Г-н Караджов, регламентът за защита на личните данни се превърна в най-дискутираната тема през последните месеци, много се коментират и огромните глоби за нарушенията, които са предвидени в него. Какво всъщност ще се промени след 25 май, когато той вече ще действа и у нас? Колко са администраторите на лични данни в България?
– Вярно, че един от механизмите, за да се гарантира спазването на високите стандарти на регламента от всички администратори на лични данни, е възможността надзорните органи да налагат значителни по размер административни наказания: до 20 млн. евро, или до 4% от годишния световен оборот – която от двете суми е по-висока. И това вероятно е една от причините, заради които в последните месеци все повече се говори за новите европейски правила за защита на личните данни. Тяхната основна цел обаче е да се засили и уеднакви защитата на личната информация на европейските граждани. А тази тема засяга твърде много хора, не само администраторите. Те са около 400 000 субекта у нас. И тук, впрочем, е първата промяна в досегашните условия: след 25 май администраторите на лични данни вече няма да подлежат на регистрация, това задължение отпада. Регламентът казва, че трябва да се облекчи бизнесът от административната тежест – затова отпада регистрационният режим. Но всички задължения, които администраторите са имали досега, остават, изискванията към тях дори се завишават – особено когато ще се обработват чувствителни данни или данни на физически лица в голям обем, когато има видеонаблюдение или когато обработването става от публични органи.
Можем ли да опишем простичко какво трябва да направи например една фирма, която работи с личните данни на персонала и клиентите си, за да не й се стоварят непосилни глоби? И може ли собственикът на един бизнес да се справи сам?
– Разбира се, че може. Има няколко стъпки, които трябва да се предприемат. На първо място,
администраторът трябва да определи какъв е минимумът от лични данни, които са му необходими, за да осъществява бизнеса си – т.е. да може да предоставя стоките или услугите си. Ако се работи с физически лица – тогава борави с лични данни и трябва да се определи дали информацията, която събира от клиентите си, е действително необходима за осъществяване на сделките (например електронна поща, телефон, адрес и др.) или има и такава, която не е нужна за това – например ЕГН. Основен принцип при обработката на личните данни е, че те се обработват в техния минимум – съобразно постигане на целта. Ако за една доставка на стока например се събират ЕГН, постоянен и настоящ адрес, преснима се лична карта и т.н,, това е прекомерно обработване на лични данни.
След като се установи, че събираните данни наистина са необходими за осъществяването на бизнеса, трябва да се определи на какво правно основание се обработва тази информация. Например едно от правните основания е наличието на сключен договор – въз основа на него може да обработват личните данни. Може да се обработват данни и на някакво законово основание: ако тази организация предоставя социални услуги например, тя има основание да събере данните на лицата, които са ползватели на тези услуги. Дори нещо повече – има законово задължение да го направи, а и да ги предостави в министерството. Ако няма договорно или законово основание, обработката може да става със съгласието на съответния носител на личните данни. Много са вариантите…
Това цялото "определяне" на необходимия за конкретния бизнес обем от лични данни го прави администраторът, нали така?
– Да, това е преценка на всеки административен ръководител. Разбира се, всеки бизнес субект си решава сам – дали да го направи със собствени сили, или да ползва външни консултанти. Контролът е последващ – комисията ще го провери със сигурност, ако има жалба. Може да се стигне до проверка – ако ни стане служебно известно, че е допуснато нарушение, можем да се самосезираме.
Трябва ли всичките тези стъпки, които обяснявате досега, да са в писмен вид?
– Разбира се, всичко това трябва да бъде формализирано във вътрешни правила за работа с лични данни – дали ще бъде под формата на правилник, инструкция, кодекс – всеки ще реши сам, възможни са различни форми.
Комисията няма ли да разработи някакви типови образци, които да са от полза за бизнеса?
– Със сигурност ще го направим, след като законът влезе в сила. Само че те ще бъдат общи – няма как да ги персонализираме така, че да са подходящи за всеки тип бизнес или за всяка публична организация. Но ще бъдат насока, която да помага на администраторите.
Да се върнем на вътрешния правилник. Какво трябва да бъде описано в него ?
– Има още стъпки, които трябва да бъдат направени, преди да се стигне до вътрешния правилник. Казахме вече, че конкретният бизнес субект трябва да си изясни какво прави, как го постига, какви лични данни са му необходими за това и какви видове лични данни събира. След това данните трябва да се групират в различни регистри, те също се определят от самия администратор, съобразно целите на неговия бизнес.
Като казвате регистър – това старомодният тефтер ли е, или неговият електронен вариант?
– Може да е и тефтер, може да е електронен – няма изискване за формата. Важното е да са налице регистрите. Те се определят съобразно дейността, която администраторът извършва и за която е събрал данните: например регистър с лични данни на служители, регистър с данни на клиенти, на контрагенти. Може да са различни. Има фирми, които пазят и документи на ненаети служители – хора, които са кандидатствали за работа, не са били наети, но са се съгласили да си оставят документите на разположение, за да бъдат взети предвид при назначения впоследствие. Тези данни също трябва да се включат в регистър. Това са статичните регистри – с данните на физическите лица, които се събират с определена цел. А другите регистри, които трябва да се изготвят, можем да наречем динамични.
Ще рече – в тези, условно казано, два вида регистри се описват самите данни и кой влиза в досег с тях, кога, по какъв повод...
– Точно така. За да стане това обаче, администраторът трябва да е изградил вътрешната си структура, да е наясно какви отдели ще работят, с какви функции ще са натоварени – например да разпише функциите на вътрешния одитор – ако има такъв, на главния счетоводител, изпълнителния директор, служителите, да прецени кои от тези хора съобразно функциите си и вътрешната организация на работа ще имат достъп до лични данни и до кои. Има и още едно уточнение: регламентът отчита особеното положение на малките и средните фирми – за тях е частично отменено задължението да водят регистри, стига да не обработват специални категории данни, да обработват лични данни спорадично и това да не представлява риск за правата и свободите на гражданите.
Всичко това трябва да е описано във вътрешните правила, нали така?
– Да. Но преди да стигнем до тях, има и още нещо, което трябва да се направи: да се изготвят оценките на риска и на въздействието. Тоест трябва да се прецени, на първо място, какъв е рискът от незаконосъобразен достъп до събраните лични данни и какво би се случило вследствие на незаконосъобразното им обработване върху фирмата, конкретния субект, за чиито данни става дума и за обществото като цяло. Ако рискът се окаже висок, трябва да се предприемат по-високи системи за защита. Мерките, които трябва да се вземат, ще зависят от особеностите на всеки конкретен бизнес.
Всеки ли има право да поиска информация от съответния администратор какво се случва с неговите лични данни?
– Всеки и по всяко време. Затова във вътрешните правила трябва да се разпише и това – кой, в какви срокове и по какъв ред ще дава тази информация на физическите лица, как ще бъде унищожавана тя, когато те поискат това. И сега физическото лице има право да поиска от администратора да провери какви негови лични данни се съхраняват при него, на какво основание и той е длъжен да му отговори – по сега действащия закон в рамките на 14 дни, а според регламента – до месец. След като бъде отговорено, физическото лице може да поиска данните му да бъдат заличени.
Битува някакво схващане, че едва ли не за всяка сделка трябва да се иска изрично съгласие от контрагента, за да може да се борави с неговите лични данни, вярно ли е това?
– Не, търговската сделка е договор, при него трябва да са ясно идентифицирани двете страни. Освен това самата търговска сделка си е съгласие – никой не може да те накара насила да купиш някаква стока. Но ако извън това, което ти е необходимо за сделката, решиш да събираш допълнителни данни – тогава е необходимо изрично съгласие. Например за извършването на директен маркетинг, както сега се прави, за да се предлагат на потребителите нови и нови стоки и услуги. Тогава трябва да се вземе изрично съгласие за ползването на личните данни на физическото лице. Новото в регламента е, че това съгласие не може да бъде условие за осъществяването на самата сделка – не може да се изисква задължително да бъде дадено. Освен това съгласието трябва да бъде свободно изразено, което значи, че не трябва да е дадено под натиск или заплаха от неблагоприятни последици – търговецът не може да каже например, че ако не дадете съгласие, ще плащате повече. И още нещо важно: съгласието трябва да е дадено недвусмислено и конкретно, а не изобщо, по принцип – например като го запишат в някакви общи условия.
Колко време според вас ще отнеме на един управител на фирма да организира целия този анализ, да направи инвентаризацията, регистрите, да напише вътрешните правила?
– Според мен и за една седмица е възможно. Дори за един уикенд – да събере екипа, който има отговорности по този закон, да направи един хубав брейнсторминг, да напишат на няколко големи листа: това и това правим, при тези и тези условия, обработваме такива и такива лични данни, имаме правно основание в този и този закон, тези ни трябват – другите – не, затова няма да ги събираме, тези данни ги разкриваме навън (на НОИ, на НАП и др.), другите – не, на тези и тези основания пазим информацията, за колко години, този и този ще има достъп до личните данни, ще ги охраняваме по следния начин… И всичко това трябва да се разпише в един вътрешен акт, който да спазват всички. Това е елементарно – или поне не е толкова сложно, колкото изглежда на пръв поглед.
В хода на този анализ трябва да се направи и преценката дали е нужно, или не да се назначава специален служител по защита на личните данни, нали така? Всъщност за кого ще е задължително назначаването на такова длъжностно лице и за кого – не?
– Важно е да се разбере, че далеч не всички администратори на лични данни ще трябва да назначават такива служители. Един от критериите за назначаване на служител е, първо, администраторът да е публично лице. Или ако например администраторът извършва системна и мащабна обработка на лични данни. Когато говорим за системност – това значи обработването да е всекидневно, да не е спорадично. Освен това тази дейност спокойно може да се аутсорства – по същия начин, по който това се върши със счетоводното обслужване. Конкретната фирма може да реши да наеме правна кантора или консултантска фирма за тази дейност – самите те в този случай ще поемат задълженията на длъжностните лица. Стига да имат капацитета да работят като такива…
А кой ще преценява дали е налице такъв капацитет, след като такава специалност не се учи в университетите, а се "усвоява" на някакви курсове, организирани от незнайни "експерти", чиято компетентност в тази материя също не е удостоверена от никого?
– При нас ще има регистър на длъжностните лица по защита на личните данни, който ще бъде създаден след 25 май. Поначало регламентът не изисква задължително обучение, няма и ограничение къде експертът ще придобие тези познания и умения – дали в България, или извън страната. Проблемът е за България, тъй като при нас фигурата на служителя по лични данни не е развита и не се прилагаше досега. В другите държави вече е достатъчно развита като професия. У нас това е проблем, защото според нас ще трябва да бъдат назначени, а преди това и обучени около 40 000-45 000 служители по личните данни. А нямаме такива обучени експерти. Заради това обучението се превърна в бизнес, и то – доходоносен.
– А защо обучението не се поеме от Комисията за защита на личните данни?
– Това, което ние сме предвидили с вече предложените изменения в закона, е да се даде възможност на комисията да извършва такъв тип обучение срещу заплащане, определено в наредба на министъра на финансите. Проектозаконът вече е пуснат за обсъждане между институциите и се надявам много скоро да излезе за публично обсъждане. Ако се приеме това предложение, ще трябва да се създаде национална обучителна структура към комисията, която да започне системно обучение на желаещите. Надявам се след влизането на закона в сила да се намери финансиране – средствата, необходими за обучителния център, са около милион и половина лева. Предвидили сме и изграждане на онлайн обучителна платформа.
