Призивите в социалните мрежи „веднага и масово“ да се подават лични или колективни жалби до Комисията за защита на личните данни не помагат за разрешаване на проблема с изтеклите лични данни от НАП.
Подаването на купища жалби до Комисията за защита на личните данни ще доведе до изсичане на дървета, а не до желаното възмездие. Вместо за писане на жалба, всеки може да отдели време, за да минимизира евентуалните щети от теча. Да актуализира софтуера на компютъра и антивирусната си програма, да смени паролите си, да провери настройките за поверителност.
И най-вече да прочете, ако не целия Закон за защита на личните данни и целия Общ регламент за защита на личните данни, поне текстовете за глобите и санкциите в тях. Както и изготвените от Работна група по чл. 29 от Директива 95/46/ЕО – закрита със създаването на Европейския комитет по защита на данните Насоки относно прилагането и определянето на административните наказания „глоба“ или „имуществена санкция“ за целите на Регламент (ЕС) 2016/679.
В Насоките се казва, че: „Ако в резултат на нарушението на Регламента са били претърпени вреди или е вероятно да бъдат претърпени такива, надзорният орган следва да вземе това предвид при избора си на корективна мярка, макар че самият той не е компетентен да постанови конкретно обезщетение за претърпените вреди. Налагането на глоба или имуществена санкция не зависи от това, дали надзорният орган е в състояние да установи причинно-следствена връзка между нарушението и имуществените вреди (вж. например член 83, параграф 6).“
Въобще Насоките и даже Регламентът са доста разбираемо написани, за разлика от българския закон, който сякаш нарочно съдържа изречения като следното
(7) Администраторът може да не информира субекта на данните за отказа по ал. 6 в случаите по чл. 54, ал. 3, като се прилага съответно чл. 54, ал. 4 и 5.
Чл. 80, ал. 1 от българския Закон за защита на личните данни гласи:
Чл. 80. (Нов – ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по тази глава комисията, съответно инспекторатът има правомощия да:
- получава от администратора или от обработващия лични данни достъп до всички лични данни, които се обработват;
- получава от администратора или от обработващия лични данни цялата информация, необходима за изпълнението на задачите по чл. 79;
- отправя предупреждения до администратора или до обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите на тази глава;
- разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите на тази глава, включително да разпорежда коригирането, допълването, изтриването на лични данни или ограничаването на обработването им съгласно чл. 56;
- налага временно или окончателно ограничаване, включително забрана, на обработването на данни;
- дава становища на администратора и на обработващия лични данни в съответствие с процедурата по предварителна консултация по чл. 65;
- дава становища по собствена инициатива или при поискване по проекти на закони и други нормативни актове, както и на административни мерки, свързани със защитата на личните данни на физическите лица;
- дава становища по собствена инициатива или при поискване по въпроси, свързани със защитата на личните данни.
Глава девета от ЗЗЛД гласи:
Глава девета.
ПРИНУДИТЕЛНИ АДМИНИСТРАТИВНИ МЕРКИ. АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ (НОВА – ДВ, БР. 17 ОТ 2019 Г.)
Чл. 84. (Нов – ДВ, бр. 17 от 2019 г.) (1) Мерките по чл. 58, параграф 2, букви „а“ – „з“ и „й“ от Регламент (ЕС) 2016/679 и мерките по чл. 80, ал. 1, т. 3, 4 и 5 са принудителни административни мерки по смисъла на Закона за административните нарушения и наказания.
(2) Мерките по ал. 1 се прилагат с решение на комисията, съответно на инспектората, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
Чл. 85. (Нов – ДВ, бр. 17 от 2019 г.) (1) За нарушения по чл. 25в на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(2) За нарушения по чл. 12а, ал. 2, чл. 25ж, ал. 1 и 2, чл. 25з, ал. 1 и 2, чл. 25и, чл. 25к и чл. 25н на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(3) За нарушения по чл. 45, чл. 49, чл. 51, чл. 53 – 56 и чл. 80, ал. 1, т. 1 и 2 на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(4) За нарушения по чл. 59, ал. 3 и 4, чл. 62 и 64 – 70 на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(5) За неизпълнение на влязло в сила решение по чл. 84, ал. 2, с което са приложени принудителни административни мерки по чл. 80, ал. 1, т. 4 и 5, на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(6) Размерите на предвидените в ал. 1 – 5 административни наказания се определят съгласно посочените в чл. 83, параграф 2 от Регламент (ЕС) 2016/679 критерии и се налагат в тяхната левова равностойност.
Чл. 86. (Нов – ДВ, бр. 17 от 2019 г.) (1) За други нарушения по този закон на администратор или обработващ лични данни се налага глоба или имуществена санкция до 5000 лв.
(2) За нарушение по ал. 1, извършено повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената.
Чл. 87. (Нов – ДВ, бр. 17 от 2019 г.) (1) Извън случаите по чл. 38, ал. 1, установяването на нарушенията на Регламент (ЕС) 2016/679 или на този закон, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.
(2) Актовете за установяване на административните нарушения се съставят от член на комисията или от оправомощени от комисията длъжностни лица, съответно от оправомощени със заповед на главния инспектор лица.
(3) Наказателните постановления се издават от председателя на комисията, съответно от главния инспектор или от оправомощени от него инспектори.
(4) Имуществените санкции и глобите по влезли в сила решения по чл. 38, ал. 3 и наказателни постановления се събират по реда на Данъчно-осигурителния процесуален кодекс.
(5) Събраните суми от наложени от комисията имуществени санкции и глоби постъпват по бюджета на комисията.
(6) Събраните суми от наложени от инспектората имуществени санкции и глоби постъпват по бюджета на съдебната власт.
Чл. 83 от Общия регламент за защита на личните данни гласи:
Член 83
Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“
1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.
2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а) – з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:
a) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
б) дали нарушението е извършено умишлено или по небрежност;
в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;
г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;
д) евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;
е) степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;
ж) категориите лични данни, засегнати от нарушението;
з)начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;
и) когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;
й) придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и
к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.
3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.
4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:
a) задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;
б) задълженията на сертифициращия орган съгласно членове 42 и 43;
в) задълженията на органа за наблюдение съгласно член 41, параграф 4.
5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:
a) основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;
б) правата на субектите на данни съгласно членове 12—22;
в) предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49; г) всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;
д) неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.
6. Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.
7. Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.
8. Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.
9. Когато в правната система на държавата членка не са предвидени административни наказания „глоба“ или „имуществена санкция“, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния назорен орган и да се налага от компетентните национални съдилища, като в същото време се гарантира, че тези правни средства за защита са ефективни и имат ефект, равностоен на административните наказания „глоба“ или „имуществена санкция“, налагани от надзорните органи. Във всички случаи наложените глоби или имуществени санкции са ефективни, пропорционални и възпиращи. Посочените държави членки уведомяват Комисията за разпоредбите в правото си, които примат съгласно настоящия параграф, най-късно до 25 май 2018 г., и я уведомяват незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.
Според регламента надзорният орган може да замени глобата или имуществената санкция с друга корективна мярка:
Чл. 58, §2 на Общия регламент за защита на личните данни гласи:
2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:
a) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;
б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;
в) да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;
г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;
д) да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;
е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;
ж) да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;
з) да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;
и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;
й) да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;