От месец май тази година у нас започва да функционира Европейски регламент за защита на личните данни. Реформата се определя като изключително сериозна, засягаща близо 500 милиона души в Европейския съюз и предвиждаща изключително строги санкции за нарушителите. Кого ще обхване новият регламент и какво налага въвеждането му?
За повече информация по темата потърсихме евродепутата от ГЕРБ/ЕНП Емил Радев в интервю за сутрешния блок „Добро утро, България“ на Радио „Фокус“.
Водещ: Г-н Радев, можем ли да приемем този регламент като изцяло нов подход към личните данни на европейските граждани? Какво всъщност ще се промени след май месец и влизането му в сила?
Емил Радев: Регламентът за защита на личните данни цели да хармонизира различните правила в държавите-членки на Европейския съюз относно обработката, съхранението и трансфера на лични данни в Общността. И сега, вместо съществуващите 28 режима, ще има един режим и той се определя с този регламент. Освен това регламентът осъществява законовата рамка, с оглед на последните технологични развития и цифровата икономика. В момента дори може да се каже, че личната информация, която оставяме в интернет пространството, е много повече от информацията, която може да бъде извлечена от нашия физически адрес, и с нея може да се злоупотребява лесно и безпрепятствено. Затова беше приет новият регламент, който да замени съществуващата от 1995 г. директива и който да подобри защитата на личните данни на европейските граждани.
Водещ: Нека разясним и кое точно спада към графата „лични данни“, освен, разбира се, ЕГН и име на потребителя.
Емил Радев: Тук се включват всички останали данни. Всичко това, което може да се събере за нас, спада в графа „лични данни“. Включително примерно такива чувствителни данни, като пол, партийна принадлежност, сексуална ориентация. Данните ни са на практика като лицеви данни и т.н., които се събират. Всичко онова, което ние оставяме като следа в интернет – това всичко е лични данни.
Водещ: А кого ще засегне този нов регламент?
Емил Радев: На първо място следва да се отбележи разширения териториален обхват на регламента, който ще се прилага и по отношение на дружества и лица, които не са на територията на Европейски съюз, но в своята търговска дейност обработват личните данни на европейски граждани. Една от основните цели на това ново правило е да бъдат регулирани дейностите на големите компании като „Гугъл“ и „Фейсбук“, които разполагат с огромен набор от данни, въпреки че те са не само в Европа. Такива фирми ще трябва да назначават свои представители в Европа, в Европейски съюз, които да ги представляват тук по отношение на спазването на регламента. Дават се и много по-големи права на потребителите върху тези лични данни. Те трябва да дават изричното си съгласие – този, който предоставя данните, както и да имат право да променят или да заличават данните. В случай на пробив на сигурността на данни, фирмата, която оперира с тези данни, трябва да информира субектите на лични данни в рамките на 72 часа, че е имало такъв пробив. Регламентът ще изисква субектите на данни да дават предварително съгласие за събирането и обработването на техните данни и пак казах – ще имат право субектите да прекратяват това съгласие. Даването на съгласие обаче няма да бъде само еднократно, както беше сега практиката, а за всяко едно използване на данните. Т.е. когато се използват тези данни за маркетинг, поддръжка и т.н., то фирмата ще трябва да иска съгласие от лицето за всяко едно използване на тези данни. Искането на съгласие не трябва вече да бъде с отбелязване предварително на графи, които хората могат да променят, а съгласието предвижда да бъде много ясно и недвусмислено. Също така, новият текст предвижда всеки, който е под 16 години, да получи родителско съгласие преди да използва услуги, като „Фейсбук“ например. Тук се предвижда и възможност държавите членки да понижат възрастовата граница на 13 години.
Водещ: Вие споменахте две наистина големи компании, които отговарят за хиляди потребителски данни. Ще има ли някакви критерии например за различни дружества с по-малък брой данни? Има ли конкретна цифра на брой събрани на потребители данни, които ще бъдат обхванати от този нов регламент?
Емил Радев: Регламентът се прилага към всички компании, които извършват икономическа дейност, включително малки и средни предприятия, които обработват данните на европейските граждани. Единственото изключение е, че предприятие с по-малко от 250 служители не следва да поддържа регистри на дейност, освен ако обработването на данни няма да доведе до риск за правата и свободите на субектите на данни и обработването на данни не е спорадично. Няма да е нужна регистрация на администраторите на лични данни, защото реално всяко едно физическо или юридическо лице, публичен орган, агенция и друго може да бъде администратор. Това обаче не означава, че няма да има контрол върху администраторите. Напротив. Освен това държавите членки ще бъдат окуражени да разработват сертификати за добро управление- сертифицирането, разбира се, ще бъде пожелание.
Водещ: Какви ще бъдат предвидените санкции за различни нарушения и всъщност кой ще следи за нередности?
Емил Радев: С регламента значително се повишават финансовите санкции, които компаниите могат да получат при нарушение. Националните надзорни органи могат да налагат глоби до 20 милиона евро с максимален размер от 4% от годишния световен оборот на корпорацията или от 2%, ако компанията неправомерно използва личните данни онлайн, включително ако получава данни без съгласието на клиента. Виждаме, че санкциите наистина са огромни.
Водещ: Г-н Радев, известни са няколко случая отпреди години, в които големи международни компании, отговарящи за много лични данни, станаха жертва на киберпрестъпления, но информацията за това беше скрита от обществото. Сега можем ли да сме сигурни, че подобни случаи първо няма да има, или ако има, те няма как да бъдат запазени в тайна?
Емил Радев: Абсолютно. Видяхме, че регламентът ще обхване компании като „Фейсбук“ и „Гугъл“ и тук, разбира се, говорим за задължението на тези компании, когато има пробив в сигурността, когато има използване на данни неправомерно, те трябва да уведомят в рамките в рамките на няколко часа своите потребители, хората, от които са събрани тези лични данни. И разбира се, този регламент цели да се повиши много повече сигурността на съхранение на личните данни, така че такива случаи да стават все по-малко, когато неправомерно външни лица придобиват достъп до нашите лични данни.
Водещ: Говорейки си за личните данни – малко измествам акцента на нашата тема – знаем, че България разполага с един от най-бързия и евтин интернет в целия ЕС, но разполага ли и с най-безопасния такъв?
Емил Радев: За съжаление виждаме, че в ХХІ век киберсигурността е наистина нещо, на което трябва всяка една държава членка да обърне особено високо внимание. За съжаление с новите технологии идват и нови опасности. Не бих казал, че нашият интернет е най-безопасният, но виждаме, че проблемът с безопасността в интернет е проблем на всяка една държава членка. Трябва наистина да има много допълнителни мерки да направим интернет пространството много по-сигурно. Трябва да се отдели необходимия ресурс и непрекъснато да се наблюдава какво става в интернет, защото на практика там са и нашите деца, и там е сигурността и на компаниите, и разбира се, проблемът с нашите лични данни, които могат да бъдат под заплаха във всеки един момент.
Водещ: Нека кажем какви промени конкретно ще доведе след себе си този регламент за българския бизнес например?
Емил Радев: Разбира се, за българския бизнес – това са едни нови правила, нови задължения. Много внимателно трябва да се проследи този процес. Две години беше срокът за влизане в сила на този регламент. На 25 май българският бизнес трябва да приведе своята администрация в съответствие с регламента. А що се касае до гражданите – ето, например въвеждат се колективни искове, гражданите ще могат да дадат право на неправителствени организации да подават жалба от тяхно име и ако правата им са били нарушени, организацията може да действа без мандат, ако държавата членка го предвижда в националното си законодателство. Така че има нови моменти. Трябва да видим как ще започне да действа регламентът. Националните органи също трябва своевременно да дадат своите тълкувания. Националното законодателство – там, където трябва, да се промени в съответствие с регламента. Всичко това трябва да стане в следващите няколко месеца, защото има опасност някои национални закони да влязат в противоречие с новия регламент, а ние знаем, че той, като международен акт, има по-голяма сила, така че не трябва да има нито за бизнеса, нито за гражданите разнобой в тълкуването на новите правила.
Водещ: От всичко, което казахте дотук, става ясно, че ползите от този регламент у нас ще бъдат осезаеми. Той предполага обаче едно известно ниво на компютърна, цифрова грамотност. Може ли да се каже, че българското общество е достатъчно добре запознато с рисковете в интернет или има нужда от още работа в тази посока?
Емил Радев: О, аз мисля, че наистина има нужда от много работа. Рисковете стават все по-големи при съвременните технологии. Така че трябва да се разяснява на българските граждани, на бизнеса, на учениците, защото те прекарват голяма част от времето си в интернет пространството, киберсигурността, безопасността при ползване на интернет. Трябва нон-стоп да има информационни кампании и наистина трябва да сме запознати с всички рискове, които ни грозят в интернет пространството.
