Информационна неприкосновеност. Защита на личните данни.
I. Личните данни са всякаква информация за физическото лице, която разкрива различни аспекти на неговата идентичност – физическа, психологическа, умствена, обществена, икономическа, семейна и културна. Освен това, на всеки индивид са присъщи и специфични белези като религиозна принадлежност, сексуална ориентация, партийни и политически симпатии, здравен статус, касаещи човешкия геном и т.н. Тази информация представлява т.нар „чувствителни лични данни”. Участието на индивидите в обществения оборот прави наложително събирането и използването на личните данни, с оглед по-лесната идентификацията в различни взаимоотношения. За да бъдат предпазени индивидите от злоупотреба с личните им данни, а по-този начин да не се накърни личната им неприкосновеност, е необходимо държавата да приеме и приложи адекватни закони, регламентиращи събирането, обработката и достъпа до лични данни.
В България такъв закон е приет за първи път през 2002 г. и след няколко изменения и допълнения се стига до сегашната му редакция, в сила от 2007 г. Правният режим за защита на личните данни, функциониращ в България, е съгласуван със законодателствата на европейските страни и Директива 95/46 на ЕС. Основните принципи, които трябва да се съблюдават при работа с лични данни са изрично формулирани в чл. 2, ал. 2 на Закона за защита на личните данни (ЗЗДЛ), но някои могат да бъдат извлечени от разпоредбите тълкувателно.
Необходимо е лични данни да се обработват законосъобразно, добросъвестно и целево. Целта, за която са събрани данните трябва да бъде дефинирана, а лицето, чиито данни се събират, да бъде уведомено за тези цели. Освен за формулираната задача, събраните данни могат да бъдат използвани и за исторически, статистически, изследователски и други цели, но само в случай, че администраторът гаранитира тяхната защита, а при продължително съхранение на лични данни за такива цели е необходимо и обезпечаване на анонимността на титулярите. Регламентирано е и данните да са съотносими и свързани с целите, за които се събират. Те не могат да ги надхвърлят.
Друг основен принцип при обработката на лични данни е те да бъдат точни и да отговарят на критерия истинност, а при необходимостт да се актуализират. Администраторът има задължение да коригира или заличава данни в случай, че те са неточни или непропорционални на целите, а също така да бъдат съхранявани само ограничено време, необходимо за постигане на задачите, за които са събрани. Събирането и обработката на лични данни е легално само ако физическото лице изрично е дало съгласието си или то произтича като задължение по договор, по който лицето е страна, или в закон е предвидено друго, по смисъла на чл. 4 ЗЗЛД.
Демократичните промени в българското общество след 1990 година донасят и всеприсъстващия принцип за откритост и публичност на обществена информация, която обаче да бъде достъпна след изпълнение на изискуема процедура. Такъв принцип се опитва да се наложи и по отношение на личните данни. Тук обаче проблемът се усложнява. Макар в ЗЗЛД да е регламентирано, че информация касаеща публични личности, заемащи високи управленски постове, е от голям обществен интерес, такава информация често е отказвана на граждани и масмедии под предлог, че се ползва със закрилата на ЗЗЛД. Стига се до едно нежелано парадоксално положение, при което личните данни на обикновенните граждани не са ефективно защитени, а данните за управляващите се ползват със закрилата на „принцип на секретност и конфиденциалност”. Въпросът е как да се съчетае защитата на личните данни с осигуряването на свободен достъп до информация, както и с необходимостта от обезпечаване на висока сигурност? Това, разбира се, не е само предизвикателство пред българския законодател. С този проблем са се сблъсквали много европейски страни, а докато в България се консолидира гражданско общество съблюдаващо стабилни демократични принципи и ценности, такива казуси ще бъдат решавани с помощта на контролния орган Комисия за защита на личните данни, както и съдилищата.
Нашият ЗЗЛД забранява обработването на т.нар „чувствителни лични данни” (чл. 5) и това е принципно положение. Необходимо е да се отбележи обаче, че тази проблематика е предмет на сериозни обществени обсъждания в много страни от ЕС, както и в Канада и САЩ. Акцентът се поставя върху баланса между защитата на основните права и свободи и събирането на подробна база данни, с цел осигуряване на надеждна сигурност. За ефективната борба с организираната престъпност и тероризма администраторите на лични данни събират все по-голям обем от релевантни и нерелевантни данни за хората. Трудно се оказва да се определят границите, в които такива мерки е целесъобразно да се предприемат, както и да се ограничи обхвата на информацията за гражданите, която редица формуляри изискват.
Ощен един принцип, който може да бъде извлечен от ЗЗЛД е с технически и оперативни средства да бъде гарантирана сигурността на личните данни. Обработката на такава информация трябва да бъде обезпечена в това отношение. Това е едно от нещата, за коио следи КЗЛД. В тази връзка е важно да се обърне внимание на развитието на съвременните технологии и все по-широката им употреба в гражданския оборот. Използването на интернет, електронна поща, системи за електронно разплащане, електронни регистрации в разнообразни сървъри и т.н. са част от ежедневието на все повече хора и всички тези дейнсоти изискват предоставяне на лични данни с цел идентификация. Търговията с лична информация, която в западните страни е преуспяващ бизнес, процъфтява и у нас. За да осигури защита на гражданите и в интернет пространството, в ЗЗЛД не се прави принципна разлика между виртуални и реални данни.
II. Защитата на личните данни е деликатна материя, която се нуждае от държавната санкция, за да бъдат адекватно защитени правата на гражданите й. В тази връзка, още с първия ЗЗЛД се създава специализиран независим колективен държавен орган на бюджетна издръжка, който да съблюдава спазването на закона и да следи за нарушения, както от държавни органи, така и в частния сектор. Задачата на Комисията за защита на личните данни (КЗЛД) е да се грижи за сигурността при обработката на тази информация. В глава 2 на ЗЗЛД е регламентирано правното положение на Комисията – членският й състав, финансирането й, правомощията й. Най-общо задачата на КЗЛД е да „анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни” (чл. 10, ал1 ЗЗЛД). За осъществяване на тези правомовия, тя може да прави проверки, да изразява становища, да приема решения и задълвителни предписания, както и, след уведомление, да налага временна забрана за обработването на лични данни от администраторите. Комисията разглежда жалби на физически и юридически лица, а може и да се самосезира.
С цел популяризиране на дейността й, както и по-голяма публичност на работата на КЗЛД, се подържа интернет страница, в която могат да се намерят решения по редица казуси, а също така се публикува и периодичен Информационен бюлетин, обобщаващ дейността на този орган. Комисията публикува също така и годишни отчети за дейността си.
След като се запознах със практиката на Комисията, съдържаща се в Информационния бюлетин и годишните отчети за 2006 г. и 2007 г., мога да обобщя няколко насоки на нарушения при опериране с лични данни, които Комисията засича. Най-често това са административни нарушения в секторите „Потребителски услуги” и „Финансов сектор”:
* Технологичните и организационните мерки за защита на данните от случайно или незаконно унищожение, загуба, злоупотреба и незаконен достъп не отговарят на минималните необходими критерии за безопасност на информацията. Конкретна проява на това нарушение е липсата на вътрешни правила за работа с лични данни. Освен това, често не е получено съгласието на физическите лица за обработка на личните им данни.
* Не са унищожени данните след постигане на целта и обработката им;
* Отказва се съдействие при упражняване правото на контрол на Комисията;
* Проблеми създават, също така, и регистрационните режими за администраторите на лични данни.
Наказателните постановления по подобни нарушения в по-голямата им част (80%) са срещу длъжностни лица, докато едва 20 % са за самите администратори на лични данни. Издават се също така и задължителни предписания, за да се осигури адекватно ниво на защита.
Сред секторите, в които се администрират лични данни, Комисията констатира, че Банковият сектор е с най-високо ниво на защита. Въпреки това и в този сектор немалко са жалбите на граждани срещу действия по събиране на лични данни като ксерокопиране на лични карти, попълване на формуляри с много и разнородни графи и т.н. Обосновано, КЗЛД се аргументира, че тези изисквания на банковите институции може и да изглеждат незаконосъобразни, но те са икономически и законово необходим гарант срещу измами с изпиране на пари. В този сектор нивата на технологична защита са много високи, а служителите са подробно инструктирани. Нарушенията в този сектор са свързани с отказване на достъп с регистрите на лични данни, непредоставяне в срок на поискана информация, или предоставяне само на част от нея.
В сектора на държавната администрация, най-честото нарушение е, както вече споменах отказ от предоставяне на информация за служители, а също така и необходимостта от изискване на допълнителна информация по конкретната проверка от съдебната система и МВР.
От анализ на редицата решения на комисията, стават ясни и различни нарушения в частния сектор свързани с нецелесъобразно събиране на данни, както и с незаконосъобразно предоставяне на лични данни на трети лица, без да е налице изискуемото съгласие на засегнагнатото лице.
Наскоро (в началото на април 2008 г.), след жалби на граждани, Комисията нарежда мобилните оператори да преустановят практиката си на ксерокопиране на лични карти. Нарушението, констатирано с това предписание е, че правомощията на тези фирми не вклчват събиране и съхранение на копия от документи.
III. За да се използва по оптимален начин капацитетът на Комисията за установяване и санкциониране на нарушения при обработката и събирането на лични данни, е необходимо гражданите да са добре запознати със ЗЗЛД, със своите права и задължения, както и с механизмите за контрол при подозрения за злоупотреби. Самата Комисия трябва да дава по-ясни и публични указания по проблематиката на личните данни. Необходимо е също така да се предприеме и масова кампания за обществено ограмотяване и разясняване на спецификите на правото на защита на личните данни.
В следващите редове ще се опитам да обобщя в помощ на младите да разберат по-добре своите права, както и рисковете, за които трябва да внимават при предоставяне на личните си данни.
Права на гражданите, за които се събират данните:
- да дадат съгласие за събирането и обработването на данни;
- да получат информация, че за тях се събират и обобщават данни, целта и средствата на обработката;
- да поискат от администратора потвърждение за съществуването на лични данни отнасящи се за тях;
- да поискат изтриването, прехвърлянето или блокирането на обработването, което е в нарушение на закона;
- да посикат актуализирането или поправянето на данните;
- да възразят срещу незаконосъобразността на обработването на лични данни от администратора;
- да забранят предоставянето (изцяло или частично) на личните им данни за търговски или рекламни цели, както и за пазарни проучвания;
- да бъдат информирани, ако личните им данни предстои да бъдат показани пред трети лица;
- да имат достъп до отнасящите се до тях лични данни;
- да дадат изрично, недвусмислено (и писмено при необходимост) съгласие за предоставяне и обработка на личните им данни. Това, обаче е незадължително, когато има законово изискване, или данните са за научни изследвания, или касаят живота или здравето на лицето
- гражданите имат право на удостоверение, поискано от администратора.
При нарушения или основателни подозрения занарушения, гражданите могат да се обръщат директно с жалби към Комисията за защита на личните данни.
Макар в ежедневието си да се сблъскваме непрекъснато с необходимостта да удостоверяваме самоличността си и често да предоставяме личните си данни, добре е да бъдем внимателни, за да не ставаме жертви на злоупотреба с лични данни. Моите съвети са:
- следете за целесъобразността на изискуемите лични данни;
- не предоставяйте личната си карта за ксерокопиране, освен ако такова изискване не произтича от правомощията на изискващия (логически или аргументирано в писмена форма);
- не се подлъгвайте да въвеждате данните си в формуляри по интернет, които обещават печалби и не са с гарантиран приемател на данните.
- изчитайте глаузите на електронните формуляри, в които въвеждате данните си;
- внимателно проверявайте сигурността на сайтовете, които използвате;
- задавайте въпроси и се интересувайте подробно, защо се изисква от вас предоставянето на конкретна лична информация;
- помнете, че е незаконно да ви се изисква информация за религиозната принадлежност, сеьуалната ориентация, партийните и политически пристрастия и т.н.
Пазете личните си данни и се информирайте своевременно за целите и логиката на събирането и обработването им. Най-важното е да бъдете съвестни граждани, които знаят и отстояват правата си с всички законови средства!
