Колко нарушения на GDPR е допуснала НАП? II

От съобщенията на НАП, свързани с „осъществен неоторизиран достъп до около 3% от информацията, съдържаща се в базите данни” стана ясно, че в агенцията се извършва профилиране.

Общият регламент за защита на данните (GDPR) предвижда определени задължения за администратори, които извършват „профилиране или автоматизирано вземане на решения“.

В съображение 71 се посочва:“ …вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, осъществявани в съответствие с разпоредбите, стандартите и препоръките на институциите на Съюза или националите надзорни органи, и за гарантиране на сигурността и надеждността на услугите, предоставяни от администратора, или когато е необходимо за сключването или изпълнението на договор между субект на данни и администратор, или когато субектът на данни е дал изричното си съгласие.“

Работна група по чл. 29 от Директива 95/46/ЕО – закрита със създаването на Европейския комитет по защита на данните е издала Насоки относно автоматизираното вземане на индивидуални решения и профилирането за целите на Регламент (ЕС) 2016/679.

В тях се казва:

„С оглед на основния принцип на прозрачност, залегнал в основата на ОРЗД, администраторите трябва да гарантират, че обясняват ясно и просто на физическите лица как се осъществява процесът на профилиране или автоматизирано вземане на решения.

По-специално когато обработването включва вземане на решения, основаващо на профилиране (независимо дали е обхванато от разпоредбите на член 22), на субекта на данни трябва да бъде посочен ясно фактът, че обработването е за целите както на a) профилирането, така и на б) вземането на решение въз основа на генерирания профил.”

В съображение 60 също така се посочва, че предоставянето на информация относно профилирането е част от задълженията за прозрачност на администратора съгласно член 5, параграф 1, буква а). Субектът на данни има право да бъде информиран от администратора и при определени обстоятелства има право да възрази срещу „профилирането“, независимо дали се извършва изцяло автоматизирано вземане на индивидуални решения, основано на профилиране.“

Работна група по чл.29 от Директива 95/46/ЕО в своите Насоки относно прозрачността съгласно Регламент 2016/679  посочва следното:

„Информация относно профилиране и автоматизирано вземане на решения

Информацията за съществуването на автоматизирано вземане на решения, включително профилирането, както е посочено в член 22, параграфи 1 и 4, и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните, е част от задължителната информация, която трябва да бъде предоставена на субекта на данни съгласно член 13, параграф 2, буква е) и член 14, параграф 2, буква ж).

Работната група по член 29 изготви насоки относно автоматизираното вземане на индивидуални решения и профилирането, които следва да бъдат разгледани за допълнителни съвети за това как да се постигне прозрачност в конкретните обстоятелства на профилирането. Следва да се отбележи, че освен специфичните изисквания за прозрачност, приложими към автоматизираното вземане на решения, посочено в член 13, параграф 2, буква е) и член 14, параграф 2, буква ж), коментарите в настоящите насоки относно значението на информирането на субектите на данни за последствията от обработването на техните лични данни и общият принцип, че субектите на данни не трябва да бъдат изненадвани от обработването на техните лични данни, се прилагат в еднаква степен за профилирането по принцип (а не само за профилирането, което попада в обхвата на член 22) като вид обработване.”

Разбира се, регламентът предвижда при информирането на субектите да се запази служебната тайна на администратора.

Какво се казва в съображение (63) на Общия регламент: „Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Когато е възможно, администраторът следва да може да предоставя достъп от разстояние до сигурна система, която да предоставя на субекта на данните пряк достъп до неговите лични данни. Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато администраторът обработва голямо количество информация относно субекта на данни, администраторът следва да може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.“

Според чл. 14 , т. 5, буква г) „личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност.“

Тук не става дума НАП да предостави на всяко лице подробна информация за профилирането на данните, а за правото на лицата да бъдат информирани, че се извършва профилиране.

Комисията за защита на данните също има указания, свързани с информирането на гражданите за извършването на профилиране от администратор на лични данни. В своите Практически въпроси на защитата на личните данни след 25 май 2018 г., Комисията казва следното, когато говори за публикуването на информация на сайт на администратор:

„Предоставяне на обобщена, кратка и разбираема информация чрез интернет сайта на дружеството/организацията или по друг достъпен за субектите на данни начин относно:

– идентифициране на дружеството или организацията – наименование и начин за контакт, включително с Длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);

– какви категории лични данни се събират и за какви цели се обработват;

– категориите получатели на лични данни извън дружеството или организацията, както и дали ще се предават (трансферират) данни в трети страни извън ЕС;

– срока за съхранение на данните;

– съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;

– правото на субектите на данни да подадат жалба до КЗЛД или до съда;

– дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;

– (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.

Какво следва ат всички тези текстове – НАП още на 25 май 2018 г. е била длъжна в своята Политиката по защита на личните данни на НАП да информира гражданите, че извършва „профилиране или автоматизирано вземане на решения“. Което не е направила.

Ето по-подробна информация за профилирането: чл. 4, т. 4 от GDPR:

4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

Можете да споделите: