Ето още високорискови нарушения на сигурността на лични данни през миналата година

Продължавам да разказвам за проверките на Комисията за защита на личните данни

В отчета за 2020 година на Комисията за защита на личните данни се казва, че са извършени 10 проверки по уведомления за нарушаване на сигурността на личните данни с висок риск съгласно чл. 33 от Регламента. Ето кои са те:

Друга проверка след подадено уведомление по чл. 33 от Регламент (ЕС) 2016/679 е по повод отпускането на кредит от банкова институция в резултат от външна измама. Засегнатото лице получава писмо за доброволно изпълнение на задължение по потребителски кредит, подава жалба до банката, че то не е теглило кредит и не е кандидатствало за такъв, като твърди, че става въпрос за злоупотреба с лични данни. В хода на проверката е установено, че лице, представящо се за титуляря по кредита, е предоставило валиден документ за самоличност с идентификационните данни на засегнатото лице, кандидатствало е и е получило кредит. В резултат на основание чл. 58, §2, б. „г” от Регламент (ЕС) 2016/679 с решение КЗЛД издава разпореждане банковата институция да съобрази операциите по обработване на лични данни с разпоредбите на цитирания Регламент, като приложи организационни и/или технически мерки за сигурна проверка на истинността на документите за самоличност и за идентификация на физическите лица.

След получени уведомления по чл. 33 от Регламент (ЕС) 2016/679 е направена проверка относно осъществен достъп и разпространение на лични данни на служители и ученици на учебни заведения, ползващи платформа, предназначена да подпомага и дигитализира работната дейност на администрацията и учителите в детските градини и училищата, за осигуряване на лесна и бърза дигитална взаимовръзка между училището и родителите (електронен дневник). В хода на проверката е разяснена процедурата по обработване на лични данни чрез платформата. Предоставена е информация за конкретния казус, предприетите от администратора на платформата действия във връзка с възникналия инцидент, както и предприетите мерки за предотвратяване на неблагоприятните последици за засегнатите лица. Демонстрирани са функционалността на информационната система и наличието на log-файлове за достъпа на служителите и потребителите до информационните ресурси и базите данни. Установено е, че съдържащите се в системните дневници одитни записи са стандартни за събития, генерирани при оправомощено ползване на системата. Не е установен нерегламентиран достъп до сървърните операционни системи и не са открити индикации за хакерска атака.

Извършена е и проверка във връзка с получено уведомление за нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 от Областна дирекция „Земеделие” – София област, относно неправомерно предоставяне на лични данни на земеделски стопани от служител на областната дирекция на трето лице. В хода на проверката е разяснена процедурата по обработване на личните данни на земеделските стопани в хода на земеделските кампании. Демонстрирана е функционалността на информационната система и специализираното софтуерно приложение за обработване на данните. Предоставена е информация за конкретния казус, резултатите от вътрешната проверка по казуса, предприетите действия във връзка с възникналия инцидент, техническите и организационните мерки в изпълнение на нормативната база за защита на личните данни.

През отчетния период е извършена проверка на омбудсмана на Р. България по повод постъпило уведомление за нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 от осъществен на 10.07.2020 г. неоторизиран достъп (кибератака) до интернет страницата на институцията https://ombudsman.bg. След извършен анализ с решение на КЗЛД е възложена проверка на място. Наред с изясняване на данните и обстоятелствата относно полученото уведомление по време на проверката е разяснена процедурата по обработване на личните данни и предприетите от институцията технически и организационни мерки за защита на данните в изпълнение на Регламент (ЕС) 2016/679 и ЗЗЛД. Предоставена е информация за конкретния казус, предприетите от администрацията на омбудсмана на Република България действия във връзка с възникналия инцидент, както и предприетите мерки за предотвратяване на неблагоприятните последици за засегнатите лица.

През 2020 г. е реализирана и проверка на Народното събрание на Република България, редакция „Държавен вестник“, след получено уведомление за нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 от Народното събрание във връзка с открит пробив в сигурността на сайта на Държавен вестник. Пробивът позволявал по начина, по който се извършва изтегляне на документи от сайта, да се изтеглят документи от базата данни на Интегрираната информационна система на Народното събрание, които не са качени на сайта на Държавен вестник и не са предназначени за публичен достъп.

По време на проверката на проверяващия екип е предоставен достъп до информационната система на Народното събрание и е демонстрирана нейната функционалност. Анализирана е документация по отношение на извършената вътрешна проверка след възникване на инцидента, както и такава, касаеща всички дейности, свързани с организационната и вътрешнонормативната подготовка за изпълнение на изискванията на Регламент (ЕС) 2016/679 относно защитата на данните, обработвани от администрацията на Народното събрание, в т.ч. вътрешнонормативни документи, вътрешни процедури и механизми за отчетност, предприетите от институцията технически и организационни мерки за защита на данните в изпълнение на Регламент (ЕС) 2016/679 и ЗЗЛД. Предоставена е информация за конкретния казус, предприетите от администрацията на Народното събрание действия за предотвратяване на бъдещи инциденти от подобен характер.

Чрез Информационната система за вътрешния пазар в КЗЛД е постъпило искане за определяне на КЗЛД за водещ орган по жалба на германски гражданин, подадена чрез Надзорния орган на провинция Бавария. В него са изложени твърдения за евентуална връзка на две български дружества с администратора на интернет сайта brokerz.com – Brokerz Ltd., Kingstown, St. Vincent and the Grenadines.

В събраните в хода на проверката документи и направените справки липсват доказателства решението по отношение на целите и средствата за обработване на лични данни от страна на администратора на интернет сайт brokerz.com да се взема на територията на Република България, т.е. на друго място по смисъла на чл. 4, §16, б. „а“ от Регламент (ЕС) 2016/679, различно от централното му място на управление. Установено е, че на 16.09.2020 г. на интернет страницата на Комисията за финансов надзор (КФН) е публикувано предупреждение до потребителите и потенциалните инвеститори в Република България и в чужбина за незаконна дейност – измами в особено големи финансови размери от интернет сайт brokerz.com.

Липсват доказателства основното място на установяване или единственото място на установяване на администратора да е в Република България. От направените служебни справки безспорно е установено, че дружеството не е регистрирано на територията на Р. България, като от публични бази данни (who.is) е видно, че интернет сайтът brokerz.com е регистриран в Калифорния, САЩ. Предвид горното и при отчитане на обстоятелството, че администраторът на лични данни не е установен на територията на Р. България, както и че не са налице изключенията по чл. 55, ал. 2 и чл. 56, ал. 2 от Регламент (ЕС) 2016/679, касае се за субект на данни – немски гражданин, и е сезиран Надзорният орган на провинция Бавария, КЗЛД приема, че липсват основания тя да се конституира като водещ надзорен орган. Надзорният орган на провинция Бавария е уведомен за резултатите от проверката.

През отчетния период отново чрез Информационната система за вътрешния пазар в КЗЛД е регистрирано искане от надзорния орган на Италия относно установяване дали администраторът на интернет страницата https://capdemy.com, компанията Capital Academy, с посочен адрес за контакт гр. София, осъществява дейност на територията на Република България. В събраните в хода на проверката документи и направените справки липсват доказателства основното място на установяване или единственото място на установяване на администратора да е в Република България, както и че решението по отношение на целите и средствата за обработване на лични данни от страна на администратора на интернет сайт https://capdemy.com се взема на територията на Република България (по аргументи от чл. 4, §16, б. „а“ от Регламент (ЕС) 2016/679). От публични бази данни е видно, че интернет сайтът https://capdemy.com е регистриран в Панама. Поради изводите, че липсват основания КЗЛД да се конституира като водещ надзорен орган по въпросния казус, Комисията е информирала италианския надзорен орган за резултатите от извършената от нея проверка.

Интересен актуален въпрос, по повод на който КЗЛД е извършила проверка през 2020 г., е свързан със запитване относно допустимостта платформата за дистанционна медицина Healee (консултиране с лекар от разстояние чрез свързано с интернет устройство – компютър, таблет или смартфон) да бъде използвано от български лекари. В хода на проверката са събрани документи и информация, касаещи обработването на специални категории лични данни (здравословно състояние) чрез приложението, къде физически са разположени сървърите с базите данни на пациентите, реда и начина за осъществяване на достъп до тях, предприетите технически и организационни мерки за защита на данните, правила/процедури по отношение на защитата на личните данни, техническите и функционалните характеристики на приложението Healee, както и предоставяне на допълнителна информация за произхода и легитимността на поставената на поддържаната от дружеството интернет страница www.healee.com маркировка GDPR Compliant.

Можете да споделите: