Tag Archives: лични данни

Съд на ЕС: предоставяне на потребителски данни на полицията – кога?

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/05/16/ecj_privacy/

Известно е Заключението на Генералния адвокат по дело  C‑207/16 въз основа на преюдициално запитване, отправено от Audiencia Provincial de Tarragona (съд на провинция Тарагона, Испания).

Запитването се отнася до тълкуването на понятието „тежки престъпления“ по смисъла на практиката на Съда, установена с решение Digital Rights Ireland и решение Tele2 Sverige и Watson  – в които това понятие се използва като критерий за преценка на законосъобразността и пропорционалността на намесата в правата по членове 7 и 8 от Хартата на основните права на Европейския съюз  –  именно съответно правото на зачитане на личния и семейния живот, както и правото на защита на личните данни.

Запитване е направено в контекста на производство по жалба против съдебно решение, с което на полицейски органи е отказана възможността да им бъдат предадени   данни, притежавани от мобилни телефонни оператори, с цел идентифициране на лица за нуждите на наказателно разследване. Обжалваното решение е мотивирано по-специално със съображението, че деянията, предмет на това разследване, не съставляват тежко престъпление, в разрез с изискванията на приложимата испанска правна уредба.

Въпросите:

„1)      Може ли достатъчната тежест на престъплението като критерий, обосноваващ засягането на признатите в членове 7 и 8 от [Хартата] основни права, да се определи единствено с оглед на наказанието, което може да се наложи за разследваното престъпление, или е необходимо освен това да се установи, че с престъпното деяние се увреждат в особена степен индивидуални и/или колективни правни интереси?

2)      Евентуално, ако определянето на тежестта на престъплението с оглед единствено на наказанието, което може да се наложи, отговаря на конституционните принципи на Съюза, приложени от Съда на ЕС в решението му [Digital Rights] като критерии за строг контрол на Директивата[, обявена за невалидна с това решение], то какъв следва да е минималният праг за наказанието? Допустимо ли е по общ начин да се предвиди праг от три години лишаване от свобода?“.

Тоиз разговор е добре известен на българите от времето на прилагането на Директива 24/2006/ЕС за задържане на трафичните данни, обявена от Съда за невалидна. Тогава имаше разногласия по въпроса кое е тежко и кое е сериозно престъпление и как целта за защита на обществения интерес се съотнася с правото на защита на личния живот и личната кореспонденция. Генералният адвокат също прави препратка към Директива 24/2006/ЕС.

ГА по първия въпрос:

90.      Според мен следва да се внимава, за да не се възприеме твърде широко разбиране относно изискванията, поставени от Съда с тези две решения, за да не се препятства, или поне не прекомерно, възможността на държавите членки да дерогират установения от Директива 2002/58 режим, която им е предоставена с член 15, параграф 1 от същата, в случаите, в които разглежданите намеси в личния живот едновременно преследват законна цел и са с ограничен обхват, каквито е възможно да настъпят в случая в резултат от искането на разследващата полицейска служба. По-конкретно считам, че правото на Съюза допуска възможността за компетентните органи да имат достъп до държаните от доставчици на електронни съобщителни услуги данни за идентификация, позволяващи да се издирят предполагаемите извършители на престъпление, което не е тежко.

91.      С оглед на това препоръчвам на Съда да отговори на преформулирания преюдициален въпрос, че член 15, параграф 1 от Директива 2002/58 във връзка с членове 7 и 8 и член 52, параграф 1 от Хартата трябва да се тълкува в смисъл, че мярка, която за целите на борбата с престъпленията дава на компетентните национални органи достъп до идентификационните данни на ползвателите на телефонни номера, активирани с определен мобилен телефон през ограничен период, при обстоятелства като разглежданите в главното производство води до намеса в гарантираните от споменатата директива и Хартата основни права, която не е толкова сериозна, че да налага такъв достъп да се предоставя само в случаите, в които съответното престъпление е тежко.

ГА по втория въпрос:

96.      Според мен право да определят какво представлява „тежко престъпление“ имат по принцип компетентните органи на държавите членки. Независимо от това, благодарение на преюдициалните запитвания, с които юрисдикциите на държавите членки могат да сезират Съда, същият е натоварен да следи за спазването на всички изисквания, произтичащи от правото на Съюза, и по-специално да осигури последователно прилагане на закрилата, предоставена от разпоредбите на Хартата.

107.  Ако понятието „тежко престъпление“ по смисъла на съдебната практика, установена с решения Digital Rights и Tele2, бъде прието от Съда за самостоятелно понятие на правото на Съюза, то би трябвало да се тълкува в смисъл, че тежестта на дадено престъпление, която може да оправдае достъпа на компетентните национални органи до лични данни съгласно член 15, параграф 1 от Директива 2002/58, трябва да се измерва, като се вземат предвид не само наказанията, които е възможно да бъдат наложени, но и съвкупност от други обективни критерии за преценка като упоменатите по-горе.

121. В заключение считам, че ако Съдът постанови — в разрез с това, което препоръчвам — че за да се квалифицира престъплението като „тежко“ по смисъла на неговата практика, установена с решение Digital Rights, следва да се отчита единствено предвиденото наказание, на втория преюдициален въпрос би следвало да се отговори, че държавите членки са свободни да определят минималния размер на съответното наказание за целта, стига да спазват изискванията, произтичащи от правото на Съюза, и по-специално онези изисквания, съгласно които намесата в основните права, гарантирани с членове 7 и 8 от Хартата, трябва да остане изключение и да бъде съобразена с принципа на пропорционалност.

Да напиша и името на този Генерален адвокат – Henrik Saugmandsgaard Øe от Дания. Успял да застане едновременно на най-разнообразни позиции, като един електрон.

КЗЛД: Информационно-разяснителни материали по Регламент 2016/679 (GDPR)

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/05/15/gdpr-4/

Информационно-разяснителни материали по Регламент (ЕС) 2016/679 (Общ регламент за защитата на данните)

Седем мита за GDPR

Post Syndicated from Bozho original https://blog.bozho.net/blog/3105

GDPR, или новият Общ регламент относно защитата на данните, е гореща тема, тъй като влиза в сила на 25-ти май. И разбира се, публичното пространство е пълно с мнения и заключения по въпроса. За съжаление повечето от тях са грешни. На база на наблюденията ми от последните месеци реших да извадя 7 мита за Регламента.

От края на миналата година активно консултирам малки и големи компании относно регламента, водя обучения и семинари и пиша технически разяснения. И не, не съм юрист, но Регламентът изисква познаване както на правните, така и на технологичните аспекти на защитата на данните.

1. „GDPR ми е ясен, разбрал съм го“

Най-опасното е човек да мисли, че разбира нещо след като само е чувал за него или е прочел две статии в новинарски сайт (както за GDPR така и в по-общ смисъл). Аз самият все още не твърдя, че познавам всички ъгълчета на Регламента. Но по конференции, кръгли маси, обучения, срещи, форуми и фейсбук групи съм чул и прочел твърде много глупости относно GDPR. И то такива, които могат да се оборят с „Не е вярно, виж чл. Х“. В тази категория за съжаление влизат и юристи, и IT специалисти, и хора на ръководни позиции.

От мита, че познаваме GDPR, произлизат и всички останали митове. Част от вината за това е и на самия Регламент. Дълъг е, чете се трудно, има лоши законодателни практики (3 различни хипотези в едно изречение??) и нито Европейската Комисия, нито някоя друга европейска институция си е направила труда да го разясни за хората, за които се отнася – а именно, за почти всички. Т.нар. „работна група по чл. 29 (от предишната Директива)“ има разяснения по някои въпроси, но те са също толкова дълги и трудно четими ако човек няма контекст. При толкова широкообхватно законодателство е голяма грешка то да се остави нерязяснено. Да, в него има много нюанси и много условности (което е друг негов минус), но е редно поне общите положения да бъдат разказани ясно и то от практическа гледна точка.

Така че не – да не си мислим, че сме разбрали GDPR.

2. „Личните данни са тайна“

Определението за лични данни в Регламента може би характеризира целия Регламент – трудно четима и „увъртяно“:

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Всъщност лични данни са всичко, което се отнася за нас. Включително съвсем очевидни неща като цвят на очи и коса, ръст и т.н. И не, личните данни не са тайна. Имената ни не са тайна, ръстът ни не е тайна. ЕГН-то ни не е тайна (да, не е). Има специални категории лични данни, които могат да бъдат тайна (напр. медицински данни), но за тях има специален ред.

Разграничаването, което GDPR не прави ясно, за разлика от едно разяснение на NIST – има лични данни, на база на които хората могат да бъдат идентифицирани, и такива, с които не могат, но се отнасят за тях. По цвят на косата не можем да бъдем идентифицирани. Но цветът на косата представлява лични данни. По професия не можем да бъдем идентифицирани. (По три имена и професия обаче – евентуално може и да можем). И тук едно много важно нещо, посочено в последните изречения на съображение 26 – данни, които са лични, но не могат да бъдат отнесени към конкретно лице, и на база на които не може да бъде идентифицирано такова, не попадат в обхвата на регламента. И съвсем не са тайна – „имаме 120 клиента на възраст 32 години, които са си купили телефон Sony между Април и Юли“ е напълно окей.

Та, личните данни не са та тайни – някои даже са съвсем явни и видни. Целта на GDPR е да уреди тяхната обработка с автоматизирани средства (или полуавтоматизирани в структуриран вид, т.е. тетрадки). С други думи – кой има право да ги съхранява, за какво има право да ги използва и как трябва да ги съхранява и използва.

3. „GDPR не се отнася за мен“

Няма почти никакви изключения в Регламента. Компании под 250 души не са длъжни да водят едни регистри, а компании, които нямат мащабна обработка и наблюдение на субекти на данни нямат задължение за длъжностно лице по защита на данните (Data protection officer; тази точка е дискусионна с оглед на предложенията за изменения на българския закон за защита на личните данни, които разширяват прекалено много изискванията за DPO). Всичко останало важи за всички, които обработват лични данни. И всички граждани на ЕС имат всички права, посочени в Регламента.

4. „Ще ни глобят 20 милиона евро“

Тези глоби са единствената причина GDPR да е популярен. Ако не бяха те, на никого нямаше да му дреме за поредното европейско законодателство. Обаче заради плашещите глоби всякакви консултанти ходят и обясняват как „ами те глобите, знаете, са до 20 милиона“.

Но колкото и да се повтарят тези 20 милиона (или както някои пресоляват манджата „глоби над 20 милиона евро“), това не ги прави реалистични. Първо, има процес, който всички регулатори ще следват, и който включва няколко стъпки на „препоръки“ преди налагане на глоба. Идва комисията, установява несъответствие, прави препоръки, идва пак, установява взети ли са мерки. И ако сте съвсем недобросъвестни и не направите нищо, тогава идват глобите. И тези глоби са пропорционални на риска и на количеството данни. Не е „добър ден, 20 милиона“. Според мен 20-те милиона ще са само за огромни международни компании, като Google и Facebook, които обработват данни на милиони хора. За тетрадката с вересиите глоба няма да има (правото да бъдеш забравен се реализира със задраскване, но само ако магазинерът няма легитимен интерес да ги съхранява, а именно – да му върнете парите :)).

Тук една скоба за българското законодателство – то предвижда доста високи минимуми на глобите (10 хил. лева). Това се оспорва в рамките на общественото обсъждане и е несъразмерно на минимумите в други европейски държави и се надявам да спадне значително.

5. „Трябва да спрем да обработваме лични данни“

В никакъв случай. GDPR не забранява обработката на лични данни, просто урежда как и кога те да се обработват. Имате право да обработвате всички данни, които са ви нужни, за да си свършите работата.

Някои интернет компании напоследък обявиха, че спират работа заради GDPR, защото не им позволявал да обработват данни. И това в общия случай са глупости. Или те така или иначе са били на загуба и сега си търсят оправдание, или са били такъв разграден двор и са продавали данните ви наляво и надясно без ваше знание и съгласие, че GDPR представлява риск. Но то това му е идеята – да няма такива практики. Защото (както твърди Регламентът) това представлява риск за правата и свободите на субектите на данни (субект на данните – това звучи гордо).

6. „Трябва да искаме съгласие за всичко“

Съгласието на потребителите е само едно от основанията за обработка на данните. Има доста други и те дори са по-често срещани в реалния бизнес. Както отбелязах по-горе, ако можете да докажете легитимен интерес да обработвате данните, за да си свършите работата, може да го правите без съгласие. Имате ли право да събирате адреса и телефона на клиента, ако доставяте храна? Разбира се, иначе не може да му я доставите. Няма нужда от съгласие в този случай (би имало нужда от съгласие ако освен за доставката, ползвате данните му и за други цели). Нужно ли е съгласие за обработка на лични данни в рамките на трудово правоотношение? Не, защото Кодекса на труда изисква работодателят да води трудово досие. Има ли нужда банката да поиска съгласие, за да ви обработва личните данни за кредита? Не, защото те са нужни за изпълнението на договора за кредит (и не, не можете да кажете на банката да ви „забрави“ кредита; правото да бъдеш забравен важи само в някои случаи).

Усещането ми обаче е, че ще плъзнат едни декларации и чекбоксове за съгласие, които ще са напълно излишни…но вж. т.1. А дори когато трябва да ги има, ще бъдат прекалено общи, а не за определени цели (съгласявам се да ми обработвате данните, ама за какво точно?).

7. „Съответсвието с GDPR е трудно и скъпо“

…и съответно Регламентът е голяма административна тежест, излишно натоварване на бизнеса и т.н. Ами не, не е. Съответствието с GDPR изисква осъзната обработка на личните данни. Да, изисква и няколко хартии – политики и процедури, с които да докажете, че знаете какви лични данни обработвате и че ги обработвате съвестно, както и че знаете, че гражданите имат някакви права във връзка с данните си (и че всъщност не вие, а те са собственици на тези данни), но извън това съответствието не е тежко. Е, ако хал хабер си нямате какви данни и бизнес процеси имате, може и да отнеме време да ги вкарате в ред, но това е нещо, което по принцип e добре да се случи, със или без GDPR.

Ако например досега в една болница данните за пациентите са били на незащитен по никакъв начин сървър и всеки е имал достъп до него, без това да оставя следа, и също така е имало още 3-4 сървъра, на които никой не е знаел, че има данни (щото „IT-то“ е напуснало преди 2 години), то да, ще трябват малко усилия.

Но почти всичко в GDPR са „добри практики“ така или иначе. Неща, които са полезни и за самия бизнес, не само за гражданите.

Разбира се, синдромът „по-светец и от Папата“ започва да се наблюдава. Освен компаниите, които са изсипали милиони на юристи, консултанти, доставчици (и което накрая е имало плачевен резултат и се е оказало, че за един месец няколко човека могат да я свършат цялата тая работа) има и такива, които четат Регламента като „по-добре да не даваме никакви данни никъде, за всеки случай“. Презастраховането на големи компании, като Twitter и Facebook например, има риск да „удари“ компании, които зависят от техните данни. Но отново – вж. т.1.


В заключение, GDPR не е нещо страшно, не е нещо лошо и не е „измислица на бюрократите в Брюксел“. Има много какво да се желае откъм яснотата му и предполагам ще има какво да се желае откъм приложението му, но „по принцип“ е окей.

И както става винаги със законодателства, обхващащи много хора и бизнеси – в началото ще има не само 7, а 77 мита, които с времето и с практиката ще се изяснят. Ще има грешки на растежа, има риск (особено в по-малки и корумпирани държави) някой „да го отнесе“, но гледайки голямата картинка, смятам, че с този Регламент след 5 години ще сме по-добре откъм защита на данните и откъм последици от липсата на на такава защита.

Facebook изключва милиард и половина потребители от обхвата на GDPR

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/19/facebook-13/

Под това заглавие (ексклузивно) Reuters информира за следното:

Потребителите на Facebook (извън Съединените щати и Канада), независимо дали   знаят или не,  сега имат договор за услугата с компанията Facebook със седалище в Ирландия. Както Google,  LinkedIn и други компании,  Facebook също работи чрез калифорнийска и ирландска компания –  Facebook Inc/Калифорния, Менло Парк  u Facebook Ireland – като последното е под ирландска юрисдикция.

Facebook планира договорът c Facebook Ireland  да остане валиден само за европейски потребители, т.е. 1,5 милиарда потребители от Африка, Азия, Австралия и Латинска Америка няма да попаднат в обхвата на Общия регламент за защита на данните на Европейския съюз (GDPR), който влиза в сила на 25 май 2018 г. Най-голямата онлайн социална мрежа в света   намалява обхвата на прилагане на GDPR – регламентът позволява на европейските регулаторни органи да наказват компаниите за събиране или използване на лични данни без съгласието на потребителите.

Така се избягва огромен риск, пише Reuters,   тъй като новият регламент позволява да се налагат глоби в размер до 4% от глобалните годишни приходи за нарушения –  в случая с Facebook това означава  милиарди долари.

В същото време Зукърбърг е говорил вчера на конференция в Сан Хосе, Калифорния и е казал, че   въвежда нови настройки за защита на личния живот и личните данни в Европа, които в крайна сметка щели да обхванат потребителите по целия свят.”Ние не само искаме да спазваме закона, но и надхвърлим задълженията си и да изграждаме нови и по-добри практики за поверителност за всеки във Facebook”.

EС: лични данни на пътниците, писмо на WG29

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/14/pnr-11/

Личниет  данни на пътниците (PNR) са сложен въпрос, изискващ повишено внимание поради различната степен на защита на личните данни в ЕС и в трети страни.

На 26 юли 2017 г. Съдът на Европейския съюз (СЕС) констатира в своето становище 1/2015 по повод  споразумението ЕС – Канада за PNR, че то   е частично несъвместимо с членове 7, 8, 21 и 52 от Хартата на ЕС за основните права.

Работната група 29 (WP29), включваща представители на националните регулатори в областта на данните, публикува писмо, в което изразява тревогата си, че   до  момента няма  данни  становището да е взето предвид – както в споразумението ЕС- Канада, така и  в досиетата на другите споразумения за PNR с Австралия  и Съединените щати.

Правни актове на ЕС продължават да се прилагат, без да са в съответствие с Хартата на основните права на ЕС  според становището на Съда на ЕС.

WP29 излага подробни аргументи по повод противоречия, неясни и непрецизни формулировки.

Колективен иск срещу Facebook и CA

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/11/facebook-ca/

Както съобщава The Guardian, британски и американски адвокати започват производство по колективен иск срещу Facebook, Cambridge Analytica,  SCL Group Limited и Global Science Research Limited (GSR)   за предполагаема злоупотреба с личните данни на повече от 71 милиона души. Седем индивидуални ищци, всички потребители на Facebook – пет американци и двама британци – са инициатори на процеса.

Според тях компаниите са получили лични данни на потребителите от социалната медийна мрежа, за да разработят пропагандни кампании  в Обединеното кралство и САЩ.  Александър Коган създава психологически тест, който изисква от хората да използват своите идентификационни данни за вход в Facebook, за да проведат теста. Приблизително 270 000 потребители на Facebook инсталират приложението и дават личната си информация на Коган и Cambridge Analytica. Дизайнът на приложението  позволява   да се събират личните данни на повече от 72 милиона потребители на Facebook, които са били приятели на първоначалните 270 000 потребители. Данните включват имена, телефонни номера, пощенски и имейл адреси, политически и религиозни връзки и други интереси. Те са използвани за психологически профили на гласоподавателите, които да повлияят на изборите в Обединеното кралство и САЩ. Може и да са повлияли, по някои оценки ролята на дезинформацията при кампаниите е достатъчно съществена.

Facebook  не реагира отговорно и навреме, за да защити данните.

Законодателството предвижда минимална глоба от 1000 щ.д. за всяко нарушение, установено от съда, което означава, че ако решението е против Facebook, компанията би могла да понесе щети над 70 милиарда долара.

 

 

 

Практически въпроси на защитата на личните данни след 25 май 2018

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/10/gdpr-2/

Комисията за защита на личните данни предлага този материал в помощ на прилагането на GDPR.

Практически въпроси на защитата на личните данни след 25 май 2018

Съгласие за обработване на лични данни

Правото да бъдеш забравен
Профилиране
Длъжностно лице по защита на данните
Отчетност
Оценка на въздействието
Защитата на личните данни на етапа на проектирането (privacy by design) и по подразбиране (privacy by default)
 Административно-наказателна отговорност

Не е само Фейсбук – следят ви хиляди компании

Post Syndicated from Григор original http://www.gatchev.info/blog/?p=2127


Попаднах днес на статия в CNN от Брюс Шнайер – експерт по ИТ сигурност, който уважавам изключително много. След кратък размисъл реших, че ще я преведа и пусна тук. Да, нарушение на копирайт е – но е толкова важно и така нужно да се знае от всеки, че съм склонен да поема риска.

—-

Събудени от скандала с Cambridge Analytica, новинарски статии и коментатори се съсредоточиха върху това какво знае Facebook за нас. Оказва се, че е много. Събира данни от нашите публикации, лайковете ни, снимките ни. От нещата, които започваме да пишем, но се отказваме да ги публикуваме. Дори неща, които правим, докато не сме логнати в него – или дори когато сме офлайн. Купува информация за нас от други фирми. И може да разбере от тях за нас и много повече – сексуалната ни ориентация, политическите ни възгледи, дали сме обвързани, какви лекарства пием и много личностови характеристики. Дори ако не сме попълвали личностовия тест на Cambridge Analytica. (Чрез който тази фирма източваше данните ни и данните на приятелите ни – Григор.)

Но при всяка статия, която описва колко гадно ни следи Facebook, хиляди други компании въздъхват с облекчение. Че тези статии обсъждат Facebook, а не тях. Защото е вярно, че Facebook е един от най-големите играчи в тази игра, но и хиляди други фирми ни шпионират и манипулират за своя финансова изгода.

Професорката в Харвард Бизнес Скул Шошана Лубоф нарича това „следящ капитализъм“. Колкото и плашещ да се оказва Facebook, цялостната тази индустрия е далеч по-плашеща. Тя съществува тайно от вече прекалено дълго време, и е крайно време законодателите да изкарат тези фирми пред очите на публиката. За да можем всички да решим така ли искаме да действа нашето общество, и ако не, какво следва да се направи.

В Съединените Щати има между 2500 и 4000 брокери, които се занимават с това да купуват и продават нашите лични данни. Преди година в новините попадна Equifax, когато хакери откраднаха от нея личната информация на 150 милиона души, включително номерата на социалните им осигуровки, рождените дати, адресите и номерата на шофьорските им книжки. (Тоест, абсолютно всичко, което в САЩ идентифицира дадена личност – Григор.)

Вие с гаранция не сте давали на тази фирма разрешение да събира личната ви информация. Equifax е една от хилядите фирми – брокери на информация, за повечето от които дори не сте чували. И които продават личната ви информация без ваше знание и съгласие на всеки, който плати.

Следящият капитализъм докарва нещата още по-нататък. Фирми като Google и Facebook ви предлагат безплатни услуги в замяна на информацията ви. За следенето на Google не съобщават в новините, но то е стряскащо прилепчиво. Ние никога не лъжем търсачките, които използвате. Интересите и любопитствата ни, надеждите и страховете ни, желанията и сексуалните привличания – всичко това бива събирано и съхранявано. Добавете към това следенето кои уебсайтове посещаваме, което Google извършва чрез рекламната си мрежа, нашите акаунти в Gmail, движението ни по Google Maps и каквото може да събере от смартфоните ни.

Телефонът вероятно е най-ефективното проследяващо устройство, създадено някога. Той непрекъснато следи къде се намираме, така че знае къде живеем, работим и прекарваме времето си. Той е първото и последното нещо, което поглеждаме през деня, така че знае кога се събуждаме и кога заспиваме. Всички го имаме, така че той знае и с кого спим. Юбер използва част от тази информация, за да открива забежките за по една нощ. Мобилният ви доставчик и всяко приложение в телефона, което има достъп до услугите за локация, знаят много повече.

Следящият капитализъм поддържа немалка част от Интернет. Той стои зад повечето „безплатни“ услуги, а и зад много платени. Целта му е да ви манипулира психологически, например чрез таргетирано рекламиране, за да ви убеди да купите нещо или да направите нещо, например да гласувате за определен кандидат. Масовото, базирано на индивидуални профили манипулиране, което бяха хванати да вършат Cambridge Analytica, може да звучи отвратително – но това е, което в края на краищата се бори да постигне всяка компания. Вашата лична информация бива събирана именно затова, и то е, което я прави ценна. Компаниите, които разбират това, могат да я използват срещу вас.

Нищо от това не е новост. Медиите съобщават за следящия капитализъм от години. През 2015 г. написах книга на тази тема. Още през 2010 г. Уолстрийт Джърнъл публикува двегодишна серия статии, спечелила награди, как хората биват следени онлайн и офлайн, под заглавието „Какво знаят те“.

Следящият капитализъм е дълбоко вграден в нашето все по-компютризирано общество, и ако размерите му излязат на бял свят, ще има масов натиск за ограничения и регулации. Но тъй като тази индустрия оперира предимно тайно, и само отвреме навреме изтича информация за някоя кражба на данни или някоя разследваща статия, повечето от нас остават в неизвестност за всеобхватността ѝ.

Това може скоро да се промени. През 2016 г. Европейският съюз прие широкообхватния регламент General Data Protection Regulation (GDPR). Подробностите в този закон са прекалено сложни, за да бъдат обяснени тук. Някои от нещата, които той постановява, са че личните данни на европейски граждани могат да бъдат събирани и съхранявани само за „специфични, изрично обявени и легитимни цели“, и единствено с изричното съгласие на потребителя. Съгласието не може да бъде заровено из условията за използване (EULA) на това или онова, нито пък може да бъде смятано за дадено, ако потребителят не го изключи изрично. Законът влиза в сила през май, и компаниите по целия свят се подготвят да влязат в съгласие с него.

Тъй като на практика всеки следящ капитализъм събира данните на европейци, това ще освети тази индустрия като нищо досега. Ето ви само един пример. Подготвяйки се за този закон, PayPal тихомълком публикува списък на над 600 компании, с които вашата информация може да бъде споделяна. Какво ще стане, когато на всяка компания се наложи да публикува тази информация и да обясни изрично как използва личните ни данни? Очертава се да разберем.

Когато този скандал се надигна, дори Марк Цукърбърг каза, че вероятно неговата индустрия трябва да бъде регулирана. Надали обаче си е пожелавал сериозна и принципна регулация, каквато GDPR въвежда в сила в Европа.

Прав е. Следящият капитализъм е действал безконтролно твърде дълго време. И напредъкът както в анализа на големи количества лични данни, така и в изкуствения интелект ще направят утрешните му приложения далеч по-плашещи от днешните. Единственото спасение от това е регулацията.

Първата стъпка към всяка регулация е прозрачността. Кой има нашите данни? Точни ли са? Какво прави той с тях? Продава ли ги? Как ги опазва? Можем ли да го накараме да ги изтрие? Не виждам никаква надежда Конгресът на САЩ да прокара в обозримото бъдеще закон за защита на данните, подобен на GDPR, но не е непредставимо да се въведат закони, които задължават тези компании да бъдат по-прозрачни в действията си.

Едно от последствията на скандала с Cambridge Analytica е, че някои хора си изтриха акаунтите във Facebook. Това е трудно да се направи както трябва, и не изтрива данните, които Facebook събира за хора без акаунт в него. Но все е някакво начало. Пазарът може да окаже натиск върху тези компании да ограничат следенето ни, но само ако накараме тази индустрия да излезе от сенките на светло.

—-

И аз съм писал по въпроса, още през 2012 г. – тук и тук. Не зная дали тогава помогнах на някого да разбере нещо – май по-скоро не, ако съдя по коментарите под тях. Не зная дали ще помогна на някого и сега. Но се чувствам длъжен да опитам.

Ако съдя по личните си наблюдения, нито една от онлайн фирмите, която ви дава възможност да си изтриете информацията от нея, не я изтрива истински. Знам случаи, когато информацията от „изтрити“ акаунти бива откривана в пакети продадени впоследствие лични данни. Знам и фирми, които твърдят, че не съхраняват никаква лична информация, но всъщност съхраняват и продават на всеки платежоспособен и мълчалив всеки бит от нея, който успеят да докопат. Така че съм скептичен, че регулацията ще постигне кой знае колко.

Има обаче нещо, което можем сами да направим за себе си – и то е просто да спрем да използваме които услуги на подобни събирачи можем. Без мобилен телефон трудно се живее, но трябва ли да имате акаунти във всички социални мрежи, за които сте чували? И т.н.

Надявам се след този скандал проектите за децентрализиран и опазващ личната информация аналог на Facebook да получат нов тласък. Надявам се и поне този 1% от хората, които не са идеално кръгли идиоти във вакуум, да почнат да вземат някакви мерки да опазят себе си и своите начинания.

Съд на ЕС: писмените отговори по време на изпит като лични данни

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/12/20/dp-22/

Стана известно решението на Съда на ЕС по дело  C‑434/16  с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Supreme Court (Върховен съд, Ирландия)   в рамките на производство по дело Peter Nowak срещу Data Protection Commissioner.

Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни.

 В качеството си на стажант експерт-счетоводител г‑н Nowak издържа успешно определени изпити, но има и такъв, който не издържа. Във връзка с това той подава молба за достъп до всички засягащи го лични данни, съхранявани от професионалната организация на експерт-счетоводителите. Организацията  отказва да му предостави неговата писмена изпитна работа, с довода че тя не съдържала лични данни по смисъла на Закона за защита на данните. Комисарят за защита на данните също смята, че “тези материали по принцип не представляват лични данни“. Nowak обжалва и ирландският съд пита:

„1)      Може ли информацията, записана в/като отговори, дадени от кандидат по време на изпит за професионални умения, да се квалифицира като лични данни по смисъла на Директива 95/46?

2)      При отговор на първия въпрос в смисъл, че цялата или част от информацията може да бъде квалифицирана като лични данни по смисъла на тази директива, какви фактори са релевантни, за да се прецени дали в конкретен случай такава писмена работа представлява лични данни, и каква тежест трябва да се придаде на тези фактори?“.

Съдът на ЕС:

В член 2, буква а) от Директива 95/46 личните данни са определени като „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице“.  Всъщност употребата на израза „всяка информация“ в определението на понятието „лични данни“ в член 2, буква а) от Директива 95/46 отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което не се свежда до чувствителната информация или информацията с частен характер, а потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че „засяга“ съответното лице.[34]

Що се отнася до коментарите на проверителя по отговорите на кандидата, налага се изводът, че и те като отговорите, дадени от кандидата по време на изпита, представляват информация, засягаща този кандидат. [42] Съдържанието на тези коментари съответно е отражение на становището или преценката на проверителя относно индивидуалните резултати, постигнати от кандидата по време на изпита, и по-специално относно неговите знания и умения в съответната област.[43] Всъщност една и съща информация може да засяга няколко физически лица и съответно за тях да представлява лични данни по смисъла на член 2, буква а) от Директива 95/46, при условие че тези лица са идентифицирани или могат да бъдат идентифицирани.[45]

В този контекст следва да се отбележи, че защитата на основното право на личен живот по-специално предполага всяко физическо лице да може да се увери, че засягащите го лични данни са точни и се обработват законосъобразно. Както следва от съображение 41 от Директива 95/46, именно за да може да извърши необходимите проверки, по силата на член 12, буква а) от тази директива съответното лице разполага с право на достъп до данните, които го засягат и са предмет на обработка. Това право на достъп е необходимо по-специално за да се даде възможност на лицето при необходимост да изиска от администратора да поправи, изтрие или блокира неговите данни и така да упражни правото по член 12, буква б) от посочената директива [57]

Накрая, трябва да се констатира, от една страна, че правата на достъп и на поправяне по член 12, букви а) и б) от Директива 95/46 не обхващат изпитните въпроси, които сами по себе си не представляват лични данни на кандидата.[58] Бегло се констатира още, че правата на лицето подлежат на ограничения както по Директива 95/46, така и по новия  Регламент 2016/679, който я заменя – “ако подобно ограничаване представлява необходима мярка за гарантиране на правата и свободите на други лица.”

Член 2, буква а) от Директива 95/46/ЕО   трябва да се тълкува в смисъл, че при условия като тези в главното производство писмените отговори, дадени от кандидат по време на изпит за професионални умения, и евентуалните коментари на проверителя по тези отговори представляват лични данни по смисъла на тази разпоредба.

След решението на ЕСПЧ, от което разбрахме, че преподаването е социално взаимодействие и част от личния живот на преподавателя, сега от Съда на ЕС научаваме още и за личните аспекти на социалното взаимодействие изпитване.

Filed under: Digital, EU Law, Media Law Tagged: dp, съд на ес

КЗЛД: Десет практически стъпки за прилагане на новия Регламент относно защитата на данните (GDPR)

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/11/28/gdpr/

На 25 май 2018 г. влиза в сила новият Общ регламент относно защитата на   данните –  Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО 

Комисията за защита на личните данни е издала указания – десет практически стъпки за прилагане на новия Общ регламент.

 

 

Filed under: Digital, EU Law, Media Law Tagged: gdpr

Съд на ЕС: отговорност на оператора на фенстраница във Фейсбук

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/11/05/fb-3/

Стана известно заключението на Генералния адвокат Бот по дело C−210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

срещу Wirtschaftsakademie Schleswig-Holstein GmbH в присъствието на Facebook Ireland Ltd.

„Преюдициално запитване — Директива 95/46/ЕО — Членове 2, 4 и 28 — Защита на физическите лица при обработване на лични данни и свободно движение на такива данни — Разпореждане за деактивиране на фенстраница в социалната мрежа Facebook — Понятие „администратор“ — Отговорност на оператора на фенстраница — Съвместна отговорност — Приложимо национално право — Обхват на правомощията за намеса на надзорните органи“

Запитването е отправено в рамките на спор между Wirtschaftsakademie Schleswig-Holstein GmbH, частноправно дружество, специализирано в областта на образованието  и  органа за защита на данните на Шлезвиг-Холщайн („ULD“), във връзка със законосъобразността на разпореждане, прието от последно посочения орган срещу Wirtschaftsakademie, с което се иска деактивиране на „фенстраница“ (Fanpage), хоствана на сайта на Facebook Ireland Ltd (наричано по-нататък „Facebook Ireland“).

Това разпореждане е мотивирано от твърдяното нарушение на разпоредбите на германското право за транспониране на Директива 95/46, по-специално поради факта, че посетителите на дадена фенстраница не са информирани за това, че техните лични данни се събират от социалната мрежа Facebook благодарение на „бисквитки“, които се разполагат на техния твърд диск, като това събиране се извършва с цел да се изготвят статистически данни за посетителите, които са предназначени за оператора на посочената страница, и за да се предостави възможност на Facebook да разпространява целеви реклами.

Надзорните органи на няколко държави  от ЕС са решили през последните месеци да наложат глоби на Facebook за нарушаване на правилата за защита на личните данни на неговите потребители – на 11 септември 2017 г. Agencia española de protección de datos (испанската Агенция за защита на данните) е обявила, че налага глоба в размер на 1,2 милиона евро на Facebook Inc. Преди това, на 27 април 2017 г. Commission nationale de l’informatique et des libertés (Националната комисия по въпросите на информатиката и свободите, CNIL, Франция) приема решение срещу дружествата Facebook Inc. и Facebook Ireland, като при условията на солидарна отговорност им налага имуществена санкция в размер на 150 000 EUR.

Разглежданото дело ще даде възможност на Съда да уточни обхвата на правомощията за намеса, с които разполага надзорен орган като ULD при обработване на лични данни, включващо участието на няколко субекта.

Преюдициалните въпроси

Заключението:

„1)      Член 2, буква г) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, изменена с Регламент (ЕО) № 1882/2003 на Европейския парламент и на Съвета от 29 септември 2003 г., трябва да се тълкува в смисъл, че съгласно тази разпоредба за администратор следва да се счита операторът на фенстраница в социална мрежа като Facebook, що се отнася до етапа на обработване на лични данни, състоящ се в събирането от тази социална мрежа на данни относно лицата, които консултират тази страница, с оглед на изготвянето на статистически данни за посетителите на посочената страница.

2)      Член 4, параграф 1, буква а) от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че обработване на лични данни като разглежданото в главното производство, се извършва в контекста на дейностите на установен на територията на държава членка обект на администратора по смисъла на посочената разпоредба, когато предприятието, което управлява социална мрежа, създава в тази държава членка дъщерно дружество, чието предназначение е да осигури рекламирането и продажбата на рекламните пространства, предлагани от това предприятие, и чиято дейност е насочена към лицата, живеещи в тази държава членка.

3)      В положение като разглежданото в главното производство, при което към съответното обработване на лични данни се прилага националното право на държавата членка на надзорния орган, член 28, параграфи 1, 3 и 6 от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че този надзорен орган може да упражнява всички възложени му в съответствие с член 28, параграф 3 от посочената директива ефективни правомощия за намеса по отношение на администратора, включително когато администраторът е установен в друга държава членка или пък в трета държава.

4)      Член 28, параграфи 1, 3 и 6 от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че при обстоятелства като разглежданите в главното производство надзорният орган на държавата членка, в която се намира обектът на администратора, има право да упражнява самостоятелно правомощията си за намеса по отношение на този администратор и без да е длъжен предварително да поиска от надзорния орган на държавата членка, в която се намира посоченият администратор, да упражни своите правомощия“.

u Techcrunch

Filed under: EU Law, Media Law Tagged: данни, FB, съд на ес

ЕСПЧ: стандартите на отговорната журналистика са валидни и при сериозен обществен интерес

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/10/26/echr-fuchsmann/

На 19 октомври 2017 г. Съдът за правата на човека се произнесе по делото Fuchsmann v. Germany. В решението се обсъжда баланса между правата по чл.8 (личен живот) и чл.10 (свобода на изразяване) ЕКПЧ.

Борис Фуксман е собственик на телевизия в Киев.  Ню Йорк Таймс (електронно издание) публикува статия, в която се споменава подкуп за украинска администрация с цел получаването на лицензия за телевизионна дейност, също така споменават се  предполагаемите връзки на Фуксман с руската организирана престъпност и че на лицето е забранено да влиза в САЩ.

Онлайн версията е достъпна от Германия, засегнато е името на  гражданин на Германия, със случая се занимават съдилища в Германия. Фуксман твърди, че е оклеветен, но съдилищата стигат до извода, че има справедлив баланс между свободата на изразяване на изданието и защитата на личния живот на бизнесмена. В последна сметка Фуксман завежда дело пред ЕСПЧ.

Решението

Съдът е установил наличие на обществен интерес, данните са изнесени в светлината на корупционни скандали в Ню Йорк.

Съдът приема, че Фуксман е публична фигура в качеството си на германски предприемач, работещ глобално в областта на медиите.

Съдът приема, че публикацията има достатъчна фактическа основа – основен  източник на изявленията  е вътрешен доклад на ФБР, подкрепен от други доклади. Журналистът е основал своите статии на достатъчно надеждни източници, при това не само на въпросния доклад. Той е действал в съответствие с журналистическите стандарти за работа с източници. В това отношение ЕСПЧ утвърждава отново стандартите на отговорната журналистика:

Съдът отново заявява, че член 10 от Конвенцията не гарантира напълно свободна свобода на изразяване, дори и по отношение на пресата за въпроси от сериозен обществен интерес. Съгласно чл.10, параграф 2   свободата на изразяване е придружена от “задължения и отговорности”, които се отнасят и за медиите, дори по отношение на въпроси от сериозен обществен интерес. Поради тези “задължения и отговорности” защитата, предоставена от член 10 на журналистите във връзка с отразяването на въпроси от обществен интерес, е подчинена на условието те да действат добросъвестно, за да предоставят точна и надеждна информация в съответствие с етиката на журналистиката (вж. например Fressoz и Roire срещу Франция [GC], № 29183/95, § 54, ЕКПЧ 1999-I и Pedersen и Baadsgaard срещу Дания [GC], № 49017/99 , § 78, ЕКПЧ 2004-XI). [42]

Не се разкриват подробности от личния живот на лицето и лични данни.

Според ЕСПЧ националните органи са анализирали баланса на права в съответствие с практиката на Съда.  Необходими са сериозни мотиви, за да се промени оценката им. В случая няма такива мотиви, тъй като германският съд е постигнал разумен баланс между конкуриращите се права и е действал в рамките на своята свобода на преценка [54].

Няма нарушение на чл.8 ЕКПЧ.

Интересен момент в решението е акцентирането върху ролята на онлайн архивите за проучване на важни минали събития.

[…] описването на предполагаемия криминален произход на някои от участващите лица е било необходимо за разбирането на публикацията. Съдът също така взе предвид, че статията остава достъпна в онлайн архив на всекидневника. […] има признат обществен интерес не само от информацията за текущите събития, но и от възможността да се изследват събития от новата история.[16]

Filed under: Media Law Tagged: еспч, клевета, отговорна журналистика

Съд на ЕС: лични данни на пътниците: споразумение ЕС – Канада: несъвместимост с Хартата

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/08/01/pnr-10/

Защитата на резервационните данни на пътниците в ЕС не е нов проблем. Става дума за въздушните превозвачи, осъществяващи полети между ЕС и трети държави, и начините за използване на резервационните данни  (PNR данни), вкл. предаване на компетентните органи

През април 2016 г. е приета   Директива 2016/681 относно използването на резервационни данни на пътниците (PNR данни) с цел предотвратяване, разкриване, разследване и наказателно преследване на терористични престъпления и тежки престъпления.

Но междувременно през 2014 г. Европейският съюз и Канада подписват споразумение относно обработката и предаването на резервационни данни на пътниците („PNR споразумение“). След като Съветът на Европейския съюз иска от Европейския парламент одобрение на споразумението, Парламентът сезира Съда, за да установи дали предвиденото споразумение е в съответствие с правото на Съюза, и по-специално с разпоредбите за зачитане на личния живот, както и за защита на личните данни. За първи път Съдът трябва да се произнесе относно съвместимостта на проект за международно споразумение с Хартата на основните права на ЕС.
В  становище от юли 2017 Съдът отговаря, че PNR споразумението не може да бъде сключено в сегашния си вид поради несъвместимостта на редица негови разпоредби с признати от Съюза основни права.

Становище 1/15

Съдът констатира, че разпоредби от предвиденото споразумение са несъвместими с основните права, освен ако то бъде ревизирано така, че по-добре да урежда и уточнява намесите. В този смисъл Съдът приема, че споразумението би трябвало:

  •  да определя по-ясно и точно някои от подлежащите на предаване PNR данни,
  • да предвижда, че моделите и критериите, използвани при автоматизираната обработка на PNR данни, ще бъдат конкретни и надеждни, както и недискриминационни,
  • да предвижда, че ще се използват само бази данни, които Канада поддържа във връзка с борбата с тероризма и тежката транснационална престъпност,
    да предвижда, че PNR данните могат да се разкриват от канадските органи на публичните органи на държава извън ЕС само ако съществува споразумение между Съюза и тази държава, равностойно на предвиденото споразумение, или пък решение на Европейската комисия в тази област,
  •  да предвижда право на лично информиране на пътниците във въздушния транспорт в случай на използване на техните PNR данни по време на престоя им в Канада и след заминаването им от тази страна, както и в случай на разкриване на същите данни на други органи или на частни лица,
  • да гарантира, че надзорът на правилата относно защитата на пътниците във въздушния транспорт при обработката на техните PNR данни се осъществява от независим контролен орган.

Като се има предвид, че не всички намеси, съдържащи се в предвиденото споразумение, се ограничават до строго необходимото и че в този смисъл те не са изцяло обосновани, Съдът стига до извода, че предвиденото споразумение не може да бъде сключено в сегашния си вид.

Въпреки че систематичното предаване, запазване и използване на всички данни на пътниците в основни линии са допустими, редица разпоредби на проектоспоразумението не отговарят на изискванията, произтичащи от основните права на Съюза.

Filed under: Digital, EU Law, Media Law Tagged: съд на ес, PNR

ЕС: когато искат да заплащаме с лични данни

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/07/02/dp-21/

В Официален вестник на ЕС:

Резюме на  становището на Европейския надзорен орган за защита на  данните относно Предложение за директива относно някои аспекти на договорите за предоставяне на цифрово съдържание.

Интересно становище относно интересна и много разпространена хипотеза – предоставяне на привидно безплатни услуги, за които обаче заплащаме с личните си данни вместо с пари.

 

Има обаче един проблемен аспект на предложението, тъй като то ще се прилага в ситуации, при които за дадено цифрово съдържание се заплаща цена, но и когато цифровото съдържание се предоставя срещу изпълнението на други ангажименти, които нямат парично изражение, а са под формата на лични или други данни. ЕНОЗД предупреждава срещу въвеждането на всяка нова разпоредба, която предвижда, че хората могат да заплащат със свои данни така, както заплащат с пари. Основни права, като например правото за защита на личните данни, не могат да бъдат сведени до обикновен потребителски интерес и личните данни не могат да бъдат приемани като обикновена стока.

По-късно беше публикувано  предложението на Малтийското председателство на Съвета  за общ подход (1 юни 2017).

Пътят не този проект не е лек  – вж  и  становището на Франция (на Сената на Френската република) относно субсидиарността от 2016 г.

Filed under: Digital, EU Law

Видеонаблюдение: принципи и правила

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/05/23/cctv/

Решение, засягащо правилата за видеонаблюдение: шотландско семейство получава обезщетение в размер на £ 17,268 за “изключителния стрес”, който е претърпяло в резултат на “силно натрапчивото” използване на системи за видеонаблюдение и аудиозапис от собствениците на съседните имоти.

Нарушени са  принципи за защита на данните, дефинирани от закона (въвеждащ директивата за личните данни) и  регулатора за лични данни:

  • Първият принцип, съгласно който данните трябва да се обработват само за законни и законни цели и по справедлив и прозрачен начин;
  • Третият принцип, който изисква обработването на данните да е адекватно и не прекомерно; и
  • Петият принцип, който изисква данните да се съхраняват само толкова дълго, колкото е необходимо за конкретните законосъобразни и законни цели.

По темата:

И  от Шотландия към България:
в последните седмици в България е възникнала отново темата за видеонаблюдение и използване на специални технически средства в детските заведения – ясли и градини – и в училище. Матурите бяха отразени от медиите главно като едно силно наблюдавано явление. Преди време в Софийския университет имаше идея за монтиране на камери в учебните зали – все по съображения за сигурност. Телевизионен репортаж показа защо в едно село нямало престъпност – заради камерите – и, освен другото, хората се развличали да гледат кой минава през селото. Така от история в история стигаме до  разрешенията за използване на СРС – едно от заглавията в медиите е Тандемът Цветанов-Янева: 6010 искания за подслушвания, 6008 одобрени.
Преди  години имаше протести срещу  безконтролно масово наблюдение и проследяване.
Сега има протести с искане за видеонаблюдение в детските градини и училищата.
Прилича ми малко на другата история – да създаваме доверие помежду си с полиграф: и двете идеи са доста спорни и  с елемент на отчаяние.

Filed under: Digital, EU Law, Media Law Tagged: dp

Градският транспорт и как данните биха ни помогнали да го подобрим

Post Syndicated from Боян Юруков original http://yurukov.net/blog/2017/danni-za-transporta/

Наскоро статус на Илиян Стоянов във Facebook ме подсети за това, че градския ни транспорт е една от сферите, в които липсват публични данни. Няколко града като София, Пловдив и Варна имат сайтове и дори app-ове, където човек може да провери разписание и планира маршрути. Самите данни за спирките и разписанието не са достъпни. Така не само не може друг да направи собствена услуга, но и не може да се анализира мрежата.

Затова седнах и първо отворих данните за спирките на споменатите три града. За тези в София вече писах във Facebook. В Бургас въпреки евро-проекта за интегриран транспорт, изглежда няма дори дигитална карта на спирките.

С тези прости данни направих бързи карти на спирките на София, Пловдив и Варна. Като спрете с мишката върху всяка точка, ще видите името ѝ. Вляво има бутон, с който може да ги разглеждате на цял екран.

Скриптовете и самите данни за спирките публикувах в Github. Ще ги намерите на страницата ми с Gist-ове.

Транспортът във Варна

Във Варна, всъщност, данните дори не са налични от общината, а от частния проект varnatraffic.com на Мап Софт. Той е и единственият, който намерих да показва местоположението на автобусите в реално време. Използвах данните им на база съобщение на сайта от преди две години, че предоставят всичко свободно като отворени данни.

За да илюстрирам колко е полезна тази информация, свалям вече седмица местоположението на всички автобуси в града. За този период събрах около 650 хиляди точки с различни параметри – номер на автобуса, предишна и следваща спирка, оставащо разстояние до спирката, закъснение. Следните три карти показват различен поглед над събраните данни.

Първата карта разглежда движението за седмицата между 21-ви и 28-ми март по часове и колко автобуси са били по улиците на града. В червено са доста натоварени отсечки, където много автобуси са се движели през дадения час. Картата показва как се увеличава и намалява този трафик в различните части на деня, както и през почивните дни. В неделя не се забелязва по-малко натоварване, за което вероятно допринасят и провелите се тогава избори.

Следващата карта се концентрира само върху понеделник, 27-ми март. Показва в детайли движението на всеки един автобус. В червено са отбелязани тези, които закъсняват повече от 5 мин. Забелязва се как между 7 и 8:30 вечерта много от автобусите закъсняват. Виждат се ясно и местата, където автобусите спират за почивки.

Тъй като имаме закъсненията преди всяка спирка, може да анализираме и каква е вероятността да се чака на нея. Може също да разделим тази оценка по часове. Последната карта показва именно това. Анализът се базира само на данните от последните 7-8 дни. Пренебрегнете посочената дата в картата – часът е важен. Инструментът не позволява показването са на час.

В зелено са спирките, на които в конкретната част от деня се чака не повече от 15 секунди. В жълто са тези до 30 секунди. В гамата на червено са тези със закъснение между минута и час. Отново се вижда колко голямо средно закъснение има в различни часове от дена и части на града.

В някои случаи включвам и автобусите пристигнали с няколко минути по-рано – това също се счита за отклонение, тъй като някои пътници биха го изпуснали. Редовни такива показатели сочат към неоптимално разписание на даденото място и час. Такива са 26% от събраните точки за движението на градския транспорт. В 8.7% от времето, автобусите са подранявали с повече от 3 минути. В други 50% автобусите са закъснявали с повече от 20 секунди.

Публичността не е услуга

Публичността на която и да е информация не е услуга, която се представя от администрация или частна компания на обществото. Това е неизменна част от прозрачността, отчетността и социалната отговорност. За държавната и местната администрация отворените данни са още едно ниво на инфраструктура. Доскоро говорихме само за магистрали. В последните години започна все повече да се възприема и интернет свързаността като инфраструктура, при това не по-малко съществена за бизнеса. Информацията и най-вече тази в отворен формат придобива все по-голяма важност по аналогичен начин. Данните идващи от частните компании следва да допълнят тази картина и са новата дефиниция на социална отговорност, която често си приписват.

Това, което показах с данните от само няколко дни движение в един град, не са просто шарени карти. Това е илюстрация какво може да се направи за час-два работа, а не крайната цел. Информацията в момента се използва само за улеснение на пътуващите. Съберем ли всичко заедно за целия транспорт и за голям период, се отварят много възможности. Може да се открият проблемни кръстовища, да се подобрява графика, да се оптимизира движението на пътищата и интервала на светофарите. Дори само координатите на спирките може да се използват, за да се открият най-„изолираните“ части от градовете и да се направи карта на най-лошо свързаните региони.

Обединявайки тези данни с масиви за трафика на коли, цените на имотите, координатите на училища, градини и болници, за схемата на почистване на улиците и прочие може да позволи много по-добро градско планиране. По-важното обаче, ще позволи на частни компании и неправителствени организации да изградят приложения използващи данните по различен начин. Най-лесното би било да се направят по-добри приложения за планиране на маршрут с градския транспорт. Сайтовете за недвижими имоти биха давали по-добра информация за свързаността на имота. Родителите биха могли по-лесно да откриват градини и ясли, които са привидно отдалечени, но биха били достигнати лесно с транспорт от дома или офиса им.

Всичко това би помогнало да се направят градовете по-добри и да се използва публичния транспорт повече допринасайки за намаляване на трафика и замърсяването. За съжаление, интуицията на повечето чиновници и поддържащи такива масиви от данни е, че информацията е тяхна собственост и ако бъде публикувана „някой може да я използва“. Това е реакцията, която съм получавал най-често от агенции и общини. Забравя се, че всъщност вече сме платили с данъците си за събирането на всеки информационен ресурс. Забравя се и че целта на всички тези регистри и информационни системи е именно информацията да е достъпна. При тези мащаби с индивидуални справки, PDF-и и снимки на документи това просто не става.

За щастие, вече е в сила изискването, че всички публични данни във всяка нова система на администрацията трябва да са налични като отворени данни. Следва само да следим това да се спазва и да използваме тези ресурси. Съществуват обаче много други стари системи, за които трябва да натискаме да се отворят. Координатите на спирките и автобусите градския транспорт е само един пример. Друг пример са координатите в реално време на снегорини и камиони чистещи улиците зимно време. Общините ги следят, но не публикуват информацията. Друг пример са адресите в градовете, анонимизирани и агрегирани данни от НАП за плащанията на пос терминали и такива от МВР за престъпления.

Тези примери спадат към дефиницията на big data. Не са просто полезни за гражданите и бизнеса, а информация, която самите институции често не успяват да обменят помежду си или дори да анализират. Затова всичко описано до тук повишава не само прозрачността, но и ефективно постига аспекти от така нужната структурна реформа на администрацията ни.

WhatsApp, Yahoo: личните данни

Post Syndicated from nellyo original https://nellyo.wordpress.com/2016/10/29/whatsapp-yahoo/

Групата Article 29, която включва представители на националните регулатори за защита на данните на държавите от ЕС, представител на ЕК и на европейския орган за защита на данните, е изпратила писма до  WhatsАpp u Yahoo във връзка със защитата на личните данни в двете компании.

1

В писмото до WhatsApp се изразява сериозна загриженост от факта, че лични данни на потребителите се споделят с компании от фамилията Facebook за целите на маркетинга и рекламата. Изисква се изчерпателна информация за контрола върху данните, за да може да се направи оценка за съответствие с правото на ЕС. Доколкото е възможно да се установи несъответствие, групата приканва компанията да се въздържа от споделяне докато няма гаранции, че е осигурена адекватна правна защита.

Писмото

Така че за WhatsApp в момента се знае едновременно, че комуникацията е криптирана (което привлича потребители), но че данните им (имена, мейли, телефони) се споделят.

В Германия има решение на органа за защита на лични данни, с които се изисква Facebook да спре да съхранява данните на потребителите на WhatsApp, във Франция са на път към решение да санкционират Facebook.

В САЩ правозащитни организации –  Electronic Privacy Information Center, EPIC и Center for Digital Democracy, CDD –  искат от Федералната търговска комисия, FTC  разследване как WhatsApp използва личните данни на потребителите си.

2

В писмото до Yahoo на първо място се изразява загриженост относно оповестената наскоро кражба на личните данни на най-малко  500 милиона потребители на компанията.

Но това не е всичко, има и втори въпрос: Yahoo сканира мейлите по искане на разузнаването и за неговите цели.

Писмото

 

Filed under: Digital, EU Law, Media Law Tagged: dp

Съд на ЕС: независимост на националните регулаторни органи

Post Syndicated from nellyo original https://nellyo.wordpress.com/2016/10/29/cec_nra/

На 19 октомври 2016 стана известно решението на Съда на ЕС по дело C‑424/15  с предмет преюдициално запитване, отправено в рамките на производство по дело Xabier Ormaetxea Garai,  Bernardo Lorenzo Almendros  срещу Administración del Estado, Испания.

Преюдициалното запитване се отнася до тълкуването на Директива 2002/21/ЕО  относно общата регулаторна рамка за електронните съобщителни мрежи и услуги (Рамкова директива), изменена с Директива 2009/140/ЕС. Според съображение 11 “в съответствие с принципа за разделяне на регулаторните и оперативните функции, държавите членки следва да гарантират независимостта на националния регулаторен орган или органи [НРО], с оглед гарантиране на безпристрастността на техните решения.”

Това е известната хипотеза на отстраняване на членове на регулатор с институционална реформа. Съдът на ЕС вече се е произнасял  – вж. напр. по отношение на органа за защита на лични данни в Унгария – сега практиката се обогатява. Има смисъл да се познава – с превантивно значение, в България парламентът е прилагал тази техника за отстраняване на членове или на цели регулаторни органи (“смяна на институционален модел”) – без да е оказвана съпротива.

Според испанския закон предсрочно прекратяване на мандат на член на регулатор има в следните случаи:

a)      подаване на оставка,

b)      изтичане на мандата,

c)      последваща несъвместимост,

d)      осъждане за умишлено престъпление,

e)      трайна невъзможност да изпълняват задълженията си,

f)      отстраняване от длъжност по решение на правителството в случай на грубо нарушение на задължения, свързани с възложените им функции, или неизпълнение на задължения, свързани с несъвместимост, с конфликт на интереси или със задължение за дискретност. […]“.

Но новоприет закон предвижда, че създаването на Национална комисия в областта на пазарите и конкуренцията води до закриване на Националната комисия по конкуренция, на Comisión Nacional de Energía (Националната комисия по енергетика, Испания), на Comisión del Mercado de las Telecomunicaciones (Комисия за  далекосъобщителни услуги, CMT), на Comisión Nacional del Sector Postal (Национална комисия за пощенския сектор, Испания), на Comité de Regulación Ferroviaria (Комитета за железопътно регулиране, Испания), на Comisión Nacional del Juego (Националната комисия по хазарта, Испания), на Comisión de Regulación Económica Aeroportuaria (Комисията за икономическо регулиране на летищната инфраструктура, Испания) и на Consejo Estatal de Medios Audiovisuales (Държавен съвет по аудиовизия, Испания).

Председателят и един член на СМТ обжалват предсрочното прекратяване на мандатите. Tribunal Supremo (Върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Може ли [Рамковата директива] да се тълкува в смисъл, че от гледна точка на ефективната защита на общите интереси, която е в правомощията на националния регулаторен орган [в областта на електронните съобщителни мрежи и услуги], създаването от националния законодател на регулаторен и надзорен орган в съответствие с институционален модел с неспециализиран характер, който обединява в един-единствен орган съществуващите до този момент контролни органи по-специално в областта на енергетиката, телекомуникациите и конкуренцията, е в съответствие с посочената директива?

2)      Трябва ли условията за „независимост“ на [НРО], на които се позовава член 3, параграфи 2 и 3а от [Рамковата директива], да бъдат аналогични на предвидените в член 28 от Директива [95/46] за националните контролни органи за защита на личните данни?

3)      Приложима ли е доктрината, съдържаща се в решение [на Съда] от 8 април 2014 г., [Комисия/Унгария (C‑288/12, EU:C:2014:237)], към случай, в който ръководителите на [НРО] са освободени от длъжност преди изтичането на мандата им въз основа на нова правна уредба, която създава надзорен орган, групиращ различни национални регулаторни органи в [различни] сектори […]? Може ли само поради влизането в сила на нов национален закон, а не поради последващо неизпълнение на условията, на които трябва да отговарят тези лица и които са установени предварително в националното законодателство, посоченото предсрочно освобождаване от длъжност да се счита за съвместимо с член 3, параграф 3а от [Рамковата директива]?“.

Съдът се произнася в следния смисъл:

1

Както и следва да се очаква, според Съда Рамковата директива допуска по принцип сливане на НРО по смисъла на тази директива с други национални регулаторни органи и образуването по този начин на един-единствен многосекторен регулаторен орган, при условие че при изпълнение на задачите, които Рамковата директива и специфичните директиви възлагат на НРО, този орган отговаря на условията за опит, независимост, безпристрастност и прозрачност, предвидени в Рамковата директива, и че решенията, които той взема, могат да бъдат обжалвани ефективно пред независим от заинтересованите лица орган.

Принципно може – но при определени условия, които следва да бъдат проверени.

2 и 3

Съдът обсъжда допустимо ли е само заради създаване на многосекторен регулатор (“само поради факта на институционална реформа, състояща се в сливане на НРО”) предсрочно прекратяване на мандатите на членовете на досегашните секторни регулатори.

Не.

Съображение 13 от Директива 2009/140 гласи, че   следва да се въведе изрична разпоредба в националното законодателство, която да гарантира, че при изпълнение на своите задачи НРО, отговорен за ex ante регулиране на пазарите или за уреждане на спорове между предприятията, е защитен срещу външна намеса или политически натиск, които могат да нарушат неговата независима оценка на въпросите, пред които е изправен, и че поради това следва изначално да се установят правила относно основанията за освобождаване от длъжност на ръководителя на НРО, с цел отстраняване на всякакви основателни съмнения относно неутралността на този орган и неговата неподатливост на външни фактори.

Тази цел да се засили независимостта и безпристрастността на НРО би била  застрашена, ако само поради факта на институционална реформа о е позволено да се прекрати предсрочно и незабавно мандатът на един или на няколко членове на колективния орган, който ръководи въпросния НРО.  Действително, ако това бъде прието, рискът от незабавно уволнение на основание, различно от предварително установените в закона, пред който дори само един член на такъв колективен орган може да бъде изправен, би могъл да породи основателно съмнение в неутралността на съответния НРО и неговата неподатливост на външни фактори, и да накърни неговата независимост, безпристрастност и влияние.

Според Съда Рамковата директива не допуска само поради факта на институционална реформа, състояща се в сливане на национален регулаторен орган, отговорен за ex ante регулиране на пазарите или за уреждане на спорове между предприятия, с други национални регулаторни органи, за да се създаде многосекторен регулаторен орган, натоварен по-конкретно със задачите, възложени на националните регулаторни органи по смисъла на тази директива, изменена, председателят и член на колективния ръководен орган на слетия национален регулаторен орган да бъдат освободени от длъжност преди изтичането на техните мандати, при положение че не са предвидени правила, гарантиращи, че такова освобождаване от длъжност не накърнява тяхната независимост и безпристрастност.

Filed under: Digital, EU Law, Media Law Tagged: съд на ес

Съд на ЕС: IP-адресите като лични данни и тяхното регистриране и съхраняване

Post Syndicated from nellyo original https://nellyo.wordpress.com/2016/10/29/cec_ip-dp/

Стана известно решение на Съда на ЕС по  дело C‑582/14 с предмет преюдициално запитване, отправено   от Bundesgerichtshof (Федерален върховен съд, Германия)  в рамките на производство по дело Patrick Breyer срещу Bundesrepublik Deutschland. Преюдициалното запитване се отнася до тълкуването на   Директива 95/46/ЕО за личните данни.

Г‑н Breyer е ползвал няколко интернет сайта на германските федерални служби. При повечето от тези сайтове всички влизания се регистрират в ежедневни файлове с цел защита от атаки и осъществяване на наказателно преследване срещу „пиратите“. След действието на ползване на въпросните сайтове в тези файлове се съхраняват наименованието на ползвания сайт или файл, въведените думи в полетата за търсене, датата и часа на ползването, прехвърленото количество данни, съобщението дали ползването е било успешно и IP адресът на компютъра, от който е осъществено ползването.

Г‑н Breyer подава жалба до германските административни юрисдикции с предмет да се забрани на Федерална република Германия да съхранява лично или чрез трети лица, след действието на ползване на общодостъпните сайтове на онлайн медии на германските федерални служби, IP адреса на получаващата достъп хост система на г‑н Breyer. В първоинстанционното производство жалбата на г‑н Breyer е отхвърлена, той обжалва. Според въззивната юрисдикция динамичен IP адрес заедно с датата на действието на ползване, към която то се отнася, представляват лични данни, когато съответният ползвател на интернет сайт е разкрил самоличността си при ползването, защото администраторът на сайта може да идентифицира ползвателя, като засече името му с IP адреса на компютъра му. Тя осъжда Федерална република Германия да се въздържа от съхраняване лично или чрез трети лица на IP адреса, доколкото съхраняването не е необходимо за възстановяване на излъчването на електронната медия в случай на смущения.

Същевременно динамичните IP адреси на компютъра на г‑н Breyer, съхранени от Федерална република Германия в качеството ѝ на доставчик на онлайн медийни услуги,   не позволяват да се установи пряко самоличността на г‑н Breyer. Администраторите могат да идентифицират г‑н Breyer само ако доставчикът на интернет услуги им предаде информация относно самоличността на този ползвател. Квалифицирането на динамичните IP адреси   като лични данни според тази юрисдикция зависи от това дали лицето подлежи на идентификация.

При тези условия  Bundesgerichtshof (Федерален върховен съд) спира производството, за да отправи запитване към Съда на ЕС. Запитващата юрисдикция  уточнява, че доставчиците на онлайн медийни услуги могат да събират и използват лични данни на ползвател само доколкото това е необходимо

  • за да се даде възможност и се отчете използването на тези медии и
  • за да се гарантира сигурността и продължителността на доброто функциониране на сайтовете на онлайн медийните услуги, които са общодостъпни, позволявайки по-специално да се разпознаят информационните атаки, наречени „Denial-of-Service“, които целят да се блокира функционирането на тези сайтове чрез целенасочено и координирано претоварване на определени интернет сървъри с голям брой запитвания, и за да се води борба срещу тези атаки.

Въпросите:

„1)      Трябва ли член 2, буква а) от Директива 95/46 да се тълкува в смисъл, че адрес по интернет протокол (IP адрес), който се запазва от доставчик на [онлайн медийни] услуги при влизане в неговия интернет сайт, представлява за него лични данни и когато трето лице (в случая — доставчикът на услугата за достъп) разполага с допълнителната информация, необходима за идентифицирането на съответното лице?

2)      Допуска ли член 7, буква е) от [тази директива] разпоредба от националното право, съгласно която доставчикът на [онлайн медийни] услуги може да събира и използва лични данни за ползвател без неговото съгласие само доколкото е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронна медия от съответния ползвател, и съгласно която целта за осигуряване на общата функционална способност на електронната медия не може да оправдае използването на данните след края на съответното действие на ползване?“.

Съдът:

1

Съдът е приел по същество, че IP адресите на ползвателите на интернет са защитени лични данни, тъй като позволяват точното идентифициране на тези ползватели – но когато събирането и идентифицирането на IP адресите на ползвателите на интернет се извършва от доставчиците на интернет услуги. В случая доставчикът на онлайн медийни услуги, а именно Федерална република Германия, запазва IP адресите на ползвателите на интернет сайт, до който този доставчик на услуги предоставя достъп, без ФРГ да разполага с допълнителната информация, необходима за да бъдат тези ползватели идентифицирани.

Освен това безспорно е, че IP адресите, на които се позовава запитващата юрисдикция, са „динамични“ IP адреси, а именно временни такива, които се предоставят при всяко свързване с интернет, като се заменят при последващо свързване, а не „статични“ IP адреси, които не се променят и позволяват постоянното идентифициране на устройството, свързано с мрежата. Динамичен IP адрес не представлява информация относно „идентифицирано физическо лице“, доколкото такъв адрес не разкрива пряко самоличността на физическото лице, собственик на компютъра, от който е ползван интернет сайт, нито тази на друго лице, което би могло да използва този компютър.

Следва обаче да се определи дали възможността за комбиниране на динамичен IP адрес с  допълнителна информация, притежавана от доставчика на интернет услуги, представлява средство, което би могло да бъде използвано разумно за идентифицирането на съответното лице.

По първия въпрос: динамичен IP адрес, запазен от доставчик на онлайн медийни услуги по повод на ползването от дадено лице на интернет сайт, до който този доставчик предоставя достъп, представлява по отношение на въпросния доставчик лични данни по смисъла на тази разпоредба, когато същият разполага със законни средства, позволяващи му да идентифицира съответното лице благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на това лице.

2

Обработването на лични данни е законосъобразно, наред с други хипотези,  когато „е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато   имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице”.

Според националното право (член 15 от TMG)  доставчикът на услуги може да събира и използва лични данни на ползвател единствено доколкото това е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронните медии. По този начин член 15 от TMG не би допуснал най-общо съхраняването на лични данни в края на ползване на електронни медии, за да се гарантира използването на тези медии. Националното право изключва целта за осигуряване на общата функционална способност на посочената електронна медия да може да бъде предмет на претегляне с интереса или правата и основните свободи на тези ползватели, които изискват защита по силата на член 1, параграф 1 от тази директива.

По втория въпрос: не допуска правна уредба на държава членка, по силата на която доставчик на онлайн медийни услуги може да събира и използва лични данни за ползвател на тези услуги при липса на съгласие от негова страна само доколкото събирането и използването са необходими, за да се даде възможност и да се отчете конкретното ползване на посочените услуги от ползвателя, без целта за осигуряване на общата функционална способност на тези услуги да може да оправдае използването на данните след действие на ползването им.

Или, както става ясно, доставчиците имат право да съхраняват лични данни за целите на защита на функционирането на сайта, например за защита срещу кибератаки.

повече

Filed under: Digital, EU Law, Media Law Tagged: съд на ес

Проследяване на активните българи в чужбина

Post Syndicated from Боян Юруков original http://yurukov.net/blog/2016/prosledqvane_chujbina/

Да се каже колко са българите в чужбина е пословично трудно. Реалистичните прогнози сочат за 0.9 до 1.2 милиона. Медиите често тиражират непроверени и невъзможни оценки. Дори в доклада за националната сигурност се прокрадна незнайно откъде числото 3.5 млн. Точна и пряка информация няма. Единствената възможност е да преценим на база косвени данни – деца родени зад граница, пътувания, местна статистика, брой извършени услуги в консулствата, активност на избори и прочие.

В последните три години събирах данни за още един такъв източник – заявленията за гласуване в чужбина. Докато броят им обикновено е малък – под 40 хиляди – те носят друга интересна информация. Тезата ми беше, че с публичната информация за заявленията може да се проследи пътя на отделни хора през годините – къде са живели и къде са се преместили. Това предположение, разбира се, има доста условности, които ще обсъдя по-долу. Не по-малко важен е и аспектът за сигурността на личните данни и какви са последствията от тази проследимост. Ще започна обаче от началото.

Събиране и анализ

В рамките на всяка кампания за отваряне на секции в чужбина, ЦИК публикува списък. Той съдържа три имена и място, където лицето иска да гласува. Преди дни писах за кампанията за тези избори и с какви проблеми се сблъскахме. Всяка година има различни правила за отваряне на секции, но списъкът е приблизително един и същ.

От парламентарните избори през 2013-та започнах да свалям този списък на всеки вот. Това е изцяло публична информация, която всеки може да намери. Някои от тези списъци дори все още са в мрежата. Събрах ги на едно място в един формат и започнах да ги сравнявам.

Първо махнах всички с Иван, Димитър, Николай и прочие често срещани някъде в трите си имена. Изключих и всички имена, които се срещат повече от веднъж в списъка на даден вот. Така получих изчистен списък от няколко хиляди души, които са подали заявление на поне два вота, не се повтарят и не съдържат често срещани частици.

Следващата стъпка е да изкарам промените в местата, където всеки от тези хора са подавали заявления в различните години. Секциите често сменят точните си коодинати, а и хората гласуват понякога в съседни места. През 2013-та, например, аз подадох заявление за Франкфурт, но в последните два вота подавам за Дармщадт. Двата града са на 20 км. един от друг. При такова малко разстояние не може да се направи предположение, че съм се преместил. Затова премахнах всички “пътища”, които са с места на по-малко от 50 км.

Накрая, за да е по-прегледна визуализацията, обединих места, които близо едно до друго. Това е нужно, защото в Лондон, например, има доста секции в кварталите. Недостатъкът е, че някои градове по границата на съседни държави също бяха обединени. Такива обаче бяха две или три.

Визуализация на данните

Резултатът от този алгоритъм е следната карта. Показва пътя на 1268 души през 269 града по света. Това са 3.6% от подалите заявления тази година. Всяка точка е място, където някой е живял или където се е преместил. Големината им показва броя хора минали от там.

Ако минете с мишката през местата, ще видите в зелено нанеслите се от други градове, а в червено – изнеслите се. Кликнете върху мястото, за да оставите фокуса на тези връзки. Така ще може да променяте увеличението на картата и да разгледате по-добре връзките на този град. Може да отворите картата на цял екран за по-добра прегледност.

Тази графика показва разбивка по държави. Повечето секции имат дял, който не отива никъде. Това са хората преместили се в рамките на същата държава. Минете с мишката над определена държава, за да видите само нейните връзки. Нарочно не съм показал точния брой преместили се, защото няма такова значение – данните не са представителни. По-голямото движение за Великобритания, например, се дължи на по-голямата извадка от там тъй като са сред най-активните в събирането на заявления. Това не означава, че там най-много се местят хора. Целта на тези графики е да получим обща представа.

Условности на анализа

От разяснението на алгоритъма веднага стават ясни няколко потенциални проблема. Въпреки изчистването на повтарящи се и често срещани имена, няма начин да знам дали подалите заявления в различни градове са един и същи човек само на база име. Публичните данни нямат друга лична информация, а и не трябва да имат. По мои наблюдения обаче, когато някой веднъж подаде заявление за гласуване, има тенденция да подава и на следващите вотове. Особено след въвеждането на електронния формуляр. Затова прецених, че вероятността един човек да подаде на едни избори на едно място, да не подава повече и друг човек със същото рядко име да подаде на други избори за друго място е достатъчно ниска. Все пак, такава вероятност съществува.

Липсата на друга идентифицираща информация прави невъзможно и засичането на промени в имената на даден човек. Това се отнася най-често за жените, които са се омъжили или развели. Това ще попречи да се намери връзка. Случва се също хората да си сменят името при взимане на чуждо гражданство. Тези случаи обаче са редки и промяната почти никога не отразява в България.

Друг проблем с анализа е, че презумпцията, че хората са подали заявления за места близо до местоживеенето им. Макар това да е най-честия случай, няма гаранция, че се отнася до всички. Малко известен факт е, че може да подадем заявление за която и да е секция в чужбина и да гласуваме в друга. Това може да се използва за подкрепа на далечни секции, когато близката до нас гарантирано ще бъде отворена. Доколкото съм видял обаче, такава подкрепа рядко се дава. Най-вече причината е, защото не е известно като възможност, но и защото винаги го има притеснението, че ЦИК ще промени нещо в правилата в последния момент.

Лични данни ли са това?

Технически не. Нито в графиките тук, нито където и да е другаде не съм публикувал имената на подалите заявления. Използвам само списъците от сайта на ЦИК. Те, както споменах вече, се публикуват изцяло в съответствия с Избирателния кодекс. Целта им предвидена от депутатите ни е всеки да може да провери дали заявлението му е било правилно обработено и прието.

Би могло да се поспори дали публичността на тези списъци в мрежата е проблем. Доста хора забравят, че списъците с разпределението по секции също се публикуват – както пред секциите, така и в интернет. Съдържат имената на почти всички пълнолетни българи и лесно се намират. Всъщност, именно с тях понякога проверявах местоживеенето на отделни изчезнали в Lipsva. Ако се свалят всички, сравнително лесно може да се направи същия анализ като този, но за цяла България.

izbiratelni-spisaci

Публичните списъци, за които говоря, трябва да се различат от теча на информация, който видяхме през 2011-та. Тогава Външно погрешка публикува адресите в България и в чужбина на над 36000 българи. Сега списъците със заявления се публикуват само от ЦИК през специален сайт, така че такъв теч надали е възможен.

Все пак, сами виждате, че проблем има. Всеки списък поотделно не ни дава много информация, но взети заедно, дори предвид всички условности, показват ясни връзки. Добавяйки други данни като активността в социалните мрежи донася още повече информация. Търсенето на редки имена във Facebook и Linkedin има доста добри резултати. Да не забравяме, че подаващите заявления са обикновено активните социално българи. Това повишава вероятността да ги намерим в местните общности или просто в Google.

Неприкосновеност в един свързан свят

Личното пространство е доста сложно понятие в наши дни. Оставяме куп информация в мрежата с дейността си. Често тази информация показва повече, отколкото ни се иска. Използвайки т.н. data mining всеки с повече знания може да събере парчетата. Част от тях сами се споделили – като местоживеене и роднински връзки във Facebook, коментар за даден квартал във форум и прочие. Други като изборните списъци се публикуват от администрацията.

Подавайки заявления за гласуване за избори в чужбина е само един пример. Понякога става дума за недоглеждане от страна на институция, като случая за пробива в сайта на Фонда за асистирана репродукция. При повечето обаче публичността е регламентирана от нормативен акт и за това има много добри причини. Може да се опитате да скриете тази информация, както изглежда се е опитал да направи един кандидат за президент. Реалността днес е такава, че ако нещо попадне в мрежата, то трудно би било да се премахне.

Докато някаква степен на публичност е нужна, определено има какво да се подобри в конкретния случай. Избирателните списъци окачени пред секциите са абсолютно ненужни. ГРАО има сайт и телефон за проверка. Достатъчно е да се сложи бележка с номера пред секцията. Публикуването в мрежата пък съвсем трябва да се спре. Ако някой може да отвори текстовия файл от сайта на общината си, определено може да отвори формуляра на ГРАО. За заявленията за гласуване в чужбина пък е достатъчно да се въведе формуляр с код. И сега на сайта на ЦИК се раздават пинове за всяка проверка. При попълване на заявлението може да се показва на екрана и праща по мейл код, с който да се прави проверката. Пак имаме нужда от списъка с места, където са подадени заявления заедно с общият им брой. Това е критично са процесът на организация на секции. Няма нужда обаче имената да са публични. Картата горе илюстрира защо.

Да не бързаме да прехвърляме вината

Осъзнавам, че описаното до тук би могло да откаже някои да подават заявления. На пръв поглед излиза, че ЦИК не пази данните ни. Това съвсем не е така. Подаването на заявления е изключително важно. Може да се подобри публичността на информацията, но всичко от това, което научих тук, можеше да го получа от други източници и то с доста по-голяма точност. Трябва да разберем, че истинският проблем е в това, което сами оставяме в мрежата. Регистрите са чисто чиновническо решение на всеки проблем и информацията в тях често е ненадеждна. Докато те може да се ограничат или оправят, с лекота предаваме лични снимки, постове, местоположение, предпочитания и прочие на социалните мрежи. Малко осъзнават, че тогава те стават тяхна собственост. Същото важи за информацията събирана от рекламите по сайтовете – какво търсите, какво посещавате и какво четете.

Определено има стъпки, които ЦИК може да вземе, за да подобри конкретния случай с регистъра на заявленията. Трябва законодателна инициатива, за да се промени ИК и да се премахнат избирателните списъци. Целта ми с този анализ е най-вече да покажа, че събирайки няколко безобидни източника на информация, може да научим притеснително много. Когато говорим за държавни институции, обществени средства и решения на официални лица, именно този ефект търсим с отворените данни. Когато обаче нещата опрат до личното пространство на отделни индивиди, трябва да сме по-внимателни.