Какво представляват секторните проверки, провеждани от КЗЛД?

„През 2017 неправителствената организация „Граждани срещу бюрокрацията“ ни връчи грамота за държавна администрация номер едно, а годишните ни доклади са приемани единодушно без забележка от Народното събрание дори в периодите на най-голямо политическо напрежение“, споделя ни професор д.т.н. Вeселин Целков, преподавател в Университета по библиотекознание и информационни технологии и член на Комисията за защита на личните данни. Според него това положително отношение се дължи на факта, че Комисията се стреми хем да си свърши работата, хем да помогне на бизнеса да отговори на законовите изисквания, хем да защити правата на обикновения гражданин. Един от начините това да се случи е провеждането на секторни проверки. Как протича една такава проверка и на какво обръща най-сериозно внимание надзорният орган? Вижте какво сподели професор д.т.н. Вeселин Целков по повод Международния ден за защита на личните данни пред Economy.bg:

Какво представляват секторните проверки?
Допреди 2 години ние приемахме един план, в който избирахме големи, малки администратори на лични данни, държавни институции, органи на местната власт, големи компании, доставящи публични услуги и т.н. Преди 2 години решихме, че ще правим т.нар. секторни проверки. Взимаме една част от администраторите на лични данни, които се обединяват под общи закони, под общи правила и други нормативни и поднормативни актове, така че когато извършим проверката в тоя сектор, ние да имаме две неща: първо, ясна картина за състоянието и второ, да дадем много точни и ясни указания и препоръки.

Каква е целта на секторните проверки?
Целта на секторните проверки не е проверка и инспекция в смисъл на установяване на грешки и налагане на наказания, а по-скоро - получаване на картина на състоянието, методически указания, помощ, така че хората да извършат действията, които трябва да извършат. Така че, от една страна, те да си изпълнят задълженията като администратори на лични данни, от друга страна, Комисията да си е свършила работата като методически ръководещ орган и от трета страна, да направим така, че българските граждани да се чувстват сигурни за техните лични данни.

Как избирате кой сектор да проверите?
Проверката през миналата година беше в сектор Здравеопазване. През 2016 година Комисията прие методика за секторните проверки и всъщност на базата на тая методика се извършват тия секторни проверки. Методиката, първо, има няколко важни пункта, за които трябва да бъдат информирани хората. Първата точка е избор на сектор. Този сектор се определя от големината на администраторите на лични данни, от типа лични данни, които се обработват, от законовите основи на тази обработка и серия такива други изисквания. Второ, идентифициране на администраторите, които трябва да подлежат. Т.е. да видим кои са тия администратори, които влизат в тая група. Трето, много сериозен анализ на правната рамка – законови и подзаконови нормативни актове.

Каква информация събирате за администраторите в съответния сектор?
Първо, кои администратори са се регистрирали. Кои са получили регистрация, кои са получили отказ, кои са в процес на регистрация, кои изобщо не са стартирали тоя процес. След което имаме друга група администратори, срещу които има жалби; администратори, срещу които има сигнали. Имаме администратори, които са искали становище. Имаме администратори, които са искали трансфер на лични данни.  Стараем се да получим пълна картина за това какво е знанието в Комисията за защита на личните данни. Между другото, управлението на знанието в една организация е от изключително важно значение за нейното добро функциониране. След като е уточнен обемът на администраторите, трябва да се изпратят предварителни въпросници за проучване. Тия въпросници за проучване са в(без) 2 вида. Единият вид въпросници - това са въпросници за самооценка в областта на защита на личните данни и вторият вид въпросници са въпросници за проверка. След което идва следващият етап – това е проверката на място.

На какво обръща най-голямо внимание проверяващият екип?
Първо, доколко се спазват общите условия на Закона за защита на личните данни. На второ място как е извършена оценка на въздействието и какви са предприетите минимални технически и организационни мерки за защита на данните. На трето място, на обработка на чувствителни данни и всякакви други специфики, свързани с конкретния администратор.
Защо се спряхте на сектор здравеопазване при избор на сектор, който да проверите?
Взе се решение да бъде извършена секторна проверка от Комисията, която е колегиален орган. Знаете състои се от 5 члена, включително председател. Комисията реши, че ще извърши секторна проверка в сектора здравеопазване. Мотивите за това решение са ясни: огромен брой администратори на лични данни, обработка на чувствителни лични данни и много голяма възможност за въздействие и за последствия върху отделния човек или върху група хора. Злоупотребата с лични данни, свързани със здравното състояние, може да бъде обект на манипулация. Взе се решение да направим тази проверка и когато пристъпихме към първата стъпка за идентификация на администраторите на лични данни ние се оказахме пред една много тежка задача.

Как протече самата проверка?
Оказа се, че в групата на сектор здравеопазване попадат 38500 администратори. Това са болници, лекари по дентална медицина, специалисти, общопрактикуващи лекари, други дейности по хуманно здравеопазване, търговия на дребно с лекарства и други фармацевтични стоки. Освен това, като добавим структурите на Министерство на здравеопазването, които са второстепенни разпоредители на бюджетни средства – значи имаме Министерството на здравеопазването, регионални здравни инспекторати 28 броя, домове за медико-социални грижи, центрове за спешна помощ, държавни психиатрични болници и т.н. един огромен списък на администраторите, които подлежаха на тая проверка – 38700. Голяма и тежка задача. С първата стъпка - анализ на правно-нормативната база, трябва да се поздравят нашите експерти прависти от дирекцията, която се занимава с тази работа. Законовата уредба, регулираща тази материя, е изключително обемна. Изпратихме 1000 въпросника за самооценка и 1000 въпросника за проверка на администратори, избрани на случаен принцип, като целта бе да се покрият всички възможни групи. Попълването на въпросниците е тежка процедура. Особено се оказа тежка процедурата за личните лекари и зъболекарите.

Защо?
Защото нашите въпросници са построени така, че да обхванат всички области на защитата на лични данни. А за отделното GP или за отделния зъболекар всички тия аспекти на защитата, като започнете: поверителност, цялостност, наличност; видовете сигурност – персонална, физическа, документална, малко звучат като трудноразбираема материя. Но пък това за нас беше полезно, защото установихме много тесни контакти с браншовите организации и ще направим така, че всички тези хора да получат знание и информация в необходимия им обем и да могат да си изпълнят задълженията.

Как протекоха проверките на място?
Разделихме България първо на две части. На Северна и на Южна. След което я разделихме още на три други части – Източна, Западна и Централна и добавихме София-град. Така че се получха 7 различни области. Проверката на място я организирахме с 3 екипа, които в продължение на 6 месеца горе-долу пътуваха из страната. Лично аз оглавих екипа, който извърши най-много проверки – в Ловеч, Троян, Шумен, Пловдив, Девин, Смолян, Бургас, Несебър, Поморие.

Какво показаха резултатите от проверките на място?
Проверките на място имаха няколко цели. Първата цел - да видят картината на състоянието. Втората цел е да окажат методическа помощ какво трябва да се направи, трето - да дадат указание и препоръки. При всички случаи целта на всички тия проверки и от трите екипа е не да напишат актове за установяване на административно нарушение, след което трябва да последват наказателни постановления, а по-скоро да дадем на хората онези знания, които им липсват, така че да се подготвят и да посрещнат първо изискванията на Закона за защита на личните данни и втората ни голяма цел  е да ги подготвим за посрещане на изискванията на Общия регламент. Защото знаете, че Общият регламент е приет през 2016 година и е даден две години гратисен период, в който администраторите и надзорните органи трябва да се подготвят. Това, което видяхме като проверка на място, може да влезе в границата от 0 процента до 100%. Имаме безкрайно добри примери. Имаме и безкрайно лоши примери. Оказва се, че всичко това зависи от главния мениджмънт на болницата на лечебното заведение или изобщо на тая структура.

Кои са най-често срещаните пропуски?
Голяма част от здравната система е предприела необходимите мерки. Най-фрапантното нарушение е, че някои от структурите не са предприели никакви мерки за защита. Едва ли не защитата на личните данни им е последната грижа. Ако говорим за най-често срещаните пропуски...Първият тип пропуски са свързани с недобре дефинираните регистри с лични данни. Т.е. пропуснати са определени класове лични данни, които се обработват в болниците, а не са заявени и върху тях не са положени необходимите организационни и технически мерки за защита. Като започнем от видеонаблюдението, различните регистри, свързани с контрагенти, с жалби със сигнали, искания за становища, от този род. Вторият много важен елемент е липсата на контрол на достъпа до тия лични данни. Това, което сега го налага Общият регламент, а именно принципа на отчетност. Този принцип за отчетност не е така добре реализиран в системата на здравеопазването. Той не е реализиран и в много други системи. Често срещана грешка е даване достъп до личните данни от здравно състояние, от здравно досие, от епикриза на хора, които изрично не са упълномощени за това. Давам ви пример. Идва мъжът и казва: жена ми се лекува тука, тя не е добре, дайте ми епикризата или идва някой роднина или някой приятел. На следващо място трябва да се вземат изключителни мерки за сигурността на информационните системи, свързани със здравеопазването, които са свързани с интернет. Това си е голям проблем. Ще изисква знания, ще изисква ресурси, ще изисква усилия, но трябва да се направи.

Проверките установиха ли и примери за добри практики?
Много приятно изненадани останахме с целия проверяващ екип от състоянието на болниците в Троян.  Болницата за белодробно лечение и общинската болница. Още повече, че тези болници на 100% удовлетворяват изискванията. Друг положителен пример - това са частната очна болница в Бургас и рехабилитационният център за възстановяване в Поморие. Изключително сериозно отношение.

Ще се промени ли методиката на извършване на проверки с влизането в сила на Общия регламент за защита на личните данни?
Това, което ще се промени малко, е една наша наредба - Наредба 1. Тя не може да остане, защото е подзаконов акт и не може ние с подзаконови актове да дописваме европейските закони. Но тя ще остане като методическо ръководство, естествено, актуализирана с няколко нови елемента, които добавя европейският Регламент.