Заради скандала с изтичането на информация от НАП България е заплашена от солени глоби, защото е допуснала пробив в системата. Това призна и финансовият министър Владислав Горанов, който заяви, че „не е изключено страната ни да бъде санкционирана заради неспазване на европейския регламент за защита на личните данни“. Под риск са данни както на българи и български фирми, така и на чужденци и на чуждестранни фирми и данни от обмена на НАП с други данъчни служби. Твърди се, че само засегнатите чужди фирми са 300 000. А гражданите изобщо са над 5 милиона.

Към настоящия момент е уведомена и Комисията за защита на личните данни (КЗЛД). Дали тя ще се самосезира и ще започне собствено проучване, във вторник не стана ясно. По закон НАП е длъжна да уведоми КЗЛД в срок от 72 часа, след като е засякла нарушението. Данъчните трябва да съобщят и на партньорските данъчни служби, с които работят. Предвижда се в определени случаи за атаката да бъдат уведомени и засегнатите „не по-късно от 7 дни“, след като е засечено нарушението. Говорителят на НАП призна, че на 29 юни е засечен опит за хакване на системата им, но не съобщи да са уведомили още тогава КЗЛД и засегнатите лица.

„Субектът“ на данните, тоест засегнатите, обаче не се уведомява, ако администраторът, в случая НАП, е „предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране“. Не се предвижда да се съобщава на засегнатите и ако са били взети мерки, които гарантират, че „вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни“, става ясно още от текстовете на Закона за защита на личните данни.

Европейският регламент за защита на личните данни GDPR дава възможност всеки засегнат да се оплаче пред администратора на личните му данни, който е нарушил неприкосновеността на информацията му, и да поиска обезщетение или да потърси правата си по съдебен ред.

Спазването на регламента е ангажимент на националния надзорен орган. Според GDPR, „ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение“.

Нарушенията могат да се санкционират с глоба в размер до 10 000 000 EUR или в случай на предприятие – до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока. Ако администраторът предаде личните данни на гражданин на трета страна или откаже да изпълни разпореждане на надзорния орган, подлежи на глоба до 20 000 000 евро или в случай на предприятие – до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

За това, че най-вероятно ще има дела, предупреди и зам.-председателят на БСК Станислав Попдончев. Пред БНР той обясни, че български фирми не изключват възможността да търсят правата си и по съдебен път, ако могат да докажат претърпени вреди или пропуснати ползи от разкриването на служебна информация. „Всеки един гражданин, зависи каква информация има в него (в регистъра), може да бъде профилиран на база на доходи, на здравен статус и така нататък. Чувствам се уязвим. Безспорно днес едва ли има гражданин или бизнес, който да не се чувства уязвим от изтеклата информация. Начините, по които някой може да си послужи с нея, са неизброими“, коментира той.

Източник: Сега