GDPR и свободно изразяване: как да оправим нещата

Защита на личните данни или свободното изразяване: как да решим проблема

Преди няколко дни във вестник Сега се появи статията „Управляващите въвеждат откровена цензура за медиите“, в чиято основа стои становището на Програма „Достъп до обществена информация“ във връзка с приемането на Законопроекта за изменение и допълнение на Закона за защита на личните данни (ЗИД на ЗЗЛД).

Колегите от Програма „Достъп до обществена информация“ са прави: законодателството уж в защита на личните данни всъщност е пречка пред медийната свобода и свободното изразяване въобще. И не само това. Особено в български условия са налице всички предпоставки темата за личните данни да се ползва не толкова по същинското си предназначение, а като претекст за оказване натиск срещу публикуването на критични публикации и фотографии, доколкото същите съдържат нечии лични данни.

За какво става дума?

От 25 май 2018 на територията на ЕС действа прословутият регламент 679/2016, много пo-известен в обществото като „GDPR“.

По време на обсъждането и приемането му от Европейския парламент и Съвета на Европейския съюз бе разпознато, че защитата на лични данни неминуемо влиза в конфликт с правото на свободно изразяване.

Понеже различните държави членки в ЕС уреждат тази материя по различен начин, то и GDPR делегира уреждането на този въпрос на националните парламенти:

Член 85

Обработване и свобода на изразяване и информация

1.   Държавите членки съгласуват със закон правото на защита на личните данни в съответствие с настоящия регламент с правото на свобода на изразяване и информация, включително обработването за журналистически цели и за целите на академичното, художественото или литературното изразяване.

2.   За обработването, извършвано за журналистически цели и за целите на академичното, художественото или литературното изразяване, държавите членки предвиждат изключения или дерогации от глава II (принципи), глава III (права на субекта на данни), глава IV (администратор и обработващ лични данни), глава V (предаване на лични данни на трети държави и международни организации), глава VI (независими надзорни органи), глава VII (сътрудничество и съгласуваност) и глава IX (особени ситуации на обработване на данни), ако те са необходими за съгласуване на правото на защита на личните данни със свободата на изразяване и информация.

3.   Всяка държава членка уведомява Комисията за разпоредбите в правото си, които е приела съгласно параграф 2, и я уведомява незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.

С други думи: у нас Народното събрание носи отговорността да „съгласува“ защитата на лични данни и правото на свободно изразяване в българското законодателство. Нека несполучливият превод на GDPR не ви обърква – „съгласува“ в конкретния случай означава „да постигне баланс“.

Министерски съвет пое в тази посока, като на 30.04.2018 качи първия ЗИД на ЗЗЛД за обществено обсъждане. Той уреждаше баланса между защитата на лични данни и правото на свободно изразяване по особено катастрофален начин:

Чл. 25д. (1) Когато при упражняването на правото на свобода на изразяване и информация, включително за журналистически цели и за целите на академичното, художественото или литературното изразяване, се обработват лични данни на физически лица, администраторът на лични данни прави преценка за законосъобразността на обработването във всеки конкретен случай. Решението на администратора не може непропорционално да ограничава свободата на изразяване и информация.

(2) При преценката по ал. 1 администраторът взема предвид съвкупността от следните критерии:

1. естеството на личните данни;

2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;

3. обстоятелствата, при които личните данни са станали известни на администратора;

4. характера и естеството на изявлението, чрез което се упражняват правата по ал.1;

5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;

6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 2, ал. 1 от Закона за публичност на имуществото на лицата, заемащи висши държавни и други длъжности или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност или чиито действия имат влияние върху обществото;

7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;

8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;

9. съответствието на изявлението, чрез което се упражняват правата по ал. 1 с основните права на гражданите;

10. други обстоятелства, относими към конкретния случай.

След като сте прочели горното, само за момент си представете ситуацията, в която например един фотограф, който се занимава с улична фотография, реши да заснеме лице как гледа във витрина на магазин и после публикува снимката си. Тук следва да имате предвид, че заснемането на дадено лице, което позволява неговото разпознаване, е обработване на лични данни. Също така обработване на лични данни е и публикуването на заснетата фотография.

Алтернативно си представете ситуацията, в която журналист реши да пише статия, посочвайки конкретни лица с имената им, т. е. обработвайки личните им данни.

След което разгледайте отново всички хипотези на чл. 25д, ал. 2, които същият фотограф или журналист следва да обмисли преди да пристъпи към „обработване“. Напълно ясно е, че това би действало възпиращо. И то не само за фотографи и журналисти, но и за преподаватели и изобщо всички представители на медийните, художествените и научните среди.

То също така би внесло допълнителна правна несигурност и то в условия на постоянно изтъняваща свобода на изразяване в България.

Няколко седмици и десетки становища по-късно (отнасящи се по-скоро до други лошо разписани в разпоредби), Министерски съвет внесе преработен Законопроет за изменение и допълнение на ЗЗЛД, чийто чл. 25д, леко изменен, вече изглеждаше така:

Чл. 25д. (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.

(2) При обработване на лични данни за целите по ал. 1 администраторът взема предвид следните критерии, когато са относими към конкретния случай:

1. естеството на личните данни;

2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;

3. обстоятелствата, при които личните данни са станали известни на администратора;

4. характера и естеството на изявлението, чрез което се упражняват правата по ал.1;

5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;

6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност, или чиито действия имат влияние върху обществото;

7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;

8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;

9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;

10. други обстоятелства, относими към конкретния случай.

(3) При обработване на лични данни за целите по ал. 1:

1. не се прилагат чл. 6, чл. 8-10, чл. 30, чл. 34 и глава пета от Регламент (ЕС) 2016/679;

2. администраторът или обработващият може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-21 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679.

(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.

(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение, чрез заснемане на лице в хода на обществената му дейност или на обществено място, не се прилагат чл. 6, чл. 12-21, чл. 30 и чл. 34 от Регламент (ЕС) 2016/679.

Макар и съдържащ някои подобрения спрямо първоначалния си текст (вижте ал. 3, 4 и 5), чл. 25д запази основния си проблем – необходимостта на администратора на лични данни (разбирай фотографа или журналиста) да прави сложни юридически преценки до какво евентуално би довело предприетото от него обработване на личните данни с оглед интересите на засегнатите лица.

Обсъждане в парламентарна комисия и работна група

В този си вид законопроектът бе внесен в Народното събрание, където водеща бе Комисията за вътрешна сигурност и обществен ред. Приех да участвам в тази комисия и създадената към нея работна група от името на Асоциацията на професионалните фотографи, които преди това се бяха обърнали за консултация към мен. С оглед избягването на всякакви съмнения изтъквам, че поех този ангажимент изцяло pro bono, тъй като и юридическата, и гражданската, и политическата ми позиция гласят, че свободното изразяване не бива да пада жертва на защитата на лични данни.

В работната група неколкократно изтъкнах слабостите на предложения в чл. 25д текст. Объранх внимание, че щом той е писан на основание чл. 85 от GDPR, то следва да се вземе предвид съображение 4 от същия:

Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност.

и да се търси баланс между правото на защита на лични данни и свободното изразяване в журналистиката, изкуството и науката. Това е така, защото в настоящия си вид ЗИД на ЗЗЛД поставя прегради пред свободното художествено и научно изразяване, а отделни негови разпоредби – визирам чл. 25д, ал. 2, които са насочени към „администраторите“, т. е. журналисти, фотографи, представители на научните среди, буквално действат възпиращо на последните да упражняват своята свобода на изразяване в полза на обществения интерес.

На това участващите в работната група представители на Комисията за защита на лични данни (КЗЛД) отвърнаха, че безкрайното изреждане на предпоставки, които администраторите да съобразявали, било един вид „кодификация“ на постановените във времето решения на ЕСПЧ и  българските съдилища по въпроси на защитата на лични данни и личната неприкосновеност. Тази кодификация според КЗЛД всъщност била много положителна, защото давала предвидимост и администраторите знаели какво точно се очаква от тях.

Моят аргумент срещу това бе, че правото на лична неприкосновеност е много по-широко от правото на защита на лични данни и „кодифицираната“ от КЗЛД съдебна практика, доколкото е приложима, представлява регулация ex-post, докато сега КЗЛД я взема като парче пластелин и я мачка до регулация ex-ante, т. е. регулация, от чието предварително изпълнение зависи дали обработването на данни е легитимно или не.

Допълних и, че легитимното опасение на обществените и професионални групи, които представлявам, е, че ако тази норма бъде приета в настоящия ѝ вид, в бъдеще цялата дискусия ще се концентрира само върху въпроса дали даден фотограф, примерно, или журналист, е извършил и документирал всички вменени му в чл. 25д, ал. 2 преценки. Това е така, защото доказателствената тежест за това е у администратора – той е длъжен да доказва дали обработването му на данни е легитимно, т. е. дали е извършил преценките по ал. 2.

Та, доколкото администраторът не успее да докаже, че е предприел всички преценки, то извършеното от него обработване по ал. 1 от същия член няма да е законосъобразно и администраторът ще носи съответната отговорност, която, както знаем, е много висока.

В крайна сметка изнурителната дискусия накара КЗЛД да помръдне малко и да приеме минимален компромис – задължението на администраторите да не се отнасяло до всяко „обработване“ на данни, а само до разкриване чрез предаване, разпространяване на данните или даване на достъп до тях по друг начин. 

Това бе застъпено в доклада на работната група, в който се предлага досегашният чл. 25д е да се превърне в чл. 25з със следния текст:

Чл. 25з. (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване, е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.

(2) При разкриване чрез предаване, разпространяване или друг начин, по който лични данни, събрани за целите по ал. 1, стават достъпни, балансът между свободата на изразяване и правото на информация и правото на защита на личните данни се преценява въз основа на следните критерии:

1. естеството на личните данни;

2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;

3. обстоятелствата, при които личните данни са станали известни на администратора;

4. характера и естеството на изявлението, чрез което се упражняват правата по ал. 1;

5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;

6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност, или чиито действия имат влияние върху обществото;

7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;

8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;

9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;

10. други обстоятелства, относими към конкретния случай.

(3) При обработване на лични данни за целите по ал. 1:

1. не се прилагат чл. 6, 9, 10, 30, 34 и глава пета от Регламент (ЕС) 2016/679, както и чл. 25в;

2. администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-21 от Регламент (ЕС) 2016/679.

(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.

(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение, чрез заснемане на лице в хода на обществената му дейност или на обществено място, не се прилагат чл. 6, чл. 12-21, чл. 30 и чл. 34 от Регламент (ЕС) 2016/679.

Как да решим проблема?

Тъй като основният проблем с безкрайно утежняващото преценяване на предпоставки в ал. 2 продължава да е на дневен ред, смятам, че народните ни представители следва да бъдат запознати къде същата материя е уредена по значително по-смислен начин.

Интересен и вдъхновяващ по скромното ми мнение е примерът на Австрия.

§ 9, ал. 1 от техния закон за защита на личните данни (Datenschutzgesetz или съкратено DSG) приема, че при обработването на лични данни от журналисти, издатели или техните служители не се прилага огромна част от GDPR, а именно неговите Глава ІІ (Принципи), III (Права на субекта на данни), IV (Администратор и обработващ лични данни), V (Предаване на лични данни на трети държави или международни организации), VI (Независими надзорни органи), VII (Сътрудничество и съгласуваност) и IX (Разпоредби, свързани с особени ситуации на обработване) от Регламент (ЕС) 2016/679.

Ал. 2 от същата разпоредба казва, че изброените предходно части на GDPR не се прилагат и доколкото обработването служи на научни, художествени или литературни цели и това е необходимо за привеждане на правото на защита на личните данни в съответствие със свободата на изразяване и достъпа до информация.

Както виждате, австрийският закон е безкрайно ясен и изключва приложението на GDPR за журналистите и медийните организации. А доколкото при обработването на данни за определени цели (научни, художествени или литературни) е нужна преценка, то тя не се дължи от администраторите, а от правоприлагащия орган.

Това принципно положение безспорно е много по-добро както за медиите, така и за творческото и научно изразяване и свободата на словото въобще.

С оглед на гореизложеното считам, че предложеният в доклада на работната група чл. 25з може и следва да се измени така:

Чл. 25з. (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване, е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация.

(2) При обработване на лични данни за целите по ал. 1 не се прилагат Глава ІІ (Принципи), III (Права на субекта на данни), IV (Администратор и обработващ лични данни), V (Предаване на лични данни на трети държави или международни организации), VI (Независими надзорни органи), VII (Сътрудничество и съгласуваност) и IX (Разпоредби, свързани с особени ситуации на обработване) от Регламент (ЕС) 2016/679, доколкото това е необходимо за привеждане на правото на защита на личните данни в съответствие със свободата на изразяване и правото на информация.

(2) При разкриване чрез предаване, разпространяване или друг начин, по който лични данни, събрани за целите по ал. 1, стават достъпни, балансът между свободата на изразяване и правото на информация и правото на защита на личните данни се преценява въз основа на следните критерии:

1. естеството на личните данни;

2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;

3. обстоятелствата, при които личните данни са станали известни на администратора;

4. характера и естеството на изявлението, чрез което се упражняват правата по ал. 1;

5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;

6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност, или чиито действия имат влияние върху обществото;

7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;

8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;

9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;

10. други обстоятелства, относими към конкретния случай.

(3) При обработване на лични данни за целите по ал. 1:

1. не се прилагат чл. 6, 9, 10, 30, 34 и глава пета от Регламент (ЕС) 2016/679, както и чл. 25в;

2. администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-21 от Регламент (ЕС) 2016/679.

(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.

(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение, чрез заснемане на лице в хода на обществената му дейност или на обществено място, не се прилагат чл. 6, чл. 12-21, чл. 30 и чл. 34 от Регламент (ЕС) 2016/679.

Така разписаното предложение е мотивирано от непоклатимото ми убеждение, че журналисти, фотографи и други представители на творческото и научно изразяване трябва да могат да работят свободно и спокойно.

Те трябва да имат предвидимостта, че обработването на лични данни е законосъобразно за целите на професионалната им дейност. Те също така трябва да разполагат с нужното за работата им спокойствие, че законът не им вменява непосилна за изпълнение отговорност, от която да произтича заплахата за непосилна за имущественото им състояние глоба. Което в крайна сметка да ги кара да си налагат автоцензура и по този начин да лишава нас като общество от резултата на тяхната работа.

На финал смятам, че депутатите в настоящия 44-ти парламент следва да се запознаят както с изложените критични бележки и становища, така и с направените предложения, които да вземат предвид при окончателното приемане на измененията в Закона за защита на личните данни.

Народните ни представители имат историческия шанс да покажат, че подкрепят свободното изразяване и са против мерки, които потенциално „страхуват“ фотографи, журналисти и творци да си вършат работата.

Изборът, както винаги, е техен. С всички плюсове и минуси от това.

Снимка – свободен достъп на Pixabay