Комисията за личните данни и НАП пропуснаха гражданите

© "Фейсбук"

Фани Давидова е юрист, мениджър в международна компания, експерт по защита на личните данни. Текстът е от профила й във "Фейсбук" и се публикува със съгласието й.

Не съм дошла да се заяждам, но по повод на изтичането на информацията от НАП - какво четем към днешна дата на официалните страници на институциите.

Националната агенция за приходите (НАП):

Три изречения в секция "Новини", публикувани на 16 юли, и едно, публикувано на 17-и, с невероятно полезното съобщение в стил Карлсон - "Спокойствие и само спокойствие": "Защитата на всички информационни системи в НАП е актуализирана." И, разбира се, на мен и на всички граждани веднага ни стана "адски спокойно".

Комисията за защита на личните данни (КЗЛД):

Това е независимият орган, който трябва да следи за ефективната защита на гражданите в случаи на нарушение правото им на защита на личните данни. На страницата на комисията по случая цари лъчезарно безвремие... там има НИЩО! Браво, господине, както се казва.

За да парирам дежурното "Ама никой не ни е сезирал", ще кажа, че съгласно чл. 58, т. 3, б. Б на Регламент 2016/679, независимият надзорен орган, цитирам "има правомощия да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни".

За сметка на това пък, понеже природата не търпи вакуум,

веднага се появи неизвестен сайт, в който гражданите въвеждат ЕГН-то си

и получават информация дали техните данни са изтекли или не. Този сайт няма нищо общо с която и да е държавна административна структура. Как се е появил, на кого е, откъде разполага с възможност за проверка не е ясно.

ЗАЩО, по дяволите, хората, които иначе много са загрижени за сакралното си ЕГН, без да им мигне окото, си проверяват данните там - загадка е човешката природа.

Относно горното бих искала да кажа:

1. В качеството му на администратор на данни НАП има много ясни задължения по чл. 33 на Регламент 2016/679 и по-конкретно: В случай на нарушение на сигурността на личните данни администраторът,

без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, уведомява за нарушението

надзорния орган. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа. В уведомлението се съдържа най-малко следното:

a) описание на естеството на нарушението, вкл. категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б) името и координатите за връзка на длъжностното лице по защита на данните

в) описание на евентуалните последици от нарушението

г) описание на предприетите или предложените от администратора мерки за справяне с нарушението".

Искам да знам изпълнени ли са тези задължения. Логично е съобщение за подобно действие да е публикувано на сайтовете на НАП и КЗЛД.

2. В качеството му на администратор на данни НАП има много ясни задължения по чл. 34 на Регламент 2016/679, а именно:

"Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни."

Не ми е известно това да се е случило.

3. Интервюта на държавни служители по повода - НЕ СА източник на достоверна и полезна информация за гражданите

4. Гражданите ИМАТ ПРАВО ДА знаят ВЕДНАГА, и то от НАП, като администратор на данни:

- Изтекли ли са техни лични данни

- Какви точно лични данни са изтекли и в какъв обем

- Публикувани ли са някъде

- Какви точно мерки са предприети от страна на администратора НАП.

5. КЗЛД е длъжна МОМЕНТАЛНО да вземе становище.

6. КЗЛД е длъжна МОМЕНТАЛНО да публикува информация за това какви са правата на гражданите в този случай и какви мерки е необходимо да се предприемат.

7. Сайтът #MINFINLEAK #НАП следва да бъде спрян и също проверен, а гражданите да бъдат предупредени да не си проверяват ЕГН-то там - не че ще има ефект в държава, в която се метат пачки от балконите, но все пак.

8. Относно правото на иск за обезщетение (различно от правото на жалба по чл. 77 и чл. 79 на Регламент 679) - според чл. 82 на Регламент 2016/679: "Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение същия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди." Това означава, че ищците следва ДА ДОКАЖАТ настъпили вреди, както и причинно-следствена връзка между настъпването на вредите и изтичането на информация.