Венцислав Караджов, председател на Комисията за защита на личните данни

GDPR е еднакво недолюбван от всички и това е признак за обективност

Жалбите по GDPR са скочили над два пъти през 2018 година

Осем месеца след влизането в сила на европейския Общ регламент за защита на личните данни (GDPR) българските депутати най-накрая приеха свързаните с него промени в Закона за защита на личните данни. Бурен отзвук предизвикаха тези, засягащи медиите в ролята им на администратори. Негативните реакции са свързани с опасения за цензура, ограничаване на достъпа до информация и възможности законът да се използва като инструмент за разчистване на пазара. 

Навръх Международния ден за защита на личните данни, 28 януари, разговаряме с председателя на Комисията за защита на личните данни Венцислав Караджов, за да сподели той виждането на регулатора по казуса. 

- Г-н Караджов, Общият регламент за защита на личните данни (GDPR) влезе в сила през месец май 2018 г., а  свързаните с него промени в българското законодателство бяха гласувани от депутатите на 24 януари 2019 г. Не идват ли с голямо закъснение? 

- Промените в Закона за защита на личните данни бяха приети сега, след повече от една година на обществено обсъждане. В дебатите се включиха всички заинтересовани страни, чиито професионални становища бяха възприети, доколкото те отговарят на Регламента. GDPR се оказа еднакво недолюбен и от бизнеса, и от администрацията, а сега и от журналистите. За мен това е признак за обективност. Когато един закон е равно отдалечен от всички, вероятността да бъде обективен е много по-голяма. 

- Журналистическата гилдия скочи срещу промените, засягащи медиите, изтъквайки, че те създават предпоставки за цензура и ограничаване на достъпа до информация. Така ли е според Вас? 

- Законът за защита на личните данни не ограничава правото на информация, а урежда задълженията на медията в ролята ѝ на администратор, който обработва лични данни на физически лица и най-вече следи за това каква част от тях са били оповестени публично. Тайната на информацията не подлежи на проверка, а журналистът може да събира всякакъв вид данни. Въпросът е каква част от тях и как ще бъдат изнесени пред аудиторията и дали не се засяга в повече от необходимото личната неприкосновеност на индивида. 

Трябва да се разбере, че Законът не касае всичката събрана от журналиста информация, а само една много малка част, засягаща личните данни. При това говорим за момента, в който тя бъде разгласена, а не докато се събира. 

- Бихте ли дали пример? 

- Да вземем за пример следния казус: публична личност (народен представител) внася предложение за промени в Закона за горивата, за които се смята, че са лобистки. Започва да събира информация как тази публична личност е стигнала до извода, че трябва да внесе поправката въпреки съществуваща забрана за извършване на съответната дейност. В рамките на разследването журналистът събира информация за този човек, включително например къде живее и има ли деца – неща, които на практика нямат общо с поправката и представляват лични данни. Журналистът може да съхрани тази информация при себе си с някаква доказателствена цел, но не и да я публикува. 

- Как е действала Комисията за защита на личните данни досега в такива случаи? 

- Внесените критерии в Закона всъщност просто правят нейната досегашна практика публична. Когато при нас постъпи жалба, ние я разглеждаме по този начин. Тези критерии за оценка са съобразени и с международно утвърдени принципи, включително с тези на Съда за защита на човешките права в Страсбург. Наличието им в закон задължава и съдa да се съобразява с тях, вместо да прави свои тълкувания, както беше досега.

- Ако КЗЛД и досега е работела по този начин, защо журналистическата гилдия се опасява от промените? 

- Мисля, че неправилно се тълкуват тези предложения. Освен това Законът не контролира журналистите, а медиите, които са същинският администратор на лични данни. 
 
- Един от страховете е, че новите правила може да послужат като инструмент за разчистване на пазара. 

- Не мисля, че това е възможно. Решенията на КЗЛД подлежат на съдебен контрол на две инстанции. А крайното решение – на преглед от Съда в Страсбург. Дори смятам, че тези правила може да помогнат и да попречат на разпространението на фалшиви новини. 

- Но потенциалните финансови санкции са големи и непосилни за много медии. Какъв тип нарушение трябва да бъде извършено, за да се стигне до голяма глоба например? 

- Не мога да кажа какви казуси ще изникнат, но санкцията със сигурност трябва да е пропорционална. Важно е да се отбележи и разпоредбата, че регулаторът трябва да се съобрази с това дали става дума за голям или малък и среден бизнес. Така един блогър или малка медия няма как да бъдат санкционирани с толкова големи, непосилни за тях суми. Целта не е да се унищожи малкият и среден бизнес или той да се наказва, а да създадем една превантивна среда. В тази връзка по-често се прибягва към административни мерки – посочва се какво не бива да се прави, задават се срокове за реакция. 

- Колко са жалбите срещу медии през последната година спрямо по-рано? 

- За 2017 г. бяха 12 жалбите, а за 2018 г. - 35. От всички тях само две жалби са уважени, като не са наложени санкции, а са дадени указания на медиите как да обработват личните данни. 

- Като цяло забелязва ли се ръст на жалбите през 2018 г., когато GDPR влезе в сила? 

- Да, има малко повече от два пъти повишение на жалбите в сравнение с 2017 г., като през цялата 2018 г.  са подадени с около 300 повече. Забелязва се активност от страна на жалбоподателите. Подтикнати от емоционалната си реакция и в опит да защитят интересите си пред даден публичен орган, най-вече когато дължат пари за услуга, много физически лица решават да използват GDPR, за да накажат съответната организация. Но не всички жалби са основателни. 

- Какви са най-честите жалби? 

- Срещу телекоми и доставчици на комунални услуги, както и за видео наблюдение. 

- След отпадането на изискването администратори на лични данни на 10 000 и повече потребители да назначат задължително длъжностно лице по защита на личните данни, имате ли информация колко фирми все пак са наели такива служители?

- Към настоящия момент около 3 500-3 700 компании са заявили, че са назначили такова лице.

- Какво според Вас е цялостното ниво на експертиза по отношение на прилагането на GDPR? Тя по-скоро правна, или по-скоро техническа трябва да е? 

- Необходимо е практическо виждане, защото понякога има голямо разминаване между теоретиците и тези, които прилагат правилата. Експертизата не може да е само правна. Нужни са и по-задълбочени технически знания. Изисква се цялостен поглед, за да има по-ясна картина. Иначе разпоредбите могат да се тълкуват доста едностранчиво.

Що се отнася до нивото на експертиза, в момента работодателите не са сигурни в това, което им се дава като съвет, защото служителите са назначени, за да се отговори на изискването на Регламента, а не защото те имат капацитета.

- С последните промени в Закона за защита на личните данни се позволява и на КЗЛД да извършва сертифицирани обучения. Какво ще включват те?

- Обучението ще включва много техническа информация, включително как да се упражнява защита чрез използването на IT технологии, какво представляват свързаните в мрежа устройства и как трябва да се съхраняват личните данни в такива случаи, теми за киберсигурност, както и за прилагането на изкуствен интелект. 

Това сертифицирано обучение значително ще разшири разбирането за правилата, които са доста комплексни. Предстои подготовка му, като се очаква в края на тази или началото на следващата година то да стартира. Неговата продължителност ще е 3 месеца, през които обучаващите се ще минат през различните етапи на тестване. Сертификатът се дава за 3 годишен период, след което лицето по желание трябва да се яви на нов тест, за да го поднови.

Документът удостоверява, че човек разбира и може да прилага правилно правила за защита на личните данни. И второ, той ще бъде документ, който ще даде увереност на работодателя на това лице да има вяра на неговите съвети. 

- Не се ли получава сблъсък на интереси – регулаторът да обучава лицата, които да следят за неговите правила? 

- Не мисля. Ние сме един от многото, които могат да извършват такива обучения. В закона се казва, че сертификатът не е задължителен за назначаването на такова лице. Просто дава повече информация, по-голяма сигурност за бизнеса.


Ако сте харесали статията, можете да се абонирате за страниците ни във Facebook и Twitter или да използвате нашия RSS фийд канал, за да не пропуснете нищо интересно от Economic.bg.


Етикети: медии | журналисти | лични данни | промени | цензура | GDPR | КЗЛД | Венцислав Караджов | Закон за защита на личните данни | Комисия за защита на личните данни

ПОСЛЕДНИ НАЙ-ЧЕТЕНИ КОМЕНТИРАНИ
Виж всички новини