COVID-19 пандемията удари и личните данни. Близо една пета от становищата на Комисията за защита на личните данни (КЗЛД) през 2021 г. са за здравеопазването. Така след проверка в бившата болница в старозагорското с. Радунци са били открити над 65 000 изоставени медицински досиета и над 3000 трудови досиета. Запазила се е и тенденцията на нарастване на броя на разглежданите казуси, свързани с въздействия и ограничения, произтичащи от извънредните обстоятелства, пред които сме изправени заради пандемията от COVID-19, съобщиха за „Монитор“ от надзорния орган.

COVID-19 пандемията удари и личните данни. Близо една пета от становищата на Комисията за защита на личните данни (КЗЛД) през 2021 г. са за здравеопазването. Така след проверка в бившата болница в старозагорското с. Радунци са били открити над 65 000 изоставени медицински досиета и над 3000 трудови досиета. Запазила се е и тенденцията на нарастване на броя на разглежданите казуси, свързани с въздействия и ограничения, произтичащи от извънредните обстоятелства, пред които сме изправени заради пандемията от COVID-19, съобщиха за „Монитор“ от надзорния орган.

През миналата година в комисията са постъпили 487 сигнала, искания и запитвания по актуални въпроси във връзка с обработването на лични данни и изложени твърдения за нарушения на Регламента и Закона за защита на личните данни. От тях са отработени 468, като на всички податели са изпратени отговори. Комисията е отговорила писмено на 100 запитвания за начина на упражняване на правото на жалба. Допълнително над 800 са жалбите на физически лица, съдържащи твърдения за нарушения при обработване на личните им данни.

Най-много сигнали са получени срещу администратори на лични данни, предоставящи интернет услуги – 120.

На второ място са сигналите за евентуално незаконосъобразно обработване на лични данни от органи на държавната администрация – 42, последвани от администратори на лични данни, осъществяващи видеонаблюдение – 28. Сигнали са получени за обработване на лични данни в областта на здравеопазването – 27, телекомуникациите – 27, за целите на директния маркетинг – 21, в сферата на банковото дело – 16, срещу медии – 16. При жалбите преобладаващ брой са тези с твърдения за неправомерно обработване на лични данни посредством видеонаблюдение.

От началото на 2021 г. са назначени 227 проверки на място по повод постъпили в КЗЛД жалби, искания и сигнали, от които извършени 206.

След разгледани сигнали са издадени 64 решения на КЗЛД за налагане на корективни мерки – 19 предупреждения, 7 официални предупреждения, 38 разпореждания. Съставени са 5 акта за установяване на административни нарушения. Издадени са 4 наказателни постановления.

Наложените санкции след извършени проверки са 319 000 лв.

От издадените наказателни постановления едно е влязло в сила и платено, 3 са обжалвани.

В резултат на образувани административни производства по постъпили жалби комисията се е произнесла с 479 решения, включително и по жалби от предходната година.

КЗЛД не води статистика от кои градове в страната постъпват най-много жалби и сигнали. Но най-много проверки на място са извършени в София – 95, Варна – 15, Пловдив – 11.

Като най-масови нарушители от комисията посочват, че проблемни се очертават администратори на лични данни при куриерски услуги, топлинни счетоводители, болници и други медицински заведения, както и масовото осъществяване на видеонаблюдение, несъобразено с правата и свободите на останалите граждани; изхвърляне на документи, съдържащи лични данни на сметища; обработване на лични данни от интернет сайтове и платформи, както и от банкови институции.

С поредица от становища през 2021 г. е коментирано законосъобразното обработване на лични данни при изпълнението на въведените от министъра на здравеопазването противоепидемични мерки.

КЗЛД следи и контролира дали обработването на лични данни е в съответствие с европейския регламент и Закона за защита на личните данни, като това не включва въпроси за

необходимостта и адекватността на въвежданите противоепидемични мерки

от медицинска гледна точка, а единствено тяхното законосъобразно изпълнение, тогава когато то засяга извършването на операции по обработване на лични данни.

"В същото време, независимо от естеството на противоепидемичните мерки, трябва да се има предвид, че всички ограничения по отношение правата на хората, възникнали във връзка с обработването на техни лични данни, трябва да са въведени с нормативен акт в съответствие с изискванията на чл. 23 от ОРЗД във връзка с чл. 37а от ЗЗЛД", казват от комисията.

Тя има становище от 6.10.2021 г. с подробно изложени и разяснени правила за законосъобразното обработване на лични данни за ваксинационния статус от страна на работодателите, включително данните за резултатите от тестването на работниците и служителите.

Като пример за конкретен казус, който е провокиран пряко от пандемията или е възникнал по повод на въведените противоепидемични мерки, се посочва искане за разясняване на законосъобразния характер за предоставяне на лични данни между компетентни ведомства с цел предоставяне на еднократна финансова подкрепа за хранителни продукти на хора в затруднено положение.

КЗЛД е разгледала и въпроси за предоставянето на лични данни, възникнали във връзка с постъпило искане за достъп до обществена информация по повод

оповестяване на хората, участвали във вземането на решение за доставката на ваксините срещу COVID-19

Пред КЗЛД е било поставено за разглеждане и искане за предоставянето на информация за мястото на хоспитализация от Центъра за спешна медицинска помощ (ЦСМП).

"Увеличеният обем на работа на спешните медици по време на т.нар. „вълни“ на заразата поставят на изпитание екипите, пред които възникват въпроси, свързани с предоставянето на информация на близките на пациента за мястото на неговата хоспитализация", обясняват от комисията.

Сред проверените са НСИ, МВР и външно министерство


Видеонаблюдението тормози хората


Народното събрание и омбудсманът също ревизирани

Най-голям брой проверки Комисията за защита на личните данни е извършила след сигнали и жалби от физически лица за обработване на личните им данни чрез изградени системи за видеонаблюдение, съобщиха оттам.

Извършени са проверки на Агенция по вписванията и на Националния статистически институт във връзка с „Електронно преброяване 2021“. Обстойни проверки са извършени на администратори по ШИС - Национален институт по криминалистика, МВнР - Национален визов център, МВР-ДМОС-Бюро СИРЕНЕ, МВР-ДМОС-Национално звено Европол, МВР - Комуникационни и информационни системи.

Извършени са проверки за обработване на личните данни от топлинните счетоводители.

След подадени уведомления са извършени проверки на място на „Айкарт Кредит“ ЕАД, Банка ДСК ЕАД, „Сирма Ай Си Ес“ АД, „Софтсърв България“ ЕООД, „Дженерали Застраховане“ АД, „Европът-2000“ АД, „БТВ Медия Груп“ ЕАД, Областна дирекция „Земеделие“ - София област, Народното събрание, Редакция „Държавен вестник“, Администрация на омбудсмана и др.

След влизането в сила на Регламент (ЕС) 2016/679 - 23 май 2018 г., администраторите на лични данни са задължени да приведат дейностите по обработване на лични данни на физически лица съгласно неговите разпоредби. Той въвежда редица задължения за администраторите и обработващи лични данни, като изисква да се прилагат подходящи технически и организационни мерки за осигуряване на „сигурност на данните“. Изборът на конкретни технически и организационни мерки зависи изцяло от администратора.

"От извършените проверки може да се направи обоснован извод, че голяма част от администраторите на лични данни са добре запознати с нормативната база за защита на личните данни, прилагат в голяма степен необходимите технически и организационни мерки за защита на данните, уведомяват физическите лица за техните права, изпълняват задълженията си при упражняване на правата на физическите лица, както и съдействат на КЗЛД при упражняване на нейните правомощия", съобщават от комисията. 

През 2021 г. тя е изразила 51 становища по различни казуси, както по искания на публични органи, така и по принципни запитвания на юридически и физически лица. Съществена част от работата й е свързана с приемането на решения за разрешаване предоставянето на лични данни от ЕСГРАОН. Това правомощие на КЗЛД произтича от Закона за гражданската регистрация. През 2012 г. са приети 11 такива решения.

Проблеми открити при сайтове и платформи

През 2021 г. в КЗЛД са постъпили 120 сигнала, запитвания или искания за обработване на лични данни на физически лица от различни интернет сайтове и платформи. Казусите са най-разнообразни, като предимно постъпват сигнали за неспазване на изискванията на Регламента и ЗЗЛД във връзка със задълженията на администраторите на интернет платформите да публикуват своите правила или политики за обработване на личните данни на потребителите, както и на политиките за поверителност при използването на т. нар. „бисквитки“; искания за съдействие за упражняване на правото на регистрираните потребители да бъдат деактивирани техните акаунти, както и сигнали и запитвания относно публично оповестени/публикувани документи с лични данни.

През 2021 г. е подписано споразумение между комисията и сдружение „Национална асоциация за защита на потребителите“ (НАЗП) с цел извършване на проучване и съдействие при констатирани нарушения и порочни практики по отношение на потребителите при ползването на услуги на доставчици на съдържание онлайн чрез така наречените „бисквитки“, като за съвместни действия в рамките на кампанията за проверки и информираност към тази инициатива ще бъде приобщена и Асоциацията на европейските журналисти – България.

КЗЛД навършва 20 г.

През 2022 г. се навършват 20 г. от влизането в сила на Закона за защита на личните данни на 1.01.2002 г. и от създаването на Комисията за защита на личните данни с решение на НС от 23 май 2002 г. Тя е постоянно действащ независим надзорен орган за защита на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на Закона за защита на личните данни. Комисията се състои от председател и четирима членове. Те се избират от НС по предложение на МС за срок 5 г. и могат да бъдат преизбирани за още един мандат.

На 25 май 2018 г. започна да се прилага Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните). Приемането на Регламента и неговото еднакво приложение в ЕС представлява най-значимата реформа в областта на личните данни и личната неприкосновеност за последните две десетилетия.

Като надзорен орган по защита на личните данни в България КЗЛД осъществява контрол за спазването на изискванията на Регламента. В рамките на своите правомощия комисията има право да разглежда жалби от физически лица, да извършва проверки на администратори и обработващи лични данни, да дава становища, да налага имуществени санкции.