Представяме ви адвокат Явор Стойчев от кантора Стойчев и Стойчева, една от чиито дейности е в насоката Data Protection и Privacy. Това е и поводът, поради който ние се свързахме с него. Да разясним някои правни въпроси по тема, която по един или друг начин е ежедневен обект на внимание.
Адвокат Стойчев, какви са рисковете за нашите данни?
Бе направен опит да се намали риска да данните с т. нар. Регламент за защита на личните данни или GDPR. Най-големият риск идва от едно нерегламентирано обработване. От миналото имаме много поводи да знаем, че когато липсва контрол, то тогава това ще доведе до злоупотреба с нашите лични данни. Именно тази злоупотреба доведе и до GDPR.
Какви са методите, по които потребителите могат да предотвратят злоупотреба с личните им данни и към кого могат да се обърнат при едно нарушение? Комисия за защита на личните данни?
Категорично, на национално ниво, Комисията е органът, който трябва да следи и да се грижи за опазването на личните данни. На въпроса как едно лице може да защити личните си данни – най-общо по два начина. Като е препоръчително и двата да се прилагат едновременно. Първият е от правна страна. Необходимо е, лицето, чиито данни ще бъдат обработвани, да се информира за това какви лични данни са му събирани, при какви операции, по какви причини. Въобще – да се запознае цялостно с целите на обработване, начините и съхранението. А всеки един администратор на лични данни или обработващ лични данни или лице, следва да поддържа набор от документи и информация, за да може да информира субектите за начина на обработка. Това е правната страна. От техническа страна е необходимо всеки един от нас да разполага с едно базово знание за това какви лични данни се събират от него или какви данни при достъп до някой уебсайт. Самият регламент дефинира личните данни като набор от данни, които самостоятелно или в комбинация, могат да индивидуализират едно физическо лице. По друг начин казано – това, че нашето IP е засечено, не означава, че нашите лични данни се обработват. Напротив – възможно е. Локацията сама по себе си не може да ни индивидуализира, но е напълно възможно ако се комбинира с други наши данни.
Има ли как законът да бъде подобрен в полза на потребителите? Има ли аспекти на закона, които да могат да бъдат завишени с цел по-голяма безопасност на потреблението?
Като всеки закон и GDPR е в процес на развитие. С други думи, държавите членки са задължени да правят периодични анализи на ефективността на мерките, които са предвидени. Това нещо поетапно се оценява доколко е ефективно и доколко подлежи на промяна. Законът е дотолкова ефективен, доколкото той еволюира и се променя. На въпроса дали може да се подобри, смятам, че винаги може. Но когато говорим за законодателни актове и директиви на европейско ниво, то те подлежат на промяна по-бавно отколкото в едно национално законодателство. Това е поради множеството процедури, които са замесени.
Говорейки за Европейската комисия, смятате ли, че тя е достатъчно ефективна, на базата на по-лошите статистики и специално едно проучване на Brave, посочващи, че в регулаторните органи няма достатъчно технически подготвени лица, които да вършат тази малко или много техническа работа?
Вие сте прав. Самото проучване на Brave засяга едни по-слаби места, които не принадлежат само на едни национални органи, а по-скоро на всички. Такава е динамиката на европейския пазар по отношение на програмисти, софтуерни инженери и лица, които имат квалификацията да работят, така че да се прилага ефективно законодателството. Те преди да стигнат до една държавна работа, каквато е тази в Комисия за защита на лични данни, преди това намират работа при по-добри условия в частния сектор. Поради тази причина смятам, че по естествен път се стига до липса на специалисти в органите на държавите членки. Действително, освен юридическа грамотност за прилагане на законодателството, трябва и техническа такава. В тази връзка юридическата грамотност е на лице – регулаторните органи прилагат ефективно законодателството, но някои неща и аспекти, за да са правилно анализирани, е необходима и техническа грамотност. В тази насока, действително се усеща понякога, липса на кадри по отношение на техническата грамотност на регулаторните органи.
А къде можем да кажем, че е проблемът? В големите корпорации на Google, които наскоро претърпяха сериозна глоба, свързана с изтичане на лични данни или пък Facebook, Cambridge Analytica, което отключи цялата вълна за GDPR дебат. Мисълта ми е, големите корпорации ли в случая са големият враг?
Регулаторните органи следват да насочат вниманието си върху тези лица, които обработват големи бази данни. Това са лица като Google и Facebook, но освен тях има и много други фирми и бизнеси, които обработват много данни. Има един практически пример. Производствено предприятие, в което са заети 1000 души и маркетингова агенция, в която са заети 30 души. В маркетинговата агенция, поради естеството на работа, се обработват много повече лични данни. Фокусът на регулаторните органи следва да бъде там, където рискът от неправомерно обработване е по-висок. Това са дружества, корпорации и лица, които обработват големи обеми. Там рискът е много по-голям.
Достатъчно сериозни ли са глобите или достатъчно “плашещи” ли са, за да могат да служат като превенция?
Според мен глобата е значителна. Тя е ограничена от фиксирана сума от една страна. От друга страна тя е пропорционална и се казва, че максималният размер на глобата е по-високото измежду двете – 20 млн. или 4% от световния годишен оборот на съответното дружество. Много често, като случаите с Google или Facebook, тези 4% ще са много повече от 20 млн. евро. За пример можем да дадем Google, които понесоха санкция от 50 млн. от френския регулатор, като тази сума бе изчислена на база на пропорция от оборота. Тогава не бе въпросът, че Google е допуснал изтичане на данни или data breach, а ставаше дума за това, че те по такъв начин са оформили своите актове и информация за обработването на личните данни, че френският регулатор е приел, че субектът с личните данни не може да достигне достатъчно бързо и ефективно до информация за това, как се използват личните му данни.
А какво се случи с Cambridge Analytica?
Ирландският регулатор бе наложил глоба, но самият случай като времетраене бе преди влизането в сила на GDPR. Следователно глобата, която беше нанесене не бе по GDPR.
Имате ли информация колко глоби и какви са нанесени в рамките на ЕС от 2018 г. и приемането на GDPR?
Трябва да отчетем, че се навършват две години от конкретното законодателство, а за едно такова, две години не са никак много. Но в рамките на ЕС най-големите глоби са тези на Google, на хотелската верига Marriott, също така – British Airways. Това са случаите, които ми идват на ум, но те са доста показателни. Вече споменахме за Google. По отношение на Marriott и British Airways става въпрос за хакерска атака, като се приема че не са предприети необходимите мерки да се защитят личните данни. Трябва да отбележим и, че в момента и трите глоби подлежат на обжалване. Те не са влезли в сила. Но и в трите случая касаят неправомерно обработване. Развивайки се самото законодателство, се наблюдава растеж както на жалбите от страна на физическите лица, така и на административнонаказателните производства, които в момента се развиват.
В повечето сайтове има общи условия за ползване, в които се казва, че потребителят сам носи риск за данните си, т.е. Търговецът не носи отговорност ако нещо се случи с тях – хакерска атака или друг сценарий. Означава ли това, че потребителите не могат да направят нищо и този бутон “съгласявам се” е за бягане от отговорност от страна на търговеца?
За да отговорим на този въпрос, трябва да започнем с едно общо правило, което се прилага навсякъде в нашето национално право. То е, че отказ от бъдещи права не съществува, не е действителен и не може да се случи. Има много редки изключения, но правилото е, че човек не може да се откаже от свои бъдещи права. Няма как вие да се откажете от нещо, преди то да се е случило. Ако вашите лични данни изтекат в следствие на неефективни защитни мерки от страна на сайта от който поръчвате стоки, например, отговорността ще бъде на този, който е обработвал личните ви данни. Вероятно вие ще имате право на обезщетение от него. Това е вашето право и вие не можете да се откажете от него до момента в който то не възникне, защото може никога вашите лични данни да не изтекат. В тази връзка, ако вие видите в общите условия, че администраторът на лични данни не носи отговорност в случай на хакерска атака, това не е вярно. Разбира се, теоретично е възможно администраторът да е поставен в такава ситуация, че да е абсолютно невъзможно да се спре хакерска атака. Но това е в рамките на теорията. На този етап такова нещо не се е случва и администраторът е отговорен за това как защитава личните данни. Регламентът предвижда конкретни мерки, които да се вземат, когато се обработват лични данни. Така че, ако някой види такива условия, че не се носи отговорност – това не е вярно. Носи се отговорност и това може да достигне до право на обезщетение.
Но въпросът е и че 99% от хората въобще не четат никакви общи условия за ползване. Най-малкото ако искам да прочета новина в сайт, която е 15 реда, то правилата за общо ползване за няколко страници. Поради тази причина хората директно натискат “съгласен съм” и продължават към целта си. Доколко това е проблем?
Категорично е проблем. Няма как човек ефективно да упражнява правата си, без да знае какви ангажименти е поел. Когато говорим за физически лица, то законодателството много повече пази неопитните – тези, които нямат специални знания. Такива са и потребителите. Законът дава една широкообхватна защита, но е важно всеки да прочете с какво се съгласява, преди да се съгласи. От друга страна е много по-важно поведението на този, който предлага общите условия, защото едно е доставчика на услугата да ви принуди да стигнете до края на текста и след това да се съгласите. Съвсем друго е дори да не се налага да минете през текста и да се съгласите. Ние влизаме в един дълбок детайл. Доколко е достоверна датата на текста и дали тя не е променена впоследствие, дали потребителят е имал време да се запознае, преди да се съгласи. Това са детайли, които са важни в случай на спор. Но е важно всеки да прочете как се използват личните му данни преди да ги даде. Това е целта на защитата на личните данни – ние да имаме пълен контрол над данните, които се обработват. Това значи – дадем ли ги веднъж, да има връщане назад. Ако лицето прецени, че не иска повече да се обработват данните му, в общия случай е възможно те да се изтрият. Ако си поръчате стока през интернет, няма как всичките ви лични данни да се изтрият. Най-малкото, вие сте платили с ваша дебитна карта, издадена е фактура и т.н. Този документ следва да се представи пред органите. Няма как всички ваши данни да бъдат изтрити – поне финансовата информация, определено. Но информация като потреблението – кога сте посещавали уебсайта, какво сте чели, какъв е вашият пол, локация – тези данни трябва да бъдат минимизирани или изтрити ако вие го пожелаете. Следва това, че човек трябва да знае с какви права разполага, за да може да ги упражни.
А има ли как целият този процес да се оптимизира по някакъв начин, така че да е много по-лесен за масовия потребител, който, всички сме наясно, че няма да се хване и да чете този дълъг текст?
Иска ми се да припомня, че всяко лице има право да изисква информация от администратора относно това какви лични данни в момента се обработват и какви са събрани. В моите очи, като юрист, това е един подход в който лесно ще се ориентирам какви лични данни се събират и с какви цели и дали ще се изтрият. За мен това е достатъчно удобен и достъпен начин. Но ми се иска да вметна отново, че законодателството се развива. Визията на нашия екип е, че един ден държавите членки ще започнат много по-тясно да си сътрудничат по отношение на личните данни. Всеки ще може централизирано да намери информация за това кой обработва личните данни, как и при какви условия. Смятаме, че бъдещето е светло и то включва в себе си общодостъпни методи, така че всички да са добре информирани. Смятаме, че в даден момент всеки ще може да достъпи до свой профил в регулаторния си орган и да прегледа цялата информация – кои администратори обработват данните в момента и т.н. За отговор на вашия въпрос – ако не се чете предварително какви лични данни се съхраняват, то поне впоследствие е добре да се случва.
Бъдещето ще донесе все повече и повече бази данни поради засилената скорост на технологиите. Това означава и друго – все повече бази данни ще бъдат обект на риск. Смятате ли, че ще трябва да се обръща все по-сериозно внимание по въпроса privacy или нещата ще се случват стъпка по стъпка?
Въпросите със защитата на личните данни е относително нова материя. Очакваме да се развие законодателството, от една страна по изцяло законодателен ред, т.е. Да се променя национално законодателство и на европейския съюз. От друга страна ние смятаме, че по-големият тласък в развитието на законодателството ще бъде от гледна точка на съдебната практика – както от страна на националните съдилища, така и от страна на европейския съюз. Именно практическите казуси ще тласкат законодателството напред. На въпроса дали ще има допълнителна регулация за други потоци лични данни, ние смятаме, че по-скоро ще има допълнителна регулация за по-чувствителните такива – здравословно състояние, информация, която може да доведе до дискриминация и др. Тези данни следва да се регулират по-строго от останалите. Особено когато говорим за личния живот, който е достъпен само за съответното физическо лице – това ще подлежи на най-строга регулация. Живеем в свят, в който устройства могат да ни разпознаят само на база на наша снимка. Съвсем нормално е да можем да контролираме това обработване и да следим до къде ще стигне и с каква цел ще се обработва, въобще.
Какво се случва с нашите данни, когато подписваме договор за кабелен оператор или мобилен оператор? В тези случаи ние сме притиснати об обстоятелства. Например, има опашка, не искаме да задържаме хората. Отново не четем един документ, който ни дават и ни казват, че за да имаме мобилен оператор, трябва да подпишем този документ.
Трябва да определим начините на сключване на договора. Най-честият случай е този договор да се случи писмено, на гише в офис. Не са чужди и методите, в които договорите се случват електронно. Все повече и повече хората започват да използват електронни подписи и да удостоверяват тяхната самоличност. Изцяло зависи от това как се сключва самият договор. При физическото сключване на договор, да – нормално е човек да бърза. Личните данни се обработват на това основание – физическото лице посещава търговеца, офиса му и сключва договор. Но не това се случва най-често. Най-често се случва, че когато се сключи този договор, ние имаме възможност да предоставим данните си изцяло за маркетингови цели. Ние трябва да анализираме за какво предоставяме съгласието си. Основната разделителна линия е следната. От една страна предоставяме личните данни, които са необходими за изпълнението на договора – да се случи и евентуално да се прекрати. Тези данни са задължителни. Но на нас ни изискват и другите данни за маркетингови цели – търсят ни и събират информация за нашето потребление – анализират го. Стъпвайки в офиса и подписвайки, следва човек да знае какво иска. Ако не искаме да ни притесняват по телефон или електронна поща с маркетингови оферти, тогава е добре да знаем дали сме се съгласили тези данни да се обработват по този начин, или не. Аз бих отправил един съвет – когато получите търговско съобщение, което считате, че е нежелано, то тогава трябва да си припомним дали сме дали съгласието си. Ако да – можем да го оттеглим. Ако ли не – то тогава отново трябва да поискаме прекратяване на тази практика и да помислим дали да не подадем жалба до комисията за защита на личните данни. Нашите права са гарантирани. Можем да поискаме отговорност от администратора, обработвал данните, от Комисия по защита на личните данни или директно от съда, но последното е крайна мярка.
Лошо ли са възпитани хората в България по отношение на правата си? Сякаш не знаем какви са, как да ги търсим. След това се случва нещо – не знаем как да реагираме…
Това действително се случва често, да. Макар че, както знаете – ние, като адвокатско дружество по-често се срещаме с хора, които знаят как да упражнят правата си. Но определено има един изцяло психологически елемент, които или не знаят, или очакват, че техните права няма да бъдат защитени. А всъщност не е толкова трудно те да бъдат защитени. Може би не е толкова бързо, но със сигурност защитата ще се предостави от правозащитните органи.
Нещо за финал? Относно privacy, лични данни…
Материята е много сложна, защото е много широкообхватна и все пак още млада. Но моят съвет към хората е да се опитат да разберат техните данни от кой се обработват, а ако не стане, да се опитат да потърсят техните права. Само чрез упражняването на правата вие ще знаете какви точно лични данни се обработват и докога ще се обработват. А отделно – упражняването на правата води до еволюция на законодателството.