Колко разследвания започва КЗЛД през 2019 година?

В отчета на ведомството е посочено, че през миналата година са приключени 955 разследвания, от които проверките са 134, а по сигнали – 821.

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

КОНТРОЛНА ДЕЙНОСТ

  1. Разследвания във връзка със защитата на личните данни по чл. 58, §1 от Регламента (ЕС) 2016/679 на Европейския парламент и на Съвета

Редът и методите за осъществяване на контролната дейност на КЗЛД са регламентирани с разпоредбите на чл. 58, §1 от Регламент (ЕС) 2016/679 и ПДКЗЛДНА, където са уредени различните правомощия за разследване, включително и под формата на проверки (одити), във връзка със защитата на личните данни за изясняване на факти и обстоятелства във връзка с подадени жалби, сигнали и в изпълнение на решения на КЗЛД.

Целта на разследванията е установяване на факти и обстоятелства, релевантни към съответния казус, като основанията и целите за обработване на данни, реда за обработване на данните, спазване на принципите на Регламент (ЕС) 2016/679, свързани с обработване на данните, както и съответствието на предприетите мерки за защита на личните данни по отношение на рисковете при обработване за правата и свободите на физическите лица.

През 2019 г. са назначени 949 разследвания, от които:

  • проверки – 156, и
  • сигнали – 793.

През същия период са приключени 955 разследвания, в т.ч. назначени и неприключили през 2018 г., от които:

  • проверки – 134, и
  • сигнали – 821.

Фиг. 5

По отношение на констатациите при разследванията и за постигане целите на Регламент (ЕС) 2016/679  и ЗЗЛД в чл. 58, §2 от Регламента са предвидени корективни правомощия на КЗЛД, които надзорният орган може да упражни и приложи спрямо субектите на контрол. В зависимост от обстоятелствата във всеки конкретен случай КЗЛД може да отправи „предупреждение”, „официално предупреждение”, както и различни разпореждания до АЛД или ОЛД във връзка с определени операции по обработване на лични данни, включително да наложи, вместо или в допълнение към тези мерки, административно наказание „глоба“ или „имуществена санкция“ по реда на АПК.

В резултат на проведени разследвания са съставени 134 констативни акта, отправени са 3 предупреждения, 8 официални предупреждения, издадени са 11 разпореждания до АЛД за съобразяване на операции по обработване на данните с разпоредбите на Регламент (ЕС) 2016/679.

За констатирани нарушения на нормативната уредба в областта на защитата на личните данни са съставени 6 акта за установяване на административно нарушение (АУАН) и са издадени 4 наказателни постановления (НП).

При 812 проверки по получени сигнали не са установени нарушения на разпоредбите на Регламент (ЕС) 2016/679 и на съответните физически лица са изпратени отговори, от тях 8 са препратени по компетентност на други държавни органи.

Сравнителна статистика на извършените проверки, разгледаните сигнали и броя на служителите в отдел КАНП за последните три години е представена на следващата графика (фиг. 6):

Фиг. 6

От сравнителната статистика е видно, че през 2019 г. броят на проверките, разгледаните сигнали за нарушени разпоредби на Регламент (ЕС) 2016/679 и запитвания във връзка с прилагането му е в пъти увеличен спрямо предходните години при непълен количествен състав.

1.1.Проверки/Одити

След 25 май 2018 г. се провеждат разследвания под формата на проверки (одити) във връзка със защитата на личните данни след постъпил сигнал за нарушения на разпоредбите на Регламент (ЕС) 2016/679 или след решение на КЗЛД по повод разглеждане на жалба или самосезиране.

През разглеждания период се извършват общо 134 проверки, от които 61 в резултат на постъпили сигнали за нарушени разпоредби на Регламента и 73 в резултат на решение на КЗЛД. В продължение на практиката най-голям е броят (82) на извършените проверки във връзка с осъществяване на видеонаблюдение и инсталиране на системи за видеонаблюдение в сгради в режим на етажна собственост и в съседни имоти.

1.2. Разглеждане на сигнали и искания

При постъпване на искания, които не съдържат данни за нарушени права на искателя, а се съобщава за нарушени права на трето лице или за други нарушения при обработване на лични данни, може да бъде извършена проверка на основание чл. 58, §1 от Регламент (ЕС) 2016/679. След извършването ѝ проверяващият екип представя Констативен акт пред КЗЛД, а при констатиране на нарушения алтернативно се прилагат разпоредбите на чл. 58, §2 от Регламента. Форма на контрол е и дейността по разглеждане на различни искания, за които не се налага извършване на проверки. Тази дейност включва запознаване с относимата нормативна уредба, искане на писмени отговори и/или становища от съответните АЛД, указване на определени действия, консултации и др., както и задължително уведомяване на подателя на съответното искане.

След започване прилагането на Регламент (ЕС) 2016/679 до края на 2019 г. постъпват 793 искания от физически лица, включително и запитвания по актуални въпроси, свързани със защитата на личните данни. Подадени са сигнали от физически и юридически лица, които сезират КЗЛД за евентуални нарушения на ЗЗЛД относно неправомерни действия, свързани със:

  • осъществяване на видеонаблюдение в режим на етажна собственост;
  • публикуване на лични данни на интернет сайтове;
  • създаване на фалшиви профили в интернет сайтове;
  • изискване на лични данни в онлайн игри;
  • изискване на копие от документ за самоличност;
  • изискване на по-голям обем лични данни от необходимия във връзка с попълване на форма за регистрация за ползване услугите на интернет сайт;
  • възможност за нерегламентиран достъп до лични данни, публикувани на интернет сайт;
  • сигнали срещу мобилни оператори;
  • получаване на непоискани електронни съобщения;
  • получаване на електронни съобщение за одобрение/неодобрение при теглене на кредити, без физическите лица да са кандидатствали за отпускането им;
  • обработване на лични данни с цел директен маркетинг, без да е искано съгласие на физическото лице;
  • обработване на лични данни от медии;
  • журналистически запитвания относно неправомерното разпространение на лични данни от Инспектората на Висшия съдебен съвет (ИВСС).

В КЗЛД постъпват множество искания за разяснения относно реда за подаване на жалби и защита от злоупотреба с лични данни, както и запитвания във връзка с неправомерното разпространение на лични данни от НАП. КЗЛД информира гражданите, че предметът на жалбите и сигналите във връзка с нарушението на сигурността на лични данни в НАП е идентичен с предмета на извършената вече от нея проверка и в тази връзка съществува пречка за повторно търсене на административнонаказателна отговорност за същото нарушение. Това е проявление на правния принцип ne bis in idem (никой не може да бъде съден или наказван два пъти за едно и също нещо). Този принцип обаче не изключва търсене на обезщетения от страна на засегнатите физически лица, като това може да стане единствено по съдебен ред при спазване на общите съдопроизводствени правила. За целта не е необходимо да се иска официален документ от КЗЛД или нейното произнасяне по конкретен случай.

Голям брой запитвания от физически лица са получени относно получаването на информация за разпространение на личните им данни от „Банка ДСК” ЕАД. В тази връзка КЗЛД публикува информация, че с оглед принципа на „прозрачност” при обработване на лични данни, в частност правото на физическото лице на информация и комуникация с администратора на лични данни, залегнали в Регламент (ЕС) 2016/679, лицата следва да се обръщат за информация към банката в качеството ѝ на администратор на лични данни, а не към КЗЛД. Регламент (ЕС) 2016/679 въвежда в задължение на администратора на лични данни, в конкретния случай – „Банка ДСК” ЕАД, при определени условия да съобщи на физическото лице за нарушението на сигурността на личните данни. Едно от условията за прилагане на задължението за съобщаване е извършване на преценка за наличие на вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица.

В зависимост от естеството на нарушението и създадения риск целта на съобщаването е да помогне физическите лица да предприемат стъпки, за да се предпазят от евентуални отрицателни последици от нарушението.

В края на отчетния период са разгледани 821 сигнала и искания, в т.ч. назначени и неприключени през 2018 г., като в резултат на установени нарушения на Регламент (ЕС) 2016/679 са съставени 2 АУАН, отправени са 3 предупреждения и 4 официални предупреждения до съответните АЛД, а в останалите случаи на всички физически лица са изпратени отговори за предприетите от КЗЛД действия.

  1. Наложени мерки по чл. 58, §2 от Регламента (ЕС) 2016/679

През текущата година с решения на КЗЛД са отправени 3 предупреждения, 8 официални предупреждения, издадени са 11 разпореждания до АЛД за съобразяване на операции по обработване на данните с разпоредбите на Регламент (ЕС) 2016/679.

2.1 Предупреждения

По своята правна същност предупрежденията са свързани с вероятност АЛД да наруши разпоредбите на Регламента при осъществяване на своята дейност, свързана с обработване на лични данни. През отчетния период са отправени 3 предупреждения, касаещи казуси, при които АЛД събира предварително лични данни на физически лица от трето дружество, като ги използва за целите на директния маркетинг и с рекламна цел.

2.2. Официални предупреждения

Издадените 8 официални предупреждения са свързани с констатирани в резултат на извършени проверки на юридически лица нарушения на сигурността на обработването на лични данни, като е установен „нисък“ риск за засегнатите физически лица и ниска обществена опасност, както и смекчаващи отговорността обстоятелства. Към тях попадат следните казуси, при които АЛД:

  • не е заличил/анонимизирал лични данни (име и фамилия) на физическо лице в публикувани документи;
  • не е приложил подходящи технически и организационни мерки за осигуряване на съобразено с риска ниво на сигурност;
  • не е приложил подходящите технически и организационни мерки, като е допуснал разпространение на лични данни от нотариални актове, които са изхвърлени в строителните отпадъци на УПИ;
  • не е приложил подходящи технически и организационни мерки, в резултат на което са обработени лични данни на потребителите на мобилното приложение Tesserum;
  • не е приложил подходящите технически и организационни мерки за осигуряване на съобразено с риска ниво на сигурност на обработването, в резултат на което е извършен неоторизиран достъп до личните данни на физически лица – контрагенти и персонал;
  • неизпълнено задължението на АЛД да съдейства на субекта на данни да упражни правото си на възражение срещу обработване на личните му данни за целите на директния маркетинг.

2.3. Разпореждания

Издадените през 2019 г. 11 разпореждания са в резултат на извършени проверки след подадени сигнали и едно уведомление по чл. 33 от Регламент (ЕС) 2016/679.
По-голямата част от тях (7 броя) са в резултат на констатирани действия или бездействия на АЛД, свързани с монтирани системи за видеонаблюдение, в обхвата на които попадат публични площи (улици и тротоари) и съседни имоти, както и осъществяване на видеозаснемане в спалното помещение на децата и в помещението за почивка в училище, и липса на политика за защита на личните данни при осъществяване на видеонаблюдение по време на провеждане на държавните изпити в училището.

Издадени са разпореждания за изготвяне или допълване на вътрешни документи, в които да са разписани политики и процедури за законосъобразното обработване на лични данни, както и въвеждането на допълнителни мерки за повишаване информационната сигурност на използваните от АЛД системи с оглед предотвратяване на незаконосъобразно обработване и неоторизиран достъп до личните данни на физически лица.

В резултат на извършената проверка на НАП с решение КЗЛД издава разпореждания на НАП на основание чл. 58, §2, буква „г” във връзка с чл. 57, §1, буква „а” и чл. 83, §2, буква „а”, „в”, „г”, „е” и „ж” от Регламент (ЕС) 2016/679 за предприемане на подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни като например:

  • мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите;
  • извършване на анализ на риска на системите и операциите по обработването, включващи изготвени правила и функционални задължения за работа на всяка информационна система;
  • извършване на оценка на въздействието при идентифициран „висок риск” за всяка една система и предприетите мерки;
  • извършване на оценка на въздействието при първоначално стартиране на нови информационни системи и приложения.

Срокът за изпълнение на разпорежданията е шестмесечен, считано от датата на получаването им.

 

Можете да споделите: