Как спечелих дело за теча на данните ми от НАП

Не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП, установи експертизата.

© Дневник

Не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП, установи експертизата.На 15 юли 2019 г. анонимни хакери разпространиха до медиите масив от 57 папки, съдържащи ЕГН, имена, адреси, пароли и доходи на над 6 млн. души. Според авторите на лийка информацията е добита от един от сървърите на Министерството на финансите. Адвокат Ясен Крайчев беше сред първите, завели дела за скандалния казус, за който до момента никой не е понесъл отговорност. Единствено Комисията за защита на личните данни глоби Националната агенция по приходите с 5,1 млн. лв. - пари на данъкоплатците.


Тази статия е посветена на развитието на личната ми битка като гражданин и адвокат срещу Националната агенция за приходите (НАП) по повод теча на данни през юли 2019 г., станал известен и като НАПleaks. Статията не представлява правна консултация, а отразява личния ми опит и мнение.


Година и половина след образуването му, на първа инстанция приключи заведеното от мен дело срещу НАП за присъждане на обезщетение в размер на 1 лев за претърпени неимуществени вреди от допуснатото от администрацията неправомерно достъпване на личните ми данни, съдържащи се в бази данни на приходната агенция. С Решение № 1/04.01.2021 г. по адм.д. № 2995 по описа на Административния съд в Пловдив за 2019 г. искът ми е уважен по основание и размер.
Подчертавам още в началото очевидното - че делото е заведено с цел граждански контрол, с идеята, че борбата срещу нередностите следва да се води активно, но с правни средства, които са годни да доведат до желан резултат. Отбелязвам, че това при всички положения е свързано с риск, който гражданите трябва да поемат - да загубят времето си, да чакат, да рискуват да бъдат осъдени да платят разноски, да бъдат подложени на някакъв вид пряка или косвена репресия и други подобни.


По-долу представям някои от най-интересните моменти от съдебния процес.


1. По делото бе назначена служебно съдебно-техническа експертиза. Това е нов момент при тези дела, доколкото в повечето от останалите случаи в страната не са назначавани експертизи (без значение дали исковете са били уважени и в какъв размер). Любопитен факт е, че на писмата на съда до Техническите университети в страната бяха получени отговори в смисъл, че не могат да посочат компетентно лице - софтуерен специалист,- който да е съгласен да изготви експертиза по делото. Изводите може да направи всеки за себе си.


Самата експертиза доказа, че практически "създадената и приета от НАП "Политика по информационна сигурност" съответства на подходящото ниво на сигурност във връзка с конкретните рискове по сигурността на обработването на личните данни, но прилагането в реално време на предписанията на тази политика не е отговаряло на разписаните в Регламент /ЕО/ 2016/679 изисквания /чл.32/ и по-специално да е налице редовно изпитване, преценка на оценяването на ефективността на сигурността. Вещото лице е посочило също така в експертизата си, че при конкретния случая на теч на данни, регистриран през юли 2019 г., се касае до компрометиране на информационната сигурност от гледна точка на дублиране на голяма част от информацията чрез копирането ѝ на външен носител".


С оглед събраните доказателства по делото до подобен извод може да достигне всеки, казано на обикновен език - на хартия има много правила, механизми, регистри, комитети и т.н., но на практика те не се използват или прилагат.


На база експертизата и събраните по делото доказателства съдът правилно възприе, че са налице "незаконосъобразни бездействия, които по същността си съставляват нарушение на чл.32 от Регламент /ЕО/ 2016/679 - неизпълнение на задължението за обработване на личните данни при спазване изискванията за сигурност на обработването чрез съобразяване на достиженията на техническия прогрес, рисковете за правата и свободите на физическите лица и съответно прилагане на подходящи технически и организационни мерки за осигуряване на съобразено с рисковете ниво на сигурност".


Другият важен извод на експерта беше, че не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП. Такъв следва да се прави поне няколко пъти годишно, в зависимост от развитието на науката и световните стандарти в областта на информационната сигурност и защитата на личните данни. Всъщност в многобройните представени документи (за които ще стане въпрос по-долу) от страна на НАП, е предвидено извършването на "процес на редовно изпитване", но така и не бяха ангажирани доказателства, че такъв е правен някога.


2. Какви доказателства представи ответникът НАП? Накратко казано - почти никакви. С отговора на исковата молба бяха представени един топ разпечатки от медийни публикации, съдържащи информация за действията на прокуратурата срещу г-н Кристиян Бойков, както и публикации, описващи приходната агенция като жертва на престъпление. В отговора имаше данни за наличието на редица документи, като чрез съда задължих НАП да ги представят. Сред тях бяха: Политика по информационна сигурност; Регистър на инциденти по сигурността и др.


Тук ще отбележа две неща, които биха били комични, ако не ставаше дума за една от най-важните административни структури в страната. На първо място, на основание Политиката по информационна сигурност е сформирана Комисия по информационна сигурност. Тази комисия би следвало да заседава при важни промени, касаещи информационната сигурност, както и при компрометиране на същата. Комисията обаче не е заседавала нито след влизането в сила на GDPR, нито след констатираното неправомерно достъпване на лични данни на 5 милиона българи. Вероятно Комисията по информационна сигурност на НАП е преценила, че това не са кой знае колко значими обстоятелства, които да породят необходимост от свикването й.


На второ място, но не и по куриозност, е записът в Регистъра на инциденти по сигурността по повод теча на данни. Там на дата 15.07.2019г. е записано събитието изтичане на данни, като "информатор" се явява "Росен БАчваров"...вероятно визиран е говорителят на НАП г-н Росен Бъчваров. Показателен за подготовката на администрацията за хакерска атака е фактът, че лице, отговарящо за връзките с обществеността, е първият "усетил" пробив в системата.


Другото любопитно за записа е, че е съвсем лаконичен. Като предприети действия е отбелязано единствено "комплексна проверка и уведомяване на НЦДИИС". Прави впечатление, че експертите по сигурността на НАП са били доста по-обствоятелствени в предходни записи в регистъра, касаещи, например, прекъсване на електричеството за 30 минути в някой регионален офис на агенцията.


Във връзка с гореизложеното, правилно съдът възприема, че: "Независимо от наличието на значителна по обем документация, приета във връзка с опазване сигурността на личните данни, които администрира НАП, на практика се установява от доказателствата по делото, че същата в по-голямата си част е останала такава само с декларативен характер, като предвидените мерки и практики за защита на личните данни или не са били прилагани изобщо, или не са били прилагани в необходимия за това обем и с необходимата честота".


3. Съдът приема като неоснователно твърдението ми, че е налице и нарушение на чл.34 от Регламент /ЕО/ 2016/679 - неизпълнение на изискването за уведомяване на субекта на лични данни, без ненужно забавяне, за нарушението на сигурността на личните му данни, чрез осъществяване на ефективното информиране. Съдът приема, че НАП е предприела активна кампания по информиране на обществеността, разработила е приложение за проверка на достъпените лични данни в двумесечен срок, провела е консултации с нотариуси, съдии, органи на МВР и е публикувала достатъчно материали в медиите и на сайта си, чрез които свои действия е изпълнила изискванията на чл. 34 от GDPR.


4. Решението все още не е влязло в законна сила. В момента тече срок за обжалване. Така или иначе, за мен то изпълни до голяма степен функциите си. Чрез процеса закрепихме голяма част от фактологията по случая - по делото бяха представени и приети много документи, като е видно, че дори предвиденото от НАП не е било изпълнявано практически, какъвто е всъщност смисъла на защитата на информационната сигурност, а не да има изписани тонове мастило по темата без практически действия. Когато (и ако) решението влезе в сила, т.е. ако не бъде обжалвано или ако ВАС го потвърди, ще имаме практика, основаваща се на възможно най-много събрани доказателства, в това число и експертиза. Колеги адвокати и ищци ще имат информация относно точно кои документи биха могли да изискат, като вече е много малка вероятността да бъдат манипулирани, доколкото вече са приложени един път по гореописаното дело.


Считам, че Административният съд в Пловдив положи добросъвестно много усилия за изясняване на случая, а решението е с пълни и задълбочени мотиви, като са анализирани всички аргументи и на двете страни. Решението може да служи за отправна точка и адекватна съдебна практика както за дела по повод НАПleaks, така и по бъдещи казуси с държавни институции.


Присъдените обезщетения ще варират в зависимост от това дали са налице имуществени вреди, както и от доказателствата за понесени неимуществени вреди - болки, страдания, стрес и т.н. Степента им би могла да се доказва със свидетелски показания, експертизи, медицински епикризи. В общия случай разумно обезщетение би било в рамките на до 500 лева. Отделна тема в случая с НАП е опитът на доста граждани да "дисциплинират" институцията, като потърсят правата си по административен или съдебен ред.


Всичко, което трябва да знаете за:

Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.

Ключови думи към статията:

Коментари (41)
 1. Подредба: Сортирай
 1. 1
  ****

  Коментарът беше изтрит от модераторите, защото не беше по темата на материала, за който се отнася.

 2. 2
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

 3. 3 Профил на rumen_s
  rumen_s
  Рейтинг: 1457 Неутрално

  Браво на всички съдещи НАП за този огромен гаф. Докато те си взеха премийките за добре свършена работа, а шефката им даже не си прекъсна отпуската. Толкова за отношението им към данъкоплатците които ги хранят.

 4. 4 Профил на ЗаНиЗа
  ЗаНиЗа
  Рейтинг: 2697 Неутрално

  "Тази статия е посветена на развитието на личната ми битка като гражданин и адвокат" - така и трябва да се прави, макар и да се иска много нерви и кураж. Колкото до БГ институции, те нито имат отговори, нито желание да се поучат от грешките, а най-малкото да се грижат за това, за което са предназначени - гражданите. Доколко обаче ще се трогнат от подобна "загуба" е повече от спорно. Точно заради това трябва РЕСТАРТ на системата - нови отношения с нови хора.

  Направи съд от глината, празнината вътре в него го прави полезен.
 5. 5 Профил на it4
  it4
  Рейтинг: 475 Неутрално
 6. 6 Профил на save_knforest
  save_knforest
  Рейтинг: 875 Любопитно

  Поздравления за куража и резултата от делото!

 7. 7 Профил на save_knforest
  save_knforest
  Рейтинг: 875 Любопитно

  Защо не е отбелязано, че е адвокатска реклама?
  —цитат от коментар 1 на lz2


  Г-не/г-жо по Закон адвокатите не са търговски дружества или ЕТъровци. Ерго няма как това да е реклама. Явно правните норми у нас са своеобразна тера инкогнита за герберските политици и техните тролове във форума на "Дневник".

 8. 8 Профил на lz2
  lz2
  Рейтинг: 2533 Неутрално

  [quote#7:"save_knforest"][/quote]

  Както и да го наречеш, си е чиста проба реклама на адвокатските услуги!

  ПравописА е поле за изява на неграмотните!
 9. 9 Профил на Matrix
  Matrix
  Рейтинг: 536 Неутрално

  До коментар [#1] от "lz2":Ти що не обявиш, че си гербав трол, който от старателно лизане си е заврял главата в гъза на Бок, преди всеки твой коментар
  —цитат от коментар 2 на Deinio


  Хахахаха, еб@си точното описание!
  Хахахахах, мейд май дей !

  И не е само тоя лумпен!
  Има доста такива тук, хубавото е, че те си мислят, че са оригинални и правЯТ пропаганда за вожда! А в съшност са смешно жалки мишки !

  Живеем в държава, в която Венета Райкова е написала повече книги, отколкото министър-председателят е прочел...
 10. 10 Профил на truly
  truly
  Рейтинг: 846 Неутрално

  До коментар [#9] от "Matrix":

  Не ги съди толкова строго. Предполагам, че не могат да вършат друга работа по различни причини и са приели, че ще си продават душата - гладен не се стои. Или другата категория са такива, които зависят пряко от настоящата власт за запълване на купичката.

 11. 11 Профил на стефан иванов
  стефан иванов
  Рейтинг: 693 Неутрално

  Всичко е ОК .Поздравлениа за делото.Проблема е ,че нападжиите ,ще си го преместят в другия крачол,ще си вземат боносите и за успокоение ,ще разкостят някоя малка фирма без протекции.Законите са така написани/умишлено/ ,че за дребни и средни фирми почти е невъзможно да се спазват всички изисквания и да се водят всички бумаги.А НАП се хващат и за запетайка за да пишат акт.

 12. 12 Профил на Ran Gal
  Ran Gal
  Рейтинг: 8 Неутрално

  Изнесените по делото данни за действията/бездействията на толкова важна държавна агенция в тази ситуация биха звучали като крайно хиперболизирана сатира, която щеше да звучи направо невероятно, ако не беше просто епизод пореден на "тука е така".
  А животът си продължава в ‘държавата’, в която никой за нищо не носи отговорност, но за това пък гордо се е устремила към дъното на малкото останали непокорени все още показатели. Но явно достатъчно много хора ги устройва така, харесва им даже, тъй че проблем няма, продължаваме смело напред към забвението на историята...

 13. 13 Профил на stein
  stein
  Рейтинг: 988 Неутрално

  Похвална инициатива - не че сме очаквали нещо друго от тиквите и калинките, които ръководят НАП, но друго си е бездействието да е описано в съдебно решение.

  "Свободата започва там, където свършва невежеството." Виктор Юго.
 14. 14 Профил на petrapetra
  petrapetra
  Рейтинг: 1017 Неутрално

  Поредното доказателство, че държавата не е рухнала по чудо - повсеместна престъпна безотговорност и потресаваща некомпетентност, гарнирани с безочие и арогантност. Още малко ГЕРБ.

 15. 15
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

 16. 16
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

 17. 17 Профил на fpyyh
  fpyyh
  Рейтинг: 1852 Любопитно

  @дневник - не може ли тези, които са в графата "отбягвай", да не се появяват в коментарите, които виждам? Така много бързо троловете ще останат да си говорят сами. Или няма интерес от това?

  за да разберете всичко за белодробния рак, продължавайте да пушите
 18. 18 Профил на Николай Бучков
  Николай Бучков
  Рейтинг: 5198 Разстроено

  Лоша тенденция за бъдещите данъци......

 19. 19
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

 20. 20 Профил на mitkokitkata
  mitkokitkata
  Рейтинг: 317 Неутрално
 21. 21 Профил на nzt42649448
  nzt42649448
  Рейтинг: 69 Неутрално

  И защо не е съдил хакерите-келеши, след като се знаят кои са?

 22. 22 Профил на lz73
  lz73
  Рейтинг: 1438 Неутрално

  До коментар [#21] от "nzt42649448":

  Тях би трябвало да ги съди НАП....ама нещо се мотат...

 23. 23 Профил на hodounski
  hodounski
  Рейтинг: 3131 Любопитно

  Имало Комисия по информационна сигурност , която въобще не е реагитала , ама сигурно си взимат заплатите и бонусите

 24. 24 Профил на tsvetko_51
  tsvetko_51
  Рейтинг: 1970 Неутрално

  И защо не е съдил хакерите-келеши, след като се знаят кои са?
  —цитат от коментар 21 на nzt42649448


  Хакерите келеши, както ги наричате, ги съди ържавата в лицето на известния ни какскет, а хората чиито данни са изтекли, могат и трябва да съдят тази организация, на която са предоставили своите данни ( това се изисква по закон) и която също по закон е длъжна да осигури тяхното опазване.
  Както знаем от случая и както автора е описал, ни едното, ни другото.
  Каскета за сега не е спечели делото срещу предполагаемите хакери, а НАП си го е преместил в другия крачол и началниците са си взели бонусите за "добрата" работа.

 25. 25 Профил на Dark
  Dark
  Рейтинг: 1677 Неутрално

  Респект за адвокат Ясен Крайчев.

 26. 26 Профил на НеКой
  НеКой
  Рейтинг: 1249 Неутрално

  Първа инстанция, адвокате.
  Има още две.

 27. 27 Профил на Petleshev
  Petleshev
  Рейтинг: 3182 Неутрално

  Проблемът е, че за НАП, все едно нищо не се е случило...! Толкова се впечатлиха, че най-големият началник там, даже не сметна, че трябва да си прекъсва отпуската.
  Съдът написал на един лист хартия, че НАП е виновен. Добре. Ама кой по-точно от НАП? Не се знае... За какво говорим всъщност? Вината се носи персонално. Всичко останало са общи приказки.

  Бивш tww09306483.
 28. 28 Профил на Анти Шишковци
  Анти Шишковци
  Рейтинг: 544 Неутрално

  Неработещите институции (тук влиза и местната власт) са признак на мафиотизирана държава. ГЕРБ процъфтява като следствие на завладяване на властта от простотия, която по правило е необразована, безумно алчна и лесно превземаема от мафията (в случая ДПС представлява мафията във властта). За да е по-шарена картинката, в играта влизат най-уродливите представители на гьон-суратлъка: Воля и някакви измислени патриоти. Така се получава на територията на ч*евреите и клепоу*хотел.

 29. 29 Профил на Анти Шишковци
  Анти Шишковци
  Рейтинг: 544 Неутрално

  Имах предвид червеи и клепоухи

 30. 30 Профил на hope
  hope
  Рейтинг: 3529 Неутрално

  Само благодарение на такива мъже, не съм се отчаяла съвсем от политическата обстановка в страната.

  Любовта ще спаси света!!!
 31. 31 Профил на slaveyko
  slaveyko
  Рейтинг: 258 Неутрално

  Браво за упоритостта и резултата. Дано само висшите съдебни инстанции не го осе..ат, както им е обичая.

 32. 32 Профил на Darkman
  Darkman
  Рейтинг: 1234 Неутрално

  Докато никой не носи лична отговорност в държавните институции за делата си, няма да има промяна.

  Фобиите и филиите са признак на ниско самочувствие и слугинаж
 33. 33
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

 34. 34
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

 35. 35
  ****

  Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

 36. 36 Профил на spalding
  spalding
  Рейтинг: 301 Неутрално

  Браво на адв. Крайчев!
  Патриотизмът не е само народни носии, хорА и знамена на определени дати. Той е ежедневна борба в името на по-добрия живот за всички съграждани и за държава майка, а не мащеха.

 37. 37 Профил на kkl38598034
  kkl38598034
  Рейтинг: 96 Неутрално

  Къде сте тръгнали срещу НАП бе? Не случайно лого на НАП е един чеп, в който е запит по-остър чеп. Цялото упражнение сега са мо постигна загуби за бюджета. А самите служители на НАП само са по настървени срещу въпросните ищци и ще си го изкарат на гражданите със "европейско" самочувствие. Нула е шанса да си изряден пред НАП.

 38. 38 Профил на chepokalipsis
  chepokalipsis
  Рейтинг: 1225 Неутрално

  2 пъти съм имал досег с хора от нап и двата пъти се държаха супер нагло и надменно. Единият ме издразни повече и му казах 2 думи на криво, че ако го бях набил, щяха да ме изкарат расист, че беше по-мургав, след 1 час имаше проверка от НАП, в централния ни офис, случайност? Не мисля... много дребни душици са се събрали там.

 39. 39 Профил на val1320
  val1320
  Рейтинг: 626 Неутрално

  НАП ли?!Едни от най-големите смешници в българската администрация!

 40. 40 Профил на lz73
  lz73
  Рейтинг: 1438 Неутрално

  До коментар [#38] от "chepokalipsis":

  Всичко е до хората...аз имах досег с НАП по повод едни стари актове от КАТ...изключително професионално и бързо решение на въпроса от служителката, на която попаднах, при това само по телефон и мейл. По-късно по друг повод се сблъсках с друга такава....ами калинка и то надменна.

 41. 41 Профил на Николай Колев
  Николай Колев
  Рейтинг: 2392 Весело

  От малки червени бубулечки с точки какво да очакваме?

  * ПКП-Прекрасна Кърджалийска Принцеса. Политкоректна формулировка на думи на министър председателя за председателя на Народното събрание
За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK