Какви опасности и възможности крие новият европейски регламент за защита на личните данни

Адвокат Десислава Кръстева, старши правен експерт във  фондация "Право и Интернет":

Основна причина за възприемане на този подход в сферата на защитата на личните данни, а именно уреждане на отношенията чрез регламент, е осигуряването на по-голяма степен на хармонизация в тази сфера. По-конкретно се цели преодоляването на различията в практиката при прилагане на правилата за защита на личните данни в различните държави членки и осигуряване на действително еднаква защита за всички граждани на ЕС. До каква степен тази цел ще бъде постигната с приемането на този регламент е все още рано да се прецени. Регламентът е насочен и към подобряване на гаранциите за защита на личните данни, въвеждат се по-строги правила в сравнение с тези по сега действащата директива, предвиждат се и изключително високи санкции, които да гарантират спазването на този нов по-строг режим. Всичко това принципно би могло да се разглежда като положително развитие на уредбата в тази сфера, но за съжаление на този етап проектът на регламента разкрива и редица съществени недостатъци.

Преди всичко от редица експерти в областта се разглежда като съществен недостатък разделянето на уредбата относно защитата на личните данни в два нормативни акта – директива и регламент (и двата в проект), нещо което продължава и досегашната тенденция, доколкото сега действащата директива също изключва от обхвата си обработването на лични данни за целите на националната сигурност и борбата с престъпността. Ясно е, че поради спецификата на тези сфери възможността за намеса на ЕС в националното законодателство е ограничено, но е истина и това, че по-сериозната заплаха за фундаменталните човешки права и особено на правата, свързани със защита на личните данни и неприкосновеността на личния живот, ще продължи да идва преди всичко от държавните органи, осъществяващи функции в посочените по-горе сфери, а не толкова от лица от частния сектор, към чиято дейност реално е насочен регламентът. В тази връзка е съмнително доколко този регламент реално повишава защитата на личните данни на гражданите и дали налагането на толкова сериозна административна тежест спрямо европейския бизнес е оправдано в конкретния случай.

Изключително амбициозна, но много съмнително доколко приложима би била на практика, е идеята разпоредбите на регламента да се прилагат и към администратори, извън ЕС, които предлагат стоки или услуги или осъществяват мониторинг на поведението на лица от ЕС. Основна "мишена" на тази концепция са компании като "Гугъл", "Фейсбук", "Майкрософт" и т.н., но предвидените в регламента механизми не изглеждат много ефективни. Както идеята вместо администраторите от трети държави да се санкционират техните местни представители, така и концепцията, че такъв представител следва да посочват само администратори, които имат повече от 250 служителя, разкриват сериозни слабости и са налице възможности предвидената в регламента отговорност да бъде избегната. Така вероятно европейският бизнес ще продължи да бъде по-неконкурентоспособен спрямо азиатските и американските компании, доколкото, за разлика от тях, не би могъл да избегне значителните разходи, с които е свързано изпълнението на изискванията, предвидени в регламента. 

Смущаващо е, че с малки модификации като основание за законосъобразно обработване на лични данни е запазено реализирането на законните интереси на администратора, освен когато пред тези интереси преимущество имат интересите на физическото лице – основание, което от момента на приемане на директивата (1995 г.) до днес на практика почти не е намирало приложение и което тенденциозно се игнорира от органите по защита на личните данни в държавите членки. Възниква въпросът кому е нужен този правен "капан" за администраторите, след като нито на европейско, нито на национално ниво, е налице желание или намерение това основание да бъде приемано като валидно.

Още по-смущаваща е разпоредбата относно изискванията за наличието на валидно съгласие от страна на лицето, чиито лични данни ще се обработват, която предвижда, че всъщност наличието на съгласие няма да е валидно правно основание за законосъобразно обработване на личните данни, когато е налице съществено разминаване (липса на баланс) между позициите на администратора и лицето, чиито данни ще се обработват. На практика, това означава, че валидността на съгласието за обработване на лични данни като основание за законосъобразно обработване би могла да се постави под съмнение почти винаги. В почти всеки случай има несъответствие между позициите на администратора и лицето, чиито данни се обработват – например работодател – служител; доставчик на услуги – потребител; държавен орган – гражданин и т. н. Така реално основният инструмент, чрез който гражданите позволяват обработването на техните лични данни се обезсмисля. Не по-малко недостатъци разкрива възможността даденото съгласие във всички случаи да се оттегля свободно по всяко време. Значи ли това, че макар обработването на личните данни да е основна предпоставка за предоставяне на определена услуга, субектът ще може да оттегли даденото от него съгласие свободно и независимо от факта, че междувременно администраторът е предприел съществени действия и дори инвестиции, свързани с предоставянето на заявената от това лице услуга? Не се ли създава един нов и драстичен инструмент за "разваляне" на договори между доставчици и потребители по всяко време и без основание?

Доста странен и необясним е и подходът, при който някои задължения отпадат за администратори, които са с по-малко от 250 служители, сякаш рискът за обработваните лични данни и правата на гражданите зависи не от друго, а от броя служители, с които разполага администраторът и то във време, когато обработването се извършва основно от машини и не е необходим особен човешки ресурс за осъществяването му.

Налице са вътрешни противоречия между някои разпоредби на регламента – напр. той не се прилага към физически лица, които обработват лични данни за свои лични нужди без търговски интерес, но същевременно към такива лица могат да се отправят предупреждения.

В заключение като генерален недостатък на регламента може да се посочи твърде казуистичния подход, при който видимо не малък брой разпоредби са насочени към конкретни администратори, вместо да се цели една обща, абстрактна уредба, която трайно да уреди тези отношения.

Вотът на Комитета по граждански свободи към ЕП – крачка напред, две назад

На 21-ви октомври Комитетът по граждански свободи към Европейския парламент проведе ключово гласуване относно бъдещето на личните данни и защитата на информацията в Европа.

Ние от EdRi приветстваме депутатите за подкрепата и дори подобряването на няколко важни елемента от оригиналното предложение на Европейската комисия. Щастливи сме конкретно от това, че Комитетът отхвърли предложението на Комисията да позволи на отделните държави членки възможността да се освобождават от правилата за профилиране.

Въпреки това сме разочаровани, че участниците в гласуването дадоха своя вот, за да създадат широко отворени "задни врати", които обезсмислят цялото предложение.

"Ако не бъде променен, този вот реално ще позволи на онлайн компаниите безшумно да събират нашите лични данни и да създават профили на потребителите, които след това да продават на този, който плаща най-висока цена за тях", коментира Джо МакНейми, изпълнителен директор на European Digital Rights. "Това още по-разочароващо, защото подкопава и добрата работа, която беше свършена до момента".

Въпреки ежедневните истории за откраднати и загубени огромни обеми от информация, както и за отклоняването ѝ от или към чуждестранни правителства, членовете на Комитета гласуваха текст, който казва, че корпоративното следене и профилиране на отделни лица не трябва да бъде тълкувано като действие, което има значителен ефект върху човешките права и свободи.

Комитетът увеличи броя на хипотезите, при които компаниите могат да обработват личните данни на потребителите без тяхното изрично съгласие и направиха самите правила много по-сложни за разбиране.

Всички тези "задни врати", които бяха оставени, са още по-разочароващи, защото все пак успяхме да убедим някои от депутатите да подкрепят определени позитивни мерки. Включително адекватно ниво на санкциите в случай на злоупотреба, процедура за уведомление при наличие на пробив в информационните масиви, възможност за пренасяне на личните данни и др.