„Че каква лична данна е имейл адресът?“ – реторично пита служителка от териториално поделение на Националната агенция за приходите (НАП). Поводът е, че адвокат по погрешка е предоставил личния ми имейл адрес при регистрацията на фирма, а оттам имейлът ми е попаднал в НАП. Разплитам този сюжет, след като от приходната агенция ме подканят да се регистрирам по ДДС.
Съдържанието на въпроса на служителката ме впечатлява повече от неправилната употреба на думата „данни“, която няма единствено число. Как е възможно някой, който работи в институция – администратор на лични данни, да не знае, че имейл адрес, в който се съдържа името ми, е лични данни? А може би аз съм в грешка?
Тук дефиниция, там дефиниция…
За да съм сигурна коя от нас е права, отварям Закона за защита на личните данни (ЗЗЛД), за да си припомня дефиницията, дадена в него.
Но що да видя – ЗЗЛД вече не дава определение на онова, за чиято защита се обявява. То е изпаднало с промените от 2019 г. Вече несъществуващата дефиниция от отпадналия чл. 2, ал. 1, гласи:
„Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.“
Определението изпада от закона, когато той се обвързва с Регламент (ЕС) 2016/679 на Европейския парламент и Съвета на Европейския съюз, по-известен като GDPR (General Data Protection Regulation – „Общ регламент относно защитата на данните“).
Регламентът е с дължина от 88 страници, а до същинската му част се стига след 31 страници уточнения. За улеснение, от Европейската комисия (ЕК) са обяснили накратко какво означава „лични данни“. Дали са и примери за такива, сред които е и имейл адресът.
И едно юридическо становище
За да си „сверя часовника“ правилно ли съм разбрала, че българският закон не смята за нужно да обясни какво е „лични данни“, защото е обвързан с GDPR, се обръщам към юрист – адв. Стефан Вачев. Задавам му следните три въпроса:
- В ЗЗЛД съдъ
За да си „сверя часовника“ правилно ли съм разбрала, че българският закон не смята за нужно да обясни какво е „лични данни“, защото е обвързан с GDPR, се обръщам към юрист – адв. Стефан Вачев. Задавам му следните три въпроса:
- В ЗЗЛД съдържа ли се дефиниция на „лични данни“?
- Ако защитавате клиент по дело, свързано с лични данни, от кой нормативен акт ще вземете дефиницията за лични данни?
- Личният имейл адрес лични данни ли е по смисъла на ЗЗЛД?
„Лични данни“ е понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679“, отговаря адв. Вачев, и допълва: „Регламентът е основният нормативен акт за личните данни“. Той ме препраща към опростеното обяснение на ЕК, до което бях стигнала по-рано. И подчертава, че трябва да имам предвид, че „регламентите на ЕС са част от вътрешното ни законодателство. И са пряко приложими.“
Адв. Вачев потвърждава и че личният имейл адрес, ако съдържа имена или псевдоним, който е свързан с притежателя си, „се третира като лични данни“.
Юридически – проблем няма. Но практически?
От юридическа гледна точка въпросът защо законът, който регулира как да се защитават личните ни данни, не обяснява какво са те, е „буря в чаша вода“. Защото дефиницията е в европейски регламент, който има силата на закон за страните от ЕС.
Но пък ако не е задължително националният закон да съдържа дефиниция, това не означава, че е забранено да има такава. Например България е ратифицирала Конвенцията на ООН за правата на детето, в която пише какво е дете. Въпреки това в Закона за закрила на детето се повтаря дефиницията от Конвенцията. И така става ясно, че законът защитава лицата до 18-годишна възраст, а не всички, които са деца на родителите си.
Макар в случая със ЗЗЛД формално всичко да е изрядно, в България човек не може да намери официален национален източник, където с думи прости да се обяснява що е лични данни. Няма подобна информация и на сайта на КЗЛД, в който е изсипан списък от нормативни актове и търсещите информация са оставени да се давят в него.
Това е затрудняващо не само за гражданите. По-голямата беда е, че служители на институции, които са администратори на лични данни, разчитат на вътрешното си чувство, за да преценят какъв е характерът на данните, които администрират.
Всичко тече, всичко изтича
Въпреки че непознаването на законите не е оправдание за неспазването им, законодателите са с чиста съвест – никъде не пише, че законите трябва да са ясни. КЗЛД пък няма причини да се „юрка“ – мандатът на ръководството ѝ е изтекъл през 2019 г.
Това е същата година, през която дефиницията за лични данни изпада от закона, а след хакерска атака личните данни на милиони български граждани изтекоха от НАП. Приходната агенция се размина без санкция заради неспособността си да опази чувствителната информация на данъкоплатците – заради изтекла давност.
Докато дефиниции, мандати на комисии и давности изпадат и изтичат, на 28 май т.г. в съседна Гърция избухна скандал, свързан с лични данни. Евродепутатка от управляващата партия разпратила имейли с политическа агитация на живеещи в чужбина гърци със съдействието на вътрешното министерство, което е разполагало с електронните им адреси. Тя е наказана да плати глоба от 40 000 евро, а министерството – десет пъти по толкова.
Но каква „лична данна“ е имейл адресът?
* Становищата, изказани в рубриката „Мнение“, могат да не отразяват позицията на Свободна Европа.