ДИГИТАЛЕН ЧЕРНОБИЛ
(продължение)
„Живеем в динамична среда, нещата се развиват с много висока скорост. Никой не е застрахован“.
Това са част от изказванията на представители на институциите по повод хакерската атака, станала известна след изпращането на списъци с данни от масивите на НАП на медиите в понеделник, 15 юли.
Да, не може да се отрече – средата се променя бързо. И точно затова Общият регламент за защита на данните или още GDPR изисква да се правят редовен преглед и оценка на приетите мерки.
Погрешно е схващането, че щом една институция има качеството на администратор на лични данни, значи с това приключва работата й по Регламента и тя обработва съвсем законосъобразно нашите данни.
Да си „администратор“ означава, че имаш задължения, които трябва да спазваш.
Така чл. 6, пар. 1, б. „е“, чл. 24 и чл. 32 от GDPR задължават администраторите на лични данни, вкл. и тези от публичния сектор, да въвеждат и прилагат подходящи технически и организационни мерки за защита на личните данни.
Прилагането на подходящи мерки се осъществява в резултат на извършени анализи от страна на администраторите, които включват и оценка на рисковете от всяка дейност по обработване за правата и свободите на физическите лица – субекти на данни.
Очевидно е, че в тази ситуация институциите трябва да направят необходимото, за да си възвърнат доверието на физическите лица.
Ние, от Асоциация за защита на личните данни, отправихме искания към отговорните и засегнатите институции за предоставяне на информация във връзка с изпълнението на изискванията на GDPR. Част от тази информация се отнася до резултатите от извършваните оценки на въздействието върху защитата на личните данни. Предоставянето на изисканите оценки на вниманието на засегнатите лица се препоръчва и като добра практика в насоките на Работната група по защита на личните данни към Европейската комисия (Европейски комитет по защита на данните, считано от 25.05.2018 г.).
Това, казано накратко, означава да ни бъде дадена информация какви анализи и оценки на рисковете са извършени в съответствие с GDPR, какви мерки е решено да бъдат приложени и защо тези мерки не са били подходящи или достатъчни да опазят нашите данни. А също и какви процеси по извършване на проверки и одит съществуват в НАП, кой ги контролира и в крак ли са те с GDPR.
Това е информация, която като физически лица ни се дължи, защото ние сме и си оставаме собственици на нашите данни. Правото на неприкосновеност на личния живот е едно от фундаменталните човешки право. Институциите могат да ползват нашите данни, но само по законосъобразен начин, а също така са задължени и да ги опазват.
Освен „неприятна“, както официално беше определена, тази ситуация, тя създава и рискове за физическите лица, чиито данни са изтекли. С цел превенция, те трябва да бъдат уведомени за тези рискове от институциите, след като приключи извършвания от тях анализ на ситуацията.
Създадените от страна на НАП и разпространени в Интернет в резултат на атаката списъци с „нелоялни“ също изискват отговори – за какво се ползват те и по какъв закон са създадени.
Въпросите са много и всички ние очакваме техния отговор.
Писмата до институциите можете да видите тук:
https://mydata.bg/wp-content/uploads/2019/07/Iskane-ZDOI-KZLD-16072019.pdf
https://mydata.bg/wp-content/uploads/2019/07/Iskane-ZDOI-MF_NAP_16072019.pdf