© Георги Кожухаров
Защо НАП прави обещания, които от правна гледна точка са абсурдни?
"Дневник" публикува становището на неправителствената организация Асоциация за защита на личните данни по заявеното от Националната агенция за приходите (НАП) намерение да обжалва наложената й глоба заради изтичането на личните данни на над 5 млн. български граждани в края на юни. Автор е председателят на асоциацията Юлия Пригонча - юрист, сертифициран мениджър по въвеждане и управление на програми за защита на личните данни. Заглавието е на редакцията.
На 29 август стана ясно, че срещу Националната агенция за приходите е издадено наказателно постановление, с което на институцията е наложена имуществена санкция от 5.1 млн. лв. от Kомисията за защита на личните данни (КЗЛД).
Според публикуваната официална информация на сайта на КЗЛД, причината е, че "при осъществяване на дейността си, агенцията в качеството ѝ на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през "Български пощи" АД, както и данни за поискан и възстановен ДДС, платен в чужбина."
На сайта си НАП направи изявление в следните насоки:
I. Изрази несъгласие с издадения акт, като затова е предприела следното:
"Актът за установяване на административно нарушение, съставен срещу НАП от КЗЛД, е оспорен в законовия 3-дневен срок. Наказателното постановление, с което комисията налага санкция в размер на 5,1 млн. лв., също ще бъде обжалвано пред съда."
Главният мотив за оспорването на акта на КЗЛД е "че неоторизираният достъп, кражбата на данни и последващото им публично оповестяване са резултат от действия, представляващи престъпление по смисъла на Наказателния кодекс, осъществени независимо и въпреки предприетите от НАП технически и организационни мерки за защита."
С други думи, НАП мотивира оспорването на издадения й акт с две съображения. Първото е, че инцидентът е станал поради "действия, представляващи престъпление", извършени от трети лица.
Това не би могло да е издържано основание. Законодателството за защита на личните данни задължава администраторите за конкретно поведение и дължим резултат. Ето защо това, че в резултат от неспазване на законодателството недобронамерени лица могат да бъдат улеснени да реализират кражбата на данни,
не представлява аргумент за освобождаване от налагане на санкция
на администратора поради нарушаване на регламента от самия администратор. Санкциите във връзка със защитата на личните данни се налагат на администратора заради неспазване на законодателството.
При определяне на санкцията се вземат предвид и насоките на работната група по чл. 29, която е европейски независим консултативен орган, трансформиран в Европейски борд за защита на личните данни. При налагането на санкцията се отчита предприетото от страна на администратора на различни етапи - преди дадено нарушение, както и след него. Действията на трети лица не са предмет на наказателно-административната процедура.
Вторият мотив, посочен от НАП за оспорване на акта, е, че инцидентът е станал "въпреки предприетите" мерки от нейна страна.
Не знаем какво визират от приходната агенция под "предприети мерки". Можем да коментираме само официално съобщената информация или да предоставим анализ на официално получени документи, като според публично достъпните източници (някои от тях предоставени от самата НАП)
подходящи мерки по опазване на данните от страна на НАП преди инцидента са липсвали
В тази връзка:
1. Мотивът за налагане на санкцията от КЗЛД е липса на приложени "подходящи технически и организационни мерки". Тази констатация мотивира надзорния орган, освен да наложи санкция, да задължи НАП под формата на корективна мярка, да предприеме редица мерки по привеждане на дейността си в съответствие със законодателството.
2. Според официално изявление от страна на представител на КЗЛД по Би Ти Ви по въпроса за киберсигурността на НАП "най-общо, не е направено нищо".
3. Спроред анализи и публични коментари на експерти информационната сигурност на НАП е на ниско ниво и липсва експертиза.
4. В предоставения отговор от НАП по Закона за достъп до обществена информация, в отговор на запитване от Асоциацията за защита на личните данни, се констатира, че НАП не е извършила оценки (на риска, на въздействието). Интересен факт, на който се натъкнаха експертите по защита на данните в този отговор, е позоваване в инструкция на НАП на неотносима за агенцията глава от закона. Тази констатация е тревожна и сякаш прокара мисълта в експертната общност (след казуса с рождената дата като втори идентификатор към ЕГН), че липсата на експертиза в агенцията е сериозна и засяга не само ИТ специалистите на НАП, но и правния й екип.
Накратко, посочените от приходната агенция мотиви за оспорване на акта от КЗЛД не кореспондират с правната наука и фактическата действителност.
Да разгледаме и друга хипотеза, при която при обжалване на наказателното постановление НАП посочи други аргументи и резултатът от делото е положителен за нея. Въпреки че нямаме всички факти и данни, нито разполагаме с оригинали на актовете, такъв сценарий чисто юридически е възможен - например поради формален порок на акта и т.н. Тези основания са изчерпателно посочени в законодателството.
По-интересното в случая е какво би означавал такъв резултат, погледнато през призмата на едно законодателство, защитаващо фундаментални човешки права, както и имайки предвид обществено известната фактическа обстановка около теча на данните и нивото на готовност на институцията да опазва данните. Подобен сценарий (предвид множество доказателства дотук за неспазено законодателство по опазване правата на субектите на данни от страна на НАП) би означавал само едно единствено нещо - едни публични средства няма да бъдат преместени от левия в десния джоб. Това не би променило факта на изтеклите данни.
Действително предвид спецификата на администратора (а именно: публичен орган) за експертите, работещи в тази сфера, заплащането на самата санкция, а и самият й размер не са основният фокус предвид операцията, свързана с това - преместване на средства от едно място на друго. Това го казваме, защото излишно се дискутира, че санкцията била ниска, по левче на физическо лице.
Санкцията е достатъчно сериозна и може би е една от малкото високи имуществени санкции,
наложени в държавата за нарушаване на закон. Важното е да разберем сериозността на законодателството и сериозността на последствията за гражданите, които могат да настъпят при подобно нарушаване на закона.
Сериозността на последствията личи и от възможността подобни престъпления да бъдат квалифицирани като престъпления, с които могат да се удовлетворят конструкциите на наказателното право за тероризъм. Тази квалификация впрочем повдига отново въпроси около неизвършените оценки на риска: след като едни данни са до такава степен ценни и мащабни по своето естество, че е възможно при нарушаването на тяхната поверителност да се извършат и терористични деяния, с какви мерки са били защитавани те?
II. Осъждането на виновниците за кражбата и разпостраняването на данните
Според официалния текст, публикуван на сайта на НАП, там "обмислят и предприемането на съдебни действия спрямо извършителите на хакерската атака срещу сървърите на агенцията, като е възможно както присъединяването на агенцията в наказателното производство, така и воденето на гражданско дело. Така финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство."
Това намерение чисто теоретично е една правна възможност и механизъм за получаване на обезвреда. Възниква въпрос, свързан с обещаното на гражданите, че по този начин "финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство."
Това, колкото и да изглежда успокояващо за гражданите и вероятен хепиенд за НАП, няма правен и фактически фундамент, за да се реализира.
Защо НАП прави подобни обещания? Лош пиар ли е това или експертна грешка?
По действащото законодателство всеки е длъжен да поправи вредите, които виновно е причинил другиму. Обезщетение се дължи за всички вреди, които са пряка и непосредствена последица от увреждането. В конкретния случай това означава, че НАП, като увредена от хакерската атака институция, действително може да претендира вреди от тези, за които се докаже, че са й ги причинили.
Претендирането на вреди обаче не би могло да покрие размера на наложената имуществена санкция за неспазване на закона. Фактът, че вследствие на хакерската атака неправомерно са били разпространени данни, е другата страна на монетата. Лицата, за които се докаже, че са виновни за извършване на престъпното деяние, подлежат на наказателна отговорност. От тях обаче не може да се търси отговорност за неспазване на закона от страна на публичен орган, за което е наложена парична санкция.
Ето ви житейски пример, илюстриращ хипотеза, подобна на казуса с НАП – не подавате данъчна декларация и по някаква причина това остава неустановено от тези, които надзирават спазването на данъчното законодателство. Дотук добре, само че решавате да споделите този факт в кореспонденция с ваш близък. Същевременно ваш съсед, който без ваше знание "следи" кореспонденцията ви, го разбира и подава сигнал срещу вас пред данъчните органи. В резултат бивате санкциониран от НАП. Бихте ли имали възможност по закон да осъдите съседа да ви плати наложената глоба поради неподадена декларация? Разбира се, че не, това звучи абсурдно. Това, което можете да направите, е евентуално да предприемете действия за ангажиране наказателната отговорност на това лице за извършените от него престъпни действия. Предявяването на претенция за обезвреда на евентуално причинени ви вреди обаче ще е въпрос на различно производство, което няма да има общо с наложената ви санкция поради неспазено от вас законово задължение за неподадена данъчна декларация.
Т.е. това, което следва да се разграничава ясно в конкретната ситуация с НАП, са следните две основни обстоятелства:
1. Неспазване на законодателството за защита на личните данни, упражняването на корективни правомощия и налагане на имуществена санкция от страна на надзорния орган;
2. Кражбата на данни и тяхното неправомерно разпространение в публичното пространство.
Темата действително продължава да се заплита все повече и повече в грешна посока. Тревожно, освен вече настъпилия негативен резултат с нарушаването на конфиденциалността на данните, е и поведението на НАП. Самата агенция в тази ситуация дава заблуждаващ пример на другите администратори. НАП буквално заявява, че ако някой открадне информация, следва да се предприемат действия по осъждане на "крадеца", като без значение е дали са били предприети мерки за защита или не срещу подобно посегателство. Това може да дискредитира не само работата на местния надзорен орган по защита на данните, на експертите, които работят непрестанно, за да са в крак със законодателството и се борят за опазването на поверителността като фундаментална човешка ценност, това дискредитира философията и на европейското законодателство за защита на личните данни.
Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.
kaiser
Рейтинг: 1135 Неутрално"""АП буквално заявява, че ако някой открадне информация, следва да се предприемат действия по осъждане на "крадеца", като без значение е дали са били предприети мерки за защита или не срещу подобно посегателство."""
Много ясно. Крадците трябва да са осъдени при всички обстоятелства.
kaiser
Рейтинг: 1135 НеутралноЩо не пишете за тениса, ве. Григор е на пети сет с Федерер.
Bedtime for Democracy
Рейтинг: 965 НеутралноДо коментар [#2] от "kaiser":
Pure Chewing Satisfaction4на 0 води....
kaiser
Рейтинг: 1135 Неутрално5:1 ... На една крачка от успеха
edin drugii
Рейтинг: 2121 Неутралное да ,ама не ,трудно ще стане
kaiser
Рейтинг: 1135 НеутралноСмаза го в петия. Браво, Григоре!!
kaiser
Рейтинг: 1135 НеутралноСмаза го в петия. Браво, Григоре!!
КъНгРеЧуЛеЙшЪн БаЙ ДоНчО аЙ лАв и дИмокРАти и РипублИканци
Рейтинг: 295 НеутралноПовсеместна “калинкизация”.......
Очите ти могат да те излъжат, не им вярвай!penetrating
Рейтинг: 5618 НеутралноДобър анализ :)
Some people have got a mental horizon of radius zero and call it their point of view. David HilbertНАП обаче не чете, той си прави ПР.
Vlado Nikolov
Рейтинг: 3338 НеутралноСега обжалването ще се влачи години. Всичко ще утихне. Глобата ще се намали. А виновните за издънката некадърници, ще си взимат големите заплати. Даже, като се пенсионират, ще вземат и полагаемите шест накуп. Без да оправят бакиите. А редовият българин? Е, той ще "духа супата", както рече чичовото преди години.
Дон Кихот
Рейтинг: 2683 ВеселоВсе пак си заслужава НАП да опита! След оправдаването на Първановите съветници, които бяха осъдени в Германия, смятам, че българският съд има впечатляващ потенциал да поднася изненади.
Иван K
Рейтинг: 2713 НеутралноВината на едните не оневинява другите.
подписNorman Granz
Рейтинг: 2399 НеутралноВина за това, че България се превърна в разграден двор, с който европейски държави ОТКАЗВАТ да обменят данни и който няма още 100 години да помирише Шенген, носи изпълнителната власт.
НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.А изпълнителната власт - това е еднолично Так-Так-Так-Фъш-Фъш Пунта Мара.
Всякакви алтернативни опити за тълкуване на истината са фалшификация.
simChо
Рейтинг: 2097 НеутралноЗащо даже не се и споменават политическите вдъхновители - Радан , Прокопи и сие .. ?
ДеБъ?
Norman Granz
Рейтинг: 2399 НеутралноДо коментар [#14] от "simChо":
НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ."Защо даже не се и споменават политическите вдъхновители - Радан , Прокопи и сие .. ?
ДеБъ?"
Троле, би ли се явил с името си в съда, за да повториш твърденията си? Много ще ми е драго да те одрусат една шестцифрена сума за набеждаване и клевета.
Само че ти нямаш и трицифрена, та ще вземат на босия цървулите.
plebs
Рейтинг: 273 Весело- С удоволствие. :)
Каолин Техноимпексов е в основата на "демокрацията ни отне много", затова "системата не убива" и "няма такава държава". :)
Е, има държава:
"Атлантици: Приветстваме позицията на Външно за руската манипулация, но защо мълчат демократичните партии?"
WC1
Рейтинг: 479 Неутралнода бе, все едно да ви ограбят и да ви арестуват вместо крадеца. Дневник, нещо сте се объркали!
ATXSlick
Рейтинг: 426 НеутралноХубав ПР трик от страна на НАП - убеждаваме обществото, че ХАКЕРИТЕ са виновни. А не че ние допуснахме безстопанственост отначало. Всичко е точно.
WC1
Рейтинг: 479 Неутралномного хора могат да ви отлючат апартамента и колата, но не вие сте виновни за това.
ATXNorman Granz
Рейтинг: 2399 НеутралноДо коментар [#18] от "arcanum":
НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ."А не че ние допуснахме безстопанственост отначало."
Някъде четох, че паролите на всичките им терминали били нещо от рода на password1234, а администраторските пароли - admin1234 или нещо такова.
С други думи - разграден двор, организация на дебили, натоварени да опазват личните данни на милиони данъкоплатци, които им плащат заплатите - на тях и на негодната шайка, която ги е турила на местата им.
султана глаушева
Рейтинг: 322 НеутралноХахаха! Хакерите ли са админите на нападжиите, че да им плащат глобите за мрежата им, дето са като на пвейцарско сирене!
Мърфи е оптимист!Deaddark
Рейтинг: 2701 ВеселоХакери е новото кодово име на народа, накратко - народа ще плати.
kaiser
Рейтинг: 1135 НеутралноАдминистратор яко е помпил плюсове и минуси. 😂😂😂😂😂😂😂😂😂
Климент Горанов
Рейтинг: 522 НеутралноАко сте оставили ключа на вратата дали застрахователи ще платят кражбата?
Deaddark
Рейтинг: 2701 НеутралноДо коментар [#24] от "Климент Горанов":
Зависи от застраховката - ако е пълна, ще платят дори и вратата да стои широко отворена.
А андрешковски оправдания от типа "Ако той не си бе оставил ключовете на вратата, нямаше да го обера" не върят пред полиция и съд.
Clint_Eastwood
Рейтинг: 809 НеутралноДемек това, което вече бях написал в коментар: https://www.capital.bg/politika_i_ikonomika/bulgaria/2019/08/26/3954624_koi_shte_plati_globata_na_nap/?ref=id #comment-1
Като епидемиолози по инфекциозни болести и учени в областта на общественото здраве имаме сериозни опасения относно вредното въздействие върху физическото и психическото здраве на населението, в резултат на преобладаващите политики наложени във връзка с COVID-19: https://gbdeclaration.org/great-barrington-declaration-bulgarian/inn
Рейтинг: 1247 НеутралноНАП удобно пропуска един основен момент и той е, административната отговорност по правило е и за нарушение по НЕПРЕДПАЗЛИВОСТ (обратното е при наказателната отговорност - при нея престъпленията по непредпазливост се наказват само в изрично предвидените в НК случаи). С други думи - правилото е, че глоба се налага не само за умишлено нарушение, но и за непредпазливо нарушение.
Впрочем, най-любопитният детайл в тази посока е, че НАП уволни няколко свои служители по сигурността на данните. Възниква дилемата:
- ако взетите мерки са били възможните за вземане, защо ги уволнява?
- щом ги уволнява, значи НАП е намерила някакви пропуски в работата им. Но това представлява ПРИЗНАНИЕ ОТ СТРАНА НА НАП, че агенцията е била непредпазлива по опазване на данните. И глобата е за агенцията. Тогава "с какви очи" оспорва глобата си в съда?
Иван Арнаудов
Рейтинг: 503 НеутралноОгромният порок на начина, по който беше отработена тази санкция, е че актът и постановлението бяха издадени на НАП генерално. Никой лично не понесе отговорност. Е%ал съм я глобата, ако след тая глоба нещата продължават по същия начин. Къде е стимулът на НАП да пипа каквото и да е по своите системи оттук насетне, като и ставките на глобите са ясни, и методиката за тяхното "плащане"?
Някои хора поддържат линия, а пък аз... поддържам окръжност.КЗЛД трябваше да посочи *персонални* виновни за тоя батак, и да ги направи солидарно отговорни със самата НАП! Пък нека после те съдят работодателя си, че не им е предоставил условия да създадат среда на информационна сигурност. Ми що вземате заплата, като не можете да вършите работата бе, животни?
Сатана Ликующий
Рейтинг: 1826 НеутралноАко НАП беше Майкрософт, Сони, Амазон - бих се съгласил. Иначе НАП е държавна агенция и бюджета й е част от националният бюджет. така че се взимат 5 милки от дно перо и се вкарват в друго перо на националния бюджет. Ако целта е сплашване на други организации, боравещи с лични данни - едно 15 години затвор за хванатите хакери ще действа поучително.
Само простите хора си мислят, че има прости неща!И разбира се .. инпийчмънт на Тръмп, нали така Норман Гранц!
Роси
Рейтинг: 7831 НеутралноТези от НАП изглежда са некомпетентни не само по въпроса за киберсигурността.
Billy Pilgrim
Рейтинг: 1586 НеутралноЯсно е за всеки поне средноинтелигентен човек, че цялата борба още от самото начало беше да се прикрие основния проблем, който е абсолютната некомпетентност на НАП и да се фокусира цялото обществено внимание върху недоказаните “извършители”. От НАП и от държавното управление никой не поема отговорност за бъгавата система изградена най вероятно от “наши хора”. Дори да им наложат глоба тя пак ще бъде прехвърлена към обикновения човек и от НАП никой няма да понесе последствия за неграмотността си.
Al Tikvone
Рейтинг: 645 НеутралноА селския кретен Гуранов още ли не си е подал оставката ?
Because they're afraid that there's more to reality than they have confronted. That there are doors that they're afraid to go in, and they don't want us to go in there either, because if we go in we might learn something that they don't know. And that makes us a little out of their control. Ken KeseyVassil Stoychev
Рейтинг: 527 НеутралноДо коментар [#25] от "Deaddark":
Смешник, и да ти е "пълна" застраховката, при попълване на въпросника преди сключването и се описва какви системи за защита има имота - решетки, вид заключване и прочее. На това основание се определя застрахователната премия. Ако нямаш защита или постройката ти е паянтова, представителя на застрахователя може да ти откаже да покрие определени рискове (примерно Кражба) или въобще да те застрахова.
Значи, ако е записано във въпросника, че имаш решетки на прозорците, а ти нямаш - застрахователят може да ти плати частично, може и въобще да не плати. Пък ти го съди.
Същата работа с НАП - вместо да си заключат вратата и подсилят прозорците ( да имат политика за защита на данните), те държат всичко отворено и после казват " Крадеца е виновен". Той може и да е виновен по НК за кражбата, но това не променя факта, че те са некомпетентни и безотговорни и също носят отговорност.
everlast666
Рейтинг: 1114 НеутралноНе съм специалист, но доколкото разбирам глобата за НАП е за това, че не са положили достатъчно усилия да защитят данните, т.е. за безотговорно отношение към лични данни.
Атаката на 'хакерите' просто осветли проблема, но безотговорното отношение на НАП си е наказуемо, със или без теча на данни.