Поверителност
1. уединение, самота, усамотение, интимност
Преди 3 седмици, Български Държавен вестник публикува постановление на министъра на вътрешните работи Аню Ангелов, разрешаващо на военното разузнаване на страната (служба “Военна информация”, СВИ) да събира и използва личните данни на гражданите, без да ги уведомява или иска предварително разрешение.
Ето какво пише по въпроса в. „Сега“:
Тя [Инструкция № 2 от 14 юли 2011 г.] е посветена на „определяне на реда за създаване, използване и закриване на информационните фондове и за контрола върху тях в служба „Военна информация”. Във фондовете на военното разузнаване ще се обработват „лични данни, свързани с националната сигурност и отбраната”. На практика това означава, че ще може да се събират данни за всеки и всичко. Все пак се предвижда фондовете на СВИ, които представляват регистри на лични данни, да подлежат на вписване по реда на Закона за защита на личните данни.
В същото време обаче се позволява службата да поддържа собствена интегрирана комуникационно-информационна система. Освен това тя ще използва собствени специални комуникации, изградени на основата на различни преносни среди.
Успокояващо е, че – както уместно го припомня „Сега“ – СВИ все още няма нито директор нито регулиращо законодателство. За назначаването на директор ще се чака поне януари 2012 г., края на настоящия президентски мандат…
Въпросът, следващ първоначалния шок, е: България би трябвало да има закони за регулиране на личните данни, нали? Ами да. Точно, в Конституцията от 1991 г.: член 32 предвижда, че
„(1) Личният живот на гражданите е неприкосновен. […] (2) Никой не може да бъде следен, фотографиран, записван или подлаган на други подобни действия без негово знание или въпреки отказа си, освен както е предвидено от закона”. Също така, член 34 от Конституцията предвижда, че „(1) Свободата и тайната на кореспонденцията и на другите съобщения са неприкосновени. (2) Изключения от това правило ще бъдат допуснати само с разрешение на съдебната власт с цел разкриване и предотвратяване на тежки престъпления.”
В допълнение, Законът за защита на личните данни (ЗЗЛД) е официално в сила от 2002 г. насам. Този закон беше много важен: влизането му в сила е една от големите реформи на подготовката за влизане в Европейския Съюз (ЕС). ЗЗЛД определя минималната законна рамка, която тябва да бъде задоволена, когато става въпрос за администрация на личните данни. Специални закони след това регулират специфични дейности като например електронната търговия. Друго важно нещо: ЗЗЛД установява съществуването на Комисията за защита на личните данни (КЗЛД) като независим орган за надзора и прилагането на ЗЗЛД, който да поддържа национален регистър на администраторите на лични данни, да получава и разглежда жалби и да предприема правни действия за осъждане на нарушенията. Служителите се предлагат от Министерски съвет и са избирани от парламента за срок от пет години.
(Източник: Flickr, CC-BY 2.0)
Така че, да, България има специално законодателство. Но в допълнение, тя е член на ЕС, който, от своя страна, има няколко закони, регулиращи събирането и обработката на лични данни, нали така?
Наистина, има две европейски директиви: 95/46/ЕО (Защита) и 2006/24/ЕО (Съхраняване). Всеки член на ЕС трябва да ратифицира и приложи директивите в националното законодателство. Нещо, което България е направила за тези две директиви след присъединяването си към Европейския съюз (януари 2007 г.).
Така, в началото на 2008 г., без кой знае колко да се притеснява тогавашното правителство да организира гражданска консултация, Наредба 40 (прилагаща директивата 2006/24/ЕО) е официализирана от Държавната агенция за информационни технологии и съобщения (ДАИТС) и Министерството на вътрешните работи. Напомням, че за разлика от останалите страни-членки обаче у нас директивата бе въведена като подзаконов нормативен акт, който не подлежи на парламентарно обсъждане и гласуване от депутатите. Тъй значи, Наредба 40 има за цел да определя вида на данните и процедурите, при които данните трябва да се запазят и предават на МВР, за „нуждите на на оперативно-издирвателната дейност”. На нормален български език, тази наредба в действителност позволява на службите за сигурност и на МВР лесен достъп до целия интернет трафик на всеки потребител вв страната.
Програма „Достъп до информация” беше силно против това изменение, което е в противоречие с българската Конституция (горе-цитираните члена), но също така и с европейското законодателство и с Европейската конвенция за правата на човека. Тя спечели делото и по този начин принуди българския законодател да промени наредбата, в последствие на което достъп до данни е даден само с разрешение на съдия, след разглеждане на всеки отделен случай. И няколко правителства вече как са опитват да се върнем към директен достъп, само че за сега не успяват.
Горе-споменатото постановление (в сила от 1 август) значи официализира създаването на едно чудо, наречено „Единна електронна съобщителна мрежа на държавната администрация и за нуждите на националната сигурност“ (ЕЕСМ). То е някакъв хибрид между съществуващите Национална мрежа на държавната администрация (НМДА) към Министерския съвет и Електронната съобщителна мрежа (ЕСМ).
Според чл. 2 на това постановление, функционирането на ЕЕСМ изисква свързаността „между органите на изпълнителната власт и техните администрации на територията на Република България“. Тъй като една от членките на ЕЕСМ „развива, поддържа и управлява електронна съобщителна мрежа (ЕСМ) за нуждите на националната сигурност, както и на централните органи на изпълнителната власт, органите на местната власт и местното самоуправление“, можем без големи трудности да заключим, че местните и териториални администрации ще съхраняват личните данни на гражданите в рамките на тази щастливо новородена инфраструктура.
Има много интересни цели; любими извадки:
Чл. 18. Главна дирекция „Единна електронна съобщителна мрежа на държавната администрация и за нуждите на националната сигурност“ подпомага изпълнителния директор, като:
1. изгражда, поддържа, развива, експлоатира и управлява Единната електронна съобщителна мрежа на държавната администрация и за нуждите на националната сигурност, която се състои от електронна съобщителна инфраструктура, комутационни и преносни системи, инженерно-технически системи, съобщителни обекти със специално предназначение и други елементи на изградената ЕЕСМ, включително инсталираните мощности за военно време;[…]
3. осигурява възможност на потребителите на ЕЕСМ да осъществяват наблюдение и управление на собствените им комуникационни и информационни системи по предоставената им преносна среда, като отговорностите на страните се регламентират в споразумения;[…]
5. създава и поддържа актуална информация за инфраструктурата, системите и потребителите на ЕЕСМ;
Нищо в Постановление 196 не говори за обществен интерес. Това означава, че няма? На описанието, дадено на този единна мрежа, би могъл човек да си помисли, че става въпрос за поредна публична инфраструктура. Почти: ЕЕСМ напълно има вид на иглед на скачени съдове полиция – публична администрация, дори и в мирно време. С ясни и прости думи, това е централизирана държавна институция за безнаказно събиране на лични данни на гражданите.
Ама нали, ще се изнервят някои хора, коити ме изчетоха до тука, какво общо има между увлекателно разказаното урочето по законите за личните данни и това скучно постановление? Както го писах в предишния абзац, централизираната мрежа очевидно свободно ще може да си играе със свързани помежду им файлове с лични данни. Това е, например, което е довело до създаването на CNIL (Commission nationale de l’informatique et des libertés, Национална Комисия за Информатика и Свободи) във Франция, където подобна ситуация настъпи.
Естествено възниква въпросът: за колко време най-много могат да се съхранъват личните данни, достъпни благодарение на това постановление на полицията по всяко време? Може би аз бъркам, но никъде не прочетох конкретна шифрирана иформация. О, съжалявам, с изключение на Закона за електронните съобщения, който предвижда запазването (от страна на доставчиците на електронни услуги) на „определени категории данни” за трафика за период от 12 месеца.
Когато попитах Комисията за защита на личните данни какъв е техният максимален срок на съхраняване, в отговор получих почти три страници, в които човека (или хората, без подпис е) ми разказва доста неща без никаква връзка с въпроса ми. По едно време е написано, че времето на съраняването на личните данни е регламентирано така: „администраторът на лични данни е длъжен да предвиди и съответния ред за съхраняване и унищожаване на носителите на информация съставляваща лични данни след изтичане на срока и отпадане на целите за нейното обработване” … Това е малко смешно, да не кажа незаконно: директивата 2006/04/ЕО, за която ви споменах по-горе, слага максимума на 1 година. Срок, който си блести с отсъствието от Наредба 40.
Вторият ми въпрос – каква е позицията на Комисията по Постановление 196 – остана без отговор.
П.С. Отговора: pismo04-08-1-anonymized (анонимизиран PDF). Подчертаванията са от тях.