КЗЛД потвърди написаното от мен през юли: заливането й с жалби заради изтеклите лични данни от НАП няма смисъл и DPIA за всяка система

Комисията за защита на личните данни потвърди и двете ми препоръки от юли: че НАП трябва за извърши оценка на въздействието върху защитата на личните данни (DPIA) и че няма смисъл от писане на купища жалби

КЗЛД съобщи вчера, че с Решение от 23.08.2019 г. е издала Разпореждания на НАП на основание чл. 58, § 2, буква „г” във връзка с чл. 57, § 1, буква „а” и чл. 83, § 2, букви „а”, „в”, „г”, „е” и „ж” от Регламент (ЕС) 2016/679 за предприемане на подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни, като напр.:

  • мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите;
  • извършване на анализ на риска на системите и операциите по обработването, включващи изготвени правила и функционални задължения за работа на всяка информационна система;
  • извършване на оценка на въздействието при идентифициран „висок риск” за всяка една система и предприетите мерки;
  • извършване на оценка на въздействието при първоначално стартиране на нови информационни системи и приложения.

Срокът за изпълнение на разпорежданията е шестмесечен, считано от датата на получаването им.

На 17 юли публикувах заглавието Хакерът е арестуван, какво следва на направи НАП според GDPR? Още тогава написах, че НАП ще трябва да извърши оценка на въздействието върху защитата на данни (ОВЗД), за да спази изискванията на GDPR.

Комисията потвърди и още едно мое предложение – на 30 юли написах, че призивите в социалните мрежи „веднага и масово“ да се подават лични или колективни жалби до Комисията за защита на личните данни не помагат за разрешаване на проблема с изтеклите лични данни от НАП.

И още – „Подаването на купища жалби до Комисията за защита на личните данни ще доведе до изсичане на дървета, а не до желаното възмездие. Вместо за писане на жалба, всеки може да отдели време, за да минимизира евентуалните щети от теча. Да актуализира софтуера на компютъра и антивирусната си програма, да смени паролите си, да провери настройките за поверителност.“

Вчера КЗЛД потвърди моето мнение. В съобщението й се казва:

„В Комисията за защита на личните данни постъпват множество искания за разяснения относно реда за подаване на жалби и защита от злоупотреба с лични данни. Комисията информира гражданите, че предметът на жалбите и сигналите във връзка с нарушението на сигурността на лични данни в НАП е идентичен с предмета на извършената вече от КЗЛД проверка и в тази връзка съществува пречка за повторно търсене на административно-наказателна отговорност за същото нарушение. Това е проявление на правния принцип ne bis in idem (никой не може да бъде съден или наказван два пъти за едно и също нещо). Този принцип обаче не изключва търсене на обезщетения от страна на засегнатите физически лица, но това може да стане единствено по съдебен ред при спазване на общите съдопроизводствени правила. За целта не е необходимо да се иска официален документ от КЗЛД или произнасяне на Комисията по конкретен случай.

На 28.08.2019 г., на основание чл. 87, ал. 3 от Закона за защита на личните данни, Венцислав Караджов – председател на Комисията за защита на личните данни, издаде Наказателно постановление на НАП за нарушение на чл. 32, § 1, буква „б” от Регламент (ЕС) 2016/679, с оглед осъществен неоторизиран достъп, неразрешено разкриване и разпространение на личните данни на физически лица от информационните бази данни, поддържани от агенцията. Размерът на наложената санкция е 5 100 000 лева.

С издаването на наказателното постановление се ангажира административно-наказателната отговорност на НАП, в качеството й на администратор на лични данни, за допуснатото неправомерно достъпване и разпространение на лични данни. Фактът, че тези данни са изтекли в публичното пространство, не означава автоматично, че с тях е извършена злоупотреба, доколкото злоупотребата предполага извършването на допълнителни действия, представляващи сами по себе си отделни престъпления.

В хода на извършена в срок от един месец проверка на Националната агенция за приходите (НАП) е установено, че при осъществяване на дейността си, агенцията, в качеството ѝ на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през „Български пощи” АД, както и данни за поискан и възстановен ДДС, платен в чужбина.

Установено е, че в неправомерно достъпената и разпространена в интернет пространството информация се съдържат лични данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица.“

Можете да споделите: