DeFakto.bg DeFakto.bg
Иванка Иванова, 29.07.2019 г.
На 15-ти юли стана известно неправомерното “източване” и разпространение на лични данни от НАП, а на 17-ти юли имаше вече задържан с повдигнато обвинение. На 18-ти юли стана известно, че Инспекторатът към ВСС е публикувал незаконно лични данни на съдия Мирослава Тодорова. Почти две седмици по-късно единственият отговор на институциите е съобщение за започнала вътрешна проверка в ИВСС и оповестена позиция на главния съдебен инспектор, според която в неясно бъдеще е възможно да бъде „ангажирана дисциплинарна отговорност на виновните лица“.
На пръв поглед случаите са с несъизмерима важност. Обаче поставянето в риск на наказателен съдия, особено ако е умишлено дело на институция, уронва обществени ценности, които са значително по-важни от вероятността неколцина от нас да изплащат бързи кредити, които не са взели. Все още по случая с ИВСС няма съобщения за образувано досъдебно производство и за образувана проверка от Комисията за защита на личните данни. Но ако сме научили нещо през последните 10-тина дни, то е, че злоупотребите с лични данни от страна на държавни институции са шокиращи, особено в контекста на действащото право на ЕС.
Главният съдебен инспектор в своята позиция омаловажава станалото. Окачествява го като „допуснат пропуск“, „случайно събитие“ и „изключение“ в дейността на ИВСС. Ако си говорим като юристи обаче, ИВСС е допуснал нарушение, при това тежко и за него (без значение дали с умисъл, или по небрежност) ИВСС носи отговорност. Тази отговорност не се изчерпва с дисциплинарната отговорност на един или няколко служители. От гледна точка на приложението на Общият регламент относно защитата на личните данни (Регламент (ЕС)2016/679 или ОРЗД) публикуването на данни, които би следвало да са защитени, представлява нарушение на самите принципи за защита на личните данни: присъствието на думите „не се чисти“ в заглавието на файла с декларацията на съдия Тодорова и публикуването на лични данни в по-голям обем от установения в закона означава, че има нарушение на самия принцип на добросъвестност при обработката и разпространението на лични данни: Видът и размерът на отговорността, която следва да понесе ИВСС зависи от отговора на редица въпроси. Въпроси, които институциите следва да изяснят, но те няма да го направят, без въпросите да бъдат зададени публично. Ето кои ми изглеждат най-важни.
Въпроси 1 и 2: ВСС ще изслуша главния съдебен инспектор, но няма ли да изслуша и главния прокурор по темата? Защо се приема за даденост, че за „теча“ от НАП ще се търси наказателна отговорност, а за незаконното публикуване на лични данни от ИВСС – не? В позицията на главния съдебен инспектор от 23 юли е посочено, че има длъжностно лице от ИВСС, комуто е било вменено в служебно задължение да изтрие личните данни от имуществените декларации на съдиите, преди те да бъдат публикувани. Това означава, че извършването на престъпление по служба може да бъде изключено само след провеждането на разследване от компетентни органи.
Въпроси 3-6 :Най-смущаващото в поредицата от събития след оповестяването на личните данни на съдия Тодорова и нейното семейство е, че дни след това никой не я е потърсил, за да оцени дали има риск за нейната сигурност. Има ли изобщо протокол за действие на МВР или на „Съдебна охрана“ към Министерството на правосъдието в случай на заплаха за сигурността на съдия? За обикновеният наблюдател последиците от изтичането на лични данни за живота и сигурността на един наказателен съдия са невъобразими. Но в света на правото е друго. Институциите имат задължение да регистрират своите собствени закононарушения, да отчитат рисковете, да документират и оценяват възможните последици и системно да коригират поведението си. Поне така става в правовите държави. По ОРЗД Комисията за защита на личните данни има общо задължение (чл.57) да „насърчава обществената информираност и разбиране на рисковете и правата, свързани с обработването на личните данни“. Наясно ли е Комисията какви са рисковете за сигурността на един наказателен съдия и на неговото семейство при публикуване на личните му данни? ИВСС пък от своя страна (чл.35 ОРЗД), като администратор на лични данни, е длъжен да извърши оценка на въздействието на предвидените операции по обработването на данни, върху защитата на личните данни. Тоест ИВСС има задължение да си представи какви рискове възникват и да разработи правила за тяхното предотвратяване. Къде са документирани тези рискове? Къде са правилата за тяхното предотвратяване?
Въпроси 7 и 8: На децата се полага специална защита, пише в ОРЗД. Как ИВСС осигурява тази защита, след като допусна заедно с личните данни на съдия Тодорова да бъдат публикувани и личните данни на нейното дете? ИВСС не може да твърди, че този въпрос възниква за първи път. В годишния отчет на Комисията за защита на личните данни за 2018 г. се вижда, че комисията е била запитана от ИВСС дали следва да спази изискването на ЗСВ и да публикува имената на децата, съпрузите и лицата, с които магистратите съжителстват на семейни начала. За последните две Комисията дава индулгенция, но казва, че „публикуването на имената на ненавършилите пълнолетие деца на декларатора е прекомерно и не отговаря на принципните изисквания за завишена защита на правата и интересите на децата“. След като това е отдавна известно на ИВСС, какви мерки е взел главният съдебен инспектор, за да гарантира специалната защита на личните данни на децата?
Въпроси 9 – 11: В позицията на главния съдебен инспектор потенциално отговорните лица са сведени до трима служители на ИВСС: системен администратор, експерт с икономическо образование и началник на отдел „Компютърна и информационна сигурност при ИВСС“. По отношение на декларациите за имуществено състояние на магистратите ИВСС се явява администратор на лични данни и отговорността за защитата на тези лични данни се носи на първо място от ръководството на Инспектора. В приложение на чл.24 от ОРЗД администраторът е длъжен да въведе подходящи технически и организационни мерки и трябва да е в състояние да докаже, че обработката на личните данни става в съответствие с регламента. Какви точно мерки е предприел в тази връзка главният съдебен инспектор? Например цитираната в нейната позиция заповед от средата на 2017 г., която урежда процедурата по обработване и публикуване на имуществените декларации на магистратите преведена ли е в съответствие с ОРЗД, който влезе в сила след издаването на заповедта, гарантиран ли е контролът и защитата на обработваните лични данни? И ако да, как? Тази заповед сведена ли е до знанието на цитираните от главния съдебен инспектор служители и как това е удостоверено?
Въпроси 12 – 14: В позицията на главния съдебен инспектор от 23-ти юли има поне две логически противоречия. От една страна се твърди, че „експертът с икономическо образование“ е допуснал нарушение на заповедта и е поставил непочистен от личните данни файл в папката за публикуване в интернет, подписал го е със своя личен електронен подпис и го е предал за публикуване на началника на отдел „Компютърна и информационна сигурност при ИВСС. Твърди се също, че експертът включил думите „не се чисти“ в заглавието на файла с декларацията на съдия Тодорова, за да означи технически проблем с файла и за да поиска отстраняването на личните данни от системния администратор. Не е възможно да са се случили едновременно и двете: експертът или е приключил и е предал за публикуване, или е търсил помощ за отстраняване на технически проблем.
Освен това, ако на ИВСС е отдавна известно, че магистратите подават декларациите в различни формати, защо не е въведено изискване за подаване на декларациите в определен формат? У нас дори подаването на научна статия в списание е свързано с изискване за използване на определена текстообработваща програма и конкретна нейна версия, размер и вид на шрифта и т.н. И след като е било отдавна известно, че декларациите се подават в различни формати и това поражда проблем с отстраняването на личните данни преди публикуването на декларациите, защо главният инспектор не е предвидил ред за поправянето на този проблем с оглед защитата на личните данни?
Въпрос 15: За да помогне на „експертът с икономическо образование“ да почисти личните данни, системният администратор трябва да ги види. Регламентирано ли е правото на компютърните специалисти до неподлежащите на публикуване лични данни на магистратите? Обучавани ли са тези лица във връзка със защитата на личните данни, подписали ли са съответните декларации за опазване поверителността на данните? Самият „експерт с икономическо образование“ подписал ли е такава декларация, запознат ли е изрично с правилата за защита на личните данни, обучен ли е? А магистратите информирани ли са, както изиска Регламента в чл. 13, че техните лични данни се получат и обработват и от компютърните специалисти в ИВСС при технически проблем и как е гарантирано, че няма да останат в нечий служебен имейл след техническата обработка?
Въпрос 16: Какъв е установения ред в ИВСС служителите да комуникират помежду си при установени проблеми с файловете, съдържащи имуществените декларации на магистратите? Например като се установи друг технически проблем или несъответствие в подадената информация, регистрират това като променят заглавието на файла, така ли правят? По ОРЗД трябва да има изрична уредба на правила да вътрешен трансфер на лични данни. В логиката на ОРЗД служителят, който работи с личните данни е наясно колко голяма е неговата отговорност и когато прехвърля файл към друго лице обяснява в писмен вид какъв е проблема, най-малкото защото така разтоварва себе си от отговорност. Има ли изобщо доказателство за наличие на комуникация по-смислена от променено заглавие на файл, че замесените служители са установили проблем с файла и са се опитвали да го отстранят?
Въпроси 17 – 20: По отношение на защитата на личните данни ИВСС се явява в двойна роля. От една страна самият ИВСС е администратор на лични данни и поднадзорен на Комисията за защита на личните данни. Но ИВСС се явява надзорен орган „върху обработването на лични данни от съдилищата, прокуратурата и следствените органи, когато действат при изпълнение на функциите им на органи на съдебната власт“. Като такъв, според ОРЗД неговото ръководство и служители трябва да са компетентни, т.е. трябва да познават относимите правни норми в материята. Народното събрание проверява ли дали кандидатите за съдебни инспектори познават ОРЗД, а когато в ИВСС биват назначавани служители, как се удостоверява тяхната компетентност в областта на защитата на личните данни? Как се поддържа тази компетентност? Не е ли парадоксално, служителите да преминават периодични проверки за почтеност, но да е напълно неясно как се установява, че са компетентни?
В заключение ще посоча две поуки от „случайното събитие“ в ИВСС във връзка с цялостната стратегия за реформа на съдебната система.
Първо, далеч не всяка институция, начело на която застане мутра, автоматично се превръща в бухалка. Например в МВР има значителни съпротивителни сили срещу използването на институцията за прокарване на лични и корумпирани интереси чрез нея, такива сили има и в отделните съдилища. Но органи като ИВСС, които са създадени с широк предмет на дейност, в нарушение на историческите традиции на съдебните инспекторати преди 44-та и от преди 89-та, са много уязвими за произвол. Най-малкото, което следва от случая с изтеклите лични данни на съдия Тодорова, е, че на ИВСС не трябва да се дават повече никакви нови правомощия, докато се установи по безспорен начин дали използва правомерно съществуващите и от това изобщо има полза: на човек не може да не му направи впечатление, че сроковете на съдебните производства се съкращават, но доверието в съдебната система не укрепва, даже напротив.
Второ: административната и дисциплинарната отговорност, които произтичат от „случайното събитие“ във ИВСС, дори и да бъдат наложени, далеч не са достатъчни, за да гарантират, че институцията осигурява такава степен на защита на личните данни на съдиите, каквато се полага по действащото право на ЕС. За сравнение посочвам, че законът за защита на личните данни в Германия предвижда наказателна отговорност: умишленото и съзнателното разпространение на лични данни в определени хипотези там е престъпление.
