Как спечелих дело за теча на данните ми от НАП

© Дневник

На 15 юли 2019 г. анонимни хакери разпространиха до медиите масив от 57 папки, съдържащи ЕГН, имена, адреси, пароли и доходи на над 6 млн. души. Според авторите на лийка информацията е добита от един от сървърите на Министерството на финансите. Адвокат Ясен Крайчев беше сред първите, завели дела за скандалния казус, за който до момента никой не е понесъл отговорност. Единствено Комисията за защита на личните данни глоби Националната агенция по приходите с 5,1 млн. лв. - пари на данъкоплатците.

Тази статия е посветена на развитието на личната ми битка като гражданин и адвокат срещу Националната агенция за приходите (НАП) по повод теча на данни през юли 2019 г., станал известен и като НАПleaks. Статията не представлява правна консултация, а отразява личния ми опит и мнение.

Година и половина след образуването му, на първа инстанция приключи заведеното от мен дело срещу НАП за присъждане на обезщетение в размер на 1 лев за претърпени неимуществени вреди от допуснатото от администрацията неправомерно достъпване на личните ми данни, съдържащи се в бази данни на приходната агенция. С Решение № 1/04.01.2021 г. по адм.д. № 2995 по описа на Административния съд в Пловдив за 2019 г. искът ми е уважен по основание и размер.

Подчертавам още в началото очевидното - че делото е заведено с цел граждански контрол, с идеята, че борбата срещу нередностите следва да се води активно, но с правни средства, които са годни да доведат до желан резултат. Отбелязвам, че това при всички положения е свързано с риск, който гражданите трябва да поемат - да загубят времето си, да чакат, да рискуват да бъдат осъдени да платят разноски, да бъдат подложени на някакъв вид пряка или косвена репресия и други подобни.

По-долу представям някои от най-интересните моменти от съдебния процес.

1. По делото бе назначена служебно съдебно-техническа експертиза. Това е нов момент при тези дела, доколкото в повечето от останалите случаи в страната не са назначавани експертизи (без значение дали исковете са били уважени и в какъв размер). Любопитен факт е, че на писмата на съда до Техническите университети в страната бяха получени отговори в смисъл, че не могат да посочат компетентно лице - софтуерен специалист,- който да е съгласен да изготви експертиза по делото. Изводите може да направи всеки за себе си.

Самата експертиза доказа, че практически "създадената и приета от НАП "Политика по информационна сигурност" съответства на подходящото ниво на сигурност във връзка с конкретните рискове по сигурността на обработването на личните данни, но прилагането в реално време на предписанията на тази политика не е отговаряло на разписаните в Регламент /ЕО/ 2016/679 изисквания /чл.32/ и по-специално да е налице редовно изпитване, преценка на оценяването на ефективността на сигурността. Вещото лице е посочило също така в експертизата си, че при конкретния случая на теч на данни, регистриран през юли 2019 г., се касае до компрометиране на информационната сигурност от гледна точка на дублиране на голяма част от информацията чрез копирането ѝ на външен носител".

С оглед събраните доказателства по делото до подобен извод може да достигне всеки, казано на обикновен език - на хартия има много правила, механизми, регистри, комитети и т.н., но на практика те не се използват или прилагат.

На база експертизата и събраните по делото доказателства съдът правилно възприе, че са налице "незаконосъобразни бездействия, които по същността си съставляват нарушение на чл.32 от Регламент /ЕО/ 2016/679 - неизпълнение на задължението за обработване на личните данни при спазване изискванията за сигурност на обработването чрез съобразяване на достиженията на техническия прогрес, рисковете за правата и свободите на физическите лица и съответно прилагане на подходящи технически и организационни мерки за осигуряване на съобразено с рисковете ниво на сигурност".

Другият важен извод на експерта беше, че не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП. Такъв следва да се прави поне няколко пъти годишно, в зависимост от развитието на науката и световните стандарти в областта на информационната сигурност и защитата на личните данни. Всъщност в многобройните представени документи (за които ще стане въпрос по-долу) от страна на НАП, е предвидено извършването на "процес на редовно изпитване", но така и не бяха ангажирани доказателства, че такъв е правен някога.

2. Какви доказателства представи ответникът НАП? Накратко казано - почти никакви. С отговора на исковата молба бяха представени един топ разпечатки от медийни публикации, съдържащи информация за действията на прокуратурата срещу г-н Кристиян Бойков, както и публикации, описващи приходната агенция като жертва на престъпление. В отговора имаше данни за наличието на редица документи, като чрез съда задължих НАП да ги представят. Сред тях бяха: Политика по информационна сигурност; Регистър на инциденти по сигурността и др.

Тук ще отбележа две неща, които биха били комични, ако не ставаше дума за една от най-важните административни структури в страната. На първо място, на основание Политиката по информационна сигурност е сформирана Комисия по информационна сигурност. Тази комисия би следвало да заседава при важни промени, касаещи информационната сигурност, както и при компрометиране на същата. Комисията обаче не е заседавала нито след влизането в сила на GDPR, нито след констатираното неправомерно достъпване на лични данни на 5 милиона българи. Вероятно Комисията по информационна сигурност на НАП е преценила, че това не са кой знае колко значими обстоятелства, които да породят необходимост от свикването й.

На второ място, но не и по куриозност, е записът в Регистъра на инциденти по сигурността по повод теча на данни. Там на дата 15.07.2019г. е записано събитието изтичане на данни, като "информатор" се явява "Росен БАчваров"...вероятно визиран е говорителят на НАП г-н Росен Бъчваров. Показателен за подготовката на администрацията за хакерска атака е фактът, че лице, отговарящо за връзките с обществеността, е първият "усетил" пробив в системата.

Другото любопитно за записа е, че е съвсем лаконичен. Като предприети действия е отбелязано единствено "комплексна проверка и уведомяване на НЦДИИС". Прави впечатление, че експертите по сигурността на НАП са били доста по-обствоятелствени в предходни записи в регистъра, касаещи, например, прекъсване на електричеството за 30 минути в някой регионален офис на агенцията.

Във връзка с гореизложеното, правилно съдът възприема, че: "Независимо от наличието на значителна по обем документация, приета във връзка с опазване сигурността на личните данни, които администрира НАП, на практика се установява от доказателствата по делото, че същата в по-голямата си част е останала такава само с декларативен характер, като предвидените мерки и практики за защита на личните данни или не са били прилагани изобщо, или не са били прилагани в необходимия за това обем и с необходимата честота".

3. Съдът приема като неоснователно твърдението ми, че е налице и нарушение на чл.34 от Регламент /ЕО/ 2016/679 - неизпълнение на изискването за уведомяване на субекта на лични данни, без ненужно забавяне, за нарушението на сигурността на личните му данни, чрез осъществяване на ефективното информиране. Съдът приема, че НАП е предприела активна кампания по информиране на обществеността, разработила е приложение за проверка на достъпените лични данни в двумесечен срок, провела е консултации с нотариуси, съдии, органи на МВР и е публикувала достатъчно материали в медиите и на сайта си, чрез които свои действия е изпълнила изискванията на чл. 34 от GDPR.

4. Решението все още не е влязло в законна сила. В момента тече срок за обжалване. Така или иначе, за мен то изпълни до голяма степен функциите си. Чрез процеса закрепихме голяма част от фактологията по случая - по делото бяха представени и приети много документи, като е видно, че дори предвиденото от НАП не е било изпълнявано практически, какъвто е всъщност смисъла на защитата на информационната сигурност, а не да има изписани тонове мастило по темата без практически действия. Когато (и ако) решението влезе в сила, т.е. ако не бъде обжалвано или ако ВАС го потвърди, ще имаме практика, основаваща се на възможно най-много събрани доказателства, в това число и експертиза. Колеги адвокати и ищци ще имат информация относно точно кои документи биха могли да изискат, като вече е много малка вероятността да бъдат манипулирани, доколкото вече са приложени един път по гореописаното дело.

Считам, че Административният съд в Пловдив положи добросъвестно много усилия за изясняване на случая, а решението е с пълни и задълбочени мотиви, като са анализирани всички аргументи и на двете страни. Решението може да служи за отправна точка и адекватна съдебна практика както за дела по повод НАПleaks, така и по бъдещи казуси с държавни институции.

Присъдените обезщетения ще варират в зависимост от това дали са налице имуществени вреди, както и от доказателствата за понесени неимуществени вреди - болки, страдания, стрес и т.н. Степента им би могла да се доказва със свидетелски показания, експертизи, медицински епикризи. В общия случай разумно обезщетение би било в рамките на до 500 лева. Отделна тема в случая с НАП е опитът на доста граждани да "дисциплинират" институцията, като потърсят правата си по административен или съдебен ред.