Автор: Адв. Иво АЛЕКСАНДРОВ, Адв. Марио АРАБИСТАНОВ
Списание „Счетоводство, данъци право“: брой 4/5, 2020 г.

Изправени сме може би пред най-голямата световна криза, която днешното поколение, израснало с комуникационните технологии, е срещало. Бурята ще отмине, но изборите, които правим сега, могат да променят начина ни на живот в следващите години. Мерки и действия, които не само днес, но и занапред ще оформят нашия икономически, политически и културен живот. Трябва да се действа бързо, но трябва да се преценят и дългосрочните последици от избора ни сега. Някои краткосрочни спешни мерки могат да се превърнат в ежедневие в недалечно бъдеще. Това следва и от природата на подобни ситуации, които забързват историческите събития. Решения, които в обикновени времена биха отнели години, сега се вземат в рамките на дни. За да се ограничат последствията от епидемията, са предвидими два основни начина за постигане на това - национална солидарност и спазване на ограничения за социална дистанция, или ако това не е нашият избор, на масово наблюдение, следене на вирусоносителите и налагане на наказания на тези, които нарушават мерките.

Как правителствата следят гражданите?

За първи път в човешката история технологиите позволяват следенето на всички граждани 24 часа в денонощието. В борбата срещу разпространението на Covid-19 правителствата вече предприеха действия по наблюдение на населението.

Положението на България на световната карта в това отношение може да се установи след съпоставянето й с други държави, които вече ефективно са приложили или сега прилагат такъв тип наблюдение.

Най-забележителният случай е Китай, където държавата следи смартфоните на хората и използва милиони камери за разпознаване на лица. В допълнение към това хората са задължени да проверяват телесната си температура и да информират властите за медицинското си състояние. По такъв начин компетентните органи бързо идентифицират заподозрените носители на коронавирус, но и проследяват движението на заразените, установявайки всеки, с когото са влизали в контакт. Тази мярка е лесно приложима в Китай, поради предишни законодателни промени, свързани с възможността да ползваш смартфон и съпътстващите го услуги.

През 2010 г. правителството на Китай въведе изискването абонатите на телекомуникационни услуги да се регистрират с истинската си самоличност. Допълнително, банковите сметки и социално-осигурителните номера на гражданите са обвързани с плановете за телекомуникационни услуги и приложения, инсталирани на телефоните, проверяват SIM-картите в държавната база данни, за да се уверят, че съответният номер принадлежи на потребителя.

На 01.12.2019 г. Китай въведе задължително сканиране на лицето за потвърждаване самоличността на всеки, регистриращ мобилния си телефон.

На 10.03.2020 г. и в резултат избухването на епидемията Пекин първи установи използването на „Здравен код“. Всички китайски граждани са задължени да инсталират приложение на мобилното си устройство и да предоставят лична информация за здравословното си състояние. Приложението генерира QR-код, който се показва в три цвята, за да класифицира нивото на здраве на потребителя. Местните жители могат да се придвижват само с одобрен „Зелен здравен код“, т.е. невъзможно е човек да прекрати използването на мобилния си телефон.

В Сингапур камери за наблюдение, полицейски служители и екипи за проследяване са в помощ на правителството да открие близки контакти на потвърдени случаи, за да бъдат поставени под карантина. В допълнение Правителствената агенция за технологии (GovTech) и Министерството на здравеопазването разработиха приложение, което използва Bluetooth за следене и запис на разстоянието между потребителите на приложението и продължителността на техните срещи, като по този начин се установява евентуален контакт с вирусоносители. Потребителите се съгласяват да предоставят своята лична информация, която се криптира и се изпраща на Министерството на здравеопазването. Приложението бе пуснато за употреба от правителството на 20.03.2020 г. и няма задължителен характер, като криптираната информация се изтрива след 21 дни.

На 16 март тази година в Израел, с цел проследяване на пациенти с коронавирус, премиерът Бенямин Нетаняху упълномощи Израелската агенция за сигурност да внедри технология за наблюдение, използвана при борбата с терористи. Данни от мобилните устройства на гражданите на Израел се събират от 2002 г. Когато съответната парламентарна комисия отказа да одобри мярката, Бенямин Нетаняху я разреши с „извънреден указ“.

В Европейския съюз доставчиците на телекомуникационни услуги предоставят данни на здравните власти в Италия, Германия и Австрия с цел следене дали хората следват инструкциите за поддържане на социална дистанция, както и да останат близо до домовете си по време на епидемията. Данните за местоположението, които в момента се споделят от доставчиците на мобилни услуги, са анонимни и обобщени.

Според „Ройтерс“ в региона на Ломбардия, където е наложена мярка на гражданите да останат по домовете си, е установено, че движението е намалено с около 60 процента през изминалия месец.

Най-агресивен подход в проследяването на местоположението на мобилните устройства е приложен в Южна Корея, където правителството създаде публично достъпна карта от данни за мобилни устройства. Гражданите могат свободно да използват данните, за да определят дали са влезли в контакт с някой, който е заразен с коронавирус. Същевременно Южна Корея се оценява като успешна държава в усилията по ограничаване разпространението на вируса.

Каква мярка се прие в България?

С Преходните и заключителните разпоредби на Закона за мерките и действията по време на извънредното положение (обн. ДВ, бр. 28 от 24.03.2020 г., изм. и доп. бр. 34 от 09.04.2020 г.) се направиха допълнения в разпоредбите на чл. 251б, 251в, 251г и 251г1 от Закона за електронните съобщения.

Допълненията предвиждат част от трафичните данни (установяване на идентификатор на ползваните клетки) на потребителите на телекомуникационни услуги да се съхраняват за срок от шест месеца и за нуждите на принудителното изпълнение на задължителната изолация и болничното лечение на лица по чл. 61 от Закона за здравето, които са отказали или не изпълняват задължителна изолация и лечение. Право да искат извършване на справка за тези данни, когато те са необходими за изпълнение на техните правомощия, имат Главна дирекция „Национална полиция“, Столичната дирекция на вътрешните работи и областните дирекции на Министерството на вътрешните работи.

Телекомуникационните оператори предоставят незабавен достъп до трафичните данни, въз основа на искане на съответния ръководител на споменатите структури. Ръководителите на тези структури уведомяват незабавно председателя на районния съд или оправомощен от него съдия по седалището на органа, който е поискал достъп за осъществения достъп, прилагат искането и излагат мотиви. Ако в срок от 24 часа от уведомяването бъде постановен отказ от съответния съдия, данните се унищожават незабавно и се уведомява незабавно операторът, предоставящ обществени електронни съобщителни мрежи и/или услуги.

Вече излезе заблуждаваща информация в публичното пространство, че полицията, без да доказва интерес, вече може да достъпи данните на гражданите и че това може да се разпростре върху всички и ще важи и след отпадане на извънредното положение без съдебен контрол.

Първо, достъпът до трафични данни може да се предостави само по отношение на лица по чл. 61 от Закона за здравето - лица, болни и заразоносители от холера, чума, вариола, жълта треска, вирусни хеморагични трески, дифтерия, коремен тиф, полиомиелит, бруцелоза, антракс, малария, тежък остър респираторен синдром и туберкулоза с бацилоотделяне. Списъкът с болести може да бъде допълнен със заповед на министъра на здравеопазването.

Второ, със Заповед от 25.03.2020 г. министърът на здравеопазването въвежда задължителна регистрация, съобщаване и отчет на COVID-19 по реда на Наредба № 21 от 2005 г. за реда за регистрация, съобщаване и отчет на заразните болести, като всеки случай на COVID-19 се съобщава и се регистрира по реда в наредбата.

Трето, за да е налице необходимост от достъп до трафичните данни, трябва лицето да е диагностицирано с някоя от изредените болести, да е регистрирано като такова и да е отказало, или да не изпълнява задължителна изолация и лечение.

Четвърто, налице е съдебен контрол, като органите уведомяват незабавно съответния съдия и прилагат мотивирано искане. За да бъде избегнато постановяването на откази поради липса на мотиви, искането трябва да бъде придружено с данни и доказателства за изброените по-горе обстоятелства за лицето, сред които задължително се изисква посочване на правното основание и целта, за която е необходим достъпът; данни за потребителя; данните, които следва да се отразят в справката; периода от време, който да обхваща справката; пълно и изчерпателно посочване на фактите и обстоятелствата, обуславящи целта на искането; определеното длъжностно лице, на което да се предоставят данните.

Ако не е предоставена информация, вероятно е и съдът да прави служебно справка от регистъра по Наредба № 21 от 2005 г. дали лицето е диагностицирано с някоя от изредените болести и дали е отказало лечение.

Пето, възможността за следене на трафични данни в случаи извън наказателно преследване бе предвидена в Закона за електронните съобщенията и преди извънредното положение - при сигнал за лице, което е изпаднало или може да изпадне в положение, поставящо в риск живота или здравето му и за осъществяване на операции по издирване и спасяване на лица. Тази промяна бе наложена поради същественото значение на времето при провеждане на спасителни операции (например в планината). Често в такива случаи административното забавяне при разрешаване на достъп до трафичните данни може да се окаже фатално при спасяването на лица, изпаднали в беда.

Какво представляват трафичните данни?

Трафичните данни са данните, създадени или обработени в процеса на дейност на телекомуникационните оператори, които са необходими за: проследяване и идентифициране на източника на връзката; идентифициране на направлението на връзката; датата, часа и продължителността на връзката; типа на връзката; крайното електронно съобщително устройство на потребителя или на това, което се представя за негово крайно устройство, както и за установяване на идентификатор на ползваните клетки.

От справка за трафичните данни не може да се разбере какво е съдържанието на разговор или съобщение. Трафичните данни се предоставят за предишен период. Към момента не е известно на обществеността органите на реда да разполагат с технически капацитет или с кадрова възможност да следят в реално време със съдействието на телекомуникационните оператори трафични данни на потребителите.

Отчитайки целта на закона лицата, отказали или неизпълнили задължителната изолация и лечение, да бъдат подведени под наказателна отговорност, следва органите на реда да отправят мотивирани искания единствено за достъп до данни за установяване на идентификатор на ползваните клетки на конкретно лице за периода на задължителната изолация или лечение.

Важно е да отбележим, че компетентните органи не могат да изискват цялата информация, която попада в обхвата на т. нар. трафични данни - данните, които телекомите могат да предоставят.

Как можем да се информираме дали е осъществен достъп до данните ни?

Трафичните данни, както и данните за здравословното състояние, са лични данни и попадат в обхвата на правото на Европейския съюз и българското законодателство. Конкретно, обработването и достъпът до лични данни е предмет на Директива (ЕС) 2016/679 (GDPR).

Когато обаче данните са предмет на обработване от компетентните органи за целите на предотвратяването, разследването, разкриването на престъпления, включително предпазването от и предотвратяването на заплахи за обществената сигурност, приложими са също Регламент (ЕС) 2018/1725 и Директивата за защита на личните данни в полицейската и наказателната дейност (Директива (ЕС) 2016/680), която е транспонирана в българския Закон за защита на личните данни.

Съгласно приложимото законодателство, българските граждани имат право:

  • да получат информация от Министерството на здравеопазването дали са били регистрирани в списъка на болните лица по Наредба № 21 от 2005 г.;
  • да получат информация от доставчиците на телекомуникационни услуги дали техни лични данни са предоставяни на органите на реда;
  • и не на последно място българските граждани имат право да получат от органите на реда потвърждение дали се обработват лични данни, които ги засягат, и ако случаят е такъв, да получат достъп до информация за целите и правното основание за обработването; обработваните категории лични данни; получателите или категориите получатели, пред които са разкрити личните данни; предвидения срок, за който ще се съхраняват личните данни; правото да се подаде жалба до надзорния орган и неговите координати за връзка.

Горната информация би могла да бъде изискана при упражняване на права от субектите на данни съгласно GDPR. По-конкретно при упражняване на правото за достъп съгласно чл. 15 от GDPR.

В тази хипотеза лицата могат да изискат информация от администраторите, която включва: целите на обработването, съответните категории лични данни, които се обработват, третите лица/категориите трети лица, пред които данните са били разкрити и други.

Редът за упражняване на права по GDPR е описан в българския Закон за защита на личните данни (ЗЗЛД) - това може да стане чрез писмено заявление до съответния администратор на лични данни, по електронен път или по друг начин, определен от него.

Възниква въпросът правото ни за достъп до информация абсолютно ли е и има ли право на преценка администраторът, когато сме подали такова искане?

Краткият отговор на горния въпрос е „не“.

Член 37а ЗЗЛД изрежда изрични хипотези, в които администраторът има право да откаже пълно или частично упражняване на права по GDPR, като например когато упражняването на тези права може да създаде риск за: националната сигурност, обществения ред и сигурност, предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност, и др.

Тук следва да отбележим, че съгласно чл. 355 от Наказателния кодекс, обявено за престъпление деяние е това деяние, чрез което едно лице нарушава наредба, правила или мерки, издадени против разпространяването или появяването на заразна болест по хората - в тази категория влизат и поставените под карантина лица във връзка с разпространението на COVID-19.

Изложеното по-горе показва, че ако за едно лице е поискан достъп до трафични данни от компетентните органи съгласно последните изменения в Закона за електронните съобщения и това лице желае да упражни право на достъп до личните си данни (включително относно категории лица, пред които същите са били разкривани), то е възможно администраторът на лични данни - съответният телеком - да откаже да предостави тази информация, тъй като с тези си действия би могъл да създаде риск както за обществения ред и сигурност, така и при потенциално разследване и разкриване на престъпления.

Комисията за защита на личните данни (КЗЛД) упражнява контрол върху защитата на данните. КЗЛД получава информация от всяко предприятие, предоставящо електронни съобщителни услуги, относно получени и обработени искания за достъп до трафични данни съгласно чл. 261а, ал. 4 от Закона за електронните съобщения.

По този начин КЗЛД има информация за нивото на намеса в личната сфера на субектите на данни от компетентните органи.

За какво да внимаваме като общество и какво можем да направим?

Световната здравна организация призова за по-стриктни мерки при следенето на заразени с COVID-19.

През последните години както правителствата, така и политически партии по света използват иновативни технологии за проследяване и наблюдение на гражданите. Има агенции, които са фокусирани изцяло върху такъв тип проследяване, наблюдение и анализиране на информацията.

Например според анализ на българска агенция, основан на технология за позициониране на смартфони, която отчита устройства с български SIM-карти и/или ползващи приложения на български език на смартфона си, за периода между 11 и 17 март 2020 г. над 8000 такива потребители са пътували до България.

Определянето на местоположението в случая е извършено на база геостационарното позициониране на телефона, достъп до статистическа информация на Комисия за регулиране на съобщенията за броя на българските SIM-карти и анализ на поведението на потребителите при използването на личните им мобилни устройства.

И все пак, ако не сме внимателни, епидемията може да е важен прелом в историята на следенето и наблюдението на гражданите поради риска извънредното положение да нормализира използването на инструменти за масово наблюдение в страни, които досега са отхвърлили подобни мерки. Технологиите за наблюдение и следене се развиват с изключителна скорост и това, което изглеждаше като научна фантастика преди десет години, днес вече е достъпно. За момента не е известно българското правителство да разполага с технология за наблюдение, следене и анализиране поведението на гражданите, нито да събира трафични данни извън изчерпателно посочените в закон случаи.

От една страна, идеята, че проследяването на заразени може да помогне за бързото установяване на контактни лица и ограничаване разпространението на заразата, е добра. В България обаче целта на мярката е по-скоро да въздейства върху намерението на гражданите да нарушат задължителна изолация.

Негативният ефект, за който трябва да се следи внимателно, е тези цели да не легитимират приложението на система за наблюдение, защото понякога временните мерки надживяват периодите на извънредно положение.

Например Израел е обявил извънредно положение по време на войната за независимост от 1948 г., с което се оправдават определени временни мерки - от цензура на пресата и конфискация на имущество, до специални разпоредби, свързани с домакинството. Войната за независимост отдавна е приключила, но Израел все още не издал акт за отмяна на извънредното положение, с който да премахне много от „временните“ мерки от 1948 г.

Това, което можем да направим като общество, е да осъществяваме обратен контрол и при съмнение, че наши лични данни, включително трафични данни, са били използвани и обработвани от трети лица или органи на реда, да изискаме информация защо, с каква цел и на какво правно основание се извършва това.

Ако са нарушени правата ни в резултат на неправомерен достъп до личните ни данни, по съдебен ред можем да потърсим отговорност и защита на правата си.

Адв. Иво АЛЕКСАНДРОВ, Съдружник и директор на Дирекция „Регулаторни режими“ в АД „Камбуров и съдружници“
Адв. Марио АРАБИСТАНОВ, Старши консултант от Дирекция „Технологии, медии и телекомуникации“ в АД „Камбуров и съдружници“