Неделна разходка 20: Какво отговори КЗЛД на жалба срещу НАП?

В края на февруари комисията е започнала да разглежда жалбите за изтеклите от приходната администрация лични данни, става ясно от бюлетина от месец май

В новия брой на бюлетина на Комисията за защита на личните данни е публикувано и решение на КЗЛД по повод жалба, свързана с изтичането на лични данни от НАП през лятото на миналата година.

Решението на комисията е с дата 3 април 2020 г.:

„Комисията за защита на личните данни е сезирана с жалба, подадена от Я.К. срещу Национална агенция за приходите (НАП), с предмет непроизнасяне по заявление за достъп до лични данни.

Жалбоподателят информира, че на 25.07.2019 г. след направена справка чрез приложението на НАП https://check.nra.bg установил, че е потърпевш от „изтичането“ на лични данни от НАП, като в отговор на направена от него заявка до агенцията, с номер ****, бил уведомен с текстово съобщение, че „ИМА неправомерно разкрити лични данни“. Твърди, че на 31.07.2019 г. подал до администратора на лични данни – НАП искане, на което не е получил отговор, за предоставяне на конкретна информация относно личните му данни които са достъпени и информация какви технически и организационни мерки е предприела агенцията да ограничи вредоносните последици от това. Моли комисията да извърши проверка по случая и да задължи НАП да му предостави изисканата информация.

Към жалбата не са приложени доказателства.

В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от НАП са изискани относими по случая доказателства, предоставена е възможност за ангажиране на писмено становище.

В отговор е изразено становище за неоснователност на жалбата, с приложени към него доказателства. Информират, че на 31.07.2019 г. в Централното управление на НАП е постъпило искане № *****, подадено от Я.К., относно предоставяне на информация за осъществен неоторизиран достъп до информационната система на НАП и по-конкретно за неправомерно разпространени лични данни на г-н Я.К. Твърдят, че в срока посочен в чл. 12, ал. 3 от Регламент ЕС 679/2016 г., а именно едномесечен от подаване на искането, с писмо-отговор на Изпълнителният директор на НАП, същото с № *****#1/22.08.2019 г., получено от г-н Я.К. на 27.08.2019 г., на последният „е предоставена актуална информация относно упражняване на неговите права по повод осъщественото спрямо НАП компютърно престъпление.“

Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

За да упражни правомощията си, Комисията следва да бъде валидно сезирана.

Жалбата съдържа задължително изискуеми реквизити – налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което същата е редовна.

Жалбата е процесуално допустима, подадена в срока по чл. 38, ал. 1 от ЗЗЛД от физическо лице с правен интерес срещу надлежна страна администратор на лични данни по смисъл чл. 4, ал. 7 от регламента. Сезиран е компетентен да се произнесе орган – КЗЛД, който съгласно правомощията си по чл. 10, ал. 1 от ЗЗЛД във връзка с чл. 57, § 1, буква „е“ от Регламент (ЕС) 2016/679, разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на субекти на данни свързани с обработване на личните данни, като не са налице изключенията по чл. 2, § 2, буква „в“ и чл. 55, § 3 от регламента предвид обстоятелството, че случая не касае дейности по обработване извършвани от физическо лице в хода на чисто лични или домашни занимания и/или дейности извършвани от съдилищата при изпълнение на съдебните им функции.

По изложените съображения и с оглед липсата на предпоставки от категорията на отрицателните по чл. 27, ал. 2 от АПК, на проведено на 22.01.2020 г. заседание на КЗЛД жалбата е приета за допустима и като страни в производство са конституирани: жалбоподател – Я.К. и ответна страна – Национална агенция за приходите. Насрочено е открито заседание на 26.02.2020 г. за разглеждане на жалбата по същество, за което страните са редовно уведомени. Жалбоподателят е информиран за депозираното от ответната страна писмено становище, заверено копие от което му е предоставено, като му е указана правната възможност да изрази становище по изложените от НАП твърдения и представените писмени доказателства, както и да сочи нови доказателства, да прави искания по доказателствата.

В хода на производството г-н Я.К. изразява становище по изложените от НАП твърдения, в което сочи, че липсва „адекватна реакция“ от страна на агенцията по поставените от него въпроси, а становището на НАП намира за „изпразнено от съдържание“.

На проведено на 26.02.2020 г. открито заседание на КЗЛД, жалбата е разгледана по същество.

Страните – редовно уведомени, не се явяват, не се представляват.

В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл. 7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните доказателства и наведените от страните твърдения, комисията приема, че разгледана по същество жалба № ППН-01-1416/23.08.2019 г. е неоснователна.

Предмет на жалбата е непроизнасяне по заявление за достъп до лични данни.

От събраните по преписката доказателства се установи, а и между страните не е спорно, че на 31.07.2019 г. жалбоподателят Я.К. е подал до администратора на лични данни – НАП искане относно предоставяне на информация за осъществен неоторизиран достъп до информационната система на НАП и по-конкретно за неправомерно разпространените и достъпени лични данни на г-н Я.К. обработвани от НАП. Искането е заведено с вх. № № *****/31.07.2019 г. по описа на НАП и видно от съдържанието му има характера на заявление по чл. 15, § 1 от Регламент ЕС 2016/679, с което е упражнено право на достъп до лични данни.

С писмо – отговор на Изпълнителният директор на НАП, същото с № *****#1/22.08.2019 г., г-н Я.К. е уведомен за предприетите от НАП действия относно нерегламентирания достъп до информационната система на агенцията – за разработеното специално приложение достъпно на адрес https://check.nra.bg, чрез което всеки може да провери дали негови лични данни са станали обект на неоторизиран достъп, за практически съвети по темата, публикувани на сайта на НАП.

В писмото се съдържа и информация за разработвано към 22.08.2019 г. от НАП приложение, чрез което всяко физическо лице, ще може да получи информация за конкретния тип лични данни, които са били обект на неоторизиран достъп, с уточнението, че „такава справка ще може да се извърши в близките седмици“, като е посочено, че се извършва индивидуално съпоставяне на над 70 млн. записи на данни, които са били неоторизирано достъпени, с реалните бази данни на НАП за установяване на установяване на евентуални промени или манипулации на данните. Посочено е, че „освен чрез приложението, информация гражданите могат да получат и във всички офиси на НАП след идентификация с лична карта“. Видно от представено по преписката копие на известие за доставяне № **** по описа на „М.Б.М.“ ООД писмото е получено от г-н Я.К. на 27.08.2019 г., след сезиране на КЗЛД.

Неоснователни са твърденията на жалбоподателя за непроизнасяне в срок по заявлението за достъп до лични данни. Доколкото същото е получено на 31.07.2019 г. относими са разпоредбите на ОРЗД и по-конкретно тези касаещи сроковете за произнасяне по искането – чл. 12, § 3 от ОРЗД.

Съгласно същите администраторът предоставяне на субекта на данните информация относно действията предприети по искането без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. В конкретният случай искането е получено на 31.07.2019 г. от администратора и в посочения едномесечен срок – на 27.08.2019 г. субектът на данни е получил отговор на същото, като следва да се отбележи, че КЗЛД е сезира с жалба на 23.08.2019 г., т. е преди изтичане на срока за произнасяне по искането. В тази връзка и предвид мащабите на неоторизирания достъп до лични данни в масивите на НАП, се налага извода, че отговорът е предоставен без ненужно забавяне.

Макар в отговорът да не се съдържа конкретна информация за личните данни на г-н Я.К., които са били обект на неоторизиран достъп, то същият удовлетворява изискванията на закона доколкото администраторът, в съответствие с чл. 12, § 2 от ОРЗД, съдейства на субекта на данни за упражняване на правата му, като му указва, че търсената информация може да получи във всеки офис на НАП след идентификация с лична карта. Отделно от това администраторът е изпълнил и задължението си по чл. 12, § 3 от ОРЗД като е информирал г-н Я.К. за действията предприети във връзка с искането, като е мотивирал същите и с необходимостта за извършва индивидуално съпоставяне на над 70 млн. записи на данни, които са били неоторизирано достъпени, с реалните бази данни на НАП за установяване на евентуални промени или манипулации на данните.

Информацията е предоставена в кратка, прозрачна, разбираема и лесно достъпна форма в съответствие с чл. 12, § 1 от ОРЗД. На жалбоподателят е предоставена възможност за достъп до изисканата от него информация, с оглед на което не може да се възприеме виждането, че достъпа до лични данни е възпрепятстван от администратора, още повече, че такива твърдения не са наведени от страна на г-н Я.К. Напротив, администраторът е въвел допълнителни гаранции, че достъпа ще се осъществява от субекта на данни, за които личните данни се отнасят, и същия ще е законосъобразен, като е въвел мерки за идентификация на субекта посредством представяне на лична карта за справка, на място в офис на НАП.

Водима от горното и на основание чл. 38, ал. 3 от Закона за защита на личните данни, Комисията за защита на личните данни,

РЕШИ:

Оставя без уважение жалба ПП Н-01-1416/23.08.2019 г., като неоснователна.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд София – град.“