Възможно ли е да се претендират вреди от нарушение сигурността на Вашите данни? Случаят с НАП от лятото на 2019 г. повдигна много въпроси относно това как и кой обработва и съхранява нашите данни.
Настоящата статия има за цел да внесе яснота върху основните моменти във връзка с личните данни на гражданите.
1. Какво са лични данни?
Както е дефинирано в Регламент 2016/679 (GDPR) личните данни (или накратко ЛД) представляват всяка информация, свързана с идентифицирано лице или лице, което може да бъде идентифицирано. В последното се включват всякакви данни като име, ЕГН, местонахождение, генетична, психическа, физическа и др. идентичност на това физическо лице (субект на ЛД).
2. С каква защита се ползват ЛД?
Физическите лица предоставят своите ЛД за обработване на различни частни и държавни предприятия. В този случай предприятията (институциите/юридическите лица, а в някои случаи и други физически лица) се явяват Администратори на ЛД или Обработващи ЛД. Събирането и обработването, което извършват, трябва да е в съответствие с някое от основанията в Регламента. Най-общо казано това са:
– изрично дадено съгласие на субекта;
– сключване на договор;
– спазване на законово задължение;
– защита на жизненоважни интереси на субекта;
– изпълнение на задача от обществен интерес или упражняване на официални правомощия;
– легитимен интерес на администратора, съответно на трета страна.
Освен нуждата от основание за събиране и обработване на ЛД, за администраторите са въведени и изисквания относно начина и условията на съхранение на ЛД тяхното достъпност, както и заличаването им. Администраторът трябва да въведе подходящи технически и организационни мерки, които да гарантират законосъобразното обработване. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице ЛД не са достъпни за неограничен брой физически лица.
Това представлява законово задължение на администраторите на ЛД. Неизпълнението или неадекватното му изпълнение се счита за нарушение на Регламента.
3. Какви са последствията, ако администраторите обработват ЛД в нарушение на изискванията?
Добър пример за това е скорошният „теч“ на ЛД от системата на Националната агенция по приходите (НАП). Недостатъчно добрите технически и организационни мерки за защита на данните са довели до външно проникване в системата и неправомерното достъпване на тези данни от трети лица. Само с това, че администраторът не може вече да упражнява контрол, е нарушен интересът на субекта на данните и първият носи отговорност.
4. Мога ли да претендирам обезщетение за незаконосъобразното обработване/достъпване на личните ми данни?
Съгласно чл. 82 от Регламента, физическите лица имат право на обезщетение от администратора, съответно от обработващия ЛД за вредите от нарушение на изискванията на регламента. Вредите могат да бъдат както имуществени, така и неимуществени, като те подлежат на доказване. Неимуществените представляват физическите и емоционалните страдания, както и всички други негативни преживявания, през които сте преминали вследствие на увреждането. Обезщетението за тях се определя от съда по справедливост.