Параграф22 Weekly

§22 Анализи

РЕКЕТЪТ С ЛИЧНИТЕ ДАННИ

Ако пътят към ада е постлан с добри намерения, клетият български данъкоплатец отдавна трябваше да е в най-дълбокия казан, окачен над най-силния огън и подклаждан от най-свирепите дяволи. А той клечи немил-недраг пред прага на общия европейски дом и се чуди защо не го пускат поне в... килера. И не се очертава такъв шанс, ако нормативното уреждане на съдебната реформа, ограничаването на лицензионните и разрешителните режими, усъвършенстването на наказателните закони и т. н. останат на същото дередже. На този фон онова, което се случва около Закона за защита на личните данни (влязъл в сила на 1 януари 2002 г.), надхвърля и най-смелото въображение. На 1 декември (понеделник) изтича крайният срок, до който всички администратори на лични данни са длъжни да се регистрират в Комисията за защита на личните данни. Според разпоредбата на чл.3 от закона администратор на лични данни е физическо или юридическо лице, както и държавен орган, който определя вида на обработваните данни, целта на обработване, начините на обработване и на защита при спазване изискванията на този закон.Спорно е дали на някой му е станало ясно от това определение кой е администратор на лични данни и кой не е. Ние поне не сме срещнали такъв човек вече втора година. И причината не е само в изключително усукания и неразбираем език, на който е написан въпросният нормативен документ. Положението се усложнява и заради още нещо: никъде в закона не е казано кои точно юридически и физически лица трябва да се регистрират като администратори. Напротив - законодателят е оставил всеки гражданин или фирма сами да решат да се регистрират ли или да не се регистрират. Ако някой си мисли, че това е това е неволен пропуск или недоглеждане - жестоко се лъже. Преди десетина дни (на 19 ноември) правителствената информационна служба разпространи факс, с който напомни, че срокът за регистрация на администратори на лични данни изтича в първия ден на декември. В съобщението е обяснено какво точно представляват личните данни и по какъв начин администраторът може да подаде документите си в Комисията за защита на личните данни.Смисълът на съобщението обаче става ясен едва от последното изречение, което гласи: Лицата, обработващи лични данни, без да са регистрирани по Закона за защита на личните данни (ЗЗЛД), носят административна отговорност по чл.42, ал.5 от ЗЗЛД.Ето тук, както се казва, е заровен ключът от бараката. Срокът най-вероятно няма да бъде удължен, но за сметка на това всеки разсеян, който не се впише в регистъра, ще трябва да плати глоба от 300 до 1000 лв. (ако е физическо лице) или от 1000 до 3000 лева (ако е юридическо лице или едноличен търговец). А когато субектът бъде уловен повторно в крачка - размерът на санкцията се удвоява.Няма няма как да не се възхитим от сегашното управляващо мнозинство, което в този случай демонстрира за пореден пък висш нормотворчески пилотаж: хем приеха неразбираем и недовършен закон, хем е на път да осребри собствената си некомпетентност. И то така, че ако решат - като нищо могат да съберат в съкратени срокове не по-малко от 300 млн. лв. чиста пара.Според експерти от Комисията за защита на личните данни хаосът наистина е пълен. В момента в БУЛСТАД са регистрирани 1.02 млн. субекта, а по Търговския закон - около 850 000 субекта. Колкото до броя на потенциалните администратори на лични данни, според хората в комисията, той се движи около числото... 400 000. По закон Комисията за защита на личните данни е петчленна. Ако всеки неин член отделя по десет минути за едно заявление и се занимава с регистриране на съответните лица по четири часа на ден, всички 400 000 администратори ще бъдат описани за две петилетки и две седмици. Ако комисията обаче е десетчленна, работи по 20 часа на денонощие без почивен ден и обработва един администратор за две минути - тя би се справила и за три месеца.Според изчисленията на експертите, за да изпълнява задълженията си по закон, Комисията за защита на личните данни трябва да разполага най-малко със 75 щатни служители, всеки от тях снабден с бюро, компютър и телефон. Сега петимата комисари са съсредоточени в стая с размер 12 квадрата и имат само един официален телефон. Е, и няколко компютъра... Колкото и невероятно да звучи обаче, хората от комисията не се притесняват чак толкова много от хамалогията, която са принудени да извършват в момента. За тях по-големият проблем е, че Законът за защита на личните данни (ЗЗЛД) е недоправен и не кореспондира по никакъв начин с действащата нормативна база. За какво става дума?Според чл.2, ал.1 от ЗЗЛД, личните данни са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна и обществена идентичност. Тоест - всичко онова, с което може да бъде описана една персона: възраст, пол, занятие, височина, тегло, месторабота, адрес и т. н. Една от най-ревниво пазените лични данни би трябвало да е прословутият 10-цифрен единен граждански номер (ЕГН). И то не заради възможността някой да научи възрастта на човек, който иска да остане завинаги на трийсетина години, а поради друга причина: чрез него самоличността и битието на всеки могат да бъдат обърнати наопаки. Откакто ЗЗЛД действа, портиерите и чиновниците в държавните ведомства нямат право да прибират личните карти на посетителите и да преписват данните от тях просто така. Преди да вземат документа за самоличност, те са длъжни да уведомят неговия собственик за целта и срока, в който ще бъде задържана информацията, преписана от документа. Нещо, което изобщо не се случва дори в Народното събрание, Министерския съвет и МВР. Според правозащитници, става дума за крещящо нарушение на ЗЗЛД, защото подобен мълчалив режим е най-съкратената процедура за нерегламентирано трупане на бази с лични данни. И ако една такава база попадне в недобросъвестни ръце, хората в нея могат да бъдат споходени от куп неприятности. Примерно - ловък организиран престъпник се сдобива с тетрадката, в която са записани имената, номерата на личните карти и единните граждански номера на посетителите в... Министерството на земеделието и горите. Почти без никакъв проблем може да узнае техните доходи, данъчните им задължения и дали са теглили кредити. Накрая отсяват най-благонадеждните (т. е. най-изрядните) и произвеждат съответния брой фалшиви лични карти. Какво се случва по-нататък не е трудно да се досети човек. С въпросните лични карти се регистрират фирми фантоми, които могат да въртят контрабанда, да перат пари, да източват ДДС и какво ли не още. С други думи - все неща, заради които нищо неподозиращите хорица могат да осъмнат следствени. В този смисъл най-голямата пробойна в Закона за защита на личните данни (ЗЗЛД) е свързана със санкциите (по-скоро - липсата им), които грозят администраторите, ако си развържат езиците. Съгласно чл.23, ал.1 от ЗЗЛД всеки администратор на лични данни е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно разрушаване, от случайна загуба или промяна, от незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.Зад това усукано изречение, което нормален човек не може да изчете, без да си почине поне два пъти, се крие едно-единствено задължение на бъдещите администратори - да пазят поверените им лични данни като зениците на очите си. А единственото логично продължение на тази разпоредба би трябвало да изглежда така: след приключване на работата с личните данни администраторът е длъжен да ги унищожи незабавно.Народните представители, приели закона на второ четене, обаче не смятат така и са оставили в закона широко зейнала врата. Според чл.25, ал.1 от ЗЗЛД, когато даден администратор приключи работата си с личните данни на гражданина, може да ги унищожи или да ги прехвърли с разрешение на Комисията за защита на личните данни на друг администратор, ако това е предвидено в закон и е налице идентичност на целите на обработването. Какво се крие зад този енигматичен израз законодателят не е уточнил. За сметка на това е позволил администраторите да ползват вече обработените лични данни като... анонимни данни за исторически, научни или статистически цели (чл.25, ал.3). Вярно е, че това вторично ползване отново се прави с разрешение на комисията. Но..., както е казано по друг повод - гаранция, Франция. Защото наказанията, предвидени в ЗЗЛД, са такива, че на човек направо му иде да се засмее с пълно гърло. Съгласно чл.42, ал.7 от ЗЗЛД администратор на лични данни, който извърши нарушение по чл.23, ал.1 и 2 (т.е. - не съхранява, не пази и не защитава поверените му лични данни - бел. ред.), се наказва с глоба от 1000 до 1500 лв., когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1500 до 5000 лева. Когато нарушението е извършено повторно, се налага глоба или имуществена санкция в двоен размер.Безспорно е, че две трети от т. нар. администратори на лични данни нямат причина и съответно полза да злоупотребяват с оказаното им доверие. По простата причина, че титулярите на въпросните данни не представляват интерес за никого. При останалата една трета от администраторите обаче работата е доста дебела. Защото става дума за лични данни, събирани от банки, от застрахователни компании и пенсионни дружества, от адвокатски и нотариални кантори, от поземлени комисии, стокови борси и тържища, кооперативни пазари, охраняеми паркинги, хотели, казина и тъй нататък. Е, пита се в задачата, какво ще се случи, ако някой по-алчен служител, работещ в някой от изброените администратори, продаде част от базата с личните данни на недобросъвестни лица или даже колективи. И това да е онази част, в която са събрани най-платежоспособните клиенти на администратора? Най-бързият отговор гласи, че на този служител не може да му се случи нищо друго, освен да бъде уволнен и, евентуално - да си изяде боя. Защото в Закона за защита на личните данни никъде не пише, че някой носи наказателна отговорност, ако го наруши с престъпна цел. А би трябвало...

Facebook logo
Бъдете с нас и във