″Да ограничат достъпа до публични регистри, това напълно лишено от

″Да лимитират достъпа до обществени регистри, това изцяло лишено от логичност решение е отдавнашна фантазия на българската администрация. През годините бяха правени няколко опита за това (...) Тук би трябвало доста да се внимава, тъй като е доста евентуално сходен опит да бъде още един, а GDPR категорично планува дерогации по отношение на, данните, които са част от обществени регистри или съставляват информация от публичен интерес. Това значи, че данните, част от обществените регистри наложително би трябвало да останат публични″, твърди юристът в изявление за Medipool.

Госпожо Давидова, да стартираме оттова – какво, в действителност е GDPR и какво се промени след 25 май?

Апокалипсисът най-сетне пристигна! Шегувам се, несъмнено. Погледната ″от високо “, цялата картина на отбраната на персоналните данни не е изменена изключително. Сериозна регулация имаше и преди този момент. Знаете ли, правилата на отбраната на персоналните данни постоянно са били едни и същи от както това законодателство е видяло бял свят, те остават непроменени и през днешния ден след влизането в действие на Общия правилник за отбрана на персоналните данни – т.е. GDPR.

Предварително се оправдавам на армията нови специалисти по GDPR, че ще лишава малко от героичния им искра, само че главните положения при отбрана на персоналните данни са от дълго време познати, и отново доста се оправдавам, не са нещо ужасно, а противоположното – те са елементарни и разумни:
1. Личните данни би трябвало да се обработват заслужено и законосъобразно.
2. Да се обработват единствено с авансово избрана и оповестена цел
3. Количеството данни, които се събират, би трябвало да е съразмерно на задачата.
4. Личните данни би трябвало да бъдат настоящи във всеки един миг.
5. Да се съхраняват единствено толкоз, едвам се извърши задачата, за която са събрани.
6. Да се съблюдават правата на субектите на данни: право на информация, право на достъп, право на възразяване, право на корекция, право на заличаване право на тъжба.
7. Осигуряване на съответна техническа отбрана против противозаконна обработка.
8. Да се прехвърлат на трети лица единствено при избрани условия.

Това е – в никакъв случай не е било друго и в този момент не се изисква нищо повече от админите на данни.

Най-честите злоупотреби с персонални данни постоянно са били свързани или с прекалено събиране на данни или с потреблението на данните не за това, за което са били събрани в началото.

Щом преди е имало същата отбрана, за какво тогава въобще се постанова нова регулация?

Защото технологиите се развиват и дават доста и нови благоприятни условия за корист с данни, а правото би трябвало да отговори на това, като даде съответна отбрана на субектите на данни.

Преди 15 години не беше посилно да се направи таргетирано профилиране на хора, както това се прави в този момент с помощта на обществените мрежи, обменът на данни не беше по този начин улеснен от облачните услуги. Днес тези благоприятни условия са факт и законодателят би трябвало да обезпечи гаранции, хората умерено да могат да обменят информация и данни, без да се опасяват, че това, което сами и непринудено са дали, да кажем с цел да се похвалят, да споделят, да се употребяват от всички типове онлайн услуги, ще бъде употребявано за нещо друго от първичната концепция.

GDPR не значи международно несъгласие върху де що има персонална данна по земята.

Точно противоположното – GDPR е регулация, която цели да обезпечи свободния продан на данни и информация при гарантиране правата на жителите. Трябва да можем да се употребяваме умерено от всички благоприятни условия, които предлага актуалният свят, без да се тормозим, че сме следени, профилирани и поради това класирани в нечий проект или тактика, която може да бъде употребена в това число против нашите ползи и права.

Всъщност, фундаментално новите неща, които GDPR вкарва са едвам четири: уголемява се териториалният обсег на защита; вкарва се изключително висок размер на санкции; нови условия към формата на единодушието за култивиране на данни и въвеждане на обвързване за някои структури да назначат Длъжностно лице по отбрана на данните (ДЛЗЛД). Всичко останало е единствено рационализиране и изчистване на остарялата наредба.

Ако е толкоз просто, за какво беше тази всеобща нервност преди 25 май?

Ами, първоначално и аз доста се чудех за какво има такова недоумение и за какво попадам на голямо количество дивотии по използване на регламента. Коментирах с сътрудник, експерт по комерсиално и корпоративно право текста на GDPR и той ми сподели, че за него това не е юридически текст, а методика или образователно пособие.

Тогава си дадох сметка, от къде произтича казусът с използването на GDPR. В множеството случаи правото ни дава съответни отговори, предписания и формули, които да прилагаме. Тук това няма по какъв начин да стане, тъй като са покрити необхватен кръг от обстановки. Затова GDPR ни дава метод и инструмент за решение, а не прецизен логаритъм.

Всяка компания, всяка обстановка, би трябвало да прегледа активността си през ″рентгена “ на правилата на отбрана на данните, които изброих нагоре: Какви данни на физически лица наложително би трябвало да събера, с цел да мога да си свърша главната дейност; защо ги използвам; докога ги съхранявам; какви средства на отбрана обезпечавам, уведомил ли съм субектите на данни за правата им.

И за всяка компания отговорите ще са разнообразни, надлежно нужните ограничения ще са разнообразни според от активността, която упражняват и количеството данни, които обработват.

Колко коства на фирмите и защо ще наблюдават институциите?

Ако фирмите и досега са спазвали условията на законодателството за отбрана на данните, те не би следвало да похарчат кой знае какъв бюджет, с цел да приведат вътрешните си политики в сходство с условията на Регламента.

Безспорен позитивни резултат от влизането в действие на GDPR е възобновяване на фокуса върху отбраната на персоналните данни. Наложи се всеки един Администратор, да прегледа и опресни вътрешните си процедури по събиране и култивиране на персонални данни, да опресни знанията на своите чиновници и да ги направи по-внимателни по отношение на обработването на персонални данни. Наложи се Администраторите на данни да “изчистят” непотребното и излишно количество данни, които до момента съхраняваха “за всеки случай”, и да оставят само нужния най-малко от данни, както и да дадат съответни на новите технологии средства на отбрана на данните.

Точно това ще наблюдават и институциите, които ще са ангажирани с контрола по използване на регламента: Обработването на персонални данни при всеки админ, дава отговор ли на към този момент изброените правила на отбрана и обезпечени ли са съответни ограничения за сигурност.

Много ми се желае да подчертая, че GDPR се отнася освен до фирмите и частните бизнесмени. От моя позиция той се отнася с двойно по-голяма тежест за органите на държавна и локална власт, въпреки да не съм забелязала даже сянка на терзание у последните.

Повечето консуматори свързват GDPR с всеобщото заливане на мейлите им с искане за единодушие за прилагане на персонални данни. Къде да дават своето единодушие и къде не?

Къде да дават единодушие и къде не ще преценяват жителите. Моята рекомендация е по-скоро към фирмите: четете регламента с очите на разсъдъка и хубавичко логичност, а не с очите на суматохата.

В случая с нуждата от искане на единодушие – четете член 6, член 7 и член 49 от регламента. Напълно ясно е, че когато има законово обвързване за събиране на избрани данни (напр. при подписване на трудов договор), единодушие не следва да се желае. Напълно ясно е, че когато закон изисква събирането на данни (напр. при обявление на доход), единодушие не се желае.

Възможно ли е в българските условия GDPR да се трансформира в следващото оръжие на тромавите институции против бизнеса?

За малко да кажа ″Не″, само че след това чух уточнението ″български условия “, а то е необятна галактика, що се отнася до благоприятни условия за спънки, и моето въображение не би могло да допусна какви разновидности ще предложи действителността.

Факт е, че поради въвеждането на новия правилник ще отпадне наложителната регистрация на админите на данни към КЗЛД, което е по-скоро облекчение, в сравнение с усложнение пред бизнеса. Но по какъв начин ще бъдат прилагани условията на регламента към съответни админи, не мога да кажа.

Имам известни терзания, че ще има престарание в условията към Администраторите, само че ще забележим. Много държа да подчертая, че страховитите санкции няма да бъдат налагани толкоз елементарно. Няма да има обстановка “Добър ден, ти непоискани мейли ли изпращаш - я дай тука санкция 20 милиона”.

Налагането на финансова глоба съгласно регламента е супер последна мярка, която наложително е предхождана от доста други надалеч не толкоз страшни дейности от страна на контролиращия орган.

Може ли GDPR да се трансформира в оръжие против самите консуматори от страна на фирмите?

Потребителите и фирмите са равнопоставени и взаимнозависими едни от други. Те не биха могли да бъдат във война. Защо фирмите да употребяват оръжие против тези, от които зависи облагата им? Задължителна част от развиването на всяка компания е положителната известност и доверието, което имат потребителите в нея. Ако фирмите желаят да оцелеят в конкурентна среда, те би трябвало да внимават и да пазят съответно данните на потребителите, които при първи сигнал, че има възможност от корист с данните им, ще се реалокират при съперника.

Положението стои по напълно друг метод в държавния бранш. Там жителите нямат нито избор, нито алтернатива да откажат да дават данните си. Ето за какво и регламента де факто планува по-строги условия точно към обществените органи, в сравнение с към частните компании. Така да вземем за пример, органите на обществена власт до един са задължени да назначат чиновник по отбрана на данните, до момента в който за фирмите от частния бранш това не е по този начин.

В последна сметка кой би трябвало да си назначи така наречен длъжностни лица по отбрана на данните и кой не?

Фигурата на ДЛЗД е прелестна илюстрация на това кое е предизвикването при приложението на регламента. Няма рецепта, няма формула. Преценява се всеки съответен проблем, като се прегледа през правилата на отбрана на персоналните данни, които изброих първоначално.

Два образеца, които ще дадат отговор на вашия въпрос. Работодател с назначени, в случай че щете, 5 хиляди души чиновници. Събира и обработва главно персонални данни на наетите лица по отношение на трудовото им правно отношение. Ниско рискови данни, събират се на съображение трудов контракт, съществува законово обвързване за култивиране, размера от данни, периодите за тяхното предпазване са открити в трудовото законодателство. Няма съображение да се назначава ДЛЗД без значение от огромния брой физически лица, чиито данни се обработват.

Друг вид обаче: дребна компания с двама чиновници – създават и продават мобилни приложения. На пръв взор такава компания даже не следва да разказва регистрите, които обработва. Но едно от приложенията, които компанията продава, дава опция на клиентите си да обменят бързо файлове съдържащи медицински данни с лекарите си, с околните си и т.н – кръвни проучвания, фотоси от скенер, предписания и прочие, а компанията софтуерно обслужва този продан. В този случай се постанова потреблението на услугите на ДЛЗД, заради съществото работата, която компанията прави и данните, които обработват по отношение на това.

По различен метод казано, когато фирмите се двоумят дали би трябвало или не би трябвало да си назначат ДЛЗД, би трябвало да извършат съответна преценка на личната си активност и нейната технология по отношение на условията на регламента.

След въвеждане на регламента основни институции в правосъдната система започнаха засекретяване на обществена информация по делата с оправданието, че това е условие на GDPR. Един от фрапиращите случаи бе предходната седмица, когато при обвиняването на Мирослав Боршош за НДК той бе посочен в документа като “длъжностно лице”. Наистина ли това е условие по GDPR?

Аз нямам коментар за това. Няколко пъти прочетох новината в деня на излизането ѝ, тъй като почтено казано помислих, че не съм схванала.

Не мога да разясня и не мисля, че някой е в положение да го направи. Просто тъй като
Чл.2 от GDPR категорично изключва от приложното поле обработването на персонални данни в полицейската и наказателната активност.

По същия метод прокуратурата би могла да се позове и на Закона за здравето. Не съм в положение да разясня сходно нещо. Само ще отбележа, че ограничението на правилото на гласност на Наказателния развой (чл.20 НПК) е нещо доста, доста рисково.

Какви са проблемите в българската акомодация на GDPR? Според разнообразни неправителствени организации нашият план за смяна на закона крие основни опасности: откриване на адвокатска или лекарска загадка, да вземем за пример?

Проблемите с българската акомодация стартират още на техническо равнище.

Не е обикновено и не предстои на коментар обстоятелството, че две години българските виновни институции не са в положение даже да създадат меродавен формален превод на GDPR.

На страницата на КЗЛД сега стои такова известие: “Поради открити механически неточности в превода на български език на Общия правилник за отбрана на данните, е стартирана публична процедура за отстраняването на тези неточности.”

Предполагам, че ще има “престараване” в използването на регламента, само че съществени опасности пред отбраната на професионалните секрети съгласно мен не съществуват.

Най дребното тъй като Регламентът се ползва с приоритет пред българското законодателство. Дори и при положение на спор, ще се приложи GDPR, а там изрично няма такава заплаха.

Аз имам вяра в българския законодател и нямам доверие сходна опция да бъде осъществена. Извинявам се, само че може ли нечий здрав разсъдък, да допусне обществените органи да засекретяват имената на лицата в обвинителните актове (нарушавайки главния принцип на гласност - един от темелите на Наказателния процес), а от друга, частни лица – лекари, юристи, обвързани с конфиденциалност по закон да бъдат задължени да разкриват имената на клиентите си. Това е парадокс, който не мисля, че ще бъде позволен.

Според АЕЖ препоръчаният законопроект планува изцяло неприемливо обвързване публицистите да разкриват източниците си на информация, в случай че Комисията за отбрана на персоналните данни изиска това от тях. Според мнението им текстовете, въпреки и непряко, позволяват такава алтернатива, в случай че комисията стартира инспекция на публицист за нарушаване при обработването на персонални данни?

Регламентът се ползва с приоритет пред българското законодателство. Дори и при положение на спор, ще се приложи, GDPR, а там изрично няма такава заплаха. Практиката на Европейски съд по правата на човека по отношение на отбраната на журналистическите източници е много константна през годините и е в интерес на публицистите.

Следва ли да се заличават персонални данни въобще в обществени правосъдни актове е въпрос, по който неколкократно е изразявал мнение Европейски съд по правата на човека. Например в делото Társaság a Szabadságjogokért против Унгария ([2009 г.] Европейска конвенция за правата на човека 37374/05, съда установи, че публицистите извършват функционалността на " обществен наблюдаващ " и по този начин имат право на отбрана при законно събиране на информация по въпрос от публично значение. Ограничаването на тази независимост " съставлява форма на цензура ", противоречаща на условията на член 10 от Европейска конвенция за правата на човека.

Организацията подсети също за опасността за затваряне на обществените регистри, които са проведени по търсене с обединен цивилен номер. Регистрите са главен журналистически инструмент за инспекция на информацията. Те би трябвало ли да бъдат закрити?

Да лимитират достъпа до обществени регистри, това изцяло лишено от логичност решение е отдавнашна фантазия на българската администрация. През годините бяха правени няколко опита за това, припомням си сигурно два поредни през 2005 и 2006 година, когато бяха направени два опита за смяна на ЗЗЛД тъкмо в тази посока - да се ограничи достъпът до обществени регистри и да се затворят данните, свързани с наказателното гонене.

Тук би трябвало доста да се внимава, тъй като е доста евентуално сходен опит да бъде още един, а GDPR категорично планува дерогации по отношение на данните, които са част от обществени регистри или съставляват информация от публичен интерес. Това значи, че данните част от обществените регистри наложително би трябвало да останат обществени.

Фани Давидова е правист. Занимава се професионално с тематиката отбрана на персоналните данни от 2002 година като член на екипа на Програма ″Достъп до информация″. Участвала е в работните групи по разискването и приемането на ЗЗЛД, както и в последващите съществени промени на закона. Съавтор е в частта за България в няколко следващи отчета за положението на Защитата на персоналните данни на Privacy International. Автор е на редица изявления по тематиката. В момента е HR Generalist в Glamira – интернационална компания, където е член на екипа по използване на условията на GDPR.