Безспорно е, че шеметното развитие на технологиите улеснява до невъобразими мащаби нашето ежедневие. Но скоростта на прогреса през последните двадесетина години е толкова висока, че зейват вакуумни пространства, които застрашително ни всмукват към непознати територии. В това отношение много показателна е ситуацията с личните данни. По-точно какво се случва с тях във времето на масова дигитализация, свободен интернет (е, поне в някои краища на света) и удобни облачни услуги. Кой и как регламентира правата ни над личните данни? Какви закони ни бранят и дали ни браният въобще, или имат други скрити функции? Това са въпроси, които предизвикват огромни притеснения особено в контекста на непрестанните проблеми с незаконния достъп до лични данни, скандалите около политически и обществени личности, а не на последно място и изтеклите в интернет снимки от последния купон с ваше участие!
Логично е да се обърнем към законодателството и да видим какво е предвидило то в тази насока. Колкото и отегчително да е това, вероятно сте запознати, че непознаването на закона не ви оправдава, ако го нарушите. Като граждани на държава - членка на Европейския съюз, е нормално да видим какво пише за личните ни данни в правните документи на ЕС.
Тук идва първият шок. Документът, който пази личните ни данни в рамките на ЕС, е директива от… 1995 г.! Както вече споменахме, скоростното развитие на технологиите е в основата на много „проблеми“ и в тази връзка: какви бяха технологиите през 1995 г. и какви са през 2017 г.? Разликата е подобна на тази между националния ни отбор по футбол от 1995 и националната ни гарнитура от 2017. Тук коментарът е излишен.
Но светлина (или мъгла) в тунела има! След дълги препирни на 27 април 2016 г. органите на ЕС приеха нов регламент относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
Първото важно нещо, което трябва да се отбележи, е, че този правен документ е регламент, а не директива. Разликата е в това, че регламентите влизат директно в законодателството на държавите членки, без да се разглеждат от националните парламенти. Тоест мърдане няма! Въпросният регламент официално влиза в сила на 25 май 2018 г.
Нека сега преминем към съществената част и да видим някои важни моменти в регламента, които ще окажат сериозно влияние върху отделните хора и бизнеса. Първото важно нещо, което трябва да се отбележи, е, че според новия регламент всяка компания или личност, която обработва вашите лични данни, също ще бъде отговорна за тяхната защита. С други думи, който има легален достъп до вашите данни, ще носи отговорност, ако те неправомерно изтекат.
Това ще създаде доста сериозни проблеми за доставчиците на облачни услуги, тъй като те ще трябва да отделят огромно внимание върху сигурността на данните на своите клиенти. От своя страна клиентите ще завишат изискванията си към „облаците“ и ще проучват по-старателно фирмите, на които ще поверят данните си, за да видят какви защити им се предлагат. Все пак за компаниите са предвидени и няколко опции, които ще им направят живота по-лек. От тях ще се изисква да „прилагат подходящи технически и организационни мерки за осигуряване“, които да гарантират сигурността на личните ни данни, които сме им поверили.
Пак според регламента компаниите имат право на псевдонимизация и криптиране на личните данни, което се смята за задоволително действие по отношение на запазването на личните данни, които сме им поверили. Това е много добра възможност за бизнес сектора, защото данните ще могат да се криптират, преди да бъдат разположени в някакъв „облак“ или сървър, и по този начин те ще имат доказателство, че са положили усилия за опазването на поверените им лични данни. Друга основна точка от него е неговият териториален обхват. Документът защитава личните данни на всеки един гражданин на държава - членка на ЕС, независимо от това, къде се извършва обработването на неговите данни. Това е чудесно за гражданите на ЕС, защото правата ни ще се регулират от един-единствен документ, без значение къде е разположена компанията, на която сме поверили личните си данни. От бизнес гледна точка това ще създаде немалки главоболия на международните компании, които ще трябва да преосмислят политиката си, а вероятно и да завишат цените на услугите поради изискванията към тях.
Следващата тема от регламента, която разглежда правата ни при обезщетение и отговорност за причинени вреди: „Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.
Ха, така! Оставяме на вас да прецените до какво ще доведе тази промяна както по отношение на обикновения потребител, така и на бизнес сферата. Само ще добавим какви санкции се предвиждат в случаите на административни наказания. Глобата е в размер на 20 000 000 EUR (пребройте внимателно нулите!) „или в случай на предприятие — до 4% от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока“.
Тук е логично да възникне въпросът, кой ще е органът, който ще следи за нарушенията по този регламент, и който ще защитава правата на гражданите. Според закона, който влиза в сила от 25 май 2018 г., това е така нареченият Надзорен орган. Такъв орган трябва да има във всяка една държава членка, като трябва да е независим и публичен. Регламентът определя назначаването на членовете на Надзорния орган да се извършва прозрачно от: парламента; правителството; държавния глава или независим орган, който съгласно правото на държавата членка е натоварен да извършва назначенията. Изисква се и всяка отделна държава членка да приеме закон, в който да се уреждат всички процедури, свързани с Надзорния орган – създаване, правила и процедури, нужна квалификация на членовете, продължителността на мандата и т.н. Друга важна особеност е, че на територията на една страна - членка на ЕС, може да има повече от един надзорен орган, но държавата трябва да определи един основен, който ще има право да комуникира със съответните европейски институции и да консолидира работата на останалите надзорни органи в дадената държава.
По отношение на новата административна структура, която предстои да се изгради, възникват много въпроси. Каква ще е компетенцията на членовете на Надзорния орган? Как ще се гарантира независимостта му? Колко прозрачен и ефективен ще бъде той?
Определено след 25 май 2018 г. предстоят интересни времена за съхранението и разпространението на лични данни. Предстои да видим до каква степен компаниите от бранша ще са готови да посрещнат предизвикателствата на новото законодателство и каква ще е реакцията на обикновения потребител. За всички останали промени и особености може да видите целия регламент тук.
Материалът е разработен съвместно с Filetress LTD.