На основание чл. 58, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, във връзка с изпълнение на Решение на Комисията за защита на личните данни (КЗЛД) от 15.09.2021г. по повод получени сигнали и заповед на Председателя на КЗЛД, се извършва проверка на Националния статистически институт (НСИ) във връзка с обработването на лични данни на физически лица при осъществяване на „Електронно преброяване 2021” и предоставянето им на трети страни извън Европейския съюз.
В изпълнение на ангажиментите на Република България като държава-членка на ЕС. по силата на Регламент (ЕС) 2016/679, за осъществяване на „Електронно преброяване 2021”, НСИ обработва лични данни в изпълнение на нормативно установено задължение, а именно провеждане на преброяване на населението и жилищния фонд в Република България, регламентирано в Закона за преброяване на населението и жилищния фонд в Република България през 2021г. (ЗПНЖФ2021).
НСИ провежда електронно преброяване на населението и жилищния фонд в Република България в периода от 0.00часа на 7септември до 24.00 часа на 30.09.2021г., чрез попълване на електронна преброителна карта. Приложението за въвеждане на електронната преброителна карта е достъпно единствено за населението на територията на страната на интернет адрес https://e-census2021.bg, 24 часа в денонощието.
Във връзка с нарасналата необходимост от гарантирано изпращане и получаване на огромни количества масови електронни писма за различните кампании по изследванията на НСИ, е използвана външна услуга, предоставяна от компания, базирана в ЕС. Целта е предпазване от влизане в „черни списъци на изпращачи на мейли”, което би нарушило работата на НСИ по изследванията, както и възможност за по-добро управление и контрол на този процес. Услугите, извършвани от наетия доставчик, са изпращане на автоматично генерирани от платформата за електронно преброяване три типа e-mail-и: активиране на акаунт, смяна на парола и получаване на преброителен код до регистрираните лица. Осигуряването и поддръжката на услугата за нуждите на НСИ е за период от 12 месеца.
Във връзка с изпълнение на указания за повишаване на нивото на мрежовата и информационна сигурност и зачестилите атаки към сайтове на държавната администрация, от НСИ приемат решение за ползване на външна услуга за нуждите на https://e-census2021.bg, предоставяна от компания, базирана в САЩ, която предлага множество облачни услуги и поддържа представители в различни европейски страни (доставчик). Предоставяните услуги за нуждите на системата за електронно преброяване (домейн e-census2021.bg) са единствено за повишаване на нивото на мрежовата и информационна сигурност за период от 5 месеца.
Взаимоотношенията между НСИ и доставчика са уредени чрез търговски посредник –българска компания. Нает е стандартен пакет от услуги, за който няма сключен нарочен договор между търговския посредник и НСИ, но важат Общите условия за продажба на стоки и услуги на доставчика и търговския посредник. В хода на проверката се установи, че търговският посредник не извършва операции по обработване на личните данни на преброилите се лица.
Проверката установи, че услугите, предоставени на НСИ, касаят обработката на лични данни, дотолкова, доколкото пакетите с информация, обменяна между потребителите и системата, се инспектират за Cross-Site Request Forgery (CSRF), Cross-site Scripting (XSS), file inclusion, SQL injection и др. съгласно изискванията на Наредбата за минималните изисквания за мрежова и информационна сигурност (НМИМИС) към Закона за киберсигурност (ЗКС) и е възможно тя да бъде инспектирана за наличието на подобен зловреден код. Интерфейсът, използван между НСИ и доставчика е стандартен HTTPS протокол. Пренасяне на лични данни в САЩ не се извършва. Данните се обработват на сървъри в ЕС и не се трансферират извън ЕС.
Доставчикът предоставя агрегирани (анонимизирани) данни на НСИ по отношение на обема трафика, сигурност, производителност и DNS заявки относно https://e-census2021.bg. Ключът за криптиране и декриптиране на информацията е собственост на НСИ.
Констатирано е, че информацията от преброяването се обработва на сървъри на доставчика на територията на Европейския съюз. Видно от събраната в хода на проверката документация и Общите условия на доставчика (Cloudflare Privacy Policy), към сървърите на САЩ се подават единствено анонимизираните IP адреси и свързаните метаданни на заявките за посещения на информационната система, като информацията се съхранява до 25 часа.
При обработване на данните от страна на НСИ приложимото законодателство е законодателството на Република България и на ЕС. Приложимото законодателство в съответствие с приетите от доставчика договорни условия и в частност приетите стандартни договорни клаузи (въз основа на одобрените с Решение на Европейската комисия от 4.6.2021 г., касаещи защитата на личните данни) е приложимото право на Европейския съюз и е в юрисдикцията на Съда на ЕС (Data Processing Addendum: Standard Contractual Clauses for Customers– клаузи 17 и 18). Стандартните договорни клаузи, подписани от доставчика, са актуализирани и са в съответствие с последните приети от Европейската Комисия, които отразяват решението на Съда на ЕС по делото ШремсII.
Комисията уведомява обществеността и гражданите, подали сигнали със съмнения относно обработването на техните лични данни, че проверката, инициирана по техните сигнали, не е окончателно приключила, но на този етап не са установени незаконосъобразни действия по обработването на данни на граждани на Република България, участващи в провежданото от НСИ „Електронно преброяване 2021”.
