По информация, публикувана на сайта на Национална агенция по приходите (НАП), 3% от информацията, съдържаща се в базата данни на агенцията, е била обект на неоторизиран достъп и неправомерно разпространение. Личните данни на около 5,1 млн. български граждани са направени публично достояние.
Част от разпространената информация съдържа:
- Данни от годишни данъчни декларации на физически лица;
- Данни от справките за изплатени доходи на физически лица;
- Данни от осигурителни декларации;
- Данни за здравно осигурителен статус;
- Данни за издадените актове за административни нарушения;
- Данни за извършените плащания на данъци и осигурителни задължения през Български пощи АД;
- Данни за поискан и възстановен ДДС, платен в чужбина;
- Данни от международния обмен на данъчна информация за български местни лица;
- Служебни данни, получени от други институции в НАП, като Агенция Митници, Агенция по заетостта, Агенция за социално подпомагане, НЗОК, и др.;
След съвместна среща между ръководствата на НАП и Комисия за защита на личните данни (КЗЛД), на 17.07.2019 г. е взето решение НАП да подготви и публикува в сайта си приложение, чрез което гражданите да проверят дали техни лични данни са станали публично достояние в противоречие със закона. На https://check.nra.bg/ всяко физическо лице може да провери дали е засегнато от инцидента.
Правата, с които засегнатите от нарушението лица разполагат, включват:
- Подаване на жалба пред Комисия за защита на личните данни;
При нарушаване на правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД субектът на данни има право да сезира КЗЛД в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му. Комисията не разполага с правомощия да присъжда обезщетение на субектите. Надзорният орган роверява фактите и обстоятелствата и констатира нарушени ли са правата на субекта или не. В случай че установи, че правата на субекта са нарушени, надзорният орган може да приложи някои от мерките, препдвидени в чл. 58, параграф 2 от Регламент (ЕС) 2016/679 (напр. да забрани временно обработването на данни и др.) или по чл. 80, ал. 1, т. 3, 4 и 5 от ЗЗЛД и в допълнение към тези мерки /или вместо тях/ да наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета от ЗЗЛД.
- Подаване на жалба пред съда за установяване на нарушението;
Всяко лице, което смята, че правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД са нарушени, може да обжалва действия и актове на администратора на лични данни пред съда по реда на Административнопроцесуалния кодекс.
- Иск за присъждане на обезщетение;
За да може едно лице да се възползва от възможността да претендира обезщетение, то трябва да е претърпяло вреди вследствие неправомерното обработване на лични данни от страна на администратора. Следователно, за да възникне такава отговорност, трябва да се установи, че данните са обработени от администратора неправомерно, за физическото лице са настъпили вреди с имуществен или неимуществен характер, както и че е налице причинна връзка между неправомерното обработване на данните и вредите.
- Сигнал до прокуратурата при наличие на данни/съмнения за извършено престъпление;