Кои са проблемните сектори при прилагането GDPR и Закона за защита на личните данни?

В отчета на КЗЛД за миналата година разделът започва с нарушенията в сферата на телекомуникациите, следват колекторските фирми, както и дружествата, предоставящи маркетингови съобщения или извършващи проучвания, анкети и други подобни дейности (колцентрове)

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

Интересни казуси от проверки на място и по сигнали

През 2019 г. “КЗЛД и в частност отдел КАНП извърши няколко проверки с по-голяма фактическа сложност и значим обществен интерес, а именно на НАП, „Банка ДСК” ЕАД и ИВСС.

В хода на извършена в срок от един месец проверка на НАП е установено, че при осъществяване на дейността си агенцията в качеството ѝ на администратор на лични данни не е приложила подходящи технически и организационни мерки, в резултат на което са осъществени неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през „Български пощи” АД, както и данни за поискан и възстановен ДДС, платен в чужбина.

Установено е, че в неправомерно достъпената и разпространена в интернет пространството информация се съдържат лични данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица.

В резултат на извършената проверка КЗЛД издаде разпореждания на НАП на основание чл. 58, §2, буква „г” във връзка с чл. 57, §1, буква „а” и чл. 83, §2, буква „а”, „в”, „г”, „е” и „ж” от Регламент (ЕС) 2016/679 за предприемане на подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни.

На 28.08.2019 г. на основание чл. 87, ал. 3 от ЗЗЛД Венцислав Караджов – председател на КЗЛД, издава НП на НАП за нарушение на чл. 32, §1, буква „б” от Регламент (ЕС) 2016/679 с оглед осъществен неоторизиран достъп, неразрешено разкриване и разпространение на личните данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица, от информационните бази данни, поддържани от агенцията. Размерът на наложената санкция е 5 100 000 лева.

В хода на извършената в срок от един месец проверка на „Банка ДСК” ЕАД е установено, че при осъществяване на дейността си в качеството на администратор на лични данни не е приложила подходящи технически и организационни мерки и не е осигурила способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни на физически лица − клиенти на банката и свързаните с тях трети лица, като са разпространени и достъпени три имена, гражданство, ЕГН, постоянен или настоящ адрес, копия на личните карти и съдържащите се в тях биометрични данни; всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравноосигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи.

На основание чл. 87, ал. 3 от ЗЗЛД Венцислав Караджов − председател на КЗЛД, след извършена проверка на „Банка ДСК” ЕАД издава НП на дружеството за нарушение на чл. 32, §1, буква „б” от Регламент (ЕС) 2016/679 с оглед неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета, в които се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители). Размерът на наложената санкция е 1 000 000 лева.

По време на извършена проверка на ИВСС е установено, че Инспекторатът в качеството на администратор на лични данни не е приложил подходящи технически и организационни мерки за защита на данните при публикуване на 15.07.2019 г. и на 16.07.2019 г. на общо 4420 броя декларации за имущество и интереси за 2018 г. на съдии, прокурори и следователи, като в декларации за имущество и интереси за 2018 г. на 20 съдии, прокурори и следователи и на свързаните с тях трети лица – 19 съпрузи и 11 непълнолетни лица, личните данни не са сведени до минимум чрез заличаване и са публикувани в тяхната цялост в електронния регистър на декларациите в интернет страницата на ИВСС. По този начин са осъществени неразрешено разкриване и разпространение на личните данни на общо 50 засегнати лица в следния обем: ЕГН, номер на лична карта, адрес, телефонен номер, данни за социална идентичност – семейно положение, на 20 съдии, прокурори и следователи; имена и ЕГН на 19 съпрузи на съдии, прокурори и следователи; имена и ЕГН на 10 непълнолетни лица – деца на съдии, прокурори и следователи, съдържащи се в описаните декларации, с което е нарушен чл. 5, §1, буква „е“ във връзка с чл. 32, §1, буква „б“ и „г“ от Регламент (ЕС) 2016/679 и чл. 66, ал. 1 от ЗЗЛД.

Във връзка с така установеното нарушение е съставен и връчен АУАН.

Издадено е НП по реда на чл. 87, ал. 3 от ЗЗЛД от председателя на КЗЛД, с което е наложена санкция в размер на 2000 лева.

През изминалата година е извършена проверка на НАП от упълномощени служители на КЗЛД във връзка с постъпил сигнал, с който физическо лице уведомява за съставено от служител на ТД на НАП – София, постановление за налагане на обезпечителни мерки. В сигнала са изложени твърдения за неправомерно обработване на личните данни и евентуална измама и превратно упражнени правомощия. Посочено е, че след телефонен разговор с публичния изпълнител лицето е информирано, че наложената обезпечителна мярка и запорът на банковите му сметки са вследствие на получено уведомление по Спогодба за взаимопомощ и информация за възникнали данъчни задължения като управителен директор на дружество, регистрирано в Дортмунд, Германия. Сигналоподателят твърди, че никога не е пребивавал на територията на Германия и не дължи сумата в размер на 169 315,37 лв.

По време на проверката е установено, че първоначално постъпилите искания за събиране на вземания се обработват от дирекция „Централно звено за връзка” към Централното управление на НАП, откъдето са предприети действия за идентифицирането на задълженото лице. След идентифицирането му с акт за възлагане на публичен изпълнител се предоставя информация за предприемане на действия по обезпечаване и принудително събиране на задължения на задължено лице, като се посочват неговите три имена, ЕГН, постоянен и настоящ адрес.

При анализ на събраните по време на проверката документи и предоставените копия на Искането за събиране на вземане и/или обезпечителни мерки по безспорен начин е установено, че от НАП не са предприели необходимите действия за идентифицирането на задълженото лице по категоричен начин преди налагането на обезпечителната мярка. Събрани са доказателства, че данъчнозадълженото в Германия лице не е лицето, подало сигнал в КЗЛД.

Сигналът е преквалифициран в жалба и е разгледан от КЗЛД по реда на АПК. Производството е приключено с налагане на санкция на администратора – НАП.

В процес на извършване е проверка във връзка с получен сигнал, в който са изложени твърдения за открити на нерегламентирано сметище в район „Нови Искър“ многобройни хартиени документи в оригинал, които са част от трудови досиета на служители на „Топ Хаус” ООД и съдържат голям обем лични данни. Предстоят съставяне и връчване на АУАН на нарушителя след анализ на събраните по преписката документи.

На заключителен етап е и проверка на „Стар Пост“ ООД, осъществяващо доставка на „хибридна поща“, след постъпил сигнал от физическо лице. Изложени са твърдения за открити в контейнери за смет 218 броя запечатани пликове в оригинал, съдържащи известия за заплащане на комунални услуги и банкови известия. Подателят на сигнала е приложил на електронен носител направени от него снимки на мястото, където е открил множеството пликове.

 

Проблемни сектори относно прилагане на разпоредбите на Регламент (ЕС) 2016/679 и ЗЗЛД

Статистически най-много проблеми се очертават в телекомуникационния сектор – жалбите и сигналите са насочени срещу предоставяне на лични данни за събиране на задължения, произтекли от сключени договори и електронни съобщения. В тези случаи личните данни на задължените физически лица се предоставят въз основа на сключен договор за възлагане събирането на задължения, т.е. договор за цесия. Често срещан пропуск е получаване на фактури с лични данни от други абонати.

Друг очертаващ се проблемен сектор са колекторските фирми, които осъществяват принудително събиране на възникнали задължения, като се използват различни методи за връзка с длъжниците, включително осъществяване на контакт с близки и познати, нямащи отношение към договорите или задълженията на лицата. Това предизвиква подаването на множество жалби и сигнали в КЗЛД за нерегламентирано и лишено от правно основание обработване на лични данни на трети лица.

Получени са жалби и сигнали срещу дружества, предоставящи маркетингови съобщения или извършващи проучвания, анкети и други подобни дейности (колцентрове), които нямат съгласието на субектите на данни и не е налично нито едно от основанията по чл. 6 от Регламента за законосъобразно обработване на тези данни.

Банки и дружества, предлагащи финансови услуги – в тази категория жалби и сигнали попадат освен твърдения за неправомерно предоставяне на лични данни за събиране на задължения от физическите лица, но и твърдения, свързани с употребата на лични данни за отпускане на кредити, без същите да са поискани от засегнатите лица, както и непредприети достатъчни мерки за сигурност по отношение на процедурите по предоставяне на нова карта-пластика.

Спорни въпроси, свързани с обработването на лични данни, възникват и по линия на държавните дружества, осъществяващи ВиК услуги в страната, във връзка с поддържаната база данни с индивидуални партиди, съдържаща лични данни на абонатите/ползвателите. Значителни проблеми се очертават и в областта на дружествата, извършващи пощенски услуги, относно сключени договори за доставка на месечни фактури за ползвани ВиК услуги с пощенските оператори, осъществяващи куриерски услуги. В тази връзка има подадени множество сигнали и извършени проверки. Отличават се със значителен брой засегнати субекти, чиито данни са обработени в нарушение на законодателството.

Увеличават се броят на жалбите и сигналите във връзка с незаконосъобразно обработване на лични данни от юридически лица – малки и средни предприятия, при архивиране на документи, съдържащи лични данни, чийто срок на съхранение е изтекъл. Документите, които следва да бъдат унищожени чрез нарязване или по друг начин, непозволяващ тяхното възстановяване, съгласно утвърдена от АЛД процедура, се изхвърлят на сметища в цялост.

Тенденция към увеличаване на броя жалби и сигнали се наблюдава и по отношение на осъществявано видеонаблюдение както по линия на видеонаблюдение, извършвано в режим на етажна собственост, така и видеонаблюдение, извършвано от физическо лице за лични и домашни дейности.

Множество жалби постъпват и срещу работодатели, осъществяващи видеонаблюдение в обособени помещения, където това не е законосъобразно съгласно Становище на КЗЛД, като бани, съблекални, стая за отдих и други помещения със специфично предназначение.”

Можете да споделите: