57 папки, съдържащи повече от хиляда файла с по над 1 млн. реда, съдържащи ЕГН, имена, адреси и дори доходи на физически лица и фирми, са разпратени от хакери на различни медии вчера. По първоначални данни във файловете се съдържат данни на повече от милион физически лица. Информацията за несанкциониран достъп до сървър на НАП, от който е изтеглена информацията беше потвърдена. Експерти подчертаха, че нивото на сигурност на държавните системи не е достатъчно високо.
Във връзка със законодателството за защита на личните данни и по-специално Регламент 2016/679 на Европейския парламент и на Съвета, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Регламентът има за цел да допринесе за изграждането на пространство на свобода, сигурност и правосъдие и на икономически съюз. Защитата на личните данни е обвързана с икономически и социален напредък, „за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората“.
При нарушение сигурността на данните, администраторът, освен, че е длъжен да уведоми Комисията за защита на личните данни, трябва да уведоми и субектите на данните за нарушението не по-късно от 7 дни от установяването му, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на субектите на данни. Въпреки че новината за изтеклите данни, намери място в почти всички медии, Регламентът въвежда задължение за администраторите на ясен и разбираем език да посочват описание на нарушението и най-малко информацията и мерките по чл. 67, ал. 3, т. 2, 3 и 4 от Закона за защита на личните данни. Това е информацията относно:
1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
Когато не е възможно информацията да се подаде едновременно, законът допуска тя да бъде подадена поетапно, за да се избегне ненужно забавяне. Администраторът е длъжен да документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Трябва да бъдат взети мерки субектите на данни да са в еднаква степен ефективно информирани.
Отделно от тази отговорност, която носи администраторът, съгласно Регламентът компетентният надзорен орган трябва да гарантира, че мерките, които налага за защита на личните данни, в частност административните наказания „глоба“ или „имуществена санкция“ за извършени нарушения на Регламента, във всеки конкретен случай да са ефективни, пропорционални и възпиращи. Повече информация четете тук.