Неделна разходка 36: Какво се случва, ако намерите чужди лични данни

И българският, и ирландският надзорен орган през седмицата публикуваха съобщения, свързани с нарушаване на неприкосновеността на лични данни. Поводите за двете съобщенията са различни, но са показателни за стила им на комуникация.

Българската Комисия за защита на личните данни публикува на 5 септември следното съобщение със заглавие „Информация за клиентите на ДСК, относно уведомяването им за евентуално нарушение при обработване на личните им данни“:

„По повод постъпили в Комисията за защита на личните данни запитвания от граждани, касаещи получаването на информация за разпространение на личните им данни от Банка ДСК АД при установеното наскоро от КЗЛД нарушение при обработване на лични данни от страна на банката, уведомяваме следното:

Регламент (ЕС) 2016/679 въвежда в задължение на администратора на лични данни, в конкретния случай – Банка ДСК АД, при определени условия, да съобщи на физическото лице за нарушението на сигурността на личните данни. Едно от условията за прилагане на задължението за съобщаване е извършване на преценка за наличие на вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица.

В зависимост от естеството на нарушението и създадения риск, целта на съобщаването е да помогне физическите лица да предприемат стъпки, за да се предпазят от евентуални отрицателни последици от нарушението.

Предвид изложеното и с оглед принципа на „прозрачност” при обработване на лични данни, в частност правото на физическото лице на информация и комуникация с администратора на лични данни, залегнали в Регламент (ЕС) 2016/679, физическите лица следва да се обръщат за информация към администратора на лични данни – Банка ДСК АД, а не към Комисията за защита на личните данни.“

Какво разбрахте от текста? Аз лично нищо. А ето какво написа ирландската комисия DPC със заглавие „Нарушения на данни – Какво да направите, ако намерите лични данни на обществено място“:

Администраторите на данни в частния и публичния сектор притежават все повече лични данни за физически лица.

Много организации продължават да съхраняват големи количества лични данни на хартиен носител – в офиси, болници или други институции. Това голямо увеличение на количеството обработени и съхранявани лични данни поражда предизвикателства за сигурността на организациите, които събират данните.

Понякога ще възникнат инциденти, при които личните данни, съхранявани или поддържани в хартиен или цифров вид на преносими устройства за съхранение, като лаптопи, смартфони или USB устройства, могат да бъдат загубени или откраднати.

В малко вероятния случай, когато даден потребител намери лични данни или притежава документи или устройства, съдържащи лични данни, които не са негови собствени, е важно да не се усложнява нарушението на личните данни чрез допълнително разкриване или прехвърляне на данните на допълнителни трети страни.

Ако източникът на данните е идентифициран чрез лого на компанията или името и детайлите на организацията, препоръчителният начин на действие е незабавното връщане на данните в неговия източник.

Въпреки че може да възникне изкушението да се прочете или по друг начин да се разгледат личните данни, Комисията за защита на данните с уважение би искала от обществеността да не прави това, тъй като това може да представлява допълнително нарушение на поверителността.

По-нататъшното разкриване или обработка на личните данни може да доведе до загуба на поверителност за субектите на данни и може да накърни техните права и свободи.

В случай че източникът на личните данни не може да бъде идентифициран, членовете на обществеността са поканени да се свържат с Комисията за защита на данните и ние ще се постараем да ви помогнем да идентифицирате правилния собственик с оглед връщането на документите при него, и Комисията за защита на данните ще уведоми собственика за задълженията по член 33 от Общия регламент за защита на данните.“

Виждате ли разликата – да се върнем на сайта на КЗЛД да видим някога публикувала ли е такова предупреждение. Нямаше ли щетите от теча на лични данни от НАП да са далеч по-малки, ако всички, включително медиите, бяха официално предупредени да не злоупотребяват с информацията?