"Хакерите ще платят глобата на НАП" - този хепиенд е невъзможен

Защо НАП прави обещания, които от правна гледна точка са абсурдни?

© Георги Кожухаров

Защо НАП прави обещания, които от правна гледна точка са абсурдни?



"Дневник" публикува становището на неправителствената организация Асоциация за защита на личните данни по заявеното от Националната агенция за приходите (НАП) намерение да обжалва наложената й глоба заради изтичането на личните данни на над 5 млн. български граждани в края на юни. Автор е председателят на асоциацията Юлия Пригонча - юрист, сертифициран мениджър по въвеждане и управление на програми за защита на личните данни. Заглавието е на редакцията.


На 29 август стана ясно, че срещу Националната агенция за приходите е издадено наказателно постановление, с което на институцията е наложена имуществена санкция от 5.1 млн. лв. от Kомисията за защита на личните данни (КЗЛД).


Според публикуваната официална информация на сайта на КЗЛД, причината е, че "при осъществяване на дейността си, агенцията в качеството ѝ на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през "Български пощи" АД, както и данни за поискан и възстановен ДДС, платен в чужбина."




На сайта си НАП направи изявление в следните насоки:


I. Изрази несъгласие с издадения акт, като затова е предприела следното:


"Актът за установяване на административно нарушение, съставен срещу НАП от КЗЛД, е оспорен в законовия 3-дневен срок. Наказателното постановление, с което комисията налага санкция в размер на 5,1 млн. лв., също ще бъде обжалвано пред съда."


Главният мотив за оспорването на акта на КЗЛД е "че неоторизираният достъп, кражбата на данни и последващото им публично оповестяване са резултат от действия, представляващи престъпление по смисъла на Наказателния кодекс, осъществени независимо и въпреки предприетите от НАП технически и организационни мерки за защита."


С други думи, НАП мотивира оспорването на издадения й акт с две съображения. Първото е, че инцидентът е станал поради "действия, представляващи престъпление", извършени от трети лица.


Това не би могло да е издържано основание. Законодателството за защита на личните данни задължава администраторите за конкретно поведение и дължим резултат. Ето защо това, че в резултат от неспазване на законодателството недобронамерени лица могат да бъдат улеснени да реализират кражбата на данни,


не представлява аргумент за освобождаване от налагане на санкция


на администратора поради нарушаване на регламента от самия администратор. Санкциите във връзка със защитата на личните данни се налагат на администратора заради неспазване на законодателството.


При определяне на санкцията се вземат предвид и насоките на работната група по чл. 29, която е европейски независим консултативен орган, трансформиран в Европейски борд за защита на личните данни. При налагането на санкцията се отчита предприетото от страна на администратора на различни етапи - преди дадено нарушение, както и след него. Действията на трети лица не са предмет на наказателно-административната процедура.


Вторият мотив, посочен от НАП за оспорване на акта, е, че инцидентът е станал "въпреки предприетите" мерки от нейна страна.


Не знаем какво визират от приходната агенция под "предприети мерки". Можем да коментираме само официално съобщената информация или да предоставим анализ на официално получени документи, като според публично достъпните източници (някои от тях предоставени от самата НАП)


подходящи мерки по опазване на данните от страна на НАП преди инцидента са липсвали


В тази връзка:


1. Мотивът за налагане на санкцията от КЗЛД е липса на приложени "подходящи технически и организационни мерки". Тази констатация мотивира надзорния орган, освен да наложи санкция, да задължи НАП под формата на корективна мярка, да предприеме редица мерки по привеждане на дейността си в съответствие със законодателството.


2. Според официално изявление от страна на представител на КЗЛД по Би Ти Ви по въпроса за киберсигурността на НАП "най-общо, не е направено нищо".


3. Спроред анализи и публични коментари на експерти информационната сигурност на НАП е на ниско ниво и липсва експертиза.


4. В предоставения отговор от НАП по Закона за достъп до обществена информация, в отговор на запитване от Асоциацията за защита на личните данни, се констатира, че НАП не е извършила оценки (на риска, на въздействието). Интересен факт, на който се натъкнаха експертите по защита на данните в този отговор, е позоваване в инструкция на НАП на неотносима за агенцията глава от закона. Тази констатация е тревожна и сякаш прокара мисълта в експертната общност (след казуса с рождената дата като втори идентификатор към ЕГН), че липсата на експертиза в агенцията е сериозна и засяга не само ИТ специалистите на НАП, но и правния й екип.


Накратко, посочените от приходната агенция мотиви за оспорване на акта от КЗЛД не кореспондират с правната наука и фактическата действителност.


Да разгледаме и друга хипотеза, при която при обжалване на наказателното постановление НАП посочи други аргументи и резултатът от делото е положителен за нея. Въпреки че нямаме всички факти и данни, нито разполагаме с оригинали на актовете, такъв сценарий чисто юридически е възможен - например поради формален порок на акта и т.н. Тези основания са изчерпателно посочени в законодателството.


По-интересното в случая е какво би означавал такъв резултат, погледнато през призмата на едно законодателство, защитаващо фундаментални човешки права, както и имайки предвид обществено известната фактическа обстановка около теча на данните и нивото на готовност на институцията да опазва данните. Подобен сценарий (предвид множество доказателства дотук за неспазено законодателство по опазване правата на субектите на данни от страна на НАП) би означавал само едно единствено нещо - едни публични средства няма да бъдат преместени от левия в десния джоб. Това не би променило факта на изтеклите данни.


Действително предвид спецификата на администратора (а именно: публичен орган) за експертите, работещи в тази сфера, заплащането на самата санкция, а и самият й размер не са основният фокус предвид операцията, свързана с това - преместване на средства от едно място на друго. Това го казваме, защото излишно се дискутира, че санкцията била ниска, по левче на физическо лице.


Санкцията е достатъчно сериозна и може би е една от малкото високи имуществени санкции,


наложени в държавата за нарушаване на закон. Важното е да разберем сериозността на законодателството и сериозността на последствията за гражданите, които могат да настъпят при подобно нарушаване на закона.


Сериозността на последствията личи и от възможността подобни престъпления да бъдат квалифицирани като престъпления, с които могат да се удовлетворят конструкциите на наказателното право за тероризъм. Тази квалификация впрочем повдига отново въпроси около неизвършените оценки на риска: след като едни данни са до такава степен ценни и мащабни по своето естество, че е възможно при нарушаването на тяхната поверителност да се извършат и терористични деяния, с какви мерки са били защитавани те?


II. Осъждането на виновниците за кражбата и разпостраняването на данните


Според официалния текст, публикуван на сайта на НАП, там "обмислят и предприемането на съдебни действия спрямо извършителите на хакерската атака срещу сървърите на агенцията, като е възможно както присъединяването на агенцията в наказателното производство, така и воденето на гражданско дело. Така финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство."


Това намерение чисто теоретично е една правна възможност и механизъм за получаване на обезвреда. Възниква въпрос, свързан с обещаното на гражданите, че по този начин "финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство."


Това, колкото и да изглежда успокояващо за гражданите и вероятен хепиенд за НАП, няма правен и фактически фундамент, за да се реализира.


Защо НАП прави подобни обещания? Лош пиар ли е това или експертна грешка?


По действащото законодателство всеки е длъжен да поправи вредите, които виновно е причинил другиму. Обезщетение се дължи за всички вреди, които са пряка и непосредствена последица от увреждането. В конкретния случай това означава, че НАП, като увредена от хакерската атака институция, действително може да претендира вреди от тези, за които се докаже, че са й ги причинили.


Претендирането на вреди обаче не би могло да покрие размера на наложената имуществена санкция за неспазване на закона. Фактът, че вследствие на хакерската атака неправомерно са били разпространени данни, е другата страна на монетата. Лицата, за които се докаже, че са виновни за извършване на престъпното деяние, подлежат на наказателна отговорност. От тях обаче не може да се търси отговорност за неспазване на закона от страна на публичен орган, за което е наложена парична санкция.


Ето ви житейски пример, илюстриращ хипотеза, подобна на казуса с НАП – не подавате данъчна декларация и по някаква причина това остава неустановено от тези, които надзирават спазването на данъчното законодателство. Дотук добре, само че решавате да споделите този факт в кореспонденция с ваш близък. Същевременно ваш съсед, който без ваше знание "следи" кореспонденцията ви, го разбира и подава сигнал срещу вас пред данъчните органи. В резултат бивате санкциониран от НАП. Бихте ли имали възможност по закон да осъдите съседа да ви плати наложената глоба поради неподадена декларация? Разбира се, че не, това звучи абсурдно. Това, което можете да направите, е евентуално да предприемете действия за ангажиране наказателната отговорност на това лице за извършените от него престъпни действия. Предявяването на претенция за обезвреда на евентуално причинени ви вреди обаче ще е въпрос на различно производство, което няма да има общо с наложената ви санкция поради неспазено от вас законово задължение за неподадена данъчна декларация.


Т.е. това, което следва да се разграничава ясно в конкретната ситуация с НАП, са следните две основни обстоятелства:


1. Неспазване на законодателството за защита на личните данни, упражняването на корективни правомощия и налагане на имуществена санкция от страна на надзорния орган;


2. Кражбата на данни и тяхното неправомерно разпространение в публичното пространство.


Темата действително продължава да се заплита все повече и повече в грешна посока. Тревожно, освен вече настъпилия негативен резултат с нарушаването на конфиденциалността на данните, е и поведението на НАП. Самата агенция в тази ситуация дава заблуждаващ пример на другите администратори. НАП буквално заявява, че ако някой открадне информация, следва да се предприемат действия по осъждане на "крадеца", като без значение е дали са били предприети мерки за защита или не срещу подобно посегателство. Това може да дискредитира не само работата на местния надзорен орган по защита на данните, на експертите, които работят непрестанно, за да са в крак със законодателството и се борят за опазването на поверителността като фундаментална човешка ценност, това дискредитира философията и на европейското законодателство за защита на личните данни.


Всичко, което трябва да знаете за:
Коментари (34)
  1. Подредба: Сортирай
  1. 1 Профил на kaiser
    kaiser
    Рейтинг: 1418 Неутрално

    """АП буквално заявява, че ако някой открадне информация, следва да се предприемат действия по осъждане на "крадеца", като без значение е дали са били предприети мерки за защита или не срещу подобно посегателство."""

    Много ясно. Крадците трябва да са осъдени при всички обстоятелства.

  2. 2 Профил на kaiser
    kaiser
    Рейтинг: 1418 Неутрално

    Що не пишете за тениса, ве. Григор е на пети сет с Федерер.

  3. 3 Профил на serpico
    serpico
    Рейтинг: 1024 Неутрално

    До коментар [#2] от "kaiser":

    4на 0 води....

    Pure Chewing Satisfaction
  4. 4 Профил на kaiser
    kaiser
    Рейтинг: 1418 Неутрално

    5:1 ... На една крачка от успеха

  5. 5 Профил на edin drug
    edin drug
    Рейтинг: 2528 Неутрално

    е да ,ама не ,трудно ще стане

  6. 6 Профил на kaiser
    kaiser
    Рейтинг: 1418 Неутрално

    Смаза го в петия. Браво, Григоре!!

  7. 7 Профил на kaiser
    kaiser
    Рейтинг: 1418 Неутрално

    Смаза го в петия. Браво, Григоре!!

  8. 8 Профил на There is VoiSe of Amerika Says Edgar Hoover
    There is VoiSe of Amerika Says Edgar Hoover
    Рейтинг: 1248 Неутрално

    Повсеместна “калинкизация”.......

    Очите ти могат да те излъжат, не им вярвай!
  9. 9 Профил на penetrating
    penetrating
    Рейтинг: 12040 Неутрално

    Добър анализ :)
    НАП обаче не чете, той си прави ПР.

    Some people have got a mental horizon of radius zero and call it their point of view. David Hilbert
  10. 10 Профил на Vlado Nikolov
    Vlado Nikolov
    Рейтинг: 4268 Неутрално

    Сега обжалването ще се влачи години. Всичко ще утихне. Глобата ще се намали. А виновните за издънката некадърници, ще си взимат големите заплати. Даже, като се пенсионират, ще вземат и полагаемите шест накуп. Без да оправят бакиите. А редовият българин? Е, той ще "духа супата", както рече чичовото преди години.

  11. 11 Профил на Дон Кихот
    Дон Кихот
    Рейтинг: 2860 Весело

    Все пак си заслужава НАП да опита! След оправдаването на Първановите съветници, които бяха осъдени в Германия, смятам, че българският съд има впечатляващ потенциал да поднася изненади.

  12. 12 Профил на Иван  К
    Иван К
    Рейтинг: 2812 Неутрално

    Вината на едните не оневинява другите.

    подпис
  13. 13 Профил на Norman Granz
    Norman Granz
    Рейтинг: 4180 Неутрално

    Вина за това, че България се превърна в разграден двор, с който европейски държави ОТКАЗВАТ да обменят данни и който няма още 100 години да помирише Шенген, носи изпълнителната власт.

    А изпълнителната власт - това е еднолично Так-Так-Так-Фъш-Фъш Пунта Мара.

    Всякакви алтернативни опити за тълкуване на истината са фалшификация.

    НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.
  14. 14 Профил на simChо
    simChо
    Рейтинг: 1422 Неутрално

    Защо даже не се и споменават политическите вдъхновители - Радан , Прокопи и сие .. ?
    ДеБъ?

  15. 15 Профил на Norman Granz
    Norman Granz
    Рейтинг: 4180 Неутрално

    До коментар [#14] от "simChо":

    "Защо даже не се и споменават политическите вдъхновители - Радан , Прокопи и сие .. ?
    ДеБъ?"

    Троле, би ли се явил с името си в съда, за да повториш твърденията си? Много ще ми е драго да те одрусат една шестцифрена сума за набеждаване и клевета.

    Само че ти нямаш и трицифрена, та ще вземат на босия цървулите.

    НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.
  16. 16 Профил на plebs
    plebs
    Рейтинг: 2693 Весело

    ...Троле, би ли се явил с името си в съда, за да повториш твърденията си? ...
    —цитат от коментар 15 на Norman Granz


    - С удоволствие. :)

    Каолин Техноимпексов е в основата на "демокрацията ни отне много", затова "системата не убива" и "няма такава държава". :)

    Е, има държава:

    "Атлантици: Приветстваме позицията на Външно за руската манипулация, но защо мълчат демократичните партии?"

  17. 17 Профил на WC1
    WC1
    Рейтинг: 583 Неутрално

    да бе, все едно да ви ограбят и да ви арестуват вместо крадеца. Дневник, нещо сте се объркали!

    ATX
  18. 18 Профил на arcanum
    arcanum
    Рейтинг: 3020 Неутрално

    Хубав ПР трик от страна на НАП - убеждаваме обществото, че ХАКЕРИТЕ са виновни. А не че ние допуснахме безстопанственост отначало. Всичко е точно.

  19. 19 Профил на WC1
    WC1
    Рейтинг: 583 Неутрално

    много хора могат да ви отлючат апартамента и колата, но не вие сте виновни за това.

    ATX
  20. 20 Профил на Norman Granz
    Norman Granz
    Рейтинг: 4180 Неутрално

    До коментар [#18] от "arcanum":

    "А не че ние допуснахме безстопанственост отначало."

    Някъде четох, че паролите на всичките им терминали били нещо от рода на password1234, а администраторските пароли - admin1234 или нещо такова.

    С други думи - разграден двор, организация на дебили, натоварени да опазват личните данни на милиони данъкоплатци, които им плащат заплатите - на тях и на негодната шайка, която ги е турила на местата им.

    НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.
  21. 21 Профил на султана глаушева
    султана глаушева
    Рейтинг: 3544 Неутрално

    Хахаха! Хакерите ли са админите на нападжиите, че да им плащат глобите за мрежата им, дето са като на пвейцарско сирене!

    Мърфи е оптимист!
  22. 22 Профил на Deaddark
    Deaddark
    Рейтинг: 2092 Весело

    Хакери е новото кодово име на народа, накратко - народа ще плати.

  23. 23 Профил на kaiser
    kaiser
    Рейтинг: 1418 Неутрално

    Администратор яко е помпил плюсове и минуси. 😂😂😂😂😂😂😂😂😂

  24. 24 Профил на Климент Горанов
    Климент Горанов
    Рейтинг: 451 Неутрално

    много хора могат да ви отлючат апартамента и колата, но не вие сте виновни за това.
    —цитат от коментар 19 на WC1


    Ако сте оставили ключа на вратата дали застрахователи ще платят кражбата?

  25. 25 Профил на Deaddark
    Deaddark
    Рейтинг: 2092 Неутрално

    До коментар [#24] от "Климент Горанов":

    Зависи от застраховката - ако е пълна, ще платят дори и вратата да стои широко отворена.

    А андрешковски оправдания от типа "Ако той не си бе оставил ключовете на вратата, нямаше да го обера" не върят пред полиция и съд.

  26. 26 Профил на clint_eastwood
    clint_eastwood
    Рейтинг: 934 Неутрално

    Демек това, което вече бях написал в коментар: https://www.capital.bg/politika_i_ikonomika/bulgaria/2019/08/26/3954624_koi_shte_plati_globata_na_nap/?ref=id #comment-1

    Хората, на които им липсва соцът, трябва много сериозно да се замислят как щеше да изглежда България днес, ако БКП не бе сдала политическата власт
  27. 27 Профил на inn
    inn
    Рейтинг: 1532 Неутрално

    Вторият мотив, посочен от НАП за оспорване на акта, е, че инцидентът е станал "въпреки предприетите" мерки от нейна страна.
    —цитат от коментар 0 на статията


    НАП удобно пропуска един основен момент и той е, административната отговорност по правило е и за нарушение по НЕПРЕДПАЗЛИВОСТ (обратното е при наказателната отговорност - при нея престъпленията по непредпазливост се наказват само в изрично предвидените в НК случаи). С други думи - правилото е, че глоба се налага не само за умишлено нарушение, но и за непредпазливо нарушение.

    Впрочем, най-любопитният детайл в тази посока е, че НАП уволни няколко свои служители по сигурността на данните. Възниква дилемата:
    - ако взетите мерки са били възможните за вземане, защо ги уволнява?
    - щом ги уволнява, значи НАП е намерила някакви пропуски в работата им. Но това представлява ПРИЗНАНИЕ ОТ СТРАНА НА НАП, че агенцията е била непредпазлива по опазване на данните. И глобата е за агенцията. Тогава "с какви очи" оспорва глобата си в съда?

  28. 28 Профил на Иван Арнаудов
    Иван Арнаудов
    Рейтинг: 652 Неутрално

    Огромният порок на начина, по който беше отработена тази санкция, е че актът и постановлението бяха издадени на НАП генерално. Никой лично не понесе отговорност. Е%ал съм я глобата, ако след тая глоба нещата продължават по същия начин. Къде е стимулът на НАП да пипа каквото и да е по своите системи оттук насетне, като и ставките на глобите са ясни, и методиката за тяхното "плащане"?

    КЗЛД трябваше да посочи *персонални* виновни за тоя батак, и да ги направи солидарно отговорни със самата НАП! Пък нека после те съдят работодателя си, че не им е предоставил условия да създадат среда на информационна сигурност. Ми що вземате заплата, като не можете да вършите работата бе, животни?

    Някои хора поддържат линия, а пък аз... поддържам окръжност.
  29. 29 Профил на Сатана Ликующий
    Сатана Ликующий
    Рейтинг: 1495 Неутрално

    Ако НАП беше Майкрософт, Сони, Амазон - бих се съгласил. Иначе НАП е държавна агенция и бюджета й е част от националният бюджет. така че се взимат 5 милки от дно перо и се вкарват в друго перо на националния бюджет. Ако целта е сплашване на други организации, боравещи с лични данни - едно 15 години затвор за хванатите хакери ще действа поучително.
    И разбира се .. инпийчмънт на Тръмп, нали така Норман Гранц!

    Само простите хора си мислят, че има прости неща!
  30. 30 Профил на Роси
    Роси
    Рейтинг: 9173 Неутрално

    Тези от НАП изглежда са некомпетентни не само по въпроса за киберсигурността.

  31. 31 Профил на Ashiata Shiemash
    Ashiata Shiemash
    Рейтинг: 1405 Неутрално

    Ясно е за всеки поне средноинтелигентен човек, че цялата борба още от самото начало беше да се прикрие основния проблем, който е абсолютната некомпетентност на НАП и да се фокусира цялото обществено внимание върху недоказаните “извършители”. От НАП и от държавното управление никой не поема отговорност за бъгавата система изградена най вероятно от “наши хора”. Дори да им наложат глоба тя пак ще бъде прехвърлена към обикновения човек и от НАП никой няма да понесе последствия за неграмотността си.

  32. 32 Профил на Albert Hoffmann
    Albert Hoffmann
    Рейтинг: 600 Неутрално

    А селския кретен Гуранов още ли не си е подал оставката ?

  33. 33 Профил на Vassil Stoychev
    Vassil Stoychev
    Рейтинг: 521 Неутрално

    До коментар [#25] от "Deaddark":
    Смешник, и да ти е "пълна" застраховката, при попълване на въпросника преди сключването и се описва какви системи за защита има имота - решетки, вид заключване и прочее. На това основание се определя застрахователната премия. Ако нямаш защита или постройката ти е паянтова, представителя на застрахователя може да ти откаже да покрие определени рискове (примерно Кражба) или въобще да те застрахова.
    Значи, ако е записано във въпросника, че имаш решетки на прозорците, а ти нямаш - застрахователят може да ти плати частично, може и въобще да не плати. Пък ти го съди.
    Същата работа с НАП - вместо да си заключат вратата и подсилят прозорците ( да имат политика за защита на данните), те държат всичко отворено и после казват " Крадеца е виновен". Той може и да е виновен по НК за кражбата, но това не променя факта, че те са некомпетентни и безотговорни и също носят отговорност.

  34. 34 Профил на everlast666
    everlast666
    Рейтинг: 1077 Неутрално

    Не съм специалист, но доколкото разбирам глобата за НАП е за това, че не са положили достатъчно усилия да защитят данните, т.е. за безотговорно отношение към лични данни.

    Атаката на 'хакерите' просто осветли проблема, но безотговорното отношение на НАП си е наказуемо, със или без теча на данни.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK