Възможност за защита на лица при изтичането на данни от НАП съгласно GDPR

На 15.07.2019 г. стана публично известно, че около 5 000 000 български и чуждестранни граждани са засегнати от безпрецедентното изтичане на лични данни от системата на Националната агенция за приходите (НАП). Това нарушение в сигурността на голям обем лична информация поставя два важни практически проблема – какви са задълженията на НАП и какви са възможности за защита на засегнатите лица.
Съгласно Общия регламент за защита на личните данни (General Data Protection Regulation или GDPR) лични данни са всяка информация, свързана с идентифицирано физическо лице или лице, което може да бъде идентифицирано (т.нар. „субект на данни“). Такава информация може да включва както име и идентификационен номер, така и всякакви други данни, които биха могли да послужат за установяване на самоличността на едно лице. В този смисъл изтеклите от НАП данни като имена, ЕГН-та, телефони, информация за трудови доходи, здравен статус, данъчно-осигурителна информация могат да се квалифицира като „лични данни”.
В случай на нарушение на сигурността на лични данни първата стъпка е за администратора да уведоми компетентния надзорен орган, за България съответно Комисия за защита на личните данни (КЗЛД), в срок не по-късно от 72 часа от установяване на нарушението. По официална информация КЗЛД и НАП, КЗЛД е получила официално уведомление в понеделник (15.05.2019 г.) – същия ден, в който изтичането на данни стана известно в медийното пространство. Допълнително е оповестена информация, че опит за несанкционирано проникване в системата на НАП е имало още на 29.06.2019. Все още няма конкретен отговор дали към тази дата органът по приходите все още не е знаел за нарушението или е закъснял с уведомяването на КЗЛД. Ако уведомлението не е подадено в срок от 72 часа, то НАП трябва да посочи конкретни причини за забавянето.
Съгласно GDPR, когато има вероятност нарушението в сигурността на личните данни да доведе до висок риск за правата и свободите на физическите лица, администраторът трябва да уведоми субекта на данни своевременно и без ненужно забавяне. Няма ясно тълкуване какво означава „висок риск“, но при определянето му могат да се вземат предвид различни фактори – като напр. обемът на лични данни, техният характер, до какъв кръг субекти са достъпни данните. GDPR не поставя конкретен срок за уведомлението, но съгласно Закона за защита на личните данни (ЗЗЛД) субектите на лични данни трябва да бъдат уведомени за нарушението не по-късно от 7 дни от установяването му. В уведомлението трябва да се посочи на ясен и достъпен език какво е естеството на нарушението, както и да се дадат препоръки как физическите лица могат да ограничат потенциалните негативни последици, ако това е възможно. В него трябва да се предоставят още координати за връзка на длъжностното лице по защита на данните или на звено за връзка за данни по случая, разяснения за евентуалните последици от нарушението на сигурността на личните данни и описание на предприетите мерки за справяне с нарушението.
Допълнително, уведомяването трябва да бъде пропорционално и ефективно. Така при голям обем от лични данни на изключително висок брой от физически лица индивидуално уведомяване би могло да се окаже трудно осъществимо. Досега методът на действие на органът по приходите е да информира субектите на данни чрез публични съобщения на електронния си сайт, като в най-кратък срок се очаква да бъде изготвено и официално приложение, чрез което лицата да могат да проверяват дали са засегнати от изтичането на лични данни.
Всяко лице, което счита, че обработването на личните му данни е в нарушение на регламента, има право да подаде жалба пред компетентния надзорен орган. В случая с изтичането на данни от НАП това означава, че всеки засегнат има право да подаде жалба пред КЗЛД в срок от 6 месеца от узнаването за нарушението. Жалбата може да се подаде с писмо, факс или дори по електронен път. Във всеки случай КЗЛД ще е длъжна информира жалбоподателите за напредъка или резултат от жалбата в срок от 3 месеца от сезирането й.
Допълнителна възможност пред всеки субект на данни е да обжалва действия или актове на администратора по съдебен ред. Приключване на производството пред КЗЛД за същото нарушение и липсата на висящо производство срещу решение на КЗЛД са предпоставка за търсенето на съдебна защита и обезщетение за претърпени вреди.
Съгласно GDPR всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Понятието за „вреди“ се тълкува широко в светлината на практика на Съда на ЕС. Материални вреди могат да настъпят при ограничаване на правата на лицата, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. Може да се претендира обезщетение и от нематериални вреди. Такива могат да са напр. накърняване на репутация, емоционален стрес, неудобство, притеснение и други негативни преживявания в резултат на увреждането. Субектите на данни могат индивидуално да търсят обезщетение за претърпените вреди по съдебен ред. Администраторът или обработващият лични данни може да бъде освободен от отговорност единствено ако докаже, че по никакъв начин не е отговорен за вредите.
Нарушение на GDPR може да бъде установено от надзорния орган по защита на личните данни (КЗЛД за България) след получаване на жалба от засегнат субект на данни или уведомление от администратора на лични данни. При установяване на такова нарушение, на администратора може да бъде наложена имуществена санкция в размер до 10 000 000 Евро или за предприятия 2% от оборота за предходната финансова година (която от двете суми е по-висока), а при особено груби нарушенията имуществената санкция може да достигне до 20 000 000 евро или за предприятия 4% от оборота за предходната финансова година (която от двете суми е по-висока). В ЗЗЛД не е предвидено изключение за публични органи (като НАП).
Високият размер на санкциите показва решителността на европейския законодател да гарантира, че личните данни ще бъдат обработвани по един законосъобразен, добросъвестен и сигурен начин със знанието и съгласието на субектите на данни.
При необходимост от съдействие относно претърпени вреди в резултат на неправомерно обработване на лични данни, моля свържете се с нашия екип..