Председателят на КЗЛД Венцислав Караджов за новия регламент GDPR

От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Срещнахме се с Венцислав Караджов, председател на Комисията за защита на личните данни, за да ни разкаже повече за някои от най-съществените промени, за създаването на Национален обучителен център и за информационната кампания, която тече в момента. Вижте какво сподели той пред екипа на Economy.bg:

Г-н Караджов, по данни на КРИБ над 1/3 от бизнеса в България очаква да изпита административни затруднения при въвеждането на Общия регламент за защита на личните данни (GDPR). Имат ли реални основания администраторите на данни у нас да се притесняват?
Когато видят нещо ново, хората обикновено го гледат подозрително или си мислят, че неговото използване е нещо много сложно. Поради което, ако не им го препоръча някой, съответно или не го купуват, или не го използват, докато то не се тества. В случая сме изправени пред една такава ситуация, тъй като правилата за защита на личните данни в голяма част от държавите членки, включително в Германия, Белгия, Люксембург, да не говорим за Швейцария, са действително нови. Това е така, защото те не приложиха Директивата, която беше приета 95-а година, №46, на основата на която е нашият Закон за защита на личните данни, и в голям процент от случаите техните надзорни органи се явяваха като консултативни органи. Т.е. даваха мнения, становища по питания, по проблеми, свързани с бизнеса. Докато нашият Закон за защита на личните данни, макар и влязъл на по-късен етап, през 2002 година, възприе в повече от 2/3 нормите и процедурите на Директивата. Въз основа на това нашата практика се доближава съществено до това, което в момента Регламентът предписва на всички държави членки. Така че фирмите, включително и физическите лица, когато обработват лични данни за бизнес цели, а и публичните органи, те също са администратори, не би следвало да изпитват големи затруднения, тъй като тези процедури и правила в България действат през последните 15 години. Има някои малки допълнения и изменения, които не са от такова съществено значение, че да предизвикат този страх и паника, който аз забелязвам в момента в бизнеса.

Една от най-дискутираните промени, въведени с Регламента, са високите санкции. Във всички случаи на нарушения ли ще бъдат налагани?
Да, санкциите са завишени. Но тяхното завишение идва от това, че личните данни станаха много сериозен бизнес в ерата на технологиите. Всички услуги и продажбите на стоки се осъществяват по един или друг начин чрез обработване на лични данни. Законодателите в Европейския съюз прецениха, че трябва да се предвидят по-сериозни гаранции и по-ефективни, включително гаранции за защита на личните данни, и това как да стане – чрез увеличаване на санкциите като превенция и чрез увеличаване на санкционните правомощия. Аз мисля, че на този етап високите санкции и увеличените правомощия ще имат превантивен характер. И няма да се стигне до ситуацията, в която ще се наложи да се налагат такива сериозни санкции, за да може администраторите законосъобразно и добросъвестно да обработват личните данни. Мисля, че с оглед предоставяне на тези услуги на крайните потребители и с оглед добрата търговска практика и име, което са изградили, те няма да си позволят незаконосъобразни действия, които биха накърнили това име.

Към датата на влизане в сила на Регламента Комисията към кои аспекти би била най-стриктна и към кои аспекти би била по-толерантна?
Всеки конкретен случай трябва да се обсъди съобразно нарушението, което се твърди, че е извършено и е констатирано, ако е установено от Комисията, че е извършено. Тъй като в едни случаи нарушението би могло да се поправи лесно чрез конкретни задължителни указания, които Комисията има право да издава, а в други случаи може да се окаже, че съществено са нарушени права на физически лица и тяхното поправяне е невъзможно освен да се получи баланс, т.е. справедливост за това нарушение да бъде санкциониран администраторът - фирмата или публичната структура, която очевидно не е спазила закона и по тоя начин е накърнила личната неприкосновеност на голям кръг от физически лица.

Т.е. не всяко нарушение ще завършва с имуществена санкция?
Не, даже не е препоръчително да се санкционират администраторите за нарушения, които по един или друг начин не са засегнали конкретни физически лица. Има много такива примери, когато ние може да отидем на проверка, да извършим проверка, да установим, че администраторът е въвел частично във вътрешните си правила,(без) нормите, които трябва да въведе, естествено не е логично да го санкционираме веднага за това, а да му дадем конкретни насоки какво трябва да направи. По този начин ще бъдем по-полезни и на администратора, и на физическите лица, чиито лични данни обработва, защото санкционирайки един администратор, без да му укажем какво трябва да направи, няма как да подобри нивото на защита на личните данни. Тази санкция просто ще отиде в държавния бюджет, а не знаейки как да подходи администраторът ще продължи по същия начин да обработва личните данни.

Друга често дискутирана промяна са основанията за обработване на лични данни. Какво е новото при използването на съгласието като основание?
И в нашия Закон за защита на личните данни, и в Регламента има минимум 6-7 основания, на които могат да се обработват лични данни. Има правни основания в различни видове специални закони. Знаете, че Законът за защита на личните данни е от правна гледна точка общ закон, т.е. той регулира общата материя по защита на личните данни и има такива, които са специални спрямо него, примерно Законът за мерките срещу изпиране на пари, Законът за банките и кредитното дело, Законът за митниците, Законът за МВР, прокуратурата, Законът за съдебната власт и т.н., наказателният кодекс. Това са все специални закони. Ако тези закони предоставят или въвеждат задължения на различните органи, които прилагат процедурите в тая област, то те трябва да имат предимство пред Закона за защита на личните данни и в този смисъл, ако има такова законно овластяване, то е основание да се обработват лични данни независимо от съгласието. Съгласието е последното правно основание, ако мога така да се изразя. Ако няма друго правно основание за обработване на личните данни, предвидено в Регламента или в нашия Закон в момента, то тогава личните данни могат да бъдат обработени със съгласието на физическото лице. Но администраторите следва да имат предвид следното. Съгласието е много нестабилно правно основание.

Защо?
Регламентът казва, че съгласието може да бъде оттеглено по всяко време. То и сега може, по сега действащите правила. Но освен това Регламентът казва, че съгласието трябва да бъде свободно дадено, информирано и за конкретни цели. Което значи, че ако физическото лице е принудено по някакъв начин да даде съгласието, това съгласие ще е ирелевантно. Ако се докаже тази принуда, съответно ще отпадне правното основание за обработване на лични данни. Да не говорим, че в някои случаи може да се стигне до сериозно санкциониране на администратора. Отделно новият Регламент казва, че тогава, когато съгласието не е необходимо, за да се сключи конкретна сделка или да се продаде конкретна стока, или да се предложи конкретна услуга, не е необходимо администраторът, който предлага стоката или услугата да го изисква.

Бихте ли дали пример?
Ето един елементарен пример. В момента всички мобилни оператори задължават техните клиенти, за да използват услугите на мобилния оператор, да дадат съгласие, ако не си платят в срок, личните им данни да бъдат предоставени на колекторски фирми. Това съгласие не е част от необходимите правни елементи на сключване на сделката за предоставяне на услугата телефония. То се използва от мобилните оператори, за да си спестят главоболия и разходи по събиране на неплатените задължения при използване на услугите. В този смисъл това съгласие в бъдеще не може да бъде основание за непредоставяне на услугата.

Т.е. ако потребителят откаже да даде съгласието си за предоставяне на тези данни, мобилният оператор няма право да откаже да предостави услугата си?
Точно така. И това не важи само за мобилните оператори, а за всеки администратор за в бъдеще. Което обаче не означава, че мобилни оператори или изобщо която и да е фирма администратор на лични данни не може да продаде тези задължения на колекторска фирма. Напротив тя може да ги продаде, само че вече колекторската фирма ще ги обработва на друго правно основание. Ще го обработва на договорно основание между фирмата, която му го продава, и тях като купувачи. Разбира се, цялата отговорност вече за обработването на лични данни ще тежи само и единствено върху колекторската фирма.

Как се съотнасят договорното основание и съгласието като основания?
Договорното основание е с предимство пред съгласието на физическото лице. Въпросът е договорът да е законосъобразно сключен, т.е. да бъде уреден като такъв. Много граждани между другото се жалят, че не са информирани за тази продажба, само че тук не се прилага Законът за защита на личните данни, а се прилага Законът за задълженията и договорите, който казва, че едва след като се извърши тази продажба, тогава новият собственик трябва да те уведоми.

Това различно ли е от хипотезата, при която компания просто продава нашите данни?
Данните не могат току-така да се продават. Компаниите носят отговорност за това, когато събират данните. Ако те ги събират за конкретни цели, въз основа на определено правно основание само ако това правно основание им дава възможност да ги предоставят на някой друг или законът изисква по силата на това, че са публична институция да споделят тия данни с примерно НОИ, НАП, с Митници, тогава те имат правно основание да ги споделят, но ако нямат такова законово изискване към тях и няма съгласие вече на физическото лице, те не могат на собствено основание да ги предоставят на трето лице.

Друга съществена промяна, въведена с Регламента, е появата на длъжностното лице по защита на личните данни. Какво представлява тази длъжност?
Какво представлява фигурата на служителя по защита на личните данни? Това е експерт със специални познания в областта на защита на лични данни, който следва да консултира самия ръководител на организационната структура, която обработва лични данни и съответно да служи като контактна точка за Комисия за защита на личните данни тогава, когато при нас постъпят конкретни сигнали за незаконосъобразни действия. Включително има и задължение в 72 часа, след като той самият констатира нарушения в администратора, да ни уведоми. Неуведомяването в тия 72 часа води до имуществена санкция за самия администратор на лични данни. Този служител за защита на личните данни следва да предоставя информация на физическите лица тогава, когато те имат конкретни въпроси към администратора, т.е. какъв вид лични данни се обработват, дали са единни граждански номера, дали са адреси, дали са имейли, телефони или пък някакъв по-специален вид лични данни, като ние говорим за чувствителни лични данни примерно данни, свързани със здравето на физическото лице, данни, които са свързани със здравословното състояние на физическите лица, биометрични данни. Тази експертиза е изключително важна, защото тя подпомага администратора. Ако администраторът не разполага с експерти с необходимите познания, има голяма вероятност тогава, когато срещу него се подадат конкретни сигнали и жалби, да се установи неспазване на правния ред и да бъде санкциониран и поради факта, че тази правна фигура, тази ескпертиза в България не съществува, не е така широко разпространена примерно както юридическата експертиза, здравната експертиза.

Планира ли Комисията по някакъв начин да подпомогне развитието на тази експертиза? Говореше се за създаването на Национален обучителен център, на каква фаза е този проект?
Комисията за защита на личните данни в измененията на Закона за защита на личните данни предложи създаване на Национален обучителен център. Комисията получи сграда от Министерство на отбраната, която е в близост до основната административна сграда на Комисията, която е готова да бъде преобразувана в обучителен център. Разработихме обучителни програми, които да се предоставят посредством електронна платформа. Защо избрахме този подход? Избрахме го, защото в България има над 450 хил. администратори. Само в областта на здравеопазването са 38 хиляди. Това са администратори, които обработват чувствителни лични данни, които трябва да назначат такъв служител по защита на личните данни.

Защо е необходимо Комисията да се нагърбва с тази задача?
Важно е, защото в България няма такава първоначална експертиза. Ако ескпертизата я имаше, лесно щеше да се надгражда и тогава вече, като имаш една основа, на която да стъпиш, всеки може да избере конкретна обучителна програма. Когато обаче нямаш основата и не я направиш правилно, много често рискуваш да ти падне къщата. В конкретния случай не че Комисията особено много желае да се занимава и с тази обучителна дейност, но се налага. Да, действително служители по защита на данните не е  необходимо да бъдат новоназначени служители. Може да бъдат служители, които да съвместяват тези функции в самата структура. Само че съвместяването на функциите е невъзможно тогава, когато ти нямаш тази специфична експертиза. Това, че ще бъдеш назначен на тази позиция, не те прави по-полезен за фирмата примерно или държавната администрация, в която ще работиш.

Какви изисквания има към лицата по защита на личните данни?
За да си служител по защита на личните данни, трябва да подадеш заявление и да се регистрираш вече в Регистър за тези служители, който ще бъде към Комисията. Регламентът го изисква. За да стане това регистриране, трябва да докажеш, че имаш определени познания и практически умения по прилагането на тези правила, които Регламентът, а и Законът за защита на личните данни въвеждат.

Какво ще представлява обучението?
Обучението към Центъра ще бъде доста специализирано. То няма да се базира само на прочетен хорариум от информация или данни. Първоначално ще се преминава през тест, за да се определи нивото на познания на желаещия да добие съответните експертни умения. След като се определи неговото ниво, той ще започне от различни етапи на обучителната програма. Може да не започне от самото начало, но за да мине през различните нива, той ще трябва да положи междинни тестове, които да покажат как възприема информацията и доколко той ще е готов за крайния тест, който ако не положи, няма да получи сертификат от страна на КЗЛД. Обучението най-вероятно ще бъде минимум три месеца. Голяма част от обучението ще бъде онлайн, като тестовете, които вече трябва да се положат, ще бъдат персонално положени от физическите лица, за да е ясно, че именно конкретното лице се е явило и има тези познания и умения и ги е защитило пред органа, който ще издаде документа, за да удостовери неговите познания.

Има ли ограничение в броя на хората, които можете да обучите?
Тези обучителни програми, които Комисията ще предложи,  не са задължителни за всеки. Ако някой има желание да мине през този тип обучение, ние съответно сме готови да поемем независимо от броя желаещи тяхното обучение. Сигурното е, че който мине това обучение ще добие необходимите познания и впоследствие самите работодатели ще установят качеството на подготовка, което този център ще предостави за бизнеса и за държавната администрация. Иначе стойността на обучението ще бъде определена по тарифа на министъра на финансите. Средствата, които ще се заплащат за обучението ще бъдат непосредствено превеждани по Централния бюджет на Република България и ще се разпределят съобразно целите и приоритетите на правителството.

Кога очаквате най-рано да бъде възможно човек да започне обучението?
Това е вече наистина много труден за отговор въпрос, тъй като ние зависим от финансирането. Тогава, когато имаме съответното финансиране, ние ще имаме възможност да обявим процедурите по Закона за обществените поръчки, да изберем изпълнители, които информацията, която желаем да бъде включена в обучението, трябва да я сложат на определена платформа и по този начин вече да стане достъпна за желаещите да минат през този вид обучение.

По време на GDPR конференцията, провела се на 29 януари, споменахте, че Комисията планира срещи с бизнеса в различни градове в страната. Бихте ли ни разказали повече за тази инициатива?
Комисията, след като извърши проучване за необходимостта от повече информация за прилагане на новите правила в областта на защита на личните данни, започна една доста сериозна и активна кампания. Започнахме от София с днешното събитие, но тези информационни кампании ще продължат и в Пловдив, Велико Търново, Варна и Бургас. Естествено, участието в тези информационни кампании не е ангажиращо. То не изисква никакви финансови ангажименти от страна на компаниите. Единствено да присъстват на датите 15 февруари в Пловдив, 6 март във Велико Търново, 19 април във Варна и 20 април в Бургас и да ни уведомят, за да можем да предвидим все пак колко голяма да е залата, тъй като очевидно, че интересът е доста голям във връзка с влизането на новите правила. Но това е част от ангажимента на Комисията да разясни максимално в голям, по-широк кръг от администратори новостите на правната рамка.

Къде ще се проведат тези събития?
Ние работим непосредствено с местната администрация и кметовете на населените места. Засега срещаме много добро съдействие от тяхна страна, включително и с предоставяне възможността да използваме зали, които са собственост на общините, което ни улеснява изключително много в организирането на тези разяснителни кампании.