GDPR е еднакво недолюбван от всички и това е признак за обективност

Г-н Караджов, Общият регламент за защита на личните данни (GDPR) влезе в сила през месец май 2018 г., а свързаните с него промени в българското законодателство бяха гласувани от депутатите на 24 януари 2019 г. Не идват ли с голямо закъснение? 

– Промените в Закона за защита на личните данни бяха приети сега, след повече от една година на обществено обсъждане. В дебатите се включиха всички заинтересовани страни, чиито професионални становища бяха възприети, доколкото те отговарят на Регламента. GDPR се оказа еднакво недолюбен и от бизнеса, и от администрацията, а сега и от журналистите. За мен това е признак за обективност. Когато един закон е равно отдалечен от всички, вероятността да бъде обективен е много по-голяма. 

Журналистическата гилдия скочи срещу промените, засягащи медиите, изтъквайки, че те създават предпоставки за цензура и ограничаване на достъпа до информация. Така ли е според Вас? 

– Законът за защита на личните данни не ограничава правото на информация, а урежда задълженията на медията в ролята ѝ на администратор, който обработва лични данни на физически лица и най-вече следи за това каква част от тях са били оповестени публично. Тайната на информацията не подлежи на проверка, а журналистът може да събира всякакъв вид данни. Въпросът е каква част от тях и как ще бъдат изнесени пред аудиторията и дали не се засяга в повече от необходимото личната неприкосновеност на индивида. 

Трябва да се разбере, че Законът не касае всичката събрана от журналиста информация, а само една много малка част, засягаща личните данни. При това говорим за момента, в който тя бъде разгласена, а не докато се събира. 

Бихте ли дали пример? 

– Да вземем за пример следния казус: публична личност (народен представител) внася предложение за промени в Закона за горивата, за които се смята, че са лобистки. Започва да събира информация как тази публична личност е стигнала до извода, че трябва да внесе поправката въпреки съществуваща забрана за извършване на съответната дейност. В рамките на разследването журналистът събира информация за този човек, включително например къде живее и има ли деца – неща, които на практика нямат общо с поправката и представляват лични данни. Журналистът може да съхрани тази информация при себе си с някаква доказателствена цел, но не и да я публикува. 

Как е действала Комисията за защита на личните данни досега в такива случаи? 

Внесените критерии в Закона всъщност просто правят нейната досегашна практика публична. Когато при нас постъпи жалба, ние я разглеждаме по този начин. Тези критерии за оценка са съобразени и с международно утвърдени принципи, включително с тези на Съда за защита на човешките права в Страсбург. Наличието им в закон задължава и съдa да се съобразява с тях, вместо да прави свои тълкувания, както беше досега. 

Ако КЗЛД и досега е работела по този начин, защо журналистическата гилдия се опасява от промените? 

Мисля, че неправилно се тълкуват тези предложения. Освен това Законът не контролира журналистите, а медиите, които са същинският администратор на лични данни. 

Един от страховете е, че новите правила може да послужат като инструмент за разчистване на пазара. 

Не мисля, че това е възможно. Решенията на КЗЛД подлежат на съдебен контрол на две инстанции. А крайното решение – на преглед от Съда в Страсбург. Дори смятам, че тези правила може да помогнат и да попречат на разпространението на фалшиви новини. 

Но потенциалните финансови санкции са големи и непосилни за много медии. Какъв тип нарушение трябва да бъде извършено, за да се стигне до голяма глоба например? 

Не мога да кажа какви казуси ще изникнат, но санкцията със сигурност трябва да е пропорционална. Важно е да се отбележи и разпоредбата, че регулаторът трябва да се съобрази с това дали става дума за голям или малък и среден бизнес. Така един блогър или малка медия няма как да бъдат санкционирани с толкова големи, непосилни за тях суми. Целта не е да се унищожи малкият и среден бизнес или той да се наказва, а да създадем една превантивна среда. В тази връзка по-често се прибягва към административни мерки – посочва се какво не бива да се прави, задават се срокове за реакция. 

Колко са жалбите срещу медии през последната година спрямо по-рано? 

– За 2017 г. бяха 12 жалбите, а за 2018 г. - 35. От всички тях само две жалби са уважени, като не са наложени санкции, а са дадени указания на медиите как да обработват личните данни. 

Като цяло забелязва ли се ръст на жалбите през 2018 г., когато GDPR влезе в сила? 

Да, има малко повече от два пъти повишение на жалбите в сравнение с 2017 г., като през цялата 2018 г.  са подадени с около 300 повече. Забелязва се активност от страна на жалбоподателите. Подтикнати от емоционалната си реакция и в опит да защитят интересите си пред даден публичен орган, най-вече когато дължат пари за услуга, много физически лица решават да използват GDPR, за да накажат съответната организация. Но не всички жалби са основателни. 

Какви са най-честите жалби? 

Срещу телекоми и доставчици на комунални услуги, както и за видео наблюдение. 

След отпадането на изискването администратори на лични данни на 10 000 и повече потребители да назначат задължително длъжностно лице по защита на личните данни, имате ли информация колко фирми все пак са наели такива служители? 

– Към настоящия момент около 3 500-3 700 компании са заявили, че са назначили такова лице.

Какво според Вас е цялостното ниво на експертиза по отношение на прилагането на GDPR? Тя по-скоро правна, или по-скоро техническа трябва да е? 

– Необходимо е практическо виждане, защото понякога има голямо разминаване между теоретиците и тези, които прилагат правилата. Експертизата не може да е само правна. Нужни са и по-задълбочени технически знания. Изисква се цялостен поглед, за да има по-ясна картина. Иначе разпоредбите могат да се тълкуват доста едностранчиво.

Що се отнася до нивото на експертиза, в момента работодателите не са сигурни в това, което им се дава като съвет, защото служителите са назначени, за да се отговори на изискването на Регламента, а не защото те имат капацитета. 

С последните промени в Закона за защита на личните данни се позволява и на КЗЛД да извършва сертифицирани обучения. Какво ще включват те? 

– Обучението ще включва много техническа информация, включително как да се упражнява защита чрез използването на IT технологии, какво представляват свързаните в мрежа устройства и как трябва да се съхраняват личните данни в такива случаи, теми за киберсигурност, както и за прилагането на изкуствен интелект. 

Това сертифицирано обучение значително ще разшири разбирането за правилата, които са доста комплексни. Предстои подготовка му, като се очаква в края на тази или началото на следващата година то да стартира. Неговата продължителност ще е 3 месеца, през които обучаващите се ще минат през различните етапи на тестване. Сертификатът се дава за 3 годишен период, след което лицето по желание трябва да се яви на нов тест, за да го поднови. 

Документът удостоверява, че човек разбира и може да прилага правилно правила за защита на личните данни. И второ, той ще бъде документ, който ще даде увереност на работодателя на това лице да има вяра на неговите съвети. 

Не се ли получава сблъсък на интереси – регулаторът да обучава лицата, които да следят за неговите правила? 

– Не мисля. Ние сме един от многото, които могат да извършват такива обучения. В закона се казва, че сертификатът не е задължителен за назначаването на такова лице. Просто дава повече информация, по-голяма сигурност за бизнеса.