GDPR, защита на личните данни и законни справки по ЕГН – какво е позволено и какво не

Единният граждански номер (ЕГН) е сред най-чувствителните лични данни в България. Той се използва ежедневно в административни, здравни, финансови и търговски процеси, но неправомерната му употреба може да доведе до сериозни нарушения на личната неприкосновеност. В контекста на Общия регламент за защита на данните (GDPR) въпросът кога и как е законно да се правят справки по ЕГН е изключително важен както за гражданите, така и за бизнеса.

Тази статия има за цел да даде яснота относно правния режим на ЕГН, допустимите справки, рисковете при злоупотреба и ролята на онлайн инструментите, които работят с този идентификатор.

Какво представлява ЕГН от гледна точка на GDPR?

Съгласно GDPR, ЕГН попада в категорията лични данни, тъй като позволява пряка идентификация на физическо лице. В българския контекст ЕГН е дори по-строго защитено, защото:

• съдържа закодирана информация за дата на раждане, пол и регион

• се използва като универсален идентификатор

• позволява лесно комбиниране с други данни

Затова ЕГН се счита за данни с висок риск, чието обработване подлежи на строги правила.

Основни принципи на GDPR при работа с ЕГН

GDPR въвежда няколко ключови принципа, които са напълно приложими при обработката на ЕГН:

1. Законосъобразност, добросъвестност и прозрачност

ЕГН може да се обработва само ако има ясно правно основание и лицето е информирано.

2. Ограничение на целите

ЕГН може да се използва само за конкретна, изрично посочена цел – например административна услуга или законово задължение.

3. Минимизиране на данните

Ако дадена цел може да бъде постигната без ЕГН, то не бива да се изисква ЕГН.

4. Сигурност и поверителност

Организациите са длъжни да прилагат технически и организационни мерки за защита на данните.

Законни основания за обработка на ЕГН

Обработката на ЕГН е допустима само при наличие на едно от следните основания:

Законова необходимост

Държавни институции (НАП, НОИ, МВР, НЗОК) имат право да използват ЕГН, когато това е предвидено в закон.

Изпълнение на договор

В определени случаи ЕГН може да бъде необходимо за изпълнение на трудов или осигурителен договор.

Съгласие на лицето

Съгласието трябва да бъде:

• доброволно

• конкретно

• информирано

• оттегляемо

Важно: съгласието не винаги е достатъчно, ако няма правна необходимост от използване на ЕГН.

Кога справките по ЕГН са законни?

Законни справки по ЕГН са тези, които:

• се извършват от оторизирани институции

• използват публични регистри при спазване на законовите правила

• имат ясно определена цел

• не разкриват повече информация от необходимото

Пример за законна справка е проверка за участие във фирми чрез публичните регистри на Агенцията по вписванията, когато се показва само публично достъпна информация.

Кога справките по ЕГН са незаконни?

Незаконни са всички справки, които:

• се извършват без правно основание

• комбинират данни от различни източници с цел профилиране

• обещават „пълна информация за лице по ЕГН“

• разкриват адрес, доходи или семейно положение без право

Особено рискови са сайтове или услуги, които твърдят, че могат да покажат:

• точен адрес по ЕГН

• здравен статус

• кредитна история

• лични контакти

Тези практики са в пряко нарушение на GDPR и българското законодателство.

Онлайн инструменти и ЕГН – къде е границата?

Съществуват онлайн инструменти, които работят с ЕГН, но не всички попадат в нарушение. Ключовият фактор е какво се прави с данните.

Допустими инструменти:

• проверка на валидност на ЕГН

• извличане на закодирана информация (дата, пол, регион)

• генератори на тестови ЕГН

• справки по публични регистри без съхранение на данни

Недопустими инструменти:

• такива, които съхраняват въведените ЕГН

• такива, които комбинират данни от неизвестни източници

• услуги, които твърдят, че „разкриват самоличност“

Защо анонимността е ключова?

GDPR изисква да се прилага принципът privacy by design – защита на личните данни още при проектирането на услугата. Затова легитимните онлайн инструменти:

• не съхраняват въведени ЕГН

• не създават потребителски профили

• не използват бисквитки за проследяване

• не споделят данни с трети страни

Така се гарантира, че дори при въвеждане на ЕГН не се извършва реална обработка на лични данни по смисъла на GDPR.

Права на гражданите при злоупотреба с ЕГН

Всеки гражданин има право:

• да знае кой и защо обработва неговото ЕГН

• да поиска достъп до данните

• да поиска корекция или изтриване

• да подаде жалба до Комисията за защита на личните данни (КЗЛД)

При сериозни нарушения санкциите могат да бъдат значителни – включително високи глоби.

Отговорност на администраторите на данни

Фирми и организации, които обработват ЕГН, носят сериозна отговорност. Те трябва да:

• водят регистър на обработките

• ограничат достъпа до данните

• обучават персонала

• прилагат технически мерки за сигурност

Неспазването на тези задължения може да доведе до санкции както по GDPR, така и по българското законодателство.

Ролята на образователните и проверочни платформи

Сайтове като egn.bg имат важна роля в повишаването на информираността относно:

• структурата на ЕГН

• законните проверки

• рисковете при злоупотреба

• разликата между публична информация и лични данни

Когато подобни платформи работят без съхранение на данни и с ясно заявена цел, те не нарушават GDPR, а напротив – допринасят за по-отговорна употреба на личната информация.

Често задавани въпроси (FAQ) относно GDPR и справки по ЕГН

Законно ли е да се прави проверка по ЕГН онлайн?

Да, проверката по ЕГН може да бъде законна, ако е ограничена до валидиране на структурата на ЕГН или до извличане на закодирана информация (дата на раждане, пол, регион), без съхранение на данните и без достъп до непублични регистри. Справките по официални публични регистри също са допустими, когато се показва само публично достъпна информация.

Нарушава ли GDPR проверката на валидност на ЕГН?

Не. Проверката на валидност на ЕГН сама по себе си не нарушава GDPR, когато не се съхранява номерът и не се използва за идентифициране на конкретно лице. Такива проверки имат образователна и техническа цел и са широко използвани при софтуерна разработка и валидация на данни.

Може ли да се разбере адрес или лична информация по ЕГН?

Не. Адрес, семейно положение, доходи или здравна информация не могат да бъдат законно установени само по ЕГН. Услуги, които твърдят обратното, обикновено нарушават GDPR и Закона за защита на личните данни.

Кои институции имат право да използват ЕГН?

Право да използват ЕГН имат държавни и общински институции, когато това е предвидено в закон – например НАП, НОИ, НЗОК, МВР. Частни лица и фирми могат да обработват ЕГН само при наличие на законово основание или в строго определени случаи.

Законно ли е да се проверят фирми по ЕГН?

Да, проверката за участие във фирми по ЕГН е законна, когато се извършва чрез официалните публични регистри на Агенцията по вписванията и показва единствено публична информация, като наименование на фирмата, ЕИК и роля на лицето.

Може ли сайт да съхранява въведени ЕГН?

По правило – не. Съхраняването на ЕГН изисква сериозно правно основание и високо ниво на защита. Повечето легитимни онлайн инструменти изрично не съхраняват въведените данни, за да избегнат нарушение на GDPR.

Как да разпозная незаконна услуга за справка по ЕГН?

Бъдете внимателни, ако даден сайт:

• обещава „пълна информация за лице по ЕГН“

• твърди, че показва адрес или лични данни

• не обяснява източника на информацията

• няма ясна политика за защита на личните данни

Това са сериозни индикатори за потенциално незаконна услуга.

Генерирането на тестови ЕГН разрешено ли е?

Да. Генерирането на валидни, но несвързани с реални лица ЕГН е напълно допустимо и широко използвано при софтуерни тестове, обучения и симулации. Важно е генерираните номера да не се използват за реална идентификация.

Какво да направя, ако някой използва неправомерно моето ЕГН?

Имате право да:

• поискате информация кой обработва вашето ЕГН

• подадете сигнал до администратора на данни

• подадете жалба до Комисията за защита на личните данни (КЗЛД)

При доказано нарушение могат да бъдат наложени сериозни санкции.

Сайтове като egn.bg нарушават ли GDPR?

Не, когато:

• не съхраняват въведени ЕГН

• не създават профили

• не извличат непублични данни

• ясно посочват информативната цел на услугите

В този случай подобни сайтове действат в съответствие с принципите на GDPR и дори допринасят за по-добра информираност.

Нужно ли е съгласие, за да се използва ЕГН?

Зависи от целта. В някои случаи съгласието е достатъчно, но в други случаи не е, ако няма законово основание за обработка. GDPR изисква не просто съгласие, а реална необходимост.

Финални думи

GDPR не забранява работата с ЕГН, но поставя ясни и строги правила. Законните справки по ЕГН са възможни само при наличие на правно основание, конкретна цел и адекватна защита на данните. Всяка услуга или инструмент, който обещава „пълна информация по ЕГН“, следва да бъде разглеждан с повишено внимание.

Информираността е най-добрата защита. Когато гражданите и бизнесът разбират какво е позволено и какво не, рискът от злоупотреби значително намалява. В този контекст прозрачните, анонимни и образователни онлайн инструменти са не просто допустими, а необходими в дигиталното общество.