- Г-н Караджов, защо глобата, която КЗЛД наложи на НАП във връзка с теча на лични данни след хакерската атака, не е в максимален размер?
- Санкциите, които Комисията за защита на лични данни налага, винаги са съобразени с конкретното нарушение, отчитат фактите, довели до извършването му, и предприетите от администратора действия след установяване на нарушението. Всички бяхме свидетели на адекватните действия на НАП. Нека бъдем обективни, да се обработи в изключително кратки срокове информация за над 5 милиона граждани и да ги информираш, не е лека задача, като в същия момент правиш всичко възможно да анализираш атаката и засягането на собствената си система за защита на информация. В този смисъл действията на КЗЛД бяха навременни и допринесоха за справяне с последствията от пробива в системата на НАП. Имуществената санкция не е никак малка. Такава санкция не само в България, но и в Европа не е налагана на публичен орган. България е една от малкото държави - членки на ЕС, които приравниха санкционния режим в публичния сектор на този в частния. В повечето държави членки публичните органи носят ограничена имуществена отговорност, тъй като са бюджетно финансирани.
- По каква методика беше изчислена глобата и в какво се изразяват нарушенията на НАП?
- Санкцията е съобразена с вида, размера на нарушението, обема на достъпните лични данни и засегнатия брой правни субекти - български граждани. В мотивите на наказателното постановление, издадено от мен, ясно са посочени причините за нарушението и предприетите действия от НАП. Начинът на определяне на имуществената санкция и необходимите корективни действия, които следва да предприеме НАП, не се отличават от другите случаи на нарушения при обработването на лични данни, с които е сезирана комисията. На всички обаче ни е ясно, че НАП, както и всяка друга публична институция, не е предприятие с финансов оборот, от който да се изчислят проценти съгласно разпоредбите на общия регламент относно защитата на данните. Конкретното нарушение на приходната агенция е, че в качеството си на администратор на лични данни не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на личните данни на физически лица от информационните бази данни. В резултат на проверката КЗЛД установи, че в неправомерно достъпната й информация се съдържат лични данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица.
- Приходната агенция вече обжалва глобата в Софийския районен съд. Какъв е обаче предметът на делото, което НАП заведе срещу КЗЛД в Административния съд - София град?
- Предметът на делото попада в материалния обхват на акта на КЗЛД, т.е., от една страна, се оспорва законосъобразността на акта като такъв, а в останалата част - размерът на наложената санкция.
- Каква оценка бихте дали на защитата, която държавните институции осигуряват на личните ни данни?
- Статистиката сочи, че жалбите срещу държавни институции са едва около 10% от общия брой подавани жалби в Комисията за защита на личните данни и едва 1/3 от тези жалби са основателни. Жалби в последните няколко години са подавани срещу НОИ, Държавната агенция за закрила на детето, МВР, Прокуратурата, Висшия съдебен съвет и неговия Инспекторат, Агенцията по вписвания, Столичната община и редица кметове на общини и кметства. Не виждам проблем, когато някой български гражданин има съмнения, че личните му данни са незаконосъобразно обработени, да се обърне към комисията да провери тези негови съмнения. Разбирам, че санкцията спрямо НАП изглежда атрактивна, но общият преглед на проверките на КЗЛД показва, че не се констатират фрапантни или повторяеми нарушения на изискванията на регламента и ЗЗЛД от страна на държавните органи и институции.
- Как ще коментирате решението на КС, с което се отменят критериите за „законосъобразно журналистическо изразяване“ по отношение на съобщаването на лични данни?
- Независимо дали съм съгласен или не, това решение вече породи своите последствия. Отменена е една от няколкото алинеи на чл. 25з от Закона за защита на личните данни. Тази алинея обаче създаваше яснота за медиите за какво следва да внимават при разпространението на лични данни. Тази норма принципно освобождава медиите от задължението да обработват личните данни на основанията, посочени в регламента, ако това става за целите на журналистическата дейност. В българското право обаче понятие за журналистическа дейност няма, затова бе необходимо да се дадат определени принципни насоки при обработването на лични данни, включително и на деца. Отменената алинея нямаше за адресат журналистите, а медиите като юридически лица. Няма как да споделя разбирането на КС, че тази норма води до автоцензура, тъй като тя не засяга журналистите, а медията, в която работят. В правото има ясни правила, че законовата норма е винаги абстрактна, а не конкретно разписана, тъй като трябва да е в състояние да обхване стотиците различни по вид случаи на обработване на лични данни за журналистически цели. Отмяната ще затрудни работата по обработване на лични данни за журналистически цели. Медиите вече са задължени да правят преценка за относимост, точност и пропорционалност на личните данни още на етапа на събирането им, тъй като принципът за законност на обработването за журналистически цели изисква това да става при спазване на неприкосновеността на индивида. Доказването на спазване на правилата е изцяло в тежест на медията в качеството й на администратор на лични данни. В резултат медиите ще носят по-голяма отговорност от първоначално предвидената в закона.
- Европейската комисия има ли претенции към начина на транспониране на GDPR в българското законодателство?
- Европейската комисия започна преглед на прилагането на регламента и на „Полицейската директива“ за всички държави членки. На този етап няма официални констатации и коментари, но може би ще представлява интерес обстоятелството, че при проведените разговори именно текстът на член 25з - принципите за обработване на лични данни за журналистически цели, беше предмет на изключително позитивна оценка от страна на ЕК и бе окачествен като един балансиран и изцяло в духа на плурализма текст, отчитащ баланса между свободата на словото и личната неприкосновеност на всеки от нас като гражданин.
- Има ли вече наложени глоби на медии заради нарушение на GDPR? Какъв е техният общ размер?
- Има няколко решения на комисията по прилагане на правилата за обработване на лични данни за журналистически цели. Над 60 са подадените за 2019 г. жалби срещу медии за обработване на лични данни за журналистически цели. Повечето са за отказано право на заличаване на информация, представляваща лични данни. Едва две от тези жалби са приети за основателни от комисията, като в единия случай КЗЛД излезе с конкретни указания към администратора, докато във втория случай е наложена имуществена санкция в общ размер за двете онлайн медии от 25 000 лева. Санкцията е наложена на 2 медии за това, че, без да проверят достоверността на събраните от тях данни от Фейсбук, са поместили снимки и са разкрили допълнителни лични данни на трето лице, обвинявайки го, че е арестувано за престъпление. В хода на производствата се доказа безспорно, че общото между лицето в статията и действително арестуваното лице е, че имат една и съща фамилия и първо име.
- Бихте ли оглавили КЗЛД за втори мандат?
- Разбира се, като експерт, работещ в тази област в последните 6 години, е нормално да имам желание да довърша и доразвия начинания като обучението в областта на личните данни, изработването и въвеждането на програма за оценка на знанията на служителите по защита на личните данни и да спомогна за въвеждането на новите правила чрез точно и ясно приложение.