Комисията за защита на личните данни започва производство в НАП

Комисията за защита на личните данни на 22 юли започва производство в НАП, стана известно днес. Приходната агенция ще пусне услуга за проверка на изтекли лични данни, но според GDPR това не е достатъчно, за да изпълни задължението си за уведомяване на засегнатите лица

На 17 юли Комисията за защита на личните данни получи уведомлението на НАП за нарушение на сигурността и започва  проверка в Националната агенция за приходите, съобщи КЗЛД.

“На среща на ръководствата на двете ведомства, НАП изрично декларира готовност за съдействие на КЗЛД за изясняване на всички обстоятелства за нерегламентирания достъп да данните от агенцията.

Обсъдиха се и последващите стъпки, които трябва да предприеме приходната агенция, а именно: НАП ще подготви и пусне в сайта си приложение, чрез което гражданите да проверят дали техни лични данни са станали публично достояние в противоречие със закона.”

Днес НАП сложи на сайта си банер със следния текст:

“Уважаеми клиенти,

На 15.07. 2019 г. беше установено, че е осъществен неоторизиран достъп до около 3% от информацията, съдържаща се в базите данни на НАП.

Кои физически лица са засегнати?  

Около 5,1 млн. български граждани. Около 4 млн. от тях са на живи хора, останалите са на починали лица.

Каква информация за физически лица е станала достъпна?

Неправомерно са били разпространени лични данни и данъчно-осигурителна информация.

Важно е да се знае, че това не са всички данни, с които разполага НАП за конкретно физическо или юридическо лице, а частична информация, която трябва да бъде допълнително обработена, за да се използва. Независимо от това, чувствителни данни за много българи са станали публично достъпни. Всички физически лица имат право да бъдат информирани за нарушаване на сигурността на личните им данни.

Незаконно разпространените файловете съдържат:

  • Имена, ЕГН и адреси на български граждани;
  • Телефони, имейл адреси и друга информация за контакт;

Данъчно-осигурителна информация като например:

  • Данни от годишни данъчни декларации на физически лица;
  • Данни от справките за изплатени доходи на  физически лица;
  • Данни от осигурителни декларации;
  • Данни за здравно осигурителен статус (важно! Става дума за осигурителни вноски,  а не за медицински статус или информация за лечение на гражданите);
  • Данни за издадените актове за административни нарушения;
  • Данни за извършените плащания на данъци и осигурителни задължения през Български пощи АД;
  • Данни за поискан и възстановен ДДС, платен в чужбина;
  • Данни от международния обмен на данъчна информация за български местни лица;
  • Служебни данни, получени от други институции в НАП, като Агенция Митници, Агенция по заетостта, Агенция за социално подпомагане, НЗОК, и др.;

Как да разбера дали моите данни са изтекли?

Очаквайте в близките дни приложение, чрез което да направите справка за това дали личните Ви данни са изтекли. Планирано е справките в приложението да бъдат достъпни след въвеждане на ЕГН и  еднократен код от съображения за сигурност.

Приемете отново извиненията ни за създадената ситуация.”

В Насоките относно уведомяването за нарушения на сигурността на личните данни съгласно Регламент (ЕС) 2016/679 на Работна група за защита на личните данни по член 29 от Директива 95/46/ЕО – закрита със създаването на Европейския комитет по защита на данните, обаче се препоръчва съобщенията да бъдат изпращани лично на засегнатите. Когато това би довело до непропорционални усилия на администратора, могат да се комбинират няколко канала:

Уведомление единствено в рамките на съобщение за медиите или в корпоративен блог не е ефективно средство да се съобщи на дадено физическо лице за нарушение. РГ 29 препоръчва администраторите да избират начин, който увеличава максимално вероятността за адекватно съобщаване на информацията до всички засегнати физически лица. В зависимост от обстоятелствата това може да означава, че администраторът ще използва няколко начина за
съобщаване, вместо един-единствен канал за връзка.

Насоки относно уведомяването за нарушения на сигурността на личните данни съгласно Регламент (ЕС) 2016/679

Но всеки пострадал лично трябва да получи информация за конкретните категории данни, засегнати от нарушението.

Проверката на КЗЛД започва на 22 юли и ще приключи в срок до 20.08.2019 г.

Можете да споделите: