Правото на защита на личните данни е основно човешко право. Обикновено то е в основата на човешкото достойнство и на други ценности като правото на самоопределение, религиозна принадлежност, свобода на изразяване, неприкосновеност на личния живот, защитата на дома и семейството, тайната на личната кореспонденция и др. Затова правото на защита на личните данни е оценено като основно човешко право във „Всеобщата декларация за правата на човека“, в „Международния пакт за гражданските и политическите права“ и „Европейската конвенция за правата на човека и основните свободи“. В основата на правната рамка на Европейският съюз е залегнала концепцията, формулирана на Двадесет и осмата международна конференция за защита на данните и неприкосновеността на личния живот (28th International Conference of Data Protection and Privacy Commissioners – London, 2006): „Защитата на неприкосновеността на личния живот и персоналните данни е също толкова жизненоважна за всяко демократично общество, колкото свободата на пресата или свободата на движение.“
Влезлият в сила на 25 май 2018 г. на Общият регламент за зашита на личните данни – GDPR (General Data Protection Regulation) промени коренно начина по който организациите боравят с лични данни[1]. В основата на регламента стои нуждата да се определят правата за защита на данните, които се предоставят на всички граждани на Европейския съюз, без значение от организациите които обработват техните данни, в това число и тези в сферата на сигурността и отбраната. Регламентът се прилага еднакво и едновременно към 28-те държави-членки и може да се обобщи, че той има два главни аспекта – правно-нормативен и технически, които налагат редица административно наказателни рискове над организациите в сферата на сигурността и отбраната.
В повечето държави, правото на защита на личните данни е гарантирано в техните конституции. В Конституцията на Република България гаранциите на правото на неприкосновеност на личния живот са залегнали в разпоредбата на чл. 32, в който се казва, че личният живот гражданите е неприкосновен. Всеки има право на защита срещу незаконна намеса в личния и семейния му живот и срещу посегателство върху неговата чест, достойнство и добро име. Никой не може да бъде следен, фотографиран, филмиран, записван или подлаган на други подобни действия без негово знание или въпреки неговото изрично несъгласие освен в предвидените от закона случаи.
Цел на правното регулиране е осигуряване на защитата на правата и свободите на гражданите, в това число защита на правата на неприкосновеност на личния живот, личната и семейна тайна. Новите технологии правят възможни събирането, обработването и прехвърлянето на огромни бази с лични данни от една институция на друга не само без съгласието на гражданите, но дори без тяхното знание. Това има предимства, защото позволява на институциите да извършват бързо и качествено исканите услуги и справки. От друга страна обаче, събирането на все повече информация за хората от различни институции прави електронните им досиета твърде подробни, което отваря врати за различни злоупотреби. Големите бази лични данни често се оказват атрактивен търговски продукт, използван например за целеви маркетингови рекламни кампании. Ето защо е необходимо да съществуват правила, които да канализират бързия и ефективен поток от персонална информация чрез балансиране с правото на защита от възможни злоупотреби със събраните данни за гражданите.
За Република България такива правила дава Законът за защита на личните данни (ЗЗЛД). Неговото предназначение е да гарантира тази важна част от правото на неприкосновеност на личния живот на гражданите. Затова в чл. 42 са предвидени финансови санкции при евентуални нарушения, най-ниската санкция е в размер на 500 лева, а най-високата – 100 000 лева. За разлика от него предвидените административните наказания в регламента GDPR са значително по-високи. Той предвижда „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока. По параграф 5 административно наказание „глоба“ или „имуществена санкция“ в размер – до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока .
Определение за лични данни
Лични данни са „всякаква информация, свързана с идентифицирано или подлежащо на идентификация физическо лице„. Идентификацията може да бъде пряка или непряка и включва такива идентификатори като „име, ЕГН или идентификационен номер, данни за местоположението, онлайн идентичност, един или повече фактори, специфични за физическото, физиологичното, генетичното, умственото, културното или социалното му идентифициране„, но също така включват оценяване на представянето на дадено лице на работното място, икономическа ситуация, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движения.
Фиг.26: Типове лични данни[2]
Чувствителните лични данни са лични данни, съдържащи информация за: расов или етническия произход на субекта, религиозни или политически убеждения, дали е член на профсъюз, физическото или психическото му състояние, сексуален живот, всяко производство за всяко престъпление, извършено или предполагаемо извършено от субекта на лични данни. Няма значение как се съхраняват личните данни – на хартия, на информационна система, на система за видеонаблюдение и т.н.
Личните данни трябва да бъдат обработвани законно, справедливо и по прозрачен начин по отношение на субекта на данните. Събрани за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели. Те трябва да са адекватни, уместни в минимални количества за целта, точни и когато е необходимо актуализирани. Съхранявани във форма, която позволява идентифициране на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни.
Регламентът на Европейският съюз в членовете 12, 13 и 14 посочва правата на гражданите и каква информация трябва да бъде на разположение на субектите на данни. Те могат да отправя искания за потвърждаване дали се обработват лични данни, свързани с тях, и ако това е така, да получат достъп до данните, както и информация кои са получателите на тези данни. Могат да поискат копие от своите лични данни от администратора или да ги коригиране ако вече не са актуални. Да изиска от администратора изтриване на лични данни (право „да бъдеш забравен“) или ограничаване на обработването на лични данни като в този случай данните ще бъдат само съхранявани, но не и обработвани. Могат да правят възражения и жалби до надзорните органа ако смятат, че някоя от разпоредбите е нарушена. Субектите могат да поискат да им бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат или да оттеглят съгласието си за обработката на личните данни ако са обект на автоматизирано профилиране.
Принципи за защита на личните данни
Освен правата на гражданите, GDPR определя набор от принципи, които регулират цялата обработка на лични данни. Идеята е да се определят условията, при които обработката на данни е разрешена. Ако дадена организация не може да покаже, че работи в тези условия, тогава нейните дейности могат да се считат за незаконни съгласно Европейския регламент. Той определя седем отличителни области за обработка на данни, които всяка една организация или компания, в това число и тези в сектора трябва да спазват, както следва:
Нека да обсъдим всеки един от тези принципи от гледна точка на националната сигурност и да преценим с какви инструменти бихме могли да подпомогнем спазването на всеки един от тях.
Първият принцип гласи, че личните данни трябва да бъдат обработвани законно, справедливо и по прозрачен начин по отношение на субекта на данните[3]. Законосъобразността произтича от това да се идентифицира законовата основа, преди да се обработват лични данни. Тази законова основа често е посочена като „основания за обработване“, например „съгласие“. Администраторът на данни трябва да предостави добросъвестна информация на субектите на данни, независимо дали личните данни са получени директно от субектите на данни или от други източници. Като цяло на организациите в държавния сектор е разрешено законното използване на данни в два случая, когато това се изисква от закона и второ при съгласие на субекта.
В първия случай данните могат да се събират само за конкретни, изрични и легитимни цели и да не се обработват по начин, който е несъвместим с тези цели (принцип на минимално необходимото). Например, данните събирани от военните окръжия, трябва да гарантират, че те се използват само за нуждите на мобилизационния резерв без по-нататъшна обработка за научни изследвания или други случай.
Във втория случай трябва да имаме в предвид предвидената възможност в регламента всяко лице да има право да си оттегли съгласието. Личните данни трябва да бъдат точни и актуализирани във всеки един момент, и да са положени необходими усилия, за да е възможно незабавно (в рамките на възможните технически решения) изтриване или коригиране.
За да се съобразят с тези изисквания организациите трябва да определят правната основа за събиране и обработване на данни за нуждите на отбраната на страната. Трябва да определят реда за получаване на съгласие за събиране и обработване на данни и да предвидят стандартни оперативни процедури при поискване за изтриването им от лицето за което са събрани тези данни.
Правото на изтриване е известно също като „правото да бъдеш забравен“. Широкият принцип, на който се основава това право, е да даде възможност на дадено лице да поиска заличаване или премахване на лични данни, когато няма причина за продължаване на съществуването им в базата данни. Субектът на данните има право да получи от администратора правото на изтриване на лични данни, които се отнасят до него, без ненужно забавяне и администраторът е длъжен да изтрие личните данни без неоправдано забавяне.
Вторият принцип изисква от организациите да са в съответствие с класифицирането на данните по отношение на GDPR. От това следва, че всяка една държавна организация, освен спазване на Закона за защита на класифицираната информация трябва да е в състояние да класифицира своите данни в още по-широк спектър спрямо нивото им на поверителност. В зависимост от това дали данните са публични, дали се доближават до вътрешна чувствителна информация, дали представляват лични или финансова данни и др. Като пример може да послужат идентификатори като име, ЕГН, номер на лична карта, данни за местоположението, онлайн идентичност, един или повече фактори, специфични за физическото, физиологичното, генетичното, умственото, културното или социалното идентифициране, оценяване на представянето на дадено лице на работното място, икономическа ситуация, здравни и биометрични данни, лични предпочитания, интереси, расов или етническия произход на субекта, религиозни или политически убеждения, дали е член на профсъюз, местоположение или данни за децата и др.[4].
Трето, всяка организация трябва да има правила за контрол на достъпа за да може да защитават както служебната, така и личната информация на своите служители[5]. За да се съобразят с изискванията на GDPR организациите и компаниите трябва да могат да предоставят достъп на индивидуални потребители до техните данни и възможност за тяхното управление, преглед и контрол.
В чл. 24, 25 и 28 от Регламента се казва, че организациите трябва да управляват ресурсите, които ползват техните служители. Личните данни трябва да бъдат обработвани по начин, който гарантира подходяща сигурност, затова регламентът включва разпоредби, които насърчават отчетността и управляемостта и допълват изискванията за прозрачност. Принципът на отчетност в чл. 5, пар. 2 изисква от администратора да докаже, че спазва останалите принципите и изрично заявява, че това е негова отговорност.
Служителите на една държавна организация използват безброй различни ресурси като хардуер, софтуер, достъпът до интернет, мрежовата свързаност, работни компютри и личните устройства и онлайн услуги за споделяне и съхранение на информация и файлове. За да отговорят на изискванията на GDPR организациите трябва да намалят броя на ресурсите, които техните служители използват и да се позволи ползването само на тези, които са съвместими GDPR. Ползването на данни трябва да е достъпно само от надеждни устройства, а администраторите трябва да могат да проверяват своите служители.
Въпреки че има много организационни и административни мерки, които държавните организации трябва да предприемат, IT сигурността е най- важните принцип от всички. Всички устройства трябва да са обезопасени и защитени от киберзаплахи, компютърни вируси и загуба на данни. Какво означава това? Всяка система следва да има различни решения за архивиране. Организациите трябва да могат да разпознават инциденти свързани с кражбата за данни. В случаи когато има нарушения с лични данни да могат да уведомят надзорните инстанции, регулаторите и засегнатите лица.
Член 30 от GDPR определя как личните данни трябва да се съхраняват и пазят в съответствие с „Процедура за съхраняване и унищожаване на данните“ и след като е преминал срокът им на съхранение, те следва да бъдат надлежно унищожавани по указания в тази процедура ред. Организациите трябва да съхраняват данните във формат, който позволява идентифициране на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни. За нуждите на националната сигурност и отбраната на страната и защита на обществения интерес е необходимо личните данни да бъдат съхранявани за по-дълги периоди, което налага създаване на политики за запазване на данните.
Наличието на тези политики може да стане много важен момент, когато става дума за съдебни спорове. Правилните практики за запазване на данни могат да гарантират че една организация може да предостави документирани доказателства за това как тя е обработила личните данни.
За целта всяка организация следва да изготви документирани вътрешни процедури за обработка и съхранение на лични данни. За повечето организации обемът и големината на техните данни се увеличават всеки ден (имейли, документи, съобщения, файлове). Ефективното управление на тази информация е много важно, защото трябва да се съобразявате активно с различните разпоредби и вътрешни политики, които изискват да запазвате съдържанието за минимален период от време. Трябва да се намали риска при нарушение на сигурността или перманентно изтриване на старо съдържание, което вече не се изисква да се съхранява. Обикновено управлението на съдържанието изисква две действия. Първо съхраняване на съдържанието така че да не може да бъде перманентно заличено преди края на периода му на съхранение. Второ изтриване на съдържанието в края на периода му на съхранение. Организациите трябва да предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, незабавно ще бъдат изтрити или отстранени.
Когато има политика за съхранение на съдържанието, хората могат да продължат да редактират и да работят с него все едно, че нищо не се е променило, защото съдържанието се запазва на мястото си или на първоначалното си местоположение. Ако някой редактира или изтрива съдържание това е предмет на политика и копие се записва на защитено местоположение където се архивират докато политиката за съхранение на данни е в сила.
Относно мониторинга, организациите могат да използват системи за автоматизирани известия, като Office 365 в който има т.н. „аларми“, за известяване при определена активност, чрез изпращане на имейл до администратора[6]. Например, може да създадем правила за предупреждение, чрез които да проследим инциденти със злонамерен софтуер и загуба на данни. Правилата за предупреждение по подразбиране ни помагат да наблюдаваме дейности, като назначаване на администраторски права, злонамерени атаки, фишинг атаки и необичайни нива на изтриване на файлове и външно споделяне.
Длъжностно лице по защита на данните
Регламентът изисква от някои организациите, чийто дейности включват редовен и систематичен мониторинг на субектите на данни в голям мащаб, да определят длъжностно лице по защита на данните (ДЛЗД) или служител, който да поеме отговорност за спазването на защитата на данните. Трябва да се прецени къде тази роля ще се намира в структурата и управлението на организацията.
Контролиращият орган и администраторът на лични данни гарантират, че служителят по защита на данните е въвлечен своевременно във всички въпроси, свързани със защитата на личните данни. Той трябва да прилага подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка специфична цел на обработката. Това задължение се отнася до количеството събрани лични данни, степента на тяхната обработка, периода на тяхното съхранение и достъпа им.
ДЛЗД се отчита пред ръководството, но се очаква да работи независимо в организационната структура. ДЛЗД е лицето, което ръководи и контролира всички дейности по защита на данните в рамките на даденото дружество. ДЛЗД поддържа информирането на управлението по отношение на задълженията им по регламента и е основната точка за контакт на надзорните органи.
Лицето по защита на личните данни има набор от задължения, сред които са:
- Да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на нормативните актове за защита на личните данни;
- Да наблюдава спазването на правилата за защита на личните данни и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити.
- Той трябва да разработи процедури за откриване, докладване и разследване на нарушаване на лични данни и оценка на риска. В случай на нарушаване на лични данни администраторът уведомява компетентния надзорен орган. Уведомлението трябва да описва естеството на нарушението на личните данни, включително категориите и приблизителния брой на засегнатите субекти на данни, да съобщи данните за контакт на служителя за защита на данните или на друго звено за контакт, където може да се получи повече информация и да опише вероятните последици от нарушаването на личните данни. Когато нарушаването на личните данни може да има последствия върху правата и свободите на физическите лица, администраторът съобщава за нарушението на личните данни на субекта възможно най- бързо.
- При поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката, която се извършва на всеки две години.
- Да води регистри с подробна информация за данните и да организира информационен одит при нужда.
- При наличие на уеб сайт публикува декларация за поверителност и декларация за бисквитите в които упоменава с каква цел и какви данни събира и обработват, на какво правно основание и за какъв период от време и др.
- Да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация и по целесъобразност да се консултира по всякакви други въпроси.
Защита на данните от неоторизиран достъп
Контролираният достъп ограничава достъпа до данните, в зависимост от това, кой всъщност се нуждае от него. Стриктното ограничаване на достъп само до данните, които са необходими за всяка роля в организацията, ограничава възможността за атака.
Информационните системи могат да се предпазят с помощта на защитна стена (firewall),която осигурява защита посредством филтриране на информацията, вследствие на което взема решение за разпространението и във или от информационната система, на основа зададени правила.
Ако се налага да изпращаме чувствителните данни в мрежи с по-малко доверие, можем да криптираме данните. Използвайте популярни криптографски алгоритми и ги оценявайте ежегодно, за да сте сигурни, че защитата ви е все още силна. Когато са правилно криптирани, дори компрометираните данни няма да бъдат достъпни за атакуващите.
Разделете данните си на категории и се уверете, че чувствителните данни са защитени и могат да бъдат достъпни само от оторизирани служители, които имат основателна причина за достъп до тях.
Операционните системи осигуряват начина по които се осъществява достъп до данните, прилагат ограничения за контрол на достъпа. Когато преминете през този контрол, вие сте оторизиран (получавате правото) на достъп до ресурса.
Използвайте средства за наблюдение, за да идентифицирате подозрителна дейност и неоторизирани опити за достъп до данни. Сканирайте редовно, блокирайте уеб сайтове за сваляне на файлове и бъдете бдителни за измамни връзки.
Удобството от използване на безжичен достъп (Wi-Fi мрежа) е свързано с намаляване на сигурността. Атаката може да се реализира отдалечено, например за пътуващите служители има опасност от безжични атаки и заразяване с вируси, които те ще пренесат в организацията. Можете да ограничите тази заплаха, като се уверите, че всяко безжично устройство, свързано с вашата мрежа, има оторизиран профил за конфигуриране и сигурност.
Мрежата трябва да се сканира периодично, за да се идентифицират компрометираните точки за достъп или неразрешени устройства и да се разкрият опитите за атаки.
Хардуерът може да бъде конфигуриран да блокира безжичен достъп или да го ограничава само до оторизирани безжични мрежи.
Можете да блокирате използването на безжични периферни устройства, като Bluetooth слушалки, които могат да бъдат много несигурни.
Можете да използвате отделни виртуални мрежи (LAN) за ненадеждните устройства и да се уверете, че целият трафик е филтриран и одитиран.
Процесът на оторизация в дадена институция се извършва от даден служител, който преглежда вашата лична карта и сравнява снимката върху нея с вашето лице (едно условие). Друго условие може да бъде сравняването на вашия подпис с този, който е съхранен в базата данни на банката (подобно на потребителската парола). Оторизацията пред компютърна система се осъществява с помощта на код и парола. Оторизацията е процес, който се различава от процесът на електронната идентификация.
Електронна идентификация е понятие за използване на данни в електронна форма за идентификация на лица, които данни представляват по уникален начин дадено физическо лице[7].
[1] Младенов, М. Административните санкции на основания от GPPR, 2018 Вътрешен одитор, бр2стр. 23
[2] https://ec.europa.eu/justice/smedataprotect/index_bg.htm
[3] https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_bg
[4] https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_bg
[5] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_bg
[6] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_bg
[7] Игнатов, И. Компютърната сигурност и защитата на личните данни като част от дигиталните компетентности. Международна научна конференция Дългосрочни предизвикателства за развитие на средата на сигурност и изграждане на способности на Въоръжените сили, 2019, Част 2, стр. 239