Ще мога ли да си купя хляб сутрин без лична карта, ако съм с прошарена коса

© Надежда Чипева, Капитал

Цветина Лунгарова е специалист по защита на лични данни (CIPP/E) с международен опит в управлението на глобални програми за защита на лични данни, справяне с инциденти и течове на данни. Хоноруван преподавател е в СУ Св. "Климент Охридски" по "Международни бизнес проекти". Заглавието е на "Дневник".

Считано от 00.00ч. на 21 март влезе в сила Заповед РД-01-143/20.03.2020 г. на министъра на здравеопазването, която постановява лица до 60-годишна възраст да не бъдат допускани да посещават хранителните магазини и аптеките във времето от 8.30 до 10.30 ч всеки ден във връзка с осигуряване на коридор за снабдяване с лекарства и стоки от първа необходимост на рисковата група над 60 години и намаляване на риска от заразяване с COVID-19.

Докато целта на въведената мярка е ясна по смисъл, не така стои въпросът с реда за нейното прилагане от страна на собствениците на търговските обекти, за които се отнася. Логично възникват въпроси от страна на всички
заинтересувани страни (физически и юридически лица) дали аптеките и супермаркетите ще се наложи да упражняват фейс контрол като в дискотеките и ако да - ще може ли да си купим хляб без лична карта, ако сме с прошарена коса? Кой и как ще определи дали може да влезем или не?

Въпреки че регламентът за защита на личните данни e в сила от почти две години, зрелостта в разбирането му едва започва да се заражда. Поведението на компаниите се колебае от навика да събират прекалено много данни до пълния отказ да докосват тази материя, дори когато това е правилно и необходимо. Същата картина наблюдаваме и в този случай.

Какво може да се обърка на практика?

Вариант 1: Ясно е, че въведената заповед превръща хората до 60 години в обект на пряка дискриминация. Възможно е някой, към когото времето не е било милостиво и който не държи особено на цялата история с превенцията и социалната дистанция, да "мине между капките" и да влезе в периода, в който би следвало да е дискриминиран. Алтернативно - могат ли да се окажат в същия капан и лица, които са над тази граница? Някой, когото "не можеш да му дадеш годините", например? Ако отговорният служител за конролно-пропускателния режим упражнява субективна преценка - да.

Предпочитаме ли това да е възможен сценарий, защото ще се отрази добре на самочувствието ни в тези смутни времена, или все пак повече държим на правата и здравето си? Общо казано, вариантът, както дойде.

Вариант 2: На входа ни искат лични карти, няма място за тарикати, суета и т.н., всички са проверени надлежно - не е ли прекалено, биха казали много хора? А тези, които държат особено много на поверителността, сигурно ще са категорични: Много важно, че няма да ме пуснат, ще меся вкъщи, но личните си данни няма да им дам!

Кой може да проверява?

Кой трябва/може да реши как да се осъществява прилагането на заповедта?

Всяко юридическо лице, което попада в обхвата й, носи отговорност за прилагане на постановената мярка в дейността си. В закона за частната охранителна дейност се казва, че изпълнителите на частна охранителна
дейност осигуряват спазването на установения пропускателен режим за влизане в охранявания обект чрез "...проверка на документите за самоличност на външни лица...". Има ли пречка и ако не кой и как би следвало да осъществява подобни проверки в случаите, при които не се ползва такава услуга? Пречка няма, би могло да се възложи на служител в дадения търговски обект.

Какво още може да се обърка?

Вариант 1: Проверката на документи за самоличност представлява дйност по обработване на лични данни съгласно закона за защита на данните и общия регламент за зарита на данните, по-известен като GDPR. Това означава, че юридическите лица, които въвеждат тази дейност като определят целите и средствата за постигането й, придобиват ролята на администратори на лични данни и всички следващи от това изисквания:

- определяне на законното основание за тази дейност (Заповед РД-01-143/20.03.2020 г. на МЗ);

- средствата за осъществяването й (възлагане на частната охранителна фирма или на определени служители);

- създаване на известие за поверителност и поставнето му на видно място в обекта преди зоната, в която данните ще бъдат обработени;

- вписване в регистрите за дейности по обработване на лични данни на дружеството;

- определяне на минималните средства за постигане на целта (например: няма причина да записваме данните от личните карти, необходимо е да удостоверим само възрастта на лицето),

- гарантиране сигурност на данните - Privacy by design (като се погрижим проверката да не се извършва в обхвата на видеонаблюдение);

- преглед на това в какви роли сме с охранителнта фирма (Администратор-Обработващ, независими или съвместни администратори) и да изпълним съответно поетите помежду си ангажименти за инструкции, контрол и т.н.

Вариант 2: О, не! Много сложно стана! Никакви проверки на документи за самоличност няма да правим, ще се извършва субективна преценка на входа и така няма да обработваме лични данни и да се занимаваме с GDPR! - да, но НЕ.

Преценката за възрастта и здравословното състояние на човек, когато става въпрос за конкретен човек и ако резултатът от тази преценка го засяга съществено, също е дейност по обработване на лични данни. В конкретните
обстоятелства, би довело до ограничаването на възможността му да се снабди с лекарства и стоки от първа необходимост в даден момент в условията на пандемия и обявено извънредно положение в страната. Може също така да доведе до поемане на излишни рискове, свързани с допълнителни излизания за посещаване на други обекти в търсене на алтернатива, както и обратно - при погрешна преценка, в резултат на която са били допуснати лица до 60 годишна възраст да бъде увеличен рискът за неговото заразяване и заблуждаване за намален риск.

В допълнение ако юридическото лице се отдаде на илюзорния комфорт, че в тази ситуация не обработва лични данни, ще е в неизпълнение и на всички следващи от ролята му на Администратор задължения, респективно ще наруши и правата на субектите на данни да бъдат информирани; ще наруши принципа за точност на обработваните данни и т.н. (виж Вариант 1)

Вариант 1,5: Добре, не може ли да измислим нещо по средата?

Например, да проверяваме документи за самоличност само в случай на предявени претенции/възникнал спор относно упражнената субективна преценка? - и да, и не.

Такова решение не отменя обстоятелството, че се обработват лични данни, т.е., то само е съответно на принципа за минимизация, но всички свързани с дейността по обработване изисквания, следва да бъдат изпълнени. Също така ще е необходимо да бъде ясно документирана и комуникирана към субектите процедурата, при която ще имат възможност да възразят и да се възползват от правото си на корекция или иначе казано, да покажат документа си за самоличност, за да бъдат допуснати в крайна смтка да пазаруват ако все пак не им личат годините и са станали обект на погрешна преценка. Трябва да е ясно обаче, че при подобно решение за минимизиране, остава вероятността да бъде нарушено правото им на по-ниско рисково пазаруване като се окажат изложени на повишен риск от заразяване поради потенциало упражнена грешна преценка за друго лице, което следователно е неправомерно допуснато. В тази ситуация се нарушава принципа за точността и има пряко въздействие, свързано с живота и здравето не на едно, а на множество лица (защото не се очаква допуснатият сам да си признае).

И в крайна сметка - не може, може или трябва

да проверяват личните ни карти в хрнителните магазини и аптеките във времето между 8.30 и 10.30 часа?

Мерките за упражняване на преценка следва да гарантират обективност и точност. В този смисъл трябва да проверяват личните ни карти в хрнителните магазини и аптеките във времето между 8.30 и 10.30 ч. Независимо дали търговските обекти решат да ползват вариант 1 или вариант 1,5, те следва да приложат всички описани по-горе мерки. Внимателното им разглеждане сочи, че всичко това не е свързано с огромна допълнителна работа, а само с по-прецизна организация на процеса.

Тази регулация на потоците от хора е практически пример за това как задълбоченото разбиране на регламента за защита на личните данни и проникването му както в личната, така и в бизнес културата е абсолютно необходимо. Време е също така за осъзнаване - на гражданите по отношение на дадените им права и това, че GDPR не е само сбор от досадни искания за съгласие къде ли не, а средство за тяхна защита и на компаниите относно ролята им в този процес, съответно важността да я упражняват отговорно и компетентно - две думи, които така и така са ключови по принцип, а и за целия период, белязан от усилията ни за справяне с пандемията.