ЕГН-то не е тайна

Тази седмица участвах в дискусия за защитата на личните данни в дигиталния свят (в рамките на Sofia Legal Hackers – инициатива, която събира на едно място юристи и IT специалисти). Дискусията беше два часа и имаше много аспекти, най-вече профилирането ни чрез технологични средства като бисквитки, правото да бъдем забравени от търсачките, юрисдикцията върху личните данни, когато сървърите се намират извън ЕС и др. Но обсъдихме и общият въпрос – какво са личните данни – според новия европейски регламент и според действащото законодателство.

Преди няколко седмици пък събирах на улицата подписи и ЕГН-та на хора (за регистрацията на Да, България). И някои хора бяха неуверени в това да дадат ЕГН-тата си. Това е само поредното наблюдение на феномен, който не е от вчера – ЕГН-то в България се счита за нещо, което трябва да се пази и да не се дава „току-така“.

Администратор на лични данни се става с едно заявление до КЗЛД, т.е. всеки може да стане. Въпросът е – ЕГН-то доколко е лична данна (лични данни, ако приемем, че няма дума „данна“)? ЕГН-то съдържа дата на раждане, пол и място на раждане, които са си лични данни. Според Закона за защита на личните данни:

Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци

Само че никъде в закона не се казва, че личните данни са тайни. ЕГН-то не е тайна. Няма причина да бъде. Никой не може да ви нанесе вреда, като ви знае ЕГН-то. Личните данни, съдържащи се в ЕГН-то, са горе-долу видими когато човек ви срещне на улицата – вижда пола ви, приблизителната възраст. И доста други неща, като цвят на очите, коса, ръст и т.н. Това също са лични данни, които няма как да са тайни, освен ако не ходим с чаршафи по улиците.

„Ама някой ще изтегли кредит от мое име или ще си припише мой имот“. Не. За да извършите правно-значимо действие минимумът е да бъдете идентифициран – това става с показване на лична карта и сравняване на снимката от нея с човека, който я представа. След това трябва да положите подпис, с който да потвърдите волеизявлението си. Никой не може да отиде с ЕГН и да ви навреди. Ако можеше, отдавна да го е направил. Списъци с ЕГН-та (и други лични данни) доколкото ми е известно циркулират „в пространството“.

Факт е, че има институции, които ползват знанието на ЕГН-то като средство за идентификация при правене на електронни справки. Това е грешно и не бива да се прави, но е начин да се заобиколи липсата на електронна идентификация. Сега като има електронна идентификация, тези практики ще трябва да изчезнат.

Всъщност Естония е взела такова решение- там ЕГН-то (с почти същата структура като нашето) е публично и никой няма напъни да го крие. Не просто е публично, ами списък с ЕГН-тата им има в публичната директория на удостоверения за електронна идентичност (които са записани в личните им карти). Но за нашата електронна идентификация, тъй като тук битува мита за тайанта на ЕГН-то, се наложи да въвеждаме нов електронен идентификатор, като дори неговата публичност беше поставена под въпрос, поради което с технически „еквилибристики“ решихме да не го включваме в публичната директория (а само хеша на сертификата).

Комисията за защита на личните данни може би има малка вина за тази „параноя по пазене на ЕГН-то“. Например заради нейно решение, ЕГН-тата в Търговския регистър не са видими без регистрация, а когато отваряхме данните от Търговския регистър в машинно-четим формат, се наложи да анонимизирам ЕГН-тата. Въпреки, че дори специалният закон – този за Търговския регистър – казва, че данните са публични и това да е основната идея – като сключваш договор с друга фирма, да видиш дали този, който се представя за управител наистина е такъв.

Медиите също не помагат – говори се доста свободно за „кражба на самоличност“ и документни измами, които след детайлно разглеждане всъщност далеч не се базират на това, че някой е знаел чуждо ЕГН.

Та нека не си пазим ЕГН-то като очите – от никъде не следва, че то е тайно. Съдържа лични данни, но доста по-незначителни такива от многото лични данни, които се събират за нас например през онлайн активността ни. защитата на личното пространство е много повече от това да си крием ЕГН-то.

6 коментара

  1. Тайна не е, но не трябва да е нещо, което да се размотава в публичното пространство.

    Между другото, когато събира подписи и ЕГН-та за Да, България, беше ли регистриран като администратор на лични данни?

  2. Не казвам да си го слагаме на челото, но да не се притесняваме да го даваме.

    За събирането на подписи – Зелените и ДЕОС (субектите в коалицията) са администратори на лични данни, така че – да.

    По принцип се получава малко параграф 22 – самата коалиция възниква в правния мир с регистрирането ѝ в ЦИК, а след това може партиите в нея да напуснат и да дойдат други, което теоретично значи, че подписи може да си събира от името на администратор, който в крайна сметка не е в коалицията 🙂

  3. Здравствуйте Уважаемый администратор сайта blog.bozho.net!

    Если Вы читаете этот коммент, значит мой прогон Хрумером можно считать успешным. Защиту Вашего сайта blog.bozho.net Хрумер успешно обошел и оставил этот коммент.
    Предлагаю Вам бесплатно прогнать Ваши сайты (не более 3-х) по трастовым базам с ТИЦ от 10. Если результат для Вас будет приемлемым, можно будет обсудить дальнейшее сотрудничество.

    О Вашей заинтересованности пишите на victor.veselckin@yandex.com

  4. ЕГН-то е проблемно, до колкото чрез него може да се идентифицира даден човек и недобросъвестни хора да получат достъп до голямо количество специфична информация. Не знам как е по чужбината, но тук с едно ЕГН можеш да извадиш сериозно количество данни. Сигурността е под всякаква критика във всички „администратори на лични данни“.
    Разбира се, не ЕГН-то е проблемът, а отношението, както на клиентите, така и на служителите на институциите. И правилата, които липсват или не се прилагат при работа с лични данни. В крайна сметка, хората чисто първосигнално се опитват да приложат някакъв контрол като настояват ЕГН-то да е тайна, вместо да искат по-сериозни регулации и наказания при злоупотреба с лични данни.

  5. Като имам ЕГН на едно лице, например на Божидар Божанов, мога например да извадя следното от Търговския регистър:
    Фирмата в която участва, в случая ОМНИВЕРС.
    Тъй като за съжаление ТР е свободно достъпен за всеки (дори и да няма никакво основание да рови в личните ви данни), от досието () лесно достигане до:
    номер на лична карта, постоянен адрес, как се подписва Божидар, че дори и номер на банкова сметка.
    Номера на личната карта лесно се проверява на страницата на МВР дали към момента е валиден.
    Срещу скромна сума, може да се направи фалшива лична карта, след което да се нанесат множество съвсем реални поражения на лицето (поинтересувай се и ще разбереш че описвам реални ситуации). Например – да се изтеглят пари от сметката на лицето, която се вижда от Търговския регистър.
    От имотния регистър (пак на база на ЕГН), може да извадиш по електронен път (срещу минимално заплащане) информация за имоти на лицето (както и информация за неговите близки).
    Както е посочил по-горе някой, само по себе си не е проблем ЕГН-то а достъпността и анонимността при достъпването на личните данни (които през ЕГН лесно може да събереш за едно лице).

  6. @Веселин – така е. Търговският регистър трябва да е публичен. Дали вътре трябва да се вижда постоянния ми адрес – не, ама това е комбинация от редица фактор, нямащи общо с ЕГН-то (най-често неграмотни юристи).

    За имотния регистър – аз съм окей да се види какви имоти имам. Тая информация няма защо да е скрита.

    За личната карта си прав. Знам за фалшивите лични карти. Но там проблемът е във възможността за фалшива лична карта (който с новите лични карти от догодина, надявам се, ще бъде решен).

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *