Колко нарушения на GDPR е допуснала НАП?

Освен нарушението за гарантиране на степента на сигурност при обработка на личните данни, вчера излезе и още един проблем в Политиката по защита на личните данни на НАП – спазването на принципа за прозрачност в GDPR

Вчера НАП публикува описание на засегнатата от неоторизирания достъп информация – лични данни и данъчно-осигурителна информация. В текста има и още един интересен ред: Служебни данни, получени от други институции в НАП, като Агенция Митници, Агенция по заетостта, Агенция за социално подпомагане, НЗОК, и др.;

Съображение (39) на Общия регламент за защита на данните гласи:

Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до оборудване за тяхното обработване или за предотвратяване на използването им. За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответния субект на данни или на друго легитимно основание, установено по законодателен път в настоящия регламент или в друг правен акт на Съюза или на държава членка, както е посочено в настоящия регламент, включващо необходимостта от спазване на правното задължение, наложено на администратора на лични данни, или необходимостта от изпълнение на договор, по който субектът на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения.

Ето и съображение (58): Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. Тази информация може да бъде представена в електронна форма, например чрез уебсайт, когато е адресирана до обществеността. Това важи в особена степен за ситуации, където нарастването на участниците и технологичната сложност на тази практика правят трудно за субекта на данни да узнае и разбере дали се събират свързани с него лични данни, от кого и с каква цел, като в случая на онлайн рекламите. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

Още в съображение (78): Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. При разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.

Принципът на прозрачност в регламента естествено предвижда съобразяване с необходимостта на поверителност при спазване на задължение за опазване на професионална тайна – чл. 14, §5, б.“г“.

На какво пише в Политиката по защита на личните данни на НАП – „При събирането и обработването на Вашите лични данни имате право на:

  • Информация относно обработваните Ваши лични данни и достъп до събраните за Вас лични данни;
  • Коригиране/попълване ако данните са неточни/непълни – по Ваша инициатива или по инициатива на орган на НАП;
  • Изтриване на личните данни, при наличие на законови основания за това;
  • Ограничаване на обработването на Вашите лични данни от страна на НАП, при наличие на законови основания за това;
  • Преносимост на личните данни между отделните администратори – това право Ви позволява да получите данните си от НАП и да ги прехвърлите на друг администратор в подходящ за употреба формат;
  • Възражение спрямо обработването на личните Ви данни, при наличие на законови основания за това;
  • Право на защита по съдебен или административен ред, в случай, че правата Ви са били нарушени.“

И нито дума за информацията, съхранявана в НАП, която е получена от други институции.

Къде е проблемът? Гражданите не могат да се възползват правата си, гарантирани от GDPR, защото в Политиката по защита на личните данни на НАП, не е описана информацията, която е получена от други институции.

Как мога да поискам коригиране на личните данни, съхранявани в НАП, но получени от Агенцията по заетостта, ако въобще не зная, че  там има такава информация? И какво стои зад съкращението “и др.”?

Можете да споделите: