Колко от 144 проверки включи Комисията за защита на личните данни в отчета си за 2020 г.?

Резултатът е наложени санкции в размер на 22 000 лв.

През 2020 г. са назначени 178 бр. проверки на място по повод постъпили в КЗЛД жалби, искания и сигнали, от които са извършени 144, 10 от които по уведомления за нарушаване на сигурността на личните данни с висок риск съгласно чл. 33 от Регламента.

Въз основа на извършените проверки по искания и сигнали са съставени 3 акта за установяване на административни нарушения, издадени са 5 наказателни постановления (НП). Наложените санкции от извършените проверки по искания и сигнали са в размер на 22 000 лв. От издадените наказателни постановления 2 бр. са влезли в сила и вече са платени дължимите към бюджета суми по постановените санкции, 3 бр. са обжалвани и се намират в съдебна фаза.

Констатираните нарушения по постъпили сигнали, за които КЗЛД е наложила корективни мерки, са общо 36 бр.: 32 разпореждания, 3 официални предупреждения и 1 предупреждение, основно за нарушение на чл. 32, §1, буква „б“ и „г“ от Регламент (ЕС) 2016/679, чл. 6, §1, буква „а-е“ от Регламент (ЕС) 2016/679, чл. 25г от ЗЗЛД, чл. 6, §1 от Регламент (ЕС) 2016/679 и чл. 38, §6 от Регламент (ЕС) 2016/679.

Издадени са разпореждания проверяваните администратори да преустановят заснемането на публични площи (улици и тротоари) посредством изградени системи за видеонаблюдение; да изработят конкретни правила и механизми за контрол за спазване на издадените заповеди и предприетите технически и организационни мерки, които ефективно да гарантират защитата на физическите лица; да унищожат копираните лични карти в трудовите досиета и други.

При една от проверките е констатирано, че ДЛЗД не е независимо лице, а е представител на Съвета на директорите на дружеството, за което е издадено разпореждане.

Издадено е официално предупреждение на администратор на лични данни, който не е заличил/анонимизирал лични данни, съдържащи се в документи, които са изпратени до медиите.

По отношение на предложенията за налагане на санкции по постъпили сигнали и проверки, при които са констатирани нарушения, е спазван принципът, че нарушението на Регламент (ЕС) 2016/679 и ЗЗЛД следва да води до налагане на „еквивалентни санкции“. Наложените от КЗЛД административните наказания „глоба“ или „имуществена санкция“ са определени така, че да осъществят в пълен обем правоохранителната и превантивна роля, тоест да бъдат „ефективни, пропорционални и възпиращи“. Същите отразяват адекватно естеството, тежестта и последиците от нарушението, като всички факти по случая се оценяват по начин, който е последователен и обективно обоснован.

Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява целта, преследвана с избраната корективна мярка, т.е. възстановяване на спазването на правилата или санкциониране на неправомерно поведение (или и двете).

Във всеки конкретен казус са взети предвид критериите за оценка в чл. 83, §2, засягащи естеството на нарушението: дали се касае за непредприети достатъчни мерки за предотвратяване на незаконосъобразно обработване на лични данни; дали се отнася до фишинг атака или друг умишлен противозаконен подход с цел незаконосъобразно обработване на лични данни; човешка грешка; тежестта на нарушението: дали е извършено умишлено или по небрежност; продължителността на нарушението (продължителността на нарушението може да е индикация например за умишлено поведение от страна на администратора или непредприемане на подходящи превантивни мерки, или неспособност да се въведат изискваните технически и организационни мерки).

На задължителна преценка подлежи и фактът относно броя на засегнатите субекти на данни, за да се определи дали това е изолиран случай, или показва системно нарушение или липса на подходящи практики. Това означава, че и изолираните случаи подлежат на действия по правоприлагане, тъй като дори един изолиран случай може да засегне множество субекти на данни.

При всеки конкретен казус по сигнал или проверка, при който са констатирани нарушения на сигурността на личните данни, се вземат предвид и размерът и относителната тежест на настъпилите и/или възможни вреди за субектите на данни, както и степента на причинените им вреди предвид факта, че обработването на лични данни може да породи рискове за правата и свободите на лицата.

Рискът за правата и свободите на физическите лица с различна вероятност и тежест може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално: когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация или други значителни икономически или социални неблагоприятни последствия; или когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и обработването на генетични данни, данни за здравословното състояние или данни за сексуалния живот или за нарушения на свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално, анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията в пространството, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни. Важен аспект от извършваните проверки е и констатирането дали има търговия с лични данни за маркетингови цели, т.е. продажбата на данните като данни, за които е дадено разрешение за обработване от субектите на данни.

Огромно значение за налаганите санкции и/или корективни мерки има и оценката на проверяващите за действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни. Това е основата за преценка за наличието на утежняващи или смекчаващи обстоятелства, предвид което се налагат подходящи мерки, които наклоняват везните към мерките, които са по-ефективни, пропорционални и възпиращи в дадения казус.

Важна за преценката на проверяващия екип и предложението за прилагане на определена санкция или мярка е и степента на отговорност на администратора или обработващия лични данни, като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с чл. 25 и чл. 32 от Общия регламент.

От значение е и наличието на предишни нарушения, извършени от администратора или обработващия лични данни. Степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него се взема предвид при изготвяне становището на проверяващия екип.

За размера и вида на предложената корективна мярка или санкция значение имат и категориите лични данни, засегнати от нарушението, най-вече свързано ли е нарушението с обработване на специални категории данни по чл. 9 или чл. 10 от Регламента, могат ли физическите лица да бъдат идентифицирани пряко или непряко, обработването включва ли данни, разпространението на които би довело до непосредствени вреди/затруднения за лицето (и които попадат извън обхвата на категориите по чл. 9 или чл. 10), и др.

Показателен за сътрудничеството на администратора е и начинът, по който нарушението е станало известно на надзорния орган, по-специално, дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението.

На графиката е изобразено съотношението между назначените и извършените проверки през 2020 г. (Фиг. 5)

Фиг. 5

Най-много проверки са извършени в областите: София – 54 бр., Варна – 30 бр., Пловдив – 12 бр., Благоевград – 8 бр.; Бургас – 8 бр.; Велико Търново – 8 бр.; Пазарджик – 6 бр.; Русе – 6 бр.; Стара Загора – 5 бр.; Плевен – 4 бр.; Хасково и Ямбол – 3 бр., и в по-малка степен в други области на страната.

Най-голям брой проверки са извършени след постъпили сигнали и жалби от физически лица за обработване на личните им данни посредством изградени системи за видеонаблюдение, вкл. и в помещение на учебно заведение, в което децата се преобличат за следобедния сън и спят. В резултат на проверката на основание чл. 58, §2, б. „г” от Регламент (ЕС) 2016/679 и във връзка с издадено Становище на КЗЛД от 30.04.2018 г. с рег. №П-5375/2017 относно искане с вх. № П-5375/2017 г. от председателя на Държавна агенция за закрила на детето с решение КЗЛД издава разпореждане на директора на учебното заведение, в качеството му на администратор на лични данни, да съобрази операциите по обработване на лични данни с разпоредбите на цитирания Регламент, а именно – да преустанови видеонаблюдението в частта на помещението, в което децата се преобличат за следобедния сън и спят, посредством изградената система за видеонаблюдение в сградата на учебното заведение.

Извършена е проверка на собственик на сайт за онлайн пазаруване след осъществен нерегламентиран достъп до компютърноинформационни ресурси и промяна на компютърни данни – въведен компютърен код и компютърни данни, с които са подменени записи в базата данни на клиентите. Посредством въведения компютърен код е извършено препращане към дублираща страница, имитираща системата на БОРИКА, към която препраща модулът за плащане на електронния магазин и чрез която е събирана информация за клиентите, подали заявка за покупка чрез банкова карта.

Извършена е проверка на банкова институция след подадено уведомление по чл. 33 от Регламент (ЕС) 2016/679 във връзка с кражба на самоличност и измама с фалшива самоличност, разкриване на разплащателна сметка и отпускане на потребителски кредит (потребителски кредит, разплащателен пакет, включващ разплащателна сметка, дебитна карта, интернет банкиране и кредитна карта), като засегнатото лице твърди, че не е подавало заявление за двете услуги. В резултат на основание чл. 58, §2, б. „г” от Регламент (ЕС) 2016/679 с решение КЗЛД издава разпореждане банковата институция да съобрази операциите по обработване на лични данни с разпоредбите на цитирания Регламент, като приложи организационни и/или технически мерки за сигурна проверка на истинността на документите за самоличност и за идентификация на физическите лица, която е различна от проверката, осъществявана от МВР.

Можете да споделите: