Подай сигнал

Обвиняват хакера, но вината е в институцията

Интервю

от ВЯРА ПОРЯЗОВА 1156 прегледа 0

Адв. Ясен Крайчев

Председател на Сдружение „Правна сигурност на потребителите и личните им данни"

Адвокат Крайчев, ако аз като физическо лице или някой друг в качеството му на управител и собственик на фирма, се чувства уязвим заради теча на информация в НАП, има ли полезни ходове? Може ли да заведа дело срещу приходната агенция?

В случая с хакерската атака в НАП наистина става въпрос за голям пробив. И да, очаквам да има заведени такива дела, големият въпрос обаче ще е в обезщетенията, които биха могли да бъдат присъдени. Всяко изтичане на информация върви с хипотезата за нанесени вреди, но ще бъде много трудно да се доказва в какъв размер са те. За всеки конкретен случай ще бъде различно. Интересно е също наказуеми ли са действията на трети лица, които по някакъв начин са използвали тези лични данни от хакната база на НАП. Министърът на финансите Владислав Горанов направи странно за мен изказване в стил, че след като такава информация е станала публична, тя вече едва ли не няма статут на лични данни. Това обаче не е така и ще онагледя с най-простия пример. Ако аз знам ЕГН-то на някого, това не означава, че то вече не е лични данни. Както и не означава, че аз имам правно основание да го използвам за някакви цели. В този контекст българският законодател трябва да се замисли, че

ЕГН вече не е достатъчна гаранция за идентификацията на едно лице.

Знаете, че в САЩ например ползват т.нар. Social Security Number. Очевидно, изводът, който държавата трябва да си направи, е, че в ерата на дигитализацията не сме на нивото, на което трябва да бъдем.

Общият европейски регламент за защита на личните данни, който влезе в сила миналата година, не затегна ли контрола?


Да, нещата се промениха, но ако помните, и въвеждането му с беше придружено с много тревоги главно от страна на бизнеса. Основният момент бе, че всеки, който обработва лични данни, е администратор. Тоест, с общия регламент и с промените в Закона за защита на личните данни отпадна изискването за специална регистрация като администратор на лични данни. Всяко едно лице, което събира, обработва и съхранява лични данни, автоматично е такъв. В това число влизат държавните органи, администрацията, здравните заведения, търговците, банки, мобилни оператори. По силата на регламента всяко едно лице, администратор или обработващ лични данни има задължението да ги съхранява и използва само съгласно целите, за които са събрани изначално. С регламента се въведоха задължения за изготвяне на оценки на риска, които всеки един администратор или обработващ да проведе в своята структура или предприятие. В случаите, когато се констатира, че има висок риск - примерно обработват се голямо количество лични данни, или т.нар. чувствителни (биометрични данни или пък данни на малолетни или непълнолетни лица), трябва да се вземат по-сериозни мерки за защита - криптиране, използване на псевдоними и други алгоритми за защита.

А каква е ролята в този казус на Комисията за защита на личните данни? Тя не каза и дума по случая с атаката в НАП.


Да, и за мен е странно това мълчание. Не искам да подценявам Комисията, но точно тя би трябвало да сигнализира дори и прокуратурата за нарушители и да ги санкционира. В момента всички сочат с пръст предполагаемия хакер, това 20-годишно момче, но

вината трябва да се търси и в конкретни държавни служители.

Тези, които не са успели да защитят и съхранят личните данни на физическите и юридическите лица. Щом съществува възможност един хакер да източи част от съдържанието на една държавна структура, значи самата система не е поддържана добре и трябва да се търси вина и в администратора.


Отговорността лесно се размива. Спомняте си, че миналата година се срина и Търговския регистър!


Да, подобен казус, въпреки че не беше доказан теч на данни. Но преди години, още преди да влезе в сила общият регламент, се случваха много неприятни неща. Аз лично помня как мобилен оператор беше разпилял договори и фактури, съдържащи лични данни на стотици свои клиенти. В Пловдив пък имаше случай с Регионалната дирекция на Комисията за защита на потребителите, които при смяна на офиса съхраняваха временно кашони с преписки и издадени актове в един коридор. Тези събития трябваше да са сигнална лампа, особено когато се случват в държавен сектор, че грижата за съхранението на личните данни никога не е била на високо ниво.


Ако работодател злоупотреби по някакъв начин с лични данни на свой служител, има ли полезни ходове служителят?

Отношенията работник-работодател са по-особени с оглед на това, че самият работодател има законово право да обработва лични данни най-малкото заради изискванията на Кодекса на труда и попълването на трудов договор. При работодателите има друг много разпространен казус, при който е възможно неправомерно да бъдат употребени лични данни не само на конкретен човек, а и цяла база данни. Много фирми събират CV-та на кандидатите за работа при тях. В този процес участват и посреднически фирми. Често се случва вие да сте кандидатствали за работа във фирма Х, но след време ви се обажда по телефона HR от съвсем различна компания. Това е често срещано явление, когато работодателите контактуват помежду си и си предават натрупаните CV-та на неназначени кандидати. Хубаво е хората да знаят, че за такова нещо се изисква изричното съгласие на кандидата още при подаването на автобиографията му.

Кое в една автобиография са лични данни?

Всички данни, които могат да служат за идентифициране на едно лице по някакъв начин, са лични.

Включително биометричните данни, данните за здравословно състояние, та дори и визуалният образ.

В този смисъл нарушени ли са правата ни, когато са поставени камери в магазини, паркинги и на други обществени места?

Съвсем наскоро имахме подобно запитване в нашето сдружение. Обади се една жена, на която съседи или недоброжелатели редовно <210> нанасяха щети по входната врата - драскали я, облепяли я с бележки. И тя, с цел превенция, обмисляше да си постави реална видеозаписваща камера до входа на дома си. Дамата се интересуваше дали въобще има право да я постави и дали не нарушава правата на съседите си или случайно минаващите през кооперацията. Основният принцип в такива случаи е, че трябва да има баланс за целта, която се гони, а именно - сигурност и установяване на нарушител. За да не се нарушават правата и на другите хора, обхватът на камерата трябва да бъде такъв, че да заснема периметър, който е притежание на лицето, което поставя камерата.

Аз, докато се движа из Пловдив, виждам доста камери, които не спазват този периметър. Поставянето на информационна табелка, че мястото се заснема с камери, оневинява ли?

При всички случаи гражданите трябва да бъдат уведомени, че има видеозаписващи устройства и те сами да преценят дали и занапред ще посещават даден магазин, паркинг и т.н., при положение че ще бъдат заснети и образът им може да бъде обработван. Табелата обаче не отменя задължението на администратора да не съхранява излишно дълго записите или да ги използва за различни от обявените цели.