ПАРЛАМЕНТАРНИ ИЗБОРИ 2022

  • 25.3%
  • 20.2%
  • 13.8%
  • 10.2%
  • 9.3%
  • 7.4%
  • 4.6%
  • 3.8%
  • ГЕРБ:67
  • ПП:53
  • ДПС:36
  • ВЪЗР:27
  • БСП:25
  • ДБ:20
  • БВ:12
39.4%активност

Източник: Резултатът, активността и мандатите са от ЦИК при 100% обработени протоколи

Можем да съдим НАП и за манипулирани лични данни след теча

Ръководството на НАП отказва доброволно да обезщетява потърпевшите граждани.

© Надежда Чипева, Капитал

Ръководството на НАП отказва доброволно да обезщетява потърпевшите граждани.



След безпрецедентния теч на лични данни от Националната агенция за приходите (НАП) на над 4 млн. български граждани остана въпросът как потърпевшите да потърсят правата си. Пловдивският адвокат Ясен Крайчев който е председател на сдружението "Правна сигурност на потребителите и личните им данни", разказа пред "Дневник", че е предприел няколко стъпки: Внесъл е искане в НАП да бъде уведомен кои са личните му данни, които са изтекли. Паралелно с това е пратил на НАП покана за доброволно изпълнение да бъде обезщетен със символичния 1 лев за претърпени неимуществени вреди. Към нея е приложил номера на заявката си, с която приложението на НАП го уведомява, че има изтекли негови данни, и е посочил банковата си сметка. Адвокат Крайчев разказва за читателите на "Дневник" какъв е резултатът от действията му:


По двете отправени до НАП искания получихме официални отговори. По същество не са интересни, тъй като като резултат бяха напълно очаквани, но все пак имаше полза от гледна точка на някои изложени твърдения.


Първото искане - за доброволно заплащане на обезщетение - естествено е отхвърлено, но съдържа любопитно "съждение": "Понастоящем в Националната агенция за приходите в режим на непрекъсваемост се извършват действия по съпоставяне на записите, които са били неоторизирано достъпени, с реалните бази данни на НАП за евентуални промени или манипулации."




Каква точно е тази дейност, извършвана в "режим на непрекъсваемост", не става ясно... както и какво е отношението й към пробива в системата.


Липсва и дума по въпроса за предприетите мерки от страна на институцията за защита на личните данни,


за ограничаване вредни последици, бъдеща повишена защита и т.н.


Второто искане - за предоставяне на информация за неправомерно достъпените лични данни - също не е удовлетворено. Полученият отговор е до голяма степен безсмислен и съдържа информация от рода на това, че НАП е разработил приложение, от което всеки български гражданин може да провери дали негови лични данни са станали обект на неоторизиран достъп - факт, който е ясен от това, че в отправеното искане сме цитирали дори номера на заявката и във връзка именно с нея питаме кои и какви точно лични данни са били неправомерно достъпени.


Настрана от бланкетните фрази, характерни за администрацията, отговорът съдържа и интересна информация - след извършване на съпоставяне на "над 70 млн. записи на данни, които са били неоторизирано достъпени" (явно става дума за процедурата, цитирана и в другото писмо), ще бъде въведено в експлоатация "приложение, чрез което физическите лица могат да получат информация за конкретния тип лични данни, които са били обект на неоторизиран достъп". Това ще стане до "няколко седмици".


Остатъкът от писмото не заслужава коментар, доколкото съдържа извинение за случилото се, това, че в НАП се полагат извънредни усилия, както и че на сайта на НАП могат да се намерят отговори на често задавани въпроси.


Какви изводи правим от получените отговори?


Все още се очаква създаването на приложение, чрез което всяко засегнато лице да може да провери какви негови лични данни са били неоторизирано достъпени. Това означава, че въпреки "режима на непрекъсваемост", десетките служители в IT отдела на институцията и целия ресурс, с който разполага приходната администрация, над един месец след инцидента администраторът не е в състояние да уведоми субектите на данни за това кои техни лични данни са предмет на "изтичането". Все още се очаква официална информация за предприетите технически и организационни мерки след случилото се.


Също толкова неясно е и какви действия са били предприети от НАП като администратор на лични данни преди хакерската атака - имало ли е анализ на риска, какво е констатирал той, кой го е извършил, какви мерки са били предприети, адекватни ли са били те на законодателството и на техническия прогрес и т.н. Вероятно това ще се разкрие в хода на съдебен процес, в случай че НАП обжалва издаденото от Комисията за защита на личните данни наказателно постановление.


Новина е и съпоставянето на изтеклите данни с реалните бази данни


на НАП за установяване на евентуални промени или манипулации. Тук вече се открива и нова плоскост, на която могат да се търсят причинени вреди - не само източване, а и промени на данни в самите бази данни на НАП, които биха могли да доведат до негативни последици за субектите на данни.


Оттук нататък аз ще заведа иск срещу НАП за обезщетение.


Всичко, което трябва да знаете за:

Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.

Ключови думи към статията:

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK