gdpr, data

Комисията за защита на личните данни наложи сравнително ниска глоба на НАП (5.1 млн. лева) с оглед на мащаба на допуснатия пробив в защитата на личните данни (виж съобщението накрая).

Институцията обясни в официално съобщение, че с данните не е злопотребено. Председателят й Венцислав Караджов  вече даде сигнал, че висок размер на глобата ще попречи на НАП да вложи повече средства в засилване на информационната си сигурност. Очакванията за умерена санкция бяха подкрепени и от факта, че глобата на публични органи е нещо като превеждане на пари по транзитна сметка – те само временно постъпват по бюджета на КЗЛД.

Затова много по-важни от сумата са обясненията на държавните институции и корективните мерки. Тук трябва да се посочи, че въпросът за глобите на публични органи поначало е спорен и е оставено място за преценка (чл. 83, пар. 7 от регламента). В някои страни дори се възползваха от възможността да предвидят по-нисък таван на тези глоби за публични органи, например в Швеция максималният размер е 1 млн. евро.

Въпреки това (и при отсъствие на законово ограничение у нас) размерът на глобата задава стандарт. Прилагането на Общия размер за защита на личните данни остави широко поле за дискреция и са налице множество неясноти. Ето защо практиката е важна. Освен това г-н Караджов е заместник-председател на Европейския комитет за защита на данните и неговите решения се следят с внимание.

Важно е да се видят д ветайли мотивите на глобата. Това обаче е въпрос на добра воля, тъй като съгласно чл. 15 от ЗЗЛД регистърът на нарушенията на GDPR и ЗЗЛД, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2 от Регламент (ЕС) 2016/679 не е публичен.

От НАП съобщиха, че ще обжалват глобата пред съда, което означава, че тя ще се плати от следващия й бюджет. „Главният мотив за оспорването на акта на КЗЛД е, че неоторизираният достъп, кражбата на данни и последващото им публично оповестяване са резултат от действия, представляващи престъпление по смисъла на Наказателния кодекс на РБ, осъществени независимо и въпреки предприетите от НАП технически и организационни мерки за защита.“

Този мотив повтаря мнението на финансовия министър Владислав Горанов, според когото „ако си оставите колата отключена, това не ви прави виновен“.

Това твърдение не прави разлика между безгрижие спрямо собствена вещ и липса на защита на чужда вещ, която принудително е в чуждо разпореждане.

Кражбата на данни не е предмет на Общия регламент за защита на личните данни. Този регламент вменява задължения на администраторите на лични данни и на обработващите лични данни. Тези лица трябва не само да вземат технически и организационни мерки за защита, но имат и редица други задължения, чието спазване в случая с НАП не е сигурно (Именно затова са важни мотивите).

Повечето от изтеклите данни се обработват от НАП на законово основание (не е сигурно обаче дали това се отнася до данните на залагащите онлайн, вкл. техните IP адреси). Дори и в този случай регламентът налага ограничения по отношение на целите, периодът на съхранение и други мерки за гарантиране на законосъобразното и добросъвестно обработване. Освен това агенцията трябва да гарантира спазването на принципите, заложени в чл. 5, включително „свеждане на данните до минимум“, „ограничение на съхранението“ и подходящи мерки за защита. За неспазване на принципите се налага два пъти по-висока глоба – тоест максималният размер е 20 млн. евро (в случая на публичен орган не се прилага критерия, свързан с оборот).

Регламентът не предписва минимални организационни и технически мерки (както е например, с наредбата за мрежова и информационна сигурност, която впрочем следва да се прилага и от органи като НАП). Това е разбираемо с оглед на широкия кръг задължени лица, различното естество на данните и пр. Той обаче изисква тези мерки да са съобразени с нивото на риск. Може да се предполага, че по-голямата част от данните, които се съхраняват в НАП са със среден и висок риск, какъвто една оценка на въздействието би следвало да покаже. Съхраняването на такива данни в plain text, до който имат достъп всякакви служители (излиза, че служителите на НАП, които са отговорни за възстановяване на ДДС, са имали достъп и до останаите таблици) не отговаря на  принципите на регламента.

Именно затова е важно да се видят подробностите по случая. Само така глобата за НАП ще изпълни превантивната си функция. В противен случай решенията по този случай ще са директна покана към останалите администратори на лични данни, много от които нямат ресурса на държавните органи, да заобиколят регламента.


Съобщението на КЗЛД
В хода на извършена в срок от един месец проверка на Националната агенция за приходите (НАП) е установено, че при осъществяване на дейността си, агенцията, в качеството ѝ на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на  физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през „Български пощи” АД, както и данни за поискан и възстановен ДДС, платен в чужбина.
Установено е, че в неправомерно достъпената и разпространена в интернет пространството информация се съдържат лични данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица.

С Решение от 23.08.2019 г. КЗЛД издаде Разпореждания на НАП на основание чл. 58, § 2, буква „г” във връзка с чл. 57, § 1, буква „а” и чл. 83, § 2, букви „а”, „в”, „г”, „е” и „ж” от Регламент (ЕС) 2016/679 за предприемане на подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни, като напр.:
· мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите;
· извършване на анализ на риска на системите и операциите по обработването, включващи изготвени правила и функционални задължения за работа на всяка информационна система;
· извършване на оценка на въздействието при идентифициран „висок риск” за всяка една система и предприетите мерки;
· извършване на оценка на въздействието при първоначално стартиране на нови информационни системи и приложения.

Срокът за изпълнение на разпорежданията е шестмесечен, считано от датата на получаването им.

На 28.08.2019 г., на основание чл. 87, ал. 3 от Закона за защита на личните данни, Венцислав Караджов – Председател на Комисията за защита на личните данни, издаде Наказателно постановление на НАП за нарушение на чл. 32, § 1, буква „б” от Регламент (ЕС) 2016/679, с оглед осъществен неоторизиран достъп, неразрешено разкриване и разпространение на личните данни на физически лица от информационните бази данни, поддържани от агенцията. Размерът на наложената санкция е 5 100 000 лева.
С издаването на наказателното постановление се ангажира административно-наказателната отговорност на НАП, в качеството й на администратор на лични данни, за допуснатото неправомерно достъпване и разпространение на лични данни. Фактът, че тези данни са изтекли в публичното пространство, не означава автоматично, че с тях е извършена злоупотреба, доколкото злоупотребата предполага извършването на допълнителни действия, представляващи сами по себе си отделни престъпления.
В Комисията за защита на личните данни постъпват множество искания за разяснения относно реда за подаване на жалби и защита от злоупотреба с лични данни. Комисията информира гражданите, че предметът на жалбите и сигналите във връзка с нарушението на сигурността на лични данни в НАП е идентичен с предмета на извършената вече от КЗЛД проверка и в тази връзка съществува пречка за повторно търсене на административно-наказателна отговорност за същото нарушение. Това е проявление на правния принцип ne bis in idem (никой не може да бъде съден или наказван два пъти за едно и също нещо). Този принцип обаче не изключва търсене на обезщетения от страна на засегнатите физически лица, но това може да стане единствено по съдебен ред при спазване на общите съдопроизводствени правила. За целта не е необходимо да се иска официален документ от КЗЛД или произнасяне на Комисията по конкретен случай.


Някои скорошни глоби

Във Великобритания ICO наложи глоба на British Airways в размер на 183 млн. паунда за кибер инцидент, при който са компрометирани данните на 500 000 лица.

В друг случай, отнасящ се до Marriott International, ICO наложи глоба от 99 млн. паунда за това, че не е извършила достатъчно подробен дю дилиджънс при придобиването на Starwood hotels group през 2016 година. Системите на придобитата компания са били компрометирани през 2014 г. което е поставило под риск данни на 339 млн. госта.

През юли румънският орган глоби адвокатско дружество Legal Company & Tax Hub SRL, с равностойността на 3 млн. евро за това, че като администратор не е приело достатъчно адекватни технически и организационни мерки, за да осигурят адекватно на риска ниво на сигурността. Това е довело до разкриване на данните на лица, които са извършвали транзакции на сайта avocatoo.ro (имена, имейл, телефон, месторабота, транзакция).


Още от НАП

От НАП обмислят и предприемането на съдебни действия спрямо извършителите на хакерската атака срещу сървърите на агенцията, като е възможно както присъединяването на агенцията в наказателното производство, така и воденето на гражданско дело. Така финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство.

Справката в приложението за това какъв вид лични данни са били разкрити за български граждани, ще бъде пусната в експлоатация през следващата седмица, съобщават още от НАП. Проверката ще може да бъде извършена чрез идентификация с персонален идентификационен код (ПИК), издаден от приходната агенция, или с електронен подпис. Такава справка ще може да се направи и в офисите на НАП в страната след представяне на лична карта.

Текстът е допълнен със съобщението на КЗЛД