След теча на на данни от НАП, станал известен през м. юли 2019 г., експертите от „Асоциация за защита на личните данни“ (АЗЛД) попитаха институциите за извършените от тях оценки на риска, оценки на въздействие, отправени искания за консултации към надзора и какви са били предприетите мерки, за да се предотвратят подобни сценарии.
Предпритетите мерки, за да са подходящи или поне да се докаже, че към даден момент е имало основание да се смятат за такива, следва да бъдат базирани на анализ на риска, оценка на въздействие и/или консултации с надзорния орган (където е приложимо). Нивата на рисковете следва да бъдат наново оценявани и наблюдавани във времето и при необходимост администраторите трябва да прилагат мерки, съобразени с настъпилите промени, които обосновават по-висок риск. Това е и мотивът, поради който експертите от АЗЛД са поискали горепосочената информация. Тази информация до голяма степен дава отговор дали един администратор е бил засегнат от даден инцидент въпреки предприетите от него мерки или поради липса на подходящи такива, предвид нивото на риска.
От предоставените отговори на институциите се установява, че НАП не е приложила тези процедури, свързани с анализа/оценките на риска и оценките на въздействие, както и не е потърсила консултации от надзора по чл. 36 от Регламента.
Междувременно, тези основни пропуски са констатирани и от страна на надзорния ни орган, КЗЛД. Така, в изпълнение на правомощията си, КЗЛД е дала предписания за корективни мерки (информация за които е публикувана на сайта на Комисията). НАП следва да изпълни разпорежданията за тях в 6-месечен срок, считано от датата на получаването им.
Допълнителен факт, видно от предоставените документи от страна на НАП, е необходимостта да се обърне сериозно внимание на ролята на длъжностното лице по защита на данните (ДЛЗД). ДЛЗД играе основна роля при извършването на гореспоменатите анализи – задължение на длъжностното лице и същевременно част от правомощията му е да съветва администратора, отчитайки рисковете за субектите на данни. Задължение на администратора е да осигури средства за ефективно изпълнение на работата на ДЛЗД, включително като се грижи за неговата добра квалификация.
Допълнителен основополагащ фактор за спазване и съблюдаване на законодателството е правилното идентифициране на приложимия акт. В тази връзка, нашите експерти биха искали да обърнат внимание на всички администратори на лични данни и обработващи (в частност – на засегнатата институция) да правят ясно разграничаване между Директива (ЕС) 2016/680 (транспонира със ЗЗЛД) и Регламент (ЕС) 2016/679 и да създават вътрешна документация и процедури по приложимия акт.
Очакваме в посочения от КЗЛД срок НАП да предприеме сериозни мерки по отстраняването на пропуските и привеждането на дейността си в съответствие с европейското и националното законодателство в сферата на защитата на личните данни.
Правото на неприкосновеност и защита на личните данни е фундаментално човешко право. Темата е важна и осъзната в целия свят, а България, като част от ЕС, има предимството да прилага европейски акт, следван като модел от законотворците в много други държави по света, далеч извън рамките на ЕС.
Отговорите на КЗЛД, НАП и министъра на финансите по нашите заявления за достъп до обществена информация можете да намерите на следните линкове (към отговора си НАП е приложила нейна Инструкция, която считаме за вътрешен документ и, поради вероятността да съдържа конфиденциална информация, не публикуваме на този сайт):
https://mydata.bg/wp-content/uploads/2019/09/Otgovor_ZDOI-NAP.pdf.pdf
https://mydata.bg/wp-content/uploads/2019/09/Otgovor_ZDOI-KZLD.pdf.pdf
https://mydata.bg/wp-content/uploads/2019/09/Otgovor_ZDOI-MF.pdf.pdf
