Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Стандарти и регулации
бр. 1, 2018

Личните данни и защитата им по GDPR

На 28 януари отбелязахме Eвропейския ден за защита на личните данни. Тази година се навършват 37 години от влизането в сила на Конвенция 108/1981 на Съвета на Европа за защита на лицата при автоматизирана обработка на личните им данни

от , 07 февруари 2018 0 930 прочитания,

Личните данни и защитата им по GDPR


Виргиния Стаматова 

Въпреки че директната дискриминация намалява в световен мащаб, човешките предразсъдъци остават. Възможността за вземане на решения на базата на прогнозни анализи, изготвени от алгоритми за машинно обучение, извежда на преден план опасенията за потенциалните дискриминационни ефекти на данните.

Хората мислят, че Големите данни намират изход от проблема с дискриминацията, защото решенията се вземат от машина. Това в известна степен е вярно, но Големите данни могат да се използват и за все по-точно филтриране и класифициране на групи от хора, да речем потребители, което да доведе до нови разделителни линии, иначе казано - до подмяна на данните.

Подобен пример са алгоритмите за показване на съдържание на социалната медия фейсбук. На този етап не знаем какво представляват тези форми на различно третиране, ако и то да е на базата на предпочитанията на потребителите, и нямаме готов отговор какво да направим.

Биометрията навлиза - колко сигурна е тя?

Сред различните видове данни, с които компаниите разполагат за своите потребители, напоследък добавяме и биометричните. В определени случаи те служат за т.нар. автентификация при достъп до работни помещения, дистанционно подписване на договори или транзакции. Обикновено на използването на биометрични данни се гледа като на крайна мярка за сигурност, но, от друга страна - тя може да се окаже твърде относителна. Биометричните данни са с висока чувствителност и по тази линия изглеждат много сигурни за удостоверяване на самоличност. Всъщност те са безкрайно публични в един свят, в който CCV камери с висока разделителна способност - частни и на органите на реда надничат от всеки ъгъл. А достъп до заснетите кадри имат широк кръг от служители. Голяма част от камерите са снабдени със софтуер за лицево разпознаване, т.е. образът ни може да се окаже тиражиран хиляди пъти. Изпивайки чаша кафе, оставяте отпечатъците си по чашата и те евентуално могат да послужат за неоторизиран достъп до важна за вас сфера.


От гледна точка на регламентирането биометричните, както и всички лични данни са защитени с по-висока степен в ЕС, отколкото на други места по света, коментира ръководителят на правната програма на "Програма Достъп до информация" адв. Александър Кашъмов. "Това е нещо, чрез което ЕС юридически, а и по линия на икономическото си влияние, влияе върху останалата част от света." Юристът припомни делото между Google и Испания, в което компанията беше осъдена за това, че индексира публикация относно индивидуалния фалит на определен човек много години след като нещата са приключили. Съдът в Люксембург приема, че Google като търсачка носи задължението по законодателството за защита на личните данни да разглежда индивидуално всяко едно такова искане, което доведе до десетки хиляди искания до Google месечно от страна на държавите от ЕС.


Предстои до една година българските лични документи да бъдат снабдени с чип за електронна идентичност, както и с биометрични данни по желание на притежателя им.


Биометричните данни спадат към чувствителните лични данни, а това е категорията с най-висока степен на защита, уточнява Кашъмов. "Такъв е статутът на данните, свързани с медицинското състояние на хората, политическите им убеждения и т.н. В този смисъл включването им в редица документи, чипове и т.н. води основно до две задължения: първо - да има пропорционалност, т.е. не може да се събират биометрични данни, ако може да се постигне същият резултат, без да се събират. Например, като се събират по-малко чувствителни данни като електронна идентичност. Второто задължение е, че ако се събират биометрични данни, трябва да се пазят по достатъчно сериозен начин", допълва още той. По думите му в сегашното законодателство съществуват подобни задължения - всяка организация, включително частни фирми, като банки, застрахователни дружества и т.н., са задължени да имат собствени правила, които да са легитимно приети, съобщени на Комисията за защита на личните данни, заедно със заявлението за регистриране като администратор на лични данни.


Все още хората до голяма степен не са запознати с правата си и с това, което може да последва. Историческото възникване на защитата на личните данни е да не се чака да се питаме - какво ще стане с тези данни? Тръгнем ли да се питаме, може да се окаже, че е много късно, коментира още Кашъмов.

Ограниченията пред филтриране на лични данни

"Не бива да се забравя, че личните данни са послужили по време на нацисткия режим през Втората световна война да идентифицира лица и групи от хора. С развитието на техническите възможности идентифицирането и профилирането на хората, което в най-голяма степен е забранено, стават все по-лесни", категоричен е той.

Технологиите за лицевото разпознаване също търпят развитие през последните години. Някои компании, например търговски, предвиждат достъп чрез лицево разпознаване и се оправдават, че не попадат под законодателството за защита на личните данни, защото точките, чрез които разпознават, са по-малко на брой от тези, използвани от полицията. "Истината е, че съгласно Директивата за защита на личните данни и регламента (GDPR - бел. ред.), който влиза в сила от края на май 2018 и ще бъде пряко приложен, без да преминава през санкцията на българския парламент. Всеки идентифициран или подлежащ на идентификация човек придобива статут за защита на личните си данни. Затова няма значение колко са точките на лицевото разпознаване, ако това разпознаване е в степен на конкретност, която по достатъчно несъмнен начин разпознава една личност", пояснява юристът.

Той подчерта още, че е важно да се разбере, че всяка система за разпознаване, без значение дали става дума за лицево разпознаване, чрез ретина, пръстов отпечатък, електронно разпознаване чрез КЕП и т.н., влиза в графата лични данни и оттук нататък са приложими основните принципи на защита на личните данни:

  • Законност на използването на личните данни, т.е. закон да предвижда събирането и използването на личните данни.

  • Да присъства принципът пропорционалност - целта да е ясно формулирана и тя да не бъде надхвърлена без съгласие на човека, чиито данни се обработват.

Използването на лични данни е възможно на две основания:

  • Съгласието на човека, което би трябвало да е основното в едно свободно общество

  • Без съгласие лични данни може да се обработват, ако закон предвижда това - напр. при криминална регистрация, но даже и в този случай, в решението по делото "Марпър" срещу Великобритания, ЕК казва данните за криминална регистрация не могат да се пазят вечно. С изтичането на определен срок отпада необходимостта от съхранението на тези данни и те подлежат на режим на унищожаване. Решението създава задължение не само на Великобритания, но и на останалите държави не само от ЕС, но и в рамките на Съвета на Европа, което е много по-широко семейство.


Вашите данни дискриминират ли?

Технологиите на автоматизираното вземане на решения са непрозрачни и до голяма степен недостъпни за обикновения човек, което поставя критични въпроси като: Каква е причината за пристрастието на данните - "субективността" на софтуера, лошо избрани източници на данни, погрешно вземане на проби или предизвикателствата на машинното обучение? И може би по-важно кой е виновен - незапознатият с проблематиката програмист, зает CIO или изпълнителен директор, който взема решения, основаващи се на данни? Пристрастността на данните винаги започва от експерта, който ги подбира, и счита, че именно тези данни са ценни. Сами по себе си алгоритмите не са субективни, докато не бъдат научени чрез средствата на машинното обучение.

Законодателството обаче предвижда, че не може решенията, които се вземат по отношение на един човек, да бъдат изцяло основани на автоматизирана обработка на данни. Този принцип в защитата на личните данни до момента не е бил достатъчно ясно формулиран, поне на ниво нормативен правен документ, коментира Кашъмов. "И тук е големият въпрос за подбора, който правят машините, използвани от човешките ресурси - трябва да има човешки фактор, когато се вземат решения за един човек. Колкото по-дълбоко се навлиза в правната сфера на един човек, толкова повече трябва да има ясно затъпен човешки фактор. Иначе може някой ден да осъмнем, като в някои фантастични романи, в общества, в които биваме осъждани благодарение на преценката на машини", пояснява юристът.


Освен човешки фактор трябва да има и адекватно право на информираност на хората, чиито данни се събират и обработват за това как се събират и се обработват техните данни, категоричен е той. През декември 2017 г. Александър Кашъмов и Кирил Терзийски печелят делото "Йончев срещу България" в Европейския съд по правата на човека. Става въпрос за решение, взето на основание оценка по психотест на служител от МВР, който в продължение на дълго време е давал отлични резултати и е участвал в много международни мисии. Изведнъж се оказва, че според министерството неговият тест не е с толкова добри резултати. При поискването му обаче МВР отказва да предостави теста. "Заради това България беше осъдена в Страсбург, включително да плаща обезщетение. Това е ясно послание към страната, че хората имат правото да знаят на основата на какви факти е дадена определена оценка за тях. Въз основата на този психотест човекът беше лишен от правото да участва в международни мисии. В момента прави това от името на международни американски фирми, а би могъл да участва от името на българската държава", категоричен е Кашъмов.


Директният маркетинг като бизнес и спам

Случвало ли ви се е да станете обект на непоискана маркетинг кампания, било чрез мобилни текстови съобщения или по електронната поща? За да се "откачите" от непоисканите имейли на дадена компания, трябва да подадете заявка в КЗП. С есемесите обаче е по-трудно да се справите. Необходимо е да изпратите и съответно - да заплатите есемес, че не желаете да получавате съобщения от даден търговец. Отървавате се от един, но после нов се добира до данните ви...

Много хора, коментира Александър Кашъмов, дават своите данни на банките например и след определен срок, ако не изразят изрично несъгласие, данните им да бъдат използвани за целите на директния маркетинг, данните им циркулират в неопределен брой бази данни на различни фирми и субекти, които желаят да рекламират. Това също създава проблеми, защото българският Върховен административен съд приемаше в тези случаи, че щом човек изрично не е поискал да се преустанови този директен маркетинг, води до безконтролна възможност той да се осъществява дори когато са преустановени взаимоотношенията с банката.

Това е един от случаите, при които новият регламент има значение. Практиката на съда на която и да било страна членка вече няма да има значение, защото унифицирането на практиката ще се осъществява едностранно и няма да бъдат отворени вратите за местни тълкувания и ще трябва да се примирим с едно общо тълкувание за целия ЕС. Това означава повече внимание и прецизност, като се работи с лични данни. Аз лично се надявам и да не може безконтролно да циркулират данни за целите на рекламния пазар. Бизнесът трябва да се развива, но пък и гражданите имат личен живот и права, които също трябва да се спазват. 

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов