В хода на извършена в срок от един месец проверка на Националната агенция за приходите (НАП) е установено, че при осъществяване на дейността си, агенцията, в качеството ѝ на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през „Български пощи” АД, както и данни за поискан и възстановен ДДС, платен в чужбина.
Установено е, че в неправомерно достъпената и разпространена в интернет пространството информация се съдържат лични данни на общо 6074140 физически лица, което включва 4104786 живи физически лица, български и чужди граждани, и 1959598 починали физически лица.
С Решение от 23.08.2019 г. КЗЛД издаде Разпореждания на НАП на основание чл.58, §2, буква „г” във връзка с чл.57, §1, буква „а” и чл.83, §2, букви „а”, „в”, „г”, „е” и „ж” от Регламент(ЕС) 2016/679 за предприемане на подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни, като напр.:
· мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите;
· извършване на анализ на риска на системите и операциите по обработването, включващи изготвени правила и функционални задължения за работа на всяка информационна система;
· извършване на оценка на въздействието при идентифициран „висок риск” за всяка една система и предприетите мерки;
· извършване на оценка на въздействието припървоначално стартиране на нови информационни системи и приложения.
Срокът за изпълнение на разпорежданията е шестмесечен, считано от датата на получаването им.
На 28.08.2019г., на основание чл.87, ал.3 от Закона за защита на личните данни, Венцислав Караджов- Председател на Комисията за защита на личните данни, издаде Наказателно постановление на НАП за нарушение на чл.32, §1, буква „б” от Регламент(ЕС) 2016/679, с оглед осъществен неоторизиран достъп, неразрешено разкриване и разпространение на личните данни на физически лица от информационните бази данни, поддържани от агенцията. Размерът на наложената санкция е 5100000лева.
С издаването на наказателното постановление се ангажира административно-наказателната отговорност на НАП, в качеството й на администратор на лични данни, за допуснатото неправомерно достъпване и разпространение на лични данни. Фактът, че тези данни са изтекли в публичното пространство, не означава автоматично, че с тях е извършена злоупотреба, доколкото злоупотребата предполага извършването на допълнителни действия, представляващи сами по себе си отделни престъпления.
В Комисията за защита на личните данни постъпват множество искания за разяснения относно реда за подаване на жалби и защита от злоупотреба с лични данни. Комисията информира гражданите, че предметът на жалбите и сигналите във връзка с нарушението на сигурността на лични данни в НАП е идентичен с предмета на извършената вече от КЗЛД проверка и в тази връзка съществува пречка за повторно търсене на административно-наказателна отговорност за същото нарушение. Това е проявление на правния принцип nebisinidem (никой не може да бъде съден или наказван два пъти за едно и също нещо). Тозипринцип обаче не изключва търсене на обезщетения от страна на засегнатите физически лица, но това може да стане единствено по съдебен ред при спазване на общите съдопроизводствени правила. За целта не е необходимо да се иска официален документ от КЗЛД или произнасяне на Комисията по конкретен случай.