СЕС за делата на граждани срещу НАП: основателните опасения от бъдеща злоупотреба с изтекли лични данни се обезщетяват

Опасенията от потенциална злоупотреба с лични данни, породени от нарушение на Общия регламент за защита на данните (ОРЗД), могат сами по себе си да представляват нематериална вреда. Това прие Съдът на Европейския съюз (СЕС), който отговори на серия от въпроси на Върховния административен съд (ВАС), свързани с големия теч на данни от Националната агенция за приходите (НАП) през 2019 г. (пълния текст на решението виж тук).

Във ВАС са спрени десетки дела по искове на граждани, които търсят обезщетение, след като личните им данни изтекоха от приходната агенция. Немалко от тях претендират неимуществени вреди, които обосновават със страха си, че може тепърва някой да злоупотреби с данните им. Затова един от въпросите, които върховните съдии отправиха до СЕС, беше именно дали тези опасения може да се приемат за неимуществени вреди (повече за преюдициалното запитване виж тук).

Член 82, параграф 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба, отговори днес съдът в Люксембург.

Повече подробности по темата четете в Lex.bg.

Неразрешеният достъп до лични данни от трети лица води до

Заключение на генералния адвокат по дело C340/21 | Национална агенция за приходите
 
За да бъде освободен от отговорност, администраторът трябва да докаже, че по никакъв начин не е отговорен за вредоносното събитие. Страхът от бъдещо неправомерно използване на личните данни може да представлява подлежаща на обезщетение неимуществена вреда само при условие, че става въпрос за реални и сигурни емоционални вреди, не просто за безпокойство или неудобство.
 
На 15 юли 2019 г. българските медии съобщават, че е имало неоторизиран достъп до информационната система на Националната агенция за приходите (НАП) и, че различна данъчна и осигурителна информация на милиони хора, както български граждани, така и чужденци, е публикувана в интернет. Много лица, включително V.B. завеждат дела срещу НАП, за да получат обезщетение за неимуществени вреди, които се изразяват в притеснения и опасения, че с личните ѝ данни може да бъде злоупотребено в бъдеще.
 
Според V.B. НАП е нарушила националното право, както и задължението да приеме подходящи мерки, за да гарантира подходящо ниво на сигурност при обработката на личните данни в качеството си на администратор. Първоинстанционният съд отхвърля иска, като приема, че агенцията не е отговорна за разкриването на данните, че доказателствената тежест на подходящия характер на мерките е на V.B. и, че няма неимуществени вреди, които да подлежат на обезщетяване. Сезиран с жалба Върховният административен съд отправя няколко преюдициални въпроса до Съда за тълкуване на Общия регламент относно защитата на данните, за да определи условията за обезщетение за неимуществени вреди на лице, чиито лични данни, съхранявани от публична агенция, са били публикувани в интернет вследствие на хакерска атака.
 
В днешното си заключение генерален адвокат Giovanni Pitruzzella прави уточнението, че администраторът има задължението да прилага подходящи технически и организационни мерки, за да гарантира, че обработването на лични данни е в съответствие с регламента. Подходящият характер на тези мерки се определя с оглед на естеството, обхвата, контекста и целите на обработването, както и вероятността и тежестта за правата и свободите на физическите лица, въз основа на оценка за всеки отделен случай.
Повече подробности по темата четете тук.

ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ НЕ ВИ СПАСЯВА ОТ ПЛАЩАНЕТО НА „ЛИЧНИ“ ДАНЪЦИ

Комисията за защита на личните данни излезе с решение по подадена жалба, от г-жа Ц.В. срещу „Националната лотария“ АД с твърдения за злоупотреба с личните ѝ данни – имена и единен граждански номер, за деклариран пред НАП доходи от участие в хазартни игри, получени през 2019 г..

Жалбоподателката информира, че на 15.04.2020 г., при подаване на данъчна декларация по чл. 50 от ЗДДФЛ и направена справка за платени доходи по трудови и различни от трудовите правоотношение, установила, че освен коректно посочените от работодателите ѝ по основен и допълнителен трудов договор доходи и доходи по граждански договор, фигурират и доходи от парични и предметни печалби, получени от участие в хазартни игри организирани от „Националната лотария“ АД в размер на 245 217,40 лв. (двеста четиридесет и пет хиляди, двеста и седемнадесет лева и четиридесет стотинки). Г-жа Ц.В. твърди, че такива доходи под формата на парични или предметни печалби не е печелила и не са ѝ изплащани от „Националната лотария“ АД през календарната 2019 г. Допълва, че през 2017 г. и 2018 г. има спечелени парични награди от организирани от дружеството игри, които са коректно отразени в справките за получени през посочените години доходи и твърди, че дружеството е използвало личните ѝ данни, за да декларира „фалшива печалба през 2019 г.“ Моли комисията за проверка по случая и прилага копие на справка от НАП за изплатени доходи/трудови и различни от трудови/ на физически лица за 2019 г. към 08.05.2020 г.

По случая от КЗЛД е направена проверка в дружеството, като първият въпрос на който се търси отговор е, на какво правно основание се обработват личните данни и на какво основание са предадени към НАП?

В отговор „Национална лотария“ АД посочва, че е лицензиран организатор на хазартни игри по Закона за хазарта (ЗХ) и в качеството си на платец на доходи по чл. 13, ал. 1, т. 20 от ЗДДФЛ дружеството има задължение да предоставя информация по реда на чл. 73, ал. 1 от същия закон за изплатените доходи на физически лица. Справките се изготвят на база печалбите, изплатени по игралните сметки на участниците в хазартните игри съгласно чл. 6, ал. 1, т. 4 от ЗХ.

По отношение на това, че са декларирани по-големи от осъществените печалби са разкрити следните обстоятелства. Участието в онлайн хазартни игри от гледна точка на играча, а именно извършване на залози и получаване на печалби, се осъществява посредством игралната му сметка в Централната компютърна система (ЦКС) на организатора. Игралната сметка се дебитира с всеки направен залог и се кредитира с всяка захранена парична сума и всяка печалба, като резултатът е моментното салдо на нетната наличност на участника. ЦКС захранва игралната сметка на участника с всички негови печалби и допуска той да изтегли всички средства по игралната си сметка. В момента, в който игралната сметка на участника се захрани с печалба, той може да я „осребри“ или да направи нов залог с нея. От НАП посочват, че съгласно правните норми в конкретния случай паричната печалба ще се счита за получена от физическото лице (съответно изплатена от организатора на хазартната игра) на датата на постъпването ѝ по кредита на игралната му сметка.

Казано с други думи, ако имате печалба от хазартни игри, но не я изтеглите от сметката на организатора, а използвате сумата, за да направите с нея нов залог, ще платите данък върху нея, независимо от това, че сте загубили парите в новото залагане.

Така КЛЗД установява, че в случая законово задължение на „Националната лотария“ АД е да изготви и предоставя в НАП, справка за общия размер на спечелените през годината печалби (т.е. сборът от сумите резултат от всички печеливши залози на участника, отразени в игралната му сметка), а не размера на средствата, изтеглени (осребрени) от участника от игралната му сметка.

Именно в изпълнение на горното ответникът в това производство е предоставил в НАП лични данни на г-жа Ц.В. и е декларирал спечелените суми от хазартни игри, а не само реално изтеглените от нея средства в размер на 4 750 лв.

За подробности виж: Решение на КЗЛД № ППН-01-414/2020 г. София, 19.09.2022 г.

За да отговаряте на законовите изисквания на GDPR, потърсете ни за помощ и консултация

КАК ДА ИЗБЕГНЕМ „ТЪМНИТЕ МОДЕЛИ“ ?

Това не е заглавието на нова книга на Джоан Роулинг за Хари Потър. Европейският комитет за защита на данните публикува за обществено обсъждане „Насоки 3/2022 относно тъмните модели в интерфейсите на платформите за социални медии: Как да ги разпознаем и избегнем?“

Краткото резюме на новия документ дава представа за какво иде реч.

Насоките предлагат практически препоръки на създателите и потребителите на платформи за социални медии как да оценяват и избягват така наречените „тъмни модели“ в интерфейсите на социалните медии, които нарушават изискванията на GDPR. Важно е да се отбележи, че списъкът с тъмни модели и най-добри практики, както и случаите на употреба, посочени в документа, не са изчерпателни. Доставчиците на социални медии остават отговорни и подотчетни за осигуряването на съответствие на техните платформи с GDPR.

„Тъмните модели“ в интерфейсите на платформите за социални медии

В контекста на тези насоки „тъмните модели“(Dark patterns) са интерфейси и потребителски практики и изживявания, внедрени в платформите на социалните медии, които карат потребителите да вземат непреднамерени, нежелани и потенциално вредни решения относно обработката на техните лични данни. Тъмните модели имат за цел да повлияят на поведението на потребителите и могат да попречат на способността им да защитават ефективно личните си данни и да правят съзнателен избор.

Надзорните органи носят отговорност за санкциониране на използването на тъмни модели, ако те нарушават изискванията на GDPR.

Тъмните модели, разглеждани в тези насоки, могат да бъдат разделени на следните категории:

  • Претоварване (Overloading) означава, че потребителите се сблъскват с лавина/голямо количество заявки, информация, опции или възможности, за да ги подтикнат да споделят повече данни или неволно да разрешат обработването на лични данни, надвишаващи очакванията на субекта на данните.

Следните три типа тъмни шаблони попадат в тази категория: Непрекъснато подканване (Continuous prompting), Лабиринт за поверителност (Privacy Maze) и Твърде много опции (Too Many Options).

  • Прескачането (Skipping) означава проектиране на интерфейса или потребителското изживяване по начин, който потребителите забравят или не мислят за всички или някои от аспектите на защитата на данните.

Следните два типа тъмни модели попадат в тази категория: Измамно прилепване (Deceptive Snugness) и Погледни там (Look over there).

  • Разбъркването (Stirring) влияе върху избора, който потребителите биха направили, като привличат емоциите си или използват визуални подтиквания.

Следните два типа тъмни модели попадат в тази категория: Емоционално управление (Emotional Steering) и Скрито в полезрението (Hidden in plain sight).

  • Възпрепятстване (Hindering) означава възпрепятстване или блокиране на потребителите в процеса на информиране или управление на техните данни, като прави действието трудно или невъзможно за постигане.

Следните три типа тъмни шаблони попадат в тази категория: Безизходица (Dead end), По-дълго от необходимото (Longer than necessary) и Подвеждаща информация (Misleading information).

  • Непостоянство (Fickle) означава, че оформлението на интерфейса го прави да е непоследователен и неясен, което затруднява потребителя да се ориентира в различните инструменти за контрол на защитата на данните и да разбере целта на обработката.

Следните два типа тъмни шаблони попадат в тази категория: Липса на йерархия и Деконтекстуализация

  • Оставен на тъмно (Left in the dark) означава, че интерфейсът е проектиран така, че да скрие информацията или инструментите за контрол на защитата на данните или да остави потребителите несигурни как се обработват техните данни и какъв вид контрол могат да имат върху тях по отношение на упражняването на правата си.

Следните три типа тъмни модели попадат в тази категория: Езикова накъсаност, Противоречива информация и Двусмислена формулировка или информация

Съответни разпоредби на Общия регламент за оценка на тъмните модели

По отношение на съответствието със защитата на данните на потребителските интерфейси на онлайн приложения в сектора на социалните медии, приложимите принципи за защита на данните са изложени в чл. 5 от Общия регламент относно защитата на данните (ОРЗД).

Принципът на добросъвестна обработка, заложен в член 5, параграф 1, буква „а“, на ОРЗД служи като отправна точка за оценка дали моделът на оформление всъщност представлява „тъмен модел“.

Допълнителни принципи, които играят роля в тази оценка, са тези на прозрачността, минимизирането на данните и отчетността съгласно член 5, пар. 1, букви „а“, „в“ и пар. 2 от ОРЗД, както и, в някои случаи, ограничаване на целта съгласно член 5, пар. 1 б. „б“ от ОРЗД. В други случаи правната оценка също се основава на условия за съгласие съгласно членове 4 (11) и 7 от ОРЗД или други специфични задължения, като член 12. Очевидно в контекста на правата на субекта на данни трябва да се вземе предвид и третата глава от Общия регламент. И накрая, изискванията за защита на данните на етапа на проектирането и по подразбиране съгласно член 25 от ОРЗД играят жизненоважна роля, тъй като прилагането им преди стартиране на проектирането на интерфейса би помогнало на доставчиците на социални медии да избегнат тъмните модели на първо място.

ВАС отправя преюдициално запитване до Съда на ЕС във връзка с дело срещу НАП за теча на лични данни

Върховният административен съд съобщава чрез сайта си, че отправя преюдициално запитване до Съда на Европейския съюз по казус, свързан с теча на лични данни от НАП. Запитването е отправено във връзка с административно дело №1037 от 2021 г. на ВАС, но на практика с него се спират производствата по всички такива дела в страната до произнасянето на европейския съд.

Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение № 6800 от 27.11.2020 г. по адм. дело № 11217 от 2019 г. на Административен съд София – град, с което е отхвърлен като неоснователен иска й за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал.1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент (ЕС) 2016/679, с правно основание чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Във ВАС като касационна инстанция има постъпили над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.

Повече подробности по темата четете тук.

Не течът на данни от НАП е навредил на хората, а медийната психоза и публикуването им

АССГ отхвърли иск на гражданка срещу приходната агенция и я осъди да плати 100 лева за разноски

От изтеклите от НАП лични данни на милиони българи не следва, че приходната агенция не е направила нужното да ги опази, а притесненията на хората, макар и нормални, са резултат по-скоро от медийната психоза и публикуването на данните в интернет.

Това са най-общо мотивите на състав на Административния съд София-град (АССГ) с председател Стефан Станчев, с които той отхвърля иск за 1000 лева срещу НАП от страна на Мила Стефанова, която е сред стотиците граждани, завели дела за обезщетение по Закона за отговорността на държавата и общините за вреди (ЗОДОВ). Стефанова е осъдена и да плати 100 лева за юрисконсултско възнаграждение на агенцията.

Общо 160 граждани заведоха искове срещу НАП, но голяма част от тях бяха прекратени преди февруари т.г., когато Върховният административен съд (ВАС) разпореди на първата инстанция да ги гледа. Гражданите поискаха обезщетения заради бездействия на НАП и ВАС реши, че Общият регламент за защита на данните се прилага директно, а той дава на всеки право на ефективна съдебна защита, когато са били нарушени правата, гарантирани от него. Така беше разчистен и пътят за успешното приключване на делата срещу приходната агенция.

Повече подробности по темата четете тук.

TikTok се сблъсква с разследване във Франция

TikTok се сблъсква с разследване във Франция

Местен регулатор разглежда практиките за опазване на личните данни от страна на китайското приложение

Френският регулатор за опазване на личните данни започна разследване срещу TikTok. Tова е поредният път, в който приложението на ByteDance е обект на преглед от страна на властите заради опасения във връзка с политиките му, пише Bloomberg.

Говорител на базирания в Париж регулатор CNIL коментира, че агенцията е започнала разследване, след като през май е получила жалба, но отказа да даде подробности за оплакването или за сроковете по него.

CNIL „е особено бдителен по отношение на тази компания, особено като се има предвид това оплакване, въпросите и другите жалби, които комисията вероятно ще получи“, обяви говорителят.

TikTok не е отговорила веднага на запитването за коментар.

През юни ръководителите на звеното за защита на данните в Европейския съюз обещаха да координират потенциални разследвания срещу китайската компания, след като нидерландският регулатор обяви през май, че разглежда политиките на TikTok за опазване на личната информация на децата. Подобно разследване се води от британски регулатор.

TikTok е под все по-голям натиск и в Съединените щати. Президентът Доналд Тръмп заяви, че ще забрани приложението заради опасения за националната сигурност. Microsoft води преговори за придобиване на операциите на TikTok в САЩ, Канада, Австралия и Нова Зеландия. Компанията отрече твърденията, че е контролирана от китайското правителство или че използва потребителските данни и ги излага на риск.

Повече подробности по темата четете тук.

Съдът в Люксембург спря специалния достъп на САЩ до данните на европейците

Съдът в Люксембург спря специалния достъп на САЩ до данните на европейците

Споразумението за пренос на лични данни на европейци в САЩ е незаконно, постанови Европейският съд в решение, което не подлежи на обжалване. На практика то прекратява специалния достъп, който американските компании имат до данните на европейските граждани.

Съдът в Люксембург обезсилва споразумението „Щит за личните данни“ (Privacy Shield). То бе сключено между Брюксел и Вашингтон през 2016 г., след като съдът прекрати действието на предшественика му – Safe Harbour. Новите мерки се ползват от над 5 хил. компании.

И двете споразумения паднаха под натиска на австрийския активист Макс Шремс, който води дела по подобни казуси от години. Основният му аргумент е следният: според европейското право данни на гражданите могат да се изнасят, съхраняват и обработват в трети държави само ако те могат да осигурят същото ниво на защита, каквото и европейските закони.

Позовавайки се на разкритията на Едуард Сноудън за масовото следене, провеждано от американското правителство, Шремс настоява, че САЩ не могат да гарантират защитата на данните на европейците.

Съдът се съгласи с него. Някои американски програми за наблюдение изобщо нямат ограничения, нито има гаранции за защитата на лица, които не са американски граждани, сочи решението. Те нямат и права, на които да се позоват в американски съд. Има омбудсман, но той по същество също не предоставя възможност за защита, каквато европейците имат в ЕС.

Повече подробности по темата четете тук.

Решението на съда можете да видите тук.

Полезно в ДВ (бр. 93 от 26.11.2019 г.)

В днешния брой е обнародвано Решение № 8 от 15.11.2019 г., с което Конституционният съд обяви за противоконституционни въведените с чл. 25з, ал. 2 от Закона за защита на личните данни десет критерия, с които журналистите трябва да се съобразяват в своите публикации, за да не нарушат правото на защита на личните данни.

„От неяснотата на отделни критерии възниква проблем за цялостното прилагане на т.нар. журналистическо изключение. Освен това трудно можем да говорим за „обработването на лични данни за журналистически цели“ и преценка на естеството на информацията или преценка на последици и съответствие с правата на други граждани при т.нар. преки, в реално време предавания.

Неясните критерии означават също така, че КЗЛД разполага с непредвидима (дискреционна) власт да ги тълкува не непременно в полза на обществения интерес от плуралистична информация за политиките и дейността на управлението. Освен че е публичноправна структура, която се формира с участието на изпълнителната власт – правителството, КЗЛД разполага с административни принудителни мерки, което наред с неясните критерии води до засилване на властовата асиметрия спрямо средствата за масова информация и журналистиката в крайна сметка“, се казва в решението на КС.

Като се позовава на решението на СЕС по дело  Schrems (Schrems v. Data Protection Commissioner, CLI:EU:C:2015:650), Конституционният съд припомня, че когато „мярката, налагаща ограничение върху упражняването на едно основно право поставя под въпрос това право като такова, тази мярка е несъвместима с Хартата, тъй като лишава даденото право от неговата същност. Цензурата е такава ограничителна мярка, която засяга същностното съдържание на правото на свобода на изразяване и поради това тя е забранена на конституционно ниво (чл. 40, ал. 1 от Конституцията)“.

Обнародвани са промени в Правилника за прилагане на Закона за чужденците в Република България, които произтичат от промените в Закона за чужденците в Република България /ЗЧРБ/ и в Закона за закрила на детето /ЗЗД/, както и от установената необходимост за облекчаване на процедурите при кандидатстване за получаване на право на пребиваване спрямо чужденци от български произход – граждани на трети страни.

С измененията се урежда редът за събиране на семейства и се въвеждат необходимите документи за категорията чужденци с предоставена международна закрила, убежище и временна закрила. Въвежда се и процедура по предоставяне на право на продължително пребиваване у нас на категорията чужденци, получили статут на лица без гражданство, които не отговарят на условията за предоставяне на постоянно или дългосрочно пребиваване.

Във връзка с измененията на ЗЗД и въведената нова мярка за предоставяне на социални и интегрирани здравно-социални услуги за резидентна грижа на непридружени деца чужденци, е предвидена възможност на такива деца да може да се предоставя статут на продължително пребиваване в България до навършването на 18-годишна възраст.

Държавен вестник, брой 93 от 26.11.2019 г.

Държавен вестник, брой 93 от 26.11.2019 г.

С курсив са обозначени актовете, които са изменени с акта, изписан с удебелен шрифт по-горе в списъка.

Връзките са към базата данни на Apis Web.

За временен достъп проверете тук.

 

Има още