"Хакерите ще платят глобата на НАП" - този хепиенд е невъзможен

© Георги Кожухаров

"Дневник" публикува становището на неправителствената организация Асоциация за защита на личните данни по заявеното от Националната агенция за приходите (НАП) намерение да обжалва наложената й глоба заради изтичането на личните данни на над 5 млн. български граждани в края на юни. Автор е председателят на асоциацията Юлия Пригонча - юрист, сертифициран мениджър по въвеждане и управление на програми за защита на личните данни. Заглавието е на редакцията.

На 29 август стана ясно, че срещу Националната агенция за приходите е издадено наказателно постановление, с което на институцията е наложена имуществена санкция от 5.1 млн. лв. от Kомисията за защита на личните данни (КЗЛД).

Според публикуваната официална информация на сайта на КЗЛД, причината е, че "при осъществяване на дейността си, агенцията в качеството ѝ на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през "Български пощи" АД, както и данни за поискан и възстановен ДДС, платен в чужбина."

На сайта си НАП направи изявление в следните насоки:

I. Изрази несъгласие с издадения акт, като затова е предприела следното:

"Актът за установяване на административно нарушение, съставен срещу НАП от КЗЛД, е оспорен в законовия 3-дневен срок. Наказателното постановление, с което комисията налага санкция в размер на 5,1 млн. лв., също ще бъде обжалвано пред съда."

Главният мотив за оспорването на акта на КЗЛД е "че неоторизираният достъп, кражбата на данни и последващото им публично оповестяване са резултат от действия, представляващи престъпление по смисъла на Наказателния кодекс, осъществени независимо и въпреки предприетите от НАП технически и организационни мерки за защита."

С други думи, НАП мотивира оспорването на издадения й акт с две съображения. Първото е, че инцидентът е станал поради "действия, представляващи престъпление", извършени от трети лица.

Това не би могло да е издържано основание. Законодателството за защита на личните данни задължава администраторите за конкретно поведение и дължим резултат. Ето защо това, че в резултат от неспазване на законодателството недобронамерени лица могат да бъдат улеснени да реализират кражбата на данни,

не представлява аргумент за освобождаване от налагане на санкция

на администратора поради нарушаване на регламента от самия администратор. Санкциите във връзка със защитата на личните данни се налагат на администратора заради неспазване на законодателството.

При определяне на санкцията се вземат предвид и насоките на работната група по чл. 29, която е европейски независим консултативен орган, трансформиран в Европейски борд за защита на личните данни. При налагането на санкцията се отчита предприетото от страна на администратора на различни етапи - преди дадено нарушение, както и след него. Действията на трети лица не са предмет на наказателно-административната процедура.

Вторият мотив, посочен от НАП за оспорване на акта, е, че инцидентът е станал "въпреки предприетите" мерки от нейна страна.

Не знаем какво визират от приходната агенция под "предприети мерки". Можем да коментираме само официално съобщената информация или да предоставим анализ на официално получени документи, като според публично достъпните източници (някои от тях предоставени от самата НАП)

подходящи мерки по опазване на данните от страна на НАП преди инцидента са липсвали

В тази връзка:

1. Мотивът за налагане на санкцията от КЗЛД е липса на приложени "подходящи технически и организационни мерки". Тази констатация мотивира надзорния орган, освен да наложи санкция, да задължи НАП под формата на корективна мярка, да предприеме редица мерки по привеждане на дейността си в съответствие със законодателството.

2. Според официално изявление от страна на представител на КЗЛД по Би Ти Ви по въпроса за киберсигурността на НАП "най-общо, не е направено нищо".

3. Спроред анализи и публични коментари на експерти информационната сигурност на НАП е на ниско ниво и липсва експертиза.

4. В предоставения отговор от НАП по Закона за достъп до обществена информация, в отговор на запитване от Асоциацията за защита на личните данни, се констатира, че НАП не е извършила оценки (на риска, на въздействието). Интересен факт, на който се натъкнаха експертите по защита на данните в този отговор, е позоваване в инструкция на НАП на неотносима за агенцията глава от закона. Тази констатация е тревожна и сякаш прокара мисълта в експертната общност (след казуса с рождената дата като втори идентификатор към ЕГН), че липсата на експертиза в агенцията е сериозна и засяга не само ИТ специалистите на НАП, но и правния й екип.

Накратко, посочените от приходната агенция мотиви за оспорване на акта от КЗЛД не кореспондират с правната наука и фактическата действителност.

Да разгледаме и друга хипотеза, при която при обжалване на наказателното постановление НАП посочи други аргументи и резултатът от делото е положителен за нея. Въпреки че нямаме всички факти и данни, нито разполагаме с оригинали на актовете, такъв сценарий чисто юридически е възможен - например поради формален порок на акта и т.н. Тези основания са изчерпателно посочени в законодателството.

По-интересното в случая е какво би означавал такъв резултат, погледнато през призмата на едно законодателство, защитаващо фундаментални човешки права, както и имайки предвид обществено известната фактическа обстановка около теча на данните и нивото на готовност на институцията да опазва данните. Подобен сценарий (предвид множество доказателства дотук за неспазено законодателство по опазване правата на субектите на данни от страна на НАП) би означавал само едно единствено нещо - едни публични средства няма да бъдат преместени от левия в десния джоб. Това не би променило факта на изтеклите данни.

Действително предвид спецификата на администратора (а именно: публичен орган) за експертите, работещи в тази сфера, заплащането на самата санкция, а и самият й размер не са основният фокус предвид операцията, свързана с това - преместване на средства от едно място на друго. Това го казваме, защото излишно се дискутира, че санкцията била ниска, по левче на физическо лице.

Санкцията е достатъчно сериозна и може би е една от малкото високи имуществени санкции,

наложени в държавата за нарушаване на закон. Важното е да разберем сериозността на законодателството и сериозността на последствията за гражданите, които могат да настъпят при подобно нарушаване на закона.

Сериозността на последствията личи и от възможността подобни престъпления да бъдат квалифицирани като престъпления, с които могат да се удовлетворят конструкциите на наказателното право за тероризъм. Тази квалификация впрочем повдига отново въпроси около неизвършените оценки на риска: след като едни данни са до такава степен ценни и мащабни по своето естество, че е възможно при нарушаването на тяхната поверителност да се извършат и терористични деяния, с какви мерки са били защитавани те?

II. Осъждането на виновниците за кражбата и разпостраняването на данните

Според официалния текст, публикуван на сайта на НАП, там "обмислят и предприемането на съдебни действия спрямо извършителите на хакерската атака срещу сървърите на агенцията, като е възможно както присъединяването на агенцията в наказателното производство, така и воденето на гражданско дело. Така финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство."

Това намерение чисто теоретично е една правна възможност и механизъм за получаване на обезвреда. Възниква въпрос, свързан с обещаното на гражданите, че по този начин "финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство."

Това, колкото и да изглежда успокояващо за гражданите и вероятен хепиенд за НАП, няма правен и фактически фундамент, за да се реализира.

Защо НАП прави подобни обещания? Лош пиар ли е това или експертна грешка?

По действащото законодателство всеки е длъжен да поправи вредите, които виновно е причинил другиму. Обезщетение се дължи за всички вреди, които са пряка и непосредствена последица от увреждането. В конкретния случай това означава, че НАП, като увредена от хакерската атака институция, действително може да претендира вреди от тези, за които се докаже, че са й ги причинили.

Претендирането на вреди обаче не би могло да покрие размера на наложената имуществена санкция за неспазване на закона. Фактът, че вследствие на хакерската атака неправомерно са били разпространени данни, е другата страна на монетата. Лицата, за които се докаже, че са виновни за извършване на престъпното деяние, подлежат на наказателна отговорност. От тях обаче не може да се търси отговорност за неспазване на закона от страна на публичен орган, за което е наложена парична санкция.

Ето ви житейски пример, илюстриращ хипотеза, подобна на казуса с НАП – не подавате данъчна декларация и по някаква причина това остава неустановено от тези, които надзирават спазването на данъчното законодателство. Дотук добре, само че решавате да споделите този факт в кореспонденция с ваш близък. Същевременно ваш съсед, който без ваше знание "следи" кореспонденцията ви, го разбира и подава сигнал срещу вас пред данъчните органи. В резултат бивате санкциониран от НАП. Бихте ли имали възможност по закон да осъдите съседа да ви плати наложената глоба поради неподадена декларация? Разбира се, че не, това звучи абсурдно. Това, което можете да направите, е евентуално да предприемете действия за ангажиране наказателната отговорност на това лице за извършените от него престъпни действия. Предявяването на претенция за обезвреда на евентуално причинени ви вреди обаче ще е въпрос на различно производство, което няма да има общо с наложената ви санкция поради неспазено от вас законово задължение за неподадена данъчна декларация.

Т.е. това, което следва да се разграничава ясно в конкретната ситуация с НАП, са следните две основни обстоятелства:

1. Неспазване на законодателството за защита на личните данни, упражняването на корективни правомощия и налагане на имуществена санкция от страна на надзорния орган;

2. Кражбата на данни и тяхното неправомерно разпространение в публичното пространство.

Темата действително продължава да се заплита все повече и повече в грешна посока. Тревожно, освен вече настъпилия негативен резултат с нарушаването на конфиденциалността на данните, е и поведението на НАП. Самата агенция в тази ситуация дава заблуждаващ пример на другите администратори. НАП буквално заявява, че ако някой открадне информация, следва да се предприемат действия по осъждане на "крадеца", като без значение е дали са били предприети мерки за защита или не срещу подобно посегателство. Това може да дискредитира не само работата на местния надзорен орган по защита на данните, на експертите, които работят непрестанно, за да са в крак със законодателството и се борят за опазването на поверителността като фундаментална човешка ценност, това дискредитира философията и на европейското законодателство за защита на личните данни.