Не се доверявайте на случайни обучители в новите правила за защита на личните данни

Автор: Катя КАСАБОВА, Снимка Светлозария КИДЕРОВА

Проф. Веселин Целков е член на Комисията за защита на личните данни  като в последните 11 години се занимава основно с проблемната област по защита на информацията.

Представител е на Комисията в надзорни органи и работни групи в сферата на защитата на личните данни към Европейската комисия и Съвета на ЕС -  Координационната група за надзор на Шенгенската информационна система от второ поколение (ШИС II), Съвместния надзорен орган „Митници“, Координационната група за надзор на Митническата информационна система и Международната група за защита на данните в телекомуникациите.

Професор по информатика, доктор на техническите науки, с над 35-годишен практически и теоретически опит в сферата на информационната сигурност. Участник в български и международни работни групи по въпросите на сигурността на информацията. Национален представител в множество форуми и работни групи на НАТО и ЕС в областта на защитата на информацията. Автор е на десетки публикации и монографии в сферата на информационната сигурност.

Специализирал е в George Marshal European Centre for Security Studies и Комуникационни и информационни технологии (Cisco Academy) в Технически университет, Букурещ, Румъния.
Проф. Целков е научен ръководител на студенти и аспиранти в областта на информационната сигурност. Работил е като научен сътрудник в областта на защитата на информацията в научно-изследователските структури на Министерство на отбраната и Българската армия.

-Проф. Целков, фирмите, чийто бизнес е свързан с регистрация и обработка на лични данни, изпитва  притеснения от новите промени, които предстои да влязат в Закона за защита на личните данни. Витае неяснота и една заплаха от твърде солени глоби, които биха довели дори до фалит. Бихте ли внесли яснота?

-Притесненията на бизнеса са свързани с новия регламент, т.нар. „Общ регламент за защита на личните данни” , известен с абребиатурата  GDPR, който влиза в сила от 25 май тази година и който е със силата на закон за всички страни от ЕС.

-Защо сега се налагат тия промени?

-Промените се налагат от няколко фактора. Ние се намираме в ЕС, в който има свободно движение на хора, капитали, естествено е да има и свободно движение на лични данни. За да има такова трябва всички страни в ЕС да са установили едни и същи критерии и едни и същи мерки за защита на личните данни, така че всички жители на ЕС, независимо в коя държава от ЕС се намират, да имат едно и също ниво на защита на личните данни. Регламентът е задължителен закон за всички страни от ЕС. Той е задължителен за всички, които искат да правят бизнес в ЕС.  Второто важно нещо  е големият бум на информационните технологии, експоненциалното развитието на социалните мрежи и огромното количество лични данни, които се използват в тях. Голяма част от тези лични данни могат да бъдат използвани за маркетинг, за профелиране и др.  - нерегламентирано.

-Това, което плаши бизнеса, са големите глоби. В кои случаи подлежим на санкция?

- В ниския клас нарушения - 10 млн. евро или 2% от годишния оборот за предходната година, подчертавам оборот, а не печалба. Във високия клас нарушения - 20 млн. евро или 4% от годишния оборот.

- При проверка можете да фалирате всяка втора фирма в България, ако пожелаете – чрез сигнал на конкурент или след някоя хакерска атака. Как ще става установяването на нарушението? 

-Регламентът дефинира правата и отговорностите на надзорните органи, така че те да бъдат независими, да не се влияят от политически, икономически и всякакви други поръчки или натиск,  да изпълняват едни и същи правила в целия ЕС. Затова даже в новия регламент  е предвиден специален механизъм за взаимодействие между надзорните органи.  Две са важните неща в променената философия на регламента.  На първо място изключително се акцентира на защитата на данните на човека.

-Досега нали бяха защитени, изпълняваха се куп изисквания по регистрацията, поемане на отговорности и т.н.?

-Те са защитени, но законът по-рано акцентираше, както върху правата на защита на субекта, така и върху организационните и технически мерки за защита. Сега се добавят няколко нови задължения на администратора на личните данни и права на субекта на данните. Едно от задълженията на администратора е, че за всяка една обработка той трябва да информира човека какви лични данни му се обработват, колко време ще ги задържи, на какво правно основание, на кой ще ги предоставя, защо ще ги предоставя, кога и как ще ги унищожава.

- Дайте конкретни примери, ситуации, в които да знаем как да се реагира?

-Давам ви традиционния пример. Отивате да си купите нещо или да получите услуга. Отсреща ви искат  лична карта или документ - било то нотариален акт, документ за собственост на движима вещ или било нещо друго като документ. Вие не знаете за какво ги използва, защо ги използва,  после ви ги връща или не ви ги връща, прави копие и т.н.

-А тези приложения , които са във Фейсбук, напр., които ни предлагат всякакви щуротии – да проверим как ще изглеждаме  като лице от другия пол, след 20 години или каква прическа ни подхожда, как бихме се променили, ако сме холивудска звезда. С каква цел са?

-Бумът на информационните технологии като Фейсбук, Гугъл , Туитър, са задължени всеки един момент да ви казват за какво ще ви използват личните данни! Ако вие доброволно, с предоставените от вас лични данни, участвате в това, давайки публичен достъп, значи вие сте дали изричното си съгласие.  Това е от една страна. Второто е, че човекът или субектът на личните данни винаги има право да откаже своето съгласие. Той първо трябва да даде информирано съгласие и администраторът трябва да бъде в състояние да докаже, че човекът е дал информираното си съгласие за обработките. Винаги има право да ги откаже, но новото нещо, което въвежда регламентът е правото да бъде забравен. Т.е., вие ако си изтриете профила във Фейсбук, нищо не гарантира, че вашите данни не стоят на някой сървър или някой не може да ги ползва нерегламентирано . Това е новото правило: Right to be forgotten, или правилото да бъдеш забравен, да оттегляш съгласието си.

Това, което сега регламентът  задължава администраторите, е всички тия мерки за защита на данните и защита на неприкосновеността на личния живот на човека,  да бъдат още на фазата на проектиране на системите.  Изобщо, когато  фирмата започва дадена дейност или ще развива определена операционна система,  трябва всички мерки за защита на данните да ги предвиди още на фазата на проектиране, тоест на предварителната фаза. А не, както е сега, много често се случва в действащите системи  да се мъчим да вкарваме допълнителни механизми, правила и процедури за защита на данните.

-Кого ще засегнат най-вече тези промени в бизнеса. Кои фирми, занимаващи се с какво точно?

- Най-голямо влияние  ще окаже върху тези търговски компании, фирми или  структури, които се занимават с доставка на публични услуги или обработват голямо количество лични данни. Това са, например, телекомуникационните оператори, доставчиците различни услуги като Топлофикация, ВиК, електричество. Те трябва да бъдат във всеки един момент в готовност, при поискване, да покажат какви лични данни обработват, на какво право основание и да  кажат кое е достъпно от тези лични данни и на какво основание.  Да го кажат на всеки, който е заинтересован, на вас, като клиент, също. Например, имаме случай в Здравната каса, когато недобросъвестни служители бяха предоставили здравните досиета на пациенти, като информацията от тези досиета бе използвана не по предназначение.

-И какви бяха последиците?

-Ако човек страда от определена болест, примерно левкемия, за която не желаете да се знае  и тая информация бъде разпространявана. Вътре ще има данни кога и кой лекар е посетил, какви лекарства употребява. Това е специален клас данни. Трябва оттук-нататък да се въвеждат данни за здравословното състояние, като генетични данни, въвежда се и понятието биометрични данни. Те могат да бъдат ползвани след изтичане по непредвидим със своите последствия начин. Примерно сте имали кожно заболяване и сте посещавали кожно-венерически кабинет, където сте се лекували и разбираемо не искате да бъде това публично достояние. Но има недобросъвестни хора, които  могат да ползват данните като инструмент на въздействие.

-На изнудване?

-Да, първо да ви сринат репутацията. Второто важно нещо е, че могат да ви превърнат в обект на шантаж, особено ако сте човек, който има голямо медийно присъствие или пък ако сте човек, който взима важни политически или икономически решения.

-Как да се подготвят фирмите? Какво трябва да направят до 25 май  т.г., когато е крайният срок за приключване на въпросните технически и организационни мерки за защита на данните?

-Проблемът с подготовката е доста деликатен. Общият регламент е приет през април 2016 година, като изрично е казано в него, че се дава 2-годишен срок. Фирмите и всички администратори и органи на държавната власт и местното управление, или от частния сектор, трябва да се подготвят да посрещнат новите изисквания. Имаше достатъчно време. Както обикновено, тия 2 години не стигнаха  и хората се сещат за това в последния момент.

Трябва да се обърнат към компетентните органи. Най-компетентният национален орган е самата Комисия защита за личните данни.

-Безспорно, проф.Целков, Вие сте най-компетентният в този състав по материята, за която говорим, но как ще обучите толкова много потребители? До края на май това физически е невъзможно да стане.

- Лошото е, че Комисията си има достатъчно много текущат работа, нямаме чак толкова голям ресурс като хора  и време. Въпреки това ние провеждаме широко мащабна информационна кампания в няколко големи града. Издаваме информационни брошури, на нашия сайт са публикувани и няколко брошури. Едната от тях е „Първите 10 стъпки, които трябва да направи администраторът” и други подобни препоръки. В момента в медийното пространство съществува невъобразим хаос по тази материя. Можещи и неможещи организации, адвокатски дружества, неизвестни никому IT компании и такива, които предлагат услуги или анализ на съответствието, предлагат обучения.  Като тия услуги варират като цена от 0 лева до 1000 евро на човек за обучение. Комисията няма капацитет на всеки администратор да обърне индивидуално внимание. Ние сме се насочили към  структороопределящи големи ведомства, към съсловните  организации и други такива. Личният ми съвет е, че човек трябва да се обърне към хора или компании, които имат безупречна репутация и  да получи уверение, че те могат да свършат работа. Защото практиката, а и моето лично убеждение е, че 90 % от въпросните „компетентни обучители” не могат да свършат нищо полезно.

-Бихте ли посочили кои фирми-обучители попадат към останалите 10%?

-Готов съм да посъветвам всеки, който се нуждае от помощ, но не бих си позволил да посочвам имена в публичното простанство – чрез медия, за да не бъда упрекнат, че ги рекламирам.