Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Анализи и тенденции
бр. 5, 2018

GDPR е тук, но разговорът за личните данни започва сега

Регламентът урежда начина, по който бизнесът използва чувствителната информация, но кой ще контролира правителствата?

от , 29 май 2018 0 2336 прочитания,

Виргиния Стаматова

Случвало ли ви се е да получавате електронна поща, предназначена за друг? Усещането, особено ако се отнася за лична информация, е като да надникнеш в чуждия живот. По този начин се запознах с една моя адашка. Тя на свой ред ми разказа, че имало и трета Виргиния, която била със същата фамилия като нейната. Едната имала електронна поща, да речем, в yahoo, a другата - в Google. И понеже България съвсем не е голяма страна, двете други Виргинии се оказали клиенти на една и съща застрахователна компания: така първата получила кореспонденция, предназначена за втората, свързана със застрахователна премия по някаква щета.

Това е случка отпреди 5-6 години, когато още нямаше GDPR и подобни гафове се третираха като виц от рубриката "странните грешки на електронните комуникации".

GDPR е тук, но разговорът за личните данни започва сега

Частично връщане контрола и собствеността над цифровите ни данни

Темата за личните данни има много по-голяма острота днес, особено след скандалите за злоупотреби с данни на потребители на Facebook. Но въпреки това единици изтриха профилите си, а всички пазаруваме през интернет и използваме търсачки, макар че те следят онлайн активностите ни. Къде са границите на електронната ни неприкосновеност? Помагат ли адблокерът и браузването в режим "инкогнито"? Или това е като да си заровиш главата в пясъка и да си мислиш, че си невидим. А в случая - че имаш контрол върху ситуацията с данните.

Когато пазаруваме онлайн и въвеждаме личните си данни - адрес, номер на дебитна или кредитна карта, най-често те не отиват директно в компанията, която оперира платформата - Amazon, еBay, а при междинно звено - наречено "Идентификация на клиенти и управление на достъпа" (Customer identity and access management или CIAM). За да осигурят "безпроблемно клиентско изживяване", много търговски сайтове използват решения на големи компании като Microsoft или Salesforce, които минимизират данните, но на пазара има различни доставчици и не всички го правят. Знаете ли сайтовете, през които пазарувате, какъв CIAM софтуер ползват и доколко сигурен е съответният протокол за защита на клиентската информация? Не, разбира се, защото няма как да получите тази информация.

Правителствата в Европа осъзнаха уязвимостта на гражданите онлайн и се опитаха да им върнат част от това, което губят - контрол и собственост върху цифровите си данни. Общите разпоредби на ЕС за защита на данните (GDPR) влизат в сила от 25 май 2018. Те включват "правото да бъдеш забравен", което предполага личната ви информация да бъде изтрита (а ако това е невъзможно - скрита) от базата данни на компанията; правото да прехвърляте данните си от една компания в друга (преносимост); и да знаете кога данните ви са били компрометирани. 

GDPR изисква още компаниите да търсят нашето информирано съгласие на ясен и разбираем език на всеки етап, тъй като събират и съхраняват данните ни. Регламентът забранява т.нар. профилиране, иначе казано - автоматизираната обработка на лични данни, използвана за анализ или прогноза на действията на лицето, на неговия икономически или здравен статус, на неговото местоположение или поведение. Глобите за нарушаване на тези правила са значителни: по-малките простъпки могат да доведат до санкции до 10 милиона евро или до два процента от глобалния оборот на фирмата, която сума е по-голяма, а по-сериозните нарушения се наказват с до 20 милиона евро или 4% от глобалните приходи.

У нас обаче не са приети поправките в Закона за личните данни, които да въведат изискванията на регламента. От интернет страницата на Комисията за защита на личните данни е видно, че има подготвен проект, който в момента е предложен за обществено обсъждане, а внасянето му в Народното събрание предстои. Очевидно няма да имаме законодателна готовност към 25 май, когато регулацията влиза в сила. Така, от една страна, спазването на регламента ще бъде задължително, а от друга, няма да има кой да следи дали се случва. И част от фирмите най-вероятно ще си спестят разходите по гарантиране сигурността на личните данни. Според юристи до приемането на промените българските потребители не могат да търсят правата си в обема на GDPR пред националния орган - Комисията за защита на личните данни. Възможно е да се заведат граждански искове, но доказването на материалната претенция в съда ще бъде много трудно.

И ако GDPR слага рамки за обработката на персонални данни от страна на бизнеса, няма ограничения пред европейските правителства да навлязат в неприкосновеността на личния живот, за да гарантират физическата безопасност на хората и националната сигурност.


Електронното правителство и защитата на личните данни

В ерата, когато икономиката и политиката се задвижват от данни (за второто е достатъчно да споменем аферата Facebook - Cambridge Analytica), а нарушенията на личното пространство и течовете на информация са ежедневно явление, стриктността на правилата на ЕС трябва да осигури комфорт на европейските граждани. Да се поиска отчет от държавата, която разполага с нашите лични данни и контролира достъпа ни до основни услуги, може се окаже още по-трудно, отколкото от технологичните гиганти. Фирмите продават дигиталните идентичности на потребителите; а правителствата прекрачват границите на нашето "прайвъси" в името на физическата безопасност и националната сигурност.

Да, много малка част от сайтовете, на които предоставяме лична информация, са сигурни. И въпреки че напоследък Facebook или Google ни питат какво искаме да споделяме с тях, трябва да сме наясно, че контролираме минимално количество от данните, които "произвеждаме". Но има много други електронни системи и регистри, над които нямаме никакъв контрол и до които достъп имат не само органите, гарантиращи националната сигурност и безопасността на гражданите.

През април Министерският съвет оповести данни от проучване, което установява, че в у нас има общо 13 881 регистъра вместо предполагаемите 8700. Изненадата идва от там, че част от регистрите се поддържат без правно основание. Най-много са общинските регистри - средно по 60 броя на единица в общо 300-та структури на местната власт. Едва 15% от регистрите са електронни и могат да бъдат свързани с други информационни системи, а останалите 85% - не. Част от тях са цифрови, но не поддържат необходимите интерфейси или не са структурирани правилно, а останалите са на хартия. Зa повечето редовни и нередовни архиви се грижи външен подизпълнител - частна фирма. В бъдеще - между 3 и 6 години, се планира обединение на индексите, което е в обществен интерес, защото трябва да намали административната тежест, както и разходите за поддръжката и управлението им (за последното трябва да се представят разчети, с които МС не разполагаше към момента на представяне на доклада). При подобна мащабна реформа освен с по-малкото бюрокрация и евентуално по-ниски разходи общественият интерес е свързан и с неприкосновеността на личния живот. Макар че темата не намери място в рамките на представените правителствени намерения, тя е от особена важност и не трябва да бъде пожертвана в името на евентуалната икономическа полза или на намаляването на бюрокрацията, защото опира до личната и гражданската свобода. Обединението на регистрите означава, че огромен брой държавни и общински институции и работещите в тях ще имат достъп до мобилни телефони, банкови сметки, различни индекси за собственост, доходи и всички аспекти от личния и обществения живот на отделния човек. И макар че от известно време се предвижда, когато държавен или общински служител достъпва личните данни на физическите лица, те да бъдат уведомявани за причината за справката, не е ясно кой ще следи това да се случва, както и какви, и за кого са санкциите, ако намеренията останат само на хартия.

И ако технологичната компания Facebook може да продаде данните на огромен брой потребители на Cambridge Analytica, за да бъдат използвани за политическа реклама, държавата (не само нашата) може също да се възползва от подобно количество данни на гражданите, което да доведе до редуциране на демокрацията. Затова въпросът за личната неприкосновеност в условията на бъдещо електронно управление е много важен и трябва да бъде поставен паралелно с възможните икономически ползи (чието наличие или отсъствие, както писахме, тепърва предстои да се изясни).

Международната компания Gemalto, специализирана в производството на системи за дигитална автентификация (неин софтуер и смарт карти се използват при издаването на електронни подписи у нас), прогнозира, че около 3.6 млрд. души до 2021 по света ще имат национална електронна карта. Звучи чудесно, но добре е да сме на ясно и с рисковете. Естония често се дава за пример като най-дигитализираната държава в ЕС, но в края на ноември дефект в чиповете на личните карти, произведени в Швейцария, позволи кражбата на 760 хил. самоличности, в резултат на което засегнатите лични карти трябваше да бъдат блокирани.

Някои държави, главно от Третия свят, където неграмотността е широко разпространена, използват биометрична информация за идентификация на гражданите, сред тях са Непал, Мексико, Индия. В България също имаше подобна идея във връзка с новите лични карти с чип. Въпреки забавянето на проекта е добре да се има предвид, че личните карти и паролите подлежат на смяна, но биометричните данни - не, т.е. би било по-сигурно, ако електронната идентификация се извършва по други начини.

Най-екстремни са идеите на китайското правителство, което е решило да въведе дигитална идентичност, граничеща с утопичния роман на Дж. Оруел "1984": системата за социално кредитиране ще оценява надеждността на 1.3-милиардното население на Поднебесната империя на базата на ежедневните онлайн активности, постовете в социалните медии и платените данъци. Рейтингът на отделната личност ще може да бъде сравнен с този на останалите и така да се контролира кой ще получи кредитиране или кой ще бъде нает на работа. Появата на електронните идентификационни данни е прелюдия към дигитално правителство, което може да промени изоснови живота така, както нито една аналогова система не би могла.

Днес информацията за личния ни живот е складирана в различни "силози" за данни - авиокомпании, банки, общини, здравни картони, мобилни телефони, трудови и осигурителни книжки. От една страна, това забавя електронното правителство и електронното здравеопазване, но от друга, единственият човек, който разполага с пълната с картина на моя живот, съм самата аз (и може би Facebook, но всеки може да изтрие профила си, нали). Когато всички тези "силози", бази с данни или регистри бъдат свързани, ще загубим контрола върху това кой реконструира нашия живот и за какво използва тази мозайка, разбира ли я така, както и аз - или напротив - иска да използва информацията, за да ме манипулира. Затова много важен е въпросът как ще се гарантира личната неприкосновеност в условията на електронно управление. Този въпрос предстои да бъде зададен и дискутиран. 

Каквa трябва да бъде целта на цифровата идентичност? Как изглежда тя? В идеалния сценарий на повечето потребители това би било преносим способ за идентифициране, изцяло контролиран от индивида, който може да избере да сподели една част от своята идентичност, а друга - не. Проверката трябва да бъде надеждна, без да се оставя място за съмнение относно автентичността на идентичността на лицето - но след това то трябва да може да пренесе въпросната идентичност в търговските платформи с уверението, че е толкова сигурно, колкото и на правителство платформа.

Привържениците на защита на личния живот твърдят, че цифровата идентичност трябва да бъде суверенна, незасегната от обстоятелствата на нейното използване и във всички случаи да се контролира изцяло от нейния собственик, като всяка друга гражданска свобода.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов