Нещо лично

Нужни са промени в Закона за защита на личните данни, за да заработи орган за сертифициране на компаниите за съответствие с изискванията на GDPR

Емил Петров
Емил Петров / 25 January 2019 08:55 >
Нещо лично

Има голяма вероятност да ви е писнало от натискане на бутона "Съгласен съм" през последната малко повече от половин година. След като на 25 май 2018 г. в EС влезе в сила Общият регламент за защита на личните данни (GDPR), всички сайтове трескаво започнаха да сервират изскачащи прозорци и да ви информират, че използват "бисквитки" за повишаване на ефективността си, както и да искат вашето съгласие, за да разкарат досадния прозорец.

Машиналното натискане на бутона се превърна в част от ежедневието, а към това беше прибавен и допълнителен куп от хартиени формуляри за съгласие за използването и обработването на лични данни, които банки и други институции връчват на своите клиенти при появата им на гишетата. Въпреки че GDPR действа с пълна сила и санкциите за нарушения са високи, практиката показва, че от страна на бизнеса и потребителите все още има неизяснени неща. Оттам и потопът от искане за съгласия.

"Тълкуването и разбирането на това какво изисква регламентът, среща известно неразбиране у нас", казва д-р Мартин Захариев, адвокат и правен експерт във Фондация "Право и интернет". Юристът посочва, че се стига до абсурдни ситуации, в които лекари, аптеки, адвокати и публични органи започват да искат съгласия, за да могат да обработват нашите лични данни. "Формално погледнато, не трябва да се иска съгласие тогава, когато не е необходимо. Има други условия, които позволяват на организациите да обработват лични данни, включително законови задължения и правомощия на публичните органи. Няма как да отидете в НАП и агенцията да не обработи вашите лични данни, защото тя изпълнява законовите си правомощия“, обяснява експертът.

Оборот
Известна е максимата, че личните данни са най-ценната валута в интернет. И не става въпрос за въвежданите ЕГН и номер на паспорт, а това какво правим в мрежата. След като човек прекарва все повече във виртуалното пространство, идентифицирането му позволява не само насочването на по-ефективни реклами за покупка на стоки и услуги, но и много повече. Всеки е чувал за скандала с британската консултантска фирма „Кеймбридж Аналитика“, която се оказа, че е използвала предоставени от Фейсбук данни, за да манипулира президентските избори в САЩ и изхода за вота за Brexit.

Кутия за сигурна връзка
Защитата на личните данни става лайтмотив за маркетинговите кампании на високотехнологичните производители, пише сайтът Phys.org в статия, посветена на тазгодишното издание на изложението CES в Лас Вегас – най-голямото шоу за новости в индустрията.

Неслучайно наградата за иновации в областта на киберсигурността и защитата на личните данни отиде при устройството TrustBox на холандската компания Scalys. То представлява безжичен рутер, който освен достъп до интернет гарантира и сигурността на свързаните в домашната мрежа интелигентни (IoT) устройства. Устройството е предназначено за всички, които имат умни устройства като сензори, смартколонки, интернет камери и искат да предотвратят нерегламентираното изтичане на информация от тях.С все по-голямото разпространение на смартколонки и други устройства, използващи като "мозък" гласовите асистенти на Amazon, Google и Apple, зачестяват случаите на "хакнати" лични разговори и друга гласова комуникация. За да вършат работата си – да реагират на определена команда, те постоянно следят комуникацията на хората.

Рутерът Winston на едноименната американска компания пък може да блокира реклами, както и следенето на потребителите от интернет сайтове и социални мрежи и определянето на тяхното местоположение.Докато пазарният дебют на TrustBox и Winston се очаква, вече могат да се купят и някои не толкова сложни пазители на личната комуникация. Стартъпът Smarte е създал джаджата Mute+, която се поставя върху смартколонките Echo на Amazon и блокира опцията за "слушане" за определен период от време, като излъчва "бял шум".

Въпреки това личните данни не са нещо, което трябва да бъде заключено в сейф.

"Погрешно може би от самото име на режима, уреден със Закона за защита на личните данни (ЗЗЛД), се създава разбирането, че тези данни са някаква тайна, те трябва да стоят скрити някъде, заключени в шкафове или в онлайн пространство, и никой не трябва да има достъп до тях. Това не е логиката на регламента и изобщо на този режим“, пояснява Мартин Захариев. „Логиката е, че трябва да има обмен и свободно движение на тези данни, затова и самият регламент в заглавието си съдържа тази част „и относно свободното движение на такива данни", защото цифров единен пазар и цифрова икономика, каквато е целта на ЕС, не могат да бъдат постигнати без свободното им движение, но разбира се, при осигуряване на подходящи гаранции за основните права и свободи на хората", категоричен е юристът.

Възможности за защита
Софтуерният инженер Божидар Божанов разделя „цифровото злото“ в три категории – лични съобщения, база данни в регистрации на сайтове и хотели и данни за поведението онлайн. В първия случай всеки може да вземе мерки за опазване на информацията. Например комуникацията в програми за съобщения като Whatsapp, Viber, Telegram, Signal е криптирана от край до край и данните са защитени, защото може да се прочетат само в двата края. Можем да проверим и дали сайтът, който посещаваме, се отваря по защитена сесия – с криптирана връзка (вижда се от обозначението https:// в прозореца за адрес на браузъра, бел. ред.). "Добре е, ако видим сайт, който не е по криптирана връзка, да го затворим, особено ако смятаме да въведем чувствителни данни", съветва Божанов. Браузърите вече помагат, като сигнализират за незащитена връзка на своите потребители. Друга мярка е да криптираме цялата информация, която съхраняваме, на личните си компютри. Тази опция може да се активира от настройките на операционната система.

Но за данните, които попълваме, когато се регистрираме на някой сайт, не можем да направим много, защото те зависят от компанията, която стопанисва сайта. В случая тя може да вземе предвидените в регламента технически и организационни мерки, които са доста широк кръг. "Но няма едно решение, което една компания да вземе и да каже: ето, аз съм готова с GDPR. Трябва отделните части да се покрият с отделни решения, но във всеки случай трябва да се знае какво е защита на данните, за да може да подберат правилните решения", обяснява Божанов.

Телекоми, банки, болници, туристически сайтове и обществени организации съхраняват бази с лични данни на милиони потребители в България. Затова при тях е силно препоръчително криптирането не само на дисковете, но и на самите записи в базата данни.

Оценка на риска
Регламентът не описва конкретни мерки, които трябва да бъдат предприети за защита на данните на клиентите, а изисква т.нар. подход, съобразен с риска. Компаниите сами трябва да направят преценка каква е степента на риск, какви неблагоприятни последици могат да произтекат за правата и свободите на хората, чиито данни обработват, и колко е вероятно това да се случи. "В регламента се предвижда и сертифициране на компаниите за съответствие с неговите изисквания, но за да бъде работещо в България, първо трябва да бъдат приети измененията в закона, за да се уреди по какъв ред кой орган ще акредитира сертифициращите организации. В проекта на изменения на закона е заложено Комисията за защита на личните данни (КЗЛД) да акредитира кои организации имат право да извършват такова сертифициране, но за момента това все още не е работещ механизъм у нас", обяснява Мартин Захариев.

Специалистът смята, че до момента КЗЛД демонстрира толерантно поведение в този период на адаптация и той няма информация да има наказани по GDPR. „Давани са указания да се отстранят определени нарушения, налагани са санкции и по стария, все още действащ национален закон, но вероятно регулаторът изчаква промените в нашия закон, който да бъде хармонизиран с регламента, за да може да няма основания за евентуално атакуване на наложени санкции при действащ регламент и стар закон“, казва д-р Захариев.

От КЗЛД не отговориха до редакционното приключване на броя на сп. "Икономист" дали вече са налагали санкции, както и какви са най-честите оплаквания, свързани с прилагането на регламента. В момента се чака на второ четене в НС да бъдат приети измененията в ЗЗЛД. Но това не означава, че не могат да бъдат налагани санкции на нарушителите.

"Предполагам, до 1 – 2 месеца и нашето законодателство ще бъде синхронизирано с регламента и тогава можем да очакваме евентуално и активизиране на санкционната дейност на комисията. Но моето разбиране е, че КЗЛД може да санкционира по регламента спокойно още от 25 май 2018 г.", припомня юристът.
От друга страна, периодът на административна толерантност дава възможност на компаниите да разгледат мерките за защита на данните на своите клиенти и ако е необходимо, да вземат мерки, за да предотвратят пробиви в сигурността.

Вътрешен контрол
Как се случват течовете на данни? „Един от начините е някой „лош“ хакер или вътрешен човек да отвори базата с данни и да въведе команда select*, което му връща таблица с всички данни. След това той може да ги прехвърли в Excel и да ги изнесе на флашка“, дава пример Божанов. Но ако данните са криптирани поотделно, това не може да се направи.

Друга мярка е да има одитна следа на това, което се случва. „Да знаем кой е този, който е влязъл и е направил заявката, кога я е направил, кой има достъп. Контролът на достъпа е много ключов компонент. Сигурността на осъществяване на достъп също е важна – не просто с юзър нейм и парола, а с двустепенна автентикация. Въвежда име и парола, но на телефона получава код, който също трябва да въведе“, дава пример експертът. Необходима е цялостна мрежова сигурност чрез следене на периметъра и идентифициране на потенциално опасен трафик.

"Имаме стандартно поведение, което се случва в мрежата на компанията – текат заявки от тук натам, но изведнъж се появяват типове заявки, които не са често срещани. Например някой иска да източи базата с данни. Това е съмнително поведение, което може да се засече и да бъде спряно. Има такива софтуери и повечето големи компании ги използват, но въпросът е как са конфигурирани“, казва Божидар Божанов.
Псевдонимизацията също е част от решенията за сигурност. Например компания иска да изпрати данни на свои клиенти за кампания на рекламна агенция по мейла, давайки имената на потребителите наред с другата информация.

"Това не е добра идея. Ако трябва да се изпращат такива данни, може да се използва т.нар. псевдонимизация – ако за конкретната нужда не е необходимо да се знае кои точно са хората. Например трябва да набереш телефони – изпрати само номерата. Или ако сегментираш поведение на потребители, на този, който го прави, не му трябва да знае кои са имената", дава примери Божанов.

 

СИГУРНОСТ: Рутерът TrustBox e eдно от новите устройства, които защитават от течове на данни домашната мрежа

"Всеки потребител, гражданин, може да получи псевдоним и вместо Иван Иванов или Петър Петров да бъде Х, У. След това, когато компанията върне резултатите, компанията, поръчала проучването, може да направи връзката между имената и псевдонимите“, обяснява експертът.

Проблемните гиганти
Но най-важният аспект на проблема с личните данни, за който все още няма решение, е как могъщи корпорации като Фейсбук, Google и други следят поведението ни онлайн, без да знаем това, и какво правят със събраната информация. „При всяко наше онлайн, ако през това време сме логнати във фейсбук, социалната мрежа знае ние къде ходим, следи всеки клик. С тази информация тя ни таргетира с реклами, но не знаем какво друго прави – дали ги дава на "Кеймбридж Аналитика", дали ги дава на спецслужби", казва Божанов.

Това е индустрия, която работи с поведението на хората онлайн, и една от основните причини GDPR е да бъде толкова строг са тези компании, припомня той. Някои браузъри като тези на Apple и на Mozilla взеха мерки за блокиране на проследяващи бисквитки, но Фейсбук взема други мерки с друг тип бисквитки, така че се получава игра на надхитряване. "Това, че събират данни за поведението, е едно, но те и ни категоризират на тяхната база. Някои са очевидни – като възраст и пол, но има и други категории, които са по-интересни, например човек, живеещ далеч от родителите си", казва Божидар Божанов.

Съответно могат да таргетират реклама, която извиква определени емоции, и да ни „хакнат“, без да разберем. Компаниите могат да ни генерират емоции на база на поведението, което са събрали за нас, без да знаем, че това се случва. Ние си мислим – ето аз си купих този продукт, защото ми харесва, но то е, защото някой е таргетирал конкретно съобщение към нас, свързано с това, че сме в групата “човек, далеч от родния си град“, обяснява експертът.

"Затова прозрачността на рекламите, събрани от личните данни за нас, е много важна. Трябва да ни кажат: виждате тази реклама, защото сме ви категоризирали като такъв“, категоричен е Божанов.

"Данните за поведението онлайн са най-рисковани от гледна точка на основни права и свободи на гражданите. Ние в момента сме де факто в плен на корпорации, които във всеки момент знаят какво правим, без да знаем, и аналогията с „1984“ и „Биг Брадър“ е малко пресилена, но „малко“, казва Божидар Божанов. Фокусът на GDPR е хората да са се съгласили и да знаят какво големите корпорации правят с техните данни, и да не ги ползват за други неща, за които не знаем. Но дали намеренията, заложени в регламента, ще проработят спрямо Фейсбук и Google, предстои да видим.

Текстът е публикуван в брой 4/2019 г. на списание "Икономист", който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя.

Exit

Този уебсайт ползва “бисквитки”, за да Ви предостави повече функционалност. Ползвайки го, вие се съгласявате с използването на бисквитки.

Политика за личните данни Съгласен съм Отказ