Венета Шопова е председател на Комисията за защита на личните данни. Поводът за интервюто с нея е скандалът “БСП-лийкс”, за който OFFNews писа – кореспонденция на левицата с частна фирма, която показа, че партията е поръчала телефонна агитация преди парламентарните избори през 2009 г., възползвайки се от незаконно придобити лични данни – ЕГН и телефонни номера, на 2 милиона български граждани над 55 г.

Започнахте ли проверка по случая „БСП-лийкс“, както го кръстихме?
Започнахме със събирането на документи, предоставиха ни самия договор от БСП. Но въз основа на него и на становището от другат страна (фирмата изпълнител „60 К“), което обаче не ни удовлетвоярва. Продължаваме със събирането на доказателства.

Не ви удовлетворява отговорът на 60 К? Защо?

Прекалено малко информация са дали – от сорта на това, че работят законосъобразно, че случаят е отпреди доста време и т.н. Те имат договорни отношения с БСП от май месец 2009 г. (месец преди парламентарните избори тогава – бел. ред.) със срок на договора до 6 месеца. Но ще ги мотивираме да си изпълнят задължението по нашия закон, продължаваме. Тази седмица пристигнаха и двете становища – на БСП и фирмата.

В състояние ли сте да направите такава проверка? Как се доказва дали дадена база лични данни на определен администратор на лични данни (какъвто е БТК – бел.ред.) е копирана, каквото е подозрението в случая?

Правена е такава проверка – по една предходна жалба на члена на комисията по досиетата Екатерина Бончева във връзка с телефонни обаждания към нея, пак свързани с БСП. Тогава беше направена проверка в БТК, твърдеше се, че оттам е ползвана базата данни, от телефонния указател. Направи се по конкретния казус проверка и се оказа, че до 2007 г. тя е фигурирала в публичния телефонен указател, а от 2007 г. нататък – не. И при проверката се установи, че не са предоставени данни от БТК към трети лица, камо ли с цел предизборна агитация. Тогава се оказа, че на списък хора, на случаен принцип, са били разпращани гласови съобщения. И тогава самата Бончева оттегли жалбата си срещу БТК, но не оттегли жалбата срещу БСП.

В случая, ако се установи нарушение, кой ще е нарушителят – лицето, което неправомерно е достъпило база лични данни (фирмата „60 К“), предполагаемият администратор, от който ги е придобил (БТК) или ползвателят на услугата (БСП)? Къде е вината?

Може да има вина и в двете страни, а може и в никоя. Едва ли някоя от телекомуникационните компании на нашия пазар, а две от тях са и със сериозно чуждо участие, както знаете, биха позволили някой да им хакне базата данни – най-малкото защото това са им клиенти. А всеки си пази клиентите и парите. По смисъла на нашия закон, в повечето случаи сме наказвали тези , които използват незаконосъобразно нечии лични данни, тяхна е по-голямата вина, така да се каже.

Проверката започва от това дали проверяваното юридическо или физическо лице е администратор на лични данни. И оказва се, че мнозинството – включително физически лица, са си направили труда да се регистрират като администратор на лични данни, много рядко наказваме някой, че не се е регистрирал. Явно хората вече знаят за какво става дума и поне това формално задължение по нашия закон за защита на личните данни го изпълняват.
Разбира се, в някои по-редки случаи наказваме и тези, от които е изтекла информация. Защото те пък не са спазили организационните, технически и ако щете, човешки мерки за предотвратяване на такъв теч. В едно 50% от случаите се оказва, че става дума за обикновена немарливост или незнание на самите служители.

В конкретния случай обаче има едно смущаващо съвпадение – собственикът на фирма „60 К“ Джонатан Гладуиш е бивш директор в БТК. Ще направите ли проверка за изтичане на база данни точно от телекома?
Това не съм го знаела, преди да прочета публикациите. Иначе естествено в становищата на двете страни (БСП и фирмата – бел. ред.) не се коментира този факт. Нека да съберем всички доказателства и тогава ще преценим. Ние постоянно правим текущи проверки, доста „тормозим“, бих казала, мобилните оператори. В конкретния случай ще търсим основания за използване на лични данни – от кого, в какъв обем, на какво правно основание. И дали въобще се е случило това.

„60 К“ регистрирани ли са като администратор на лични данни?

Имат регистрация.

В кореспонденцията от 2009 г. между депутата от БСП Кирил Добрев и фирма „60 К“ се споменава един важен детайл – че такава база лични данни има „пазарна цена“ от 4 млн. лева. Уговорката е БСП да получи услугата много по-евтино. Имате ли представа дали действително за такива „злоупотребени“ бази данни съществува някаква пазарна цена, как вървят?

Никаква идея нямам. Знаете, че напоследък в медиите се коментират оплакванията на различни хора, за това, че по мейлите им идват предложения за продажба на бази данни с имена и мейли. Включително на моя личен мейл дойде такава оферта. Понасъбрахме доста оплаквания, но по Закона за електронните съобщения ние нямаме правомощия да проверяваме трафични данни. Както се казва, ще ни бият през ръцете, ако тръгнаем да го правим. Така че сме изпратили всички материали по тези случаи в МВР и очакваме съдействие оттам. Имат доброто желание да ни помогнат, но към настоящия момент нямаме обратна информация. Нямаме индикация, че няма да го направят – мисля, че такава проверка представлява и оперативен интерес.

От телекомите и другите големи администратори на лични данни хващан ли е някой досега в такава мащабна злоупотреба?

Не. Може би защото осъществяваме сериозен контрол от 2008 г. насам – да преустановят копиране на лични карти, шрифотве и т.н. А и поради факта, че най-голям брой оплаквания има тъкмо срещу тях, там правим текущи проверки. Характерно е, че при тях правим и най-често изненадващи проверки, включително в разплащателната им система, клиентските бази данни. Така че нещо по-мащабно не е хващано. Съобразяват се общо взето, имат едно наум. Предпазливи са, пазят си клиентите, пазят си гърба. Още повече, знаете, те подлежат на много регулаторни режими. Ние сме им, както се казва, поредните, така че гледат да са стриктни, в това, което проверяваме и се изисква от тях по закон. Когато си направят някой гаф, ги санкционираме.
Има слух – не зная дали е „градска легенда“, че по принцип телекомите – и в България, търгуват слични данни, понеже разполагат с голяма база данни с профили на различни клиенти, представляваща интерес за различни компании – за маркетинг и др.

Имате ли представа дали действително се правят такива клиентски профили и дали тече някаква сива търговия с тях от големите администратори на лични данни?

Знам ли. Вярно е, че имат големи бази данни, по смисъла на нашия закон – какви сметки плаща или не плаща клентът. Оставете лични данни – като ЕГН, адрес и т.н. По смисъла на нашия закон това са си данни относно икономическото състояние. Включително сме коментирали въпроса за клиентите на два от монополите – „Софийска вода“ и „Топлофикация“. Те знаят и какви имоти имаме – къде са, какво са и колко са скъпи. Но нямам идея. Те обективно си имат профил на всеки един клиент, но не знам доколко са изкушени да продават такива данни. Малко ме съмнява да правят чак това. Мисля, че достатъчно печелят от други дейности, за да печелят от това. Както се казва, ще включат още двама събирачи на задължения и ще си докарат повече пари. Но с нашите правомощия няма как да заловим такава продажба. Имахме един случай, в който директно на заседание на комисията, си казаха, че са си продали базата данни едни сладури. Кръстихме го „случая с ягодовите храсти“. Купувачите на въпросните храсти, по обяви във вестници, получават в пощенската си кутия писмо от една гадателка в Украйна, която им предлага да им изготви хороскоп и да ги предпази от всички световни злини. И тук събрахме двете дружества, и те директно си казаха – може би се изпуснаха, че едното е продало базата си данни с клиенти на другото, където се вихри тази гадателка. Санкционирахме ги.

Случвало ли се е преди партия да използва такъв предизборен прийом, свързан с лични данни?

Имали сме няколко случая. Срещу  ДСБ имахме жалба на предните избори – ваш колега журналист се оплака, че получил лично до него плик с предизборни материали. По-рано, когато НДСВ беше актуално, и срещу тях сме получавали такива сигнали. Там се оказа, че има таргет група – тези, които гласуват за първи път, 18-годишните, което беше също смущаващо. Има такива казуси. Имали сме редица оплаквания – включително от лица, които са били вписвани като застъпници, а не са били такива. Общо взето, каквито лоши практики е имало в предизбортни агитации, всичко е стигнало до нас.

Е, журналистите сме в по-особена ситуация, тъй като партиите ни имат координатите.

Но всички други си бяха абсолютно обикновени хора – било то от Пловдив или от Монтана, или от други места. Така че очакваме с интерес, за съжаление, следващите избори. Макар че много комуникираме преди това с всички партии – и парламентарно представени, и не, от ЦИК искаме данни за партиите и даваме указания, за да избегнем такива желания за нетрадиционно използване на данни. Хубаво е, дори да не се стигне до големи глоби и накзания, да се знае, че не спят нито хората, нито комисията, нито другите органи и имат отношение към изборния процес специално.

За тази година каква е рекапитулацията за работата ви?
Ние на 31 януари трябва да депозираме в парламента годишния си отчет. Интересен ще бъде. Той става голям, защото колегите от различните дирекции имат множество казуси. Продължават нарушенията в сектора телекомуникации, банки – искаш, не искаш, издадена ти е кредитна карта, или пък получаваш известие, че си длъжник, а ти въобще не си сключвал договор с тази банка. В много случаи жалбите се преплитат с наказателната материя. Където можем, ги решаваме, другите ги препращаме по компетентност към прокуратурата. Или понякога изчакваме да приключи там производството по конкретни казуси и ние продължаваме работата по тях при нас.

Много се раздвижиха напоследък хората и по повод етажната собственост – всеки се вълнува като види монтирана видеокамера – кого наблюдава тя, как, къде се съхраняват записите, кой има достъп до тях. И много жалби продължават за съжаление към колекторските фирми, събирачите на вземания. За съжаление, не можем да преустановим това нагло поведение (методите им на работа), елегантно казано, но там не можем да се намесим. Но постоянно ги привикваме да дават обяснения по жалби. А и в доста от случаите налагаме наказания. Няма какво да крием, в голямата част от тези жалби жалбоподателите действително са длъжници и не са плащали доста време. В тези случаи има нарушение, когато се установи, че лицето не е длъжник или че не е уведомено, че има задължение, или че не е уведомено за прехвърлянето на неговото вземане. В такива случаи наказанията са и за този, който е предоставил данните на длъжника, защото го е направил без правно основание.

Много следим комуникацията между фирмите и колекторските фирми – понеже те си изпращат данните за длъжници по електронен път. Внимававме да си изпращат информацията, необходима за събиране на задъжението и не повече от нея.

С тези си действията целим да разбием у тях усещането, че всяко лице със сключване на договора си с тях, е потенциален длъжник.

Имате ли наказани за тази година, кои са най-големите санкции, които сте наложили?
Има наказани – и колекторски фирми, и оператори за интернет и телевизия. Тъй като се касае за злоупотреба с лични данни, издавали сме решения, с които наказваме с над 20 000 лв. глоба.

Оцеляват ли в съда глобите ви?
Някои оцеляват, други се влачат с времето. Но в повечето случаи, след като спечелим, почва биткатасъ събирането, тогава прехвърляме вземанията към НАП. Но в крайна сметка имаме и доброволно платени глоби, и такива, които са принудително събрани от НАП.
В Наказателния кодекс фигурира престъпление, свързано с лични данни – би следвало да се наказва лицето, които наруши неприкосновеността на база лични данни.

Тези случаи се водят компютърни престъпления и не са от нашите компетенции. Иначе в момента се обсъжда нова евродиректива, с която да се инкриминира злоупотребата с лични данни.