сключвате сделка. Ако Вашият праводател не е собственик на имота или има някакви неясноти относно правата му, това би могло да бъде огромен проблем, включително правораздавателен. Така че публичността на тези регистри има за цел да гарантира правата на субектите, участващи в гражданския оборот. Естествено при разписването на политиките на достъп. Това, за което говорихме и което дадох като пример, а именно - кой е достъпил до данните и във връзка с каква молба. Преди броени дни за обществено обсъждане бяха публикувани промени в Закона за защита на личните данни – ЗЗЛД. Какво е най-важното, което се изменя в нормативния акт? На 25 април бяха обявени промените в Закона за защита на личните данни (ЗЗЛД), свързани с приложението му. Регламентът, както споменах, има пряко действие, но по някои въпроси е оставена свобода на държавите членки, а има и такива, които изискват изрично въвеждане на законодателни мерки на национално ниво. Вносителите на промените в ЗЗЛД посочват няколко групи разпоредби, които изискват или позволяват приемането на правила в местното законодателство. Едни от тях са свързани с т.нар. регулаторни задължения – например всяка държава сама урежда процедурата по конституиране на националния надзорен орган. У нас очаквано се предлага това да е Комисията за защита на личните данни (КЗЛД). На нея е възложено да акредитира сертифициращите органи по регламента, като акредитацията ще е за пет години. Тя може да организира и провежда обучение на длъжностните лица по защита на данните (data protection officer – DPO). Предвидено е обучението да се плаща от работодателя или от бъдещия DPO по тарифа, която ще бъде определена от министъра на финансите. Всички DPO ще бъдат вписани в специален регистър, който ще се води от Комисията за защита на личните данни. Администраторът ще съобщава имената и данните за контакт на длъжностното лице по защита на данните на комисията и ще публикува координатите за връзка с него. Предстои формата и съдържанието на уведомлението и редът за подаването му да бъдат определени с правилника за дейността на КЗЛД. В проектозакона е предвидено още, че DPO може да бъде назначено на трудов договор, включително и по вътрешно съвместителство, или въз основа на договор за услуги. Има изрична забрана администраторът и обработващият личните данни да съвместяват и функциите на DPO. Със законопроекта се регламентира, че новите длъжностни лица по защита на данните ще са задължителни, извън случаите по чл. 37, пар. 1 от регламента (публични органи, такива на местното самоуправление или администратори, които извършват мащабно обработване на специални, чувствителни, лични данни), когато администраторът обработва лични данни на над 10 000 физически лица. Предвижда се още, че при предлагане на услуги на информационното общество всеки на възраст над 14 години може сам да дава съгласие за обработване на данните му. Но под тази възраст обработването им е законосъобразно само ако съгласието е дадено от упражняващия родителски права или от настойника. Освен това за работодателите се създава задължение да определят срок за съхранение на лични данни на участници в процедури по подбор на персонала и той не може да бъде по-дълъг от три години.Регламентира се, че работодателят може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване на работник само ако закон предвижда това. Законопроектът предвижда, когато кандидатът не е получил работата, а в хода на процедурата са му поискани оригинали или нотариално заверени копия на документи, които удостоверяват физическата и психическата му годност, образованието и стажа, той да може в 30-дневен срок да си ги поиска обратно. За да упражни правата си, предвидени в регламента, всяко физическо лице, трябва да подаде заявление до администратора на личните му данни и например да поиска те да бъдат заличени. В проекта е предвидено, че при нарушаване на правата му, например обработване на лични данни, въпреки изричното му искане то да бъде прекратено, гражданинът може в едногодишен срок от узнаване на нарушението (но не по-късно от пет години от извършването му) да сезира КЗЛД. Комисията се произнася с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.Предвиден е съдебен ред за защита. „При нарушаване на правата му по Регламент (ЕС) 2016/679 и този закон всеки субект на данни може да обжалва действия и актове на администратора и обработващия по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност“, гласи предложената нова редакция на чл. 39 от ЗЗЛД. Гражданинът няма да може да сезира съда, ако вече има висящо производство пред комисията за същото нарушение или нейно решение за него е обжалвано и няма влязло в сила решение. Проектът регламентира, че комисията ще удостоверява липсата на висящо производство пред нея по същия спор. В българския закон са имплементирани и сериозните имуществени санкции, които предвижда Общият регламент за защита на данните. С проекта се дава право на КЗЛД да налага и принудителни мерки за предотвратяване и преустановяване на нарушенията. Тя може да налага временно или окончателно ограничаване, както и забрана на обработването на данни, а също така и да разпорежда на администратора да съобщава на субекта на данните за нарушения на сигурността им. Как ще се налагат тези мерки, ще стане ясно, когато бъдат обявени промените в правилника за дейността на КЗЛД. Самите санкции варират според нарушенията на конкретните изисквания на регламента и достигат до левовата равностойност 20 млн. евро, както е предвидено и в него. Например за неизпълнение на задължително предписание на комисията се налага глоба или имуществена санкция от 2 000 лв. до 200 000 лв. Българският закон не обвързва размера на санкцията с оборота на предприятието, както предвижда GDPR. Моето лично мнение относно предлагания ЗИД на ЗЗЛД е, че има текстове, които не са съобразени с методическите указания на Комитета по чл. 29 от регламента. Това е работна група, състояща се от експерти от всички държави членки. Един от примерите на несъответствие се състои в броя на физическите лица, чиито лични данни се обработват - в Указанията на Комитета по чл. 29 пише 250 души, а в ЗИД - 10 000 души. Това не е проблем да се гласува в НС, но според мен ще създаде проблеми при прилагането. Как според Вас ще тръгне приложението на регламента? Споделят се много и различни хипотези за това как ще проходи регламентът. И те са много интересни. Смята се, че първите стъпки ще бъдат в резултат на действия, недобронамерени от страна на конкуренция, на недоволни служители, уволнени след някакви провинения. Всъщност чрез този механизъм ще се разбере къде са тесните места и доколко регламентът би могъл да обслужи такива цели, които не се поставят при неговото приемане и приложение. Ако е така, вероятно ще се наложат някакви промени. Как точно би се процедирало? Комисията и сега има право да налага глоби. Те и сега не са никак малки - от порядъка на няколко десетки хиляди лева са. Това не е никак малко за един администратор на лични данни. Като последна инстанция действа Административният съд, който разглежда решенията на комисията. Когато се създаде съдебната практика по новия регламент, ще бъдем много улеснени. Тоест да разбирам, че сте умерен оптимист? Да, аз лично смятам, че ще бъде овладян духът, който иска да излезе от бутилката, на 25 май. Смятам, че националният орган не би допуснал залитания в някакви крайности при приложението. По-скоро като бивш председател на подобен орган и като бивш съдия и сега адвокат смятам, че ще се тръгне по реда на предписанията. Защото опитахме на няколко пъти да получим методически указания относно отделни разпоредби в регламента и такива указания не сме получили. Но има възможност да бъдат получени по конкретен повод (ад хок) в резултат на жалба. Това би било най-добрият начин, защото глобите сами по себе си не биха довели до подобряване на работата на администратора на лични данни. Те имат някакъв възпитателен ефект по линията на генералната превенция. След първите няколко случая ще станем много по-наясно как точно трябва да приложим регламента. Личното ми мнение е, че трябва без страх, без паника да подходим, сигурно ще се изисква известна мобилизация на капацитета, на човешките ресурси, за да направят анализ как точно се обработват данните. Такива анализи вече има направени и мисля, че ще се канализира работата с личните данни.