Нуждаем се от по-високи стандарти за защита, смята председателят на КЗЛД

Венцислав Караджов, председател на Комисията за защита на личните данни:

Роден е на 15 януари 1972 г. в Бургас
Магистър по право от СУ “Св. Климент Охридски”
Започнал е кариерата си като юрист в неправителствения сектор, работил е като старши консултант по международни проекти за борба с корупцията, превенция на конфликт на интереси в държавната администрация и утвърждаване върховенството на закона
Член на ЦИК в периода април 2011 ­ март 2014 г.
Главен експертен сътрудник в комисията за контрол на СРС в 41-вото и 42-рото народно събрание
Председател на Комисията за защита на личните данни от 15 април 2014 г.

-Г-н Караджов, още при назначаването ви избухна скандал с фалшифициране на подписи в списъците за регистрация на партиите за изборите. Как виновните за неправомерното използване на личните данни ще бъдат наказани?

-Действително Комисията за защита на лични данни беше “залята” от сигнали на избиратели, че не са предоставили подкрепата си за регистрация на партия в изборите за евродепутати на 25 май. Над 1200 ­ 1300 са подадените до комисията сигнали. Създали сме необходимата организация за първоначално обработване на всички жалби. 28 експерти на комисията ежедневно обработват постъпилите сигнали, събират допълнителна информация и извършват правен анализ. Предстои да изискаме представените в ЦИК списъци на хартиен и електронен носител и да проверим жалбата на всеки конкретен подател. Ще извършим и проверка на тези партии, за които има твърдения в подадените жалби, че са допуснали нарушения на правилата и процедурите на ЗЗЛД. Ако се установят нарушения, ще бъдат приложени административно-наказателните разпоредби на закона. Бих искал да отбележа, но не за да се оправдавам, че проверката на жалбите и политическите партии ангажира повече от половината от състава на комисията, който наброява едва 76 души, включително техническия персонал и служителите по поддръжката на сградния фонд.

-Заявихте, че софтуерът на ЦИК за проверка на подписите на граждани не дава достатъчно ниво на защита на личните данни, и изготвихте няколко препоръки към комисията. Това ще бъде ли достатъчна гаранция за защита на данните на избирателите?

-Централната избирателна комисия, в изпълнение на разпоредбите на Изборния кодекс (чл. 136), администрира „чувствителни” лични данни, каквито се явяват политическите убеждения на избирателите. Това е така, защото ИК допълнително въвежда изискване един избирател да участва само в един списък в подкрепа за регистрация в изборите на една политическа партия или инициативен комитет. Подписът му във втори списък се счита за недействителен. След като тези лични данни разкриват политическата убеденост на избирателите, тези данни трябва да получат по-голяма защита. Извършихме проверка в ЦИК, за да се убедим, че комисията е въвела допълнителна идентификация на избирателите и достъпът до системата се осъществява освен чрез ЕГН и чрез допълнително въведен персонален идентификационен код. Взетите от ЦИК мерки ще осигурят допълнителна гаранция за защита на личните данни на избирателите.

-Критикувахте и партиите, като заявихте, че не познават добре Закона за защита на личните данни, който ги задължава не само да се регистрират по него, но и да идентифицират кой точно е администраторът на лични данни. Защо смятате така?

-Този скандал много прилича на скандала през 2005 година, когато Изборният кодекс въведе изискване за регистрация на партиите само ако докажат, че са спазили финансовите изисквания за отчетност и са подали три последователни отчета пред Сметната палата за изразходваните от тях субсидии и допълнително финансиране. Омаловажаването и неспазването на тези разпоредби на ИК и на Закона за политическите партии тогава доведоха до отказ на ЦИК да регистрира някои партии. В сегашния скандал има голяма доза небрежност от страна на партиите. Те обикновено следят само спазването на Изборния кодекс, тъй като последствията за тях са сериозни и необратими, лишават ги от възможност за участие в изборите. Изборното законодателство обаче регламентира много повече обществени отношения, които политическите субекти не само трябва да познават, но и да спазват. Такива са и обществените отношения относно защитата на неприкосновеността на личността и свързаните с нея лични данни, които я идентифицират. Законът за защита на личните данни изисква всеки администратор на лични данни, каквито са и политическите партии, при събиране на лични данни от физическо лице да се идентифицира и да обяви целите на обработването на личните данни. За да се гарантира справедливо обработване на данните по отношение на физическото лице, за което се отнасят, партиите трябва да му предоставят и информация относно получателите, на които могат да бъдат разкрити тези данни (ЦИК, ГРАО и др.). Избирателите имат право на информация за какво се събират тези лични данни, в изпълнение на законов ангажимент на партията ли се извършва това, или предоставянето на лични данни става със съгласието на избирателя. От постъпилите в КЗЛД сигнали обаче е ясно, че избирателите не са наясно от кого и как трябва да поискат да бъдат заличени от списъците на партиите за регистрация в тези избори.

-Смятате ли, че фалшифицирането на подписи от страна на партии е било традиция у нас, но едва сега нещата излязоха наяве?

-Скандалът с лични данни поставя много въпросителни пред политическите партии и най-вече относно обществената подкрепа, която получават от българските избиратели. Проблем е обаче и чувствителността на обществото към опазването на личната неприкосновеност. Не бива въз основа на конкретния проблем, по който КЗЛД като надзорен орган в областта на защита на личните данни в България е предприел всички необходими мерки и допустими действия по закон, да се правят генерални обобщения за съществуваща „традиция” на зловредни практики. Вярвам, че планираните проверки на политически партии също ще окажат своята превантивна роля.

-Скандалът не беше ли поредното доказателство, че личните ни данни изтичат навсякъде, и как да се промени това, да има по-надеждна защита?

-Комисията за защита на лични данни ежедневно получава сигнали за различни форми на нарушение на личната неприкосновеност на гражданите. Според мен обаче изразът „изтичане на лични данни” може да бъде много условно използван. Различни са хипотезите, при които лични данни на физическите лица могат да станат достояние на трети лица, без да има законово основание за това. Най-често гражданите сами предоставят свои лични данни като потребители, във връзка с договори за предоставяне на услуги или при ползване на интернет. В много от случаите нямаме време да се запознаем с политиката на конкретния доставчик на услуга по отношение на защитата на личните данни и приемаме условията, без да сме ги прочели. Оказва се в повечето случаи невъзможно да се запознаем в детайли с твърде дългите и неясно поднесени общи условия. Последствията от това могат да са свързани с получаването на нежелани съобщения на предоставената от нас електронна поща. Но могат да доведат и до опасна злоупотреба с лични данни, до морални и материални щети за всеки от нас.

-Необходими ли са законови промени според вас, за да бъде самата комисия по-ефективна?

-Законодателството ни в областта на защитата на личните данни е хармонизирано с европейското законодателство в тази област. Законът за защита на личните данни въвежда разпоредбите на Директива 95/46/ЕО на Европейския парламент и на съвета относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни. Пряко действие има Регламент 45/2001 на Европейския парламент и Съвета за защита на физическите лица по отношение обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни. Основните принципи на директивата, които гарантират функциониращ вътрешен пазар и ефективна защита на основното право на хората на неприкосновеност на техните данни, остават също толкова валидни днес, колкото и преди 17 години. Но различията в начините, по които всяка държава от ЕС прилага този закон, доведоха до неравномерно ниво на защита на личните данни в зависимост от това къде живее даден човек или къде купува стоки и услуги. Това наложи да се пристъпи към процес на преглед и осъвременяване на настоящите правила. Бързото технологично развитие и глобализацията доведоха до възникването на нови предизвикателства в областта на защитата на данните. При наличието на социални мрежи, „изчисления в облак”, базирани на място услуги и смарткарти оставяме цифрови следи с всяка наша стъпка. Ето защо се нуждаем от солиден набор от правила и по-високи стандарти на защита. Реформата на защитата на данните в ЕС, която тече в момента, ще създаде по-голяма сигурност, че правилата ще бъдат актуални и в бъдеще. Засега Законът за защита на личните данни предвижда достатъчно механизми и правомощия на КЗЛД, за да има ефективност. Но е необходимо да се обмисли възможността комисията самостоятелно да може да изисква и проверява информация за трафични данни по смисъла на ЗЕС и да определя извънсъдебно размера на обезщетението на гражданите, чиито права са нарушени. Това решение на комисията, естествено, ще подлежи на съдебен контрол, но по този начин ще се съкратят сроковете за търсене на отговорност от администраторите на лични данни и ще се повиши доверието на гражданите в работата на държавните институции, които са оправомощени да защитават личните им данни.

-Имаше вече няколко телевизионни репортажа, които показаха изхвърлени лични данни в контейнери. Как си обяснявате тази практика?

-В случаите, които визирате, комисията е реагирала незабавно и е наложила административни наказания. Затова и тези изолирани случаи не могат да се нарекат практика. Комисията упражнява контрол съгласно разписаните в закона контролни правомощия. Извършват се проверки и при констатирани нарушения се налагат административни наказания.

-Всъщност най-високите санкции са до 100 000 лева, нали така?

-Така е. КЗЛД се стреми да предприеме широк спектър от мерки, за да сведе до минимум броя на подобни нарушения на закона. Предлагат се обучения на администратори, изразяват се становища по поставени въпроси, на официалната интернет страница се помества практиката по различни възникнали казуси.

Въпреки това трябва да се знае, че администраторът на лични данни сам взема решенията за начина, по който той ги обработва, сам определя целите и средствата. Всеки администратор обаче е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Такава е разпоредбата на закона.

-Граждани масово се оплакват, че кредиторите предоставят личните им данни на фирми за събиране на задължения. Как ще действате в тези случаи, за да се ограничи тази практика?

-Необходимо е внимателно да се запознаят с документите, които подписват. Комисията не може да бъде техен адвокат в споровете им с държавните институции и частния бизнес. Комисията извършва проверки във всички случаи, когато е сезирана с жалби, в които се излагат твърдения за неправомерно предоставяне на лични данни на дружествата с предмет на дейност събиране на вземания. Винаги когато се предоставят данни, е добре гражданите да се интересуват за основанието, на което им се искат личните данни, и дали са налице условията за допустимо обработване на лични данни съгласно чл. 4, ал. 1 от ЗЗЛД. Такова условие е съгласието на лицето например.

-Всъщност навсякъде искат личната ни карта, кога можем да откажем и кой може да копира данните ни?

 -Редица нормативни актове дават правомощия на различни правни субекти, най вече държавни органи, да изискват и копират документа ни за самоличност или да правят справки на самоличността на гражданите от документа им за самоличност. Такъв акт е Законът за мерките срещу изпирането на пари. Когато едно лице има притеснение, то винаги може да се възползва от правата си по ЗЗЛД и да поиска информация от администратора защо е необходимо да предостави например копие от лична карата или самия документ за самоличност за сверяване на самоличността. Ако дадено лице, след като получи информация, прецени, че данните му ще се обработят неправомерно, то може да сезира комисията.