Как спечелих дело за теча на данните ми от НАП

Не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП, установи експертизата.

© Дневник

Не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП, установи експертизата.



На 15 юли 2019 г. анонимни хакери разпространиха до медиите масив от 57 папки, съдържащи ЕГН, имена, адреси, пароли и доходи на над 6 млн. души. Според авторите на лийка информацията е добита от един от сървърите на Министерството на финансите. Адвокат Ясен Крайчев беше сред първите, завели дела за скандалния казус, за който до момента никой не е понесъл отговорност. Единствено Комисията за защита на личните данни глоби Националната агенция по приходите с 5,1 млн. лв. - пари на данъкоплатците.


Тази статия е посветена на развитието на личната ми битка като гражданин и адвокат срещу Националната агенция за приходите (НАП) по повод теча на данни през юли 2019 г., станал известен и като НАПleaks. Статията не представлява правна консултация, а отразява личния ми опит и мнение.


Година и половина след образуването му, на първа инстанция приключи заведеното от мен дело срещу НАП за присъждане на обезщетение в размер на 1 лев за претърпени неимуществени вреди от допуснатото от администрацията неправомерно достъпване на личните ми данни, съдържащи се в бази данни на приходната агенция. С Решение № 1/04.01.2021 г. по адм.д. № 2995 по описа на Административния съд в Пловдив за 2019 г. искът ми е уважен по основание и размер.




Подчертавам още в началото очевидното - че делото е заведено с цел граждански контрол, с идеята, че борбата срещу нередностите следва да се води активно, но с правни средства, които са годни да доведат до желан резултат. Отбелязвам, че това при всички положения е свързано с риск, който гражданите трябва да поемат - да загубят времето си, да чакат, да рискуват да бъдат осъдени да платят разноски, да бъдат подложени на някакъв вид пряка или косвена репресия и други подобни.


По-долу представям някои от най-интересните моменти от съдебния процес.


1. По делото бе назначена служебно съдебно-техническа експертиза. Това е нов момент при тези дела, доколкото в повечето от останалите случаи в страната не са назначавани експертизи (без значение дали исковете са били уважени и в какъв размер). Любопитен факт е, че на писмата на съда до Техническите университети в страната бяха получени отговори в смисъл, че не могат да посочат компетентно лице - софтуерен специалист,- който да е съгласен да изготви експертиза по делото. Изводите може да направи всеки за себе си.


Самата експертиза доказа, че практически "създадената и приета от НАП "Политика по информационна сигурност" съответства на подходящото ниво на сигурност във връзка с конкретните рискове по сигурността на обработването на личните данни, но прилагането в реално време на предписанията на тази политика не е отговаряло на разписаните в Регламент /ЕО/ 2016/679 изисквания /чл.32/ и по-специално да е налице редовно изпитване, преценка на оценяването на ефективността на сигурността. Вещото лице е посочило също така в експертизата си, че при конкретния случая на теч на данни, регистриран през юли 2019 г., се касае до компрометиране на информационната сигурност от гледна точка на дублиране на голяма част от информацията чрез копирането ѝ на външен носител".


С оглед събраните доказателства по делото до подобен извод може да достигне всеки, казано на обикновен език - на хартия има много правила, механизми, регистри, комитети и т.н., но на практика те не се използват или прилагат.


На база експертизата и събраните по делото доказателства съдът правилно възприе, че са налице "незаконосъобразни бездействия, които по същността си съставляват нарушение на чл.32 от Регламент /ЕО/ 2016/679 - неизпълнение на задължението за обработване на личните данни при спазване изискванията за сигурност на обработването чрез съобразяване на достиженията на техническия прогрес, рисковете за правата и свободите на физическите лица и съответно прилагане на подходящи технически и организационни мерки за осигуряване на съобразено с рисковете ниво на сигурност".


Другият важен извод на експерта беше, че не са налице каквито и да е данни да е правен одит или стрес тест на системата за информационна сигурност на НАП. Такъв следва да се прави поне няколко пъти годишно, в зависимост от развитието на науката и световните стандарти в областта на информационната сигурност и защитата на личните данни. Всъщност в многобройните представени документи (за които ще стане въпрос по-долу) от страна на НАП, е предвидено извършването на "процес на редовно изпитване", но така и не бяха ангажирани доказателства, че такъв е правен някога.


2. Какви доказателства представи ответникът НАП? Накратко казано - почти никакви. С отговора на исковата молба бяха представени един топ разпечатки от медийни публикации, съдържащи информация за действията на прокуратурата срещу г-н Кристиян Бойков, както и публикации, описващи приходната агенция като жертва на престъпление. В отговора имаше данни за наличието на редица документи, като чрез съда задължих НАП да ги представят. Сред тях бяха: Политика по информационна сигурност; Регистър на инциденти по сигурността и др.


Тук ще отбележа две неща, които биха били комични, ако не ставаше дума за една от най-важните административни структури в страната. На първо място, на основание Политиката по информационна сигурност е сформирана Комисия по информационна сигурност. Тази комисия би следвало да заседава при важни промени, касаещи информационната сигурност, както и при компрометиране на същата. Комисията обаче не е заседавала нито след влизането в сила на GDPR, нито след констатираното неправомерно достъпване на лични данни на 5 милиона българи. Вероятно Комисията по информационна сигурност на НАП е преценила, че това не са кой знае колко значими обстоятелства, които да породят необходимост от свикването й.


На второ място, но не и по куриозност, е записът в Регистъра на инциденти по сигурността по повод теча на данни. Там на дата 15.07.2019г. е записано събитието изтичане на данни, като "информатор" се явява "Росен БАчваров"...вероятно визиран е говорителят на НАП г-н Росен Бъчваров. Показателен за подготовката на администрацията за хакерска атака е фактът, че лице, отговарящо за връзките с обществеността, е първият "усетил" пробив в системата.


Другото любопитно за записа е, че е съвсем лаконичен. Като предприети действия е отбелязано единствено "комплексна проверка и уведомяване на НЦДИИС". Прави впечатление, че експертите по сигурността на НАП са били доста по-обствоятелствени в предходни записи в регистъра, касаещи, например, прекъсване на електричеството за 30 минути в някой регионален офис на агенцията.


Във връзка с гореизложеното, правилно съдът възприема, че: "Независимо от наличието на значителна по обем документация, приета във връзка с опазване сигурността на личните данни, които администрира НАП, на практика се установява от доказателствата по делото, че същата в по-голямата си част е останала такава само с декларативен характер, като предвидените мерки и практики за защита на личните данни или не са били прилагани изобщо, или не са били прилагани в необходимия за това обем и с необходимата честота".


3. Съдът приема като неоснователно твърдението ми, че е налице и нарушение на чл.34 от Регламент /ЕО/ 2016/679 - неизпълнение на изискването за уведомяване на субекта на лични данни, без ненужно забавяне, за нарушението на сигурността на личните му данни, чрез осъществяване на ефективното информиране. Съдът приема, че НАП е предприела активна кампания по информиране на обществеността, разработила е приложение за проверка на достъпените лични данни в двумесечен срок, провела е консултации с нотариуси, съдии, органи на МВР и е публикувала достатъчно материали в медиите и на сайта си, чрез които свои действия е изпълнила изискванията на чл. 34 от GDPR.


4. Решението все още не е влязло в законна сила. В момента тече срок за обжалване. Така или иначе, за мен то изпълни до голяма степен функциите си. Чрез процеса закрепихме голяма част от фактологията по случая - по делото бяха представени и приети много документи, като е видно, че дори предвиденото от НАП не е било изпълнявано практически, какъвто е всъщност смисъла на защитата на информационната сигурност, а не да има изписани тонове мастило по темата без практически действия. Когато (и ако) решението влезе в сила, т.е. ако не бъде обжалвано или ако ВАС го потвърди, ще имаме практика, основаваща се на възможно най-много събрани доказателства, в това число и експертиза. Колеги адвокати и ищци ще имат информация относно точно кои документи биха могли да изискат, като вече е много малка вероятността да бъдат манипулирани, доколкото вече са приложени един път по гореописаното дело.


Считам, че Административният съд в Пловдив положи добросъвестно много усилия за изясняване на случая, а решението е с пълни и задълбочени мотиви, като са анализирани всички аргументи и на двете страни. Решението може да служи за отправна точка и адекватна съдебна практика както за дела по повод НАПleaks, така и по бъдещи казуси с държавни институции.


Присъдените обезщетения ще варират в зависимост от това дали са налице имуществени вреди, както и от доказателствата за понесени неимуществени вреди - болки, страдания, стрес и т.н. Степента им би могла да се доказва със свидетелски показания, експертизи, медицински епикризи. В общия случай разумно обезщетение би било в рамките на до 500 лева. Отделна тема в случая с НАП е опитът на доста граждани да "дисциплинират" институцията, като потърсят правата си по административен или съдебен ред.


Всичко, което трябва да знаете за:

Рубриката “Анализи” представя различни гледни точки, не е задължително изразените мнения да съвпадат с редакционната позиция на “Дневник”.

Ключови думи към статията:

Коментари (41)
  1. Подредба: Сортирай
  1. 1
    ****

    Коментарът беше изтрит от модераторите, защото не беше по темата на материала, за който се отнася.

  2. 2
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

  3. 3 Профил на rumen_s
    rumen_s
    Рейтинг: 1457 Неутрално

    Браво на всички съдещи НАП за този огромен гаф. Докато те си взеха премийките за добре свършена работа, а шефката им даже не си прекъсна отпуската. Толкова за отношението им към данъкоплатците които ги хранят.

  4. 4 Профил на ЗаНиЗа
    ЗаНиЗа
    Рейтинг: 2697 Неутрално

    "Тази статия е посветена на развитието на личната ми битка като гражданин и адвокат" - така и трябва да се прави, макар и да се иска много нерви и кураж. Колкото до БГ институции, те нито имат отговори, нито желание да се поучат от грешките, а най-малкото да се грижат за това, за което са предназначени - гражданите. Доколко обаче ще се трогнат от подобна "загуба" е повече от спорно. Точно заради това трябва РЕСТАРТ на системата - нови отношения с нови хора.

    Направи съд от глината, празнината вътре в него го прави полезен.
  5. 5 Профил на it4
    it4
    Рейтинг: 475 Неутрално
  6. 6 Профил на save_knforest
    save_knforest
    Рейтинг: 875 Любопитно

    Поздравления за куража и резултата от делото!

  7. 7 Профил на save_knforest
    save_knforest
    Рейтинг: 875 Любопитно

    Защо не е отбелязано, че е адвокатска реклама?
    —цитат от коментар 1 на lz2


    Г-не/г-жо по Закон адвокатите не са търговски дружества или ЕТъровци. Ерго няма как това да е реклама. Явно правните норми у нас са своеобразна тера инкогнита за герберските политици и техните тролове във форума на "Дневник".

  8. 8 Профил на lz2
    lz2
    Рейтинг: 2533 Неутрално

    [quote#7:"save_knforest"][/quote]

    Както и да го наречеш, си е чиста проба реклама на адвокатските услуги!

    ПравописА е поле за изява на неграмотните!
  9. 9 Профил на Matrix
    Matrix
    Рейтинг: 536 Неутрално

    До коментар [#1] от "lz2":Ти що не обявиш, че си гербав трол, който от старателно лизане си е заврял главата в гъза на Бок, преди всеки твой коментар
    —цитат от коментар 2 на Deinio


    Хахахаха, еб@си точното описание!
    Хахахахах, мейд май дей !

    И не е само тоя лумпен!
    Има доста такива тук, хубавото е, че те си мислят, че са оригинални и правЯТ пропаганда за вожда! А в съшност са смешно жалки мишки !

    Живеем в държава, в която Венета Райкова е написала повече книги, отколкото министър-председателят е прочел...
  10. 10 Профил на truly
    truly
    Рейтинг: 846 Неутрално

    До коментар [#9] от "Matrix":

    Не ги съди толкова строго. Предполагам, че не могат да вършат друга работа по различни причини и са приели, че ще си продават душата - гладен не се стои. Или другата категория са такива, които зависят пряко от настоящата власт за запълване на купичката.

  11. 11 Профил на стефан иванов
    стефан иванов
    Рейтинг: 693 Неутрално

    Всичко е ОК .Поздравлениа за делото.Проблема е ,че нападжиите ,ще си го преместят в другия крачол,ще си вземат боносите и за успокоение ,ще разкостят някоя малка фирма без протекции.Законите са така написани/умишлено/ ,че за дребни и средни фирми почти е невъзможно да се спазват всички изисквания и да се водят всички бумаги.А НАП се хващат и за запетайка за да пишат акт.

  12. 12 Профил на Ran Gal
    Ran Gal
    Рейтинг: 8 Неутрално

    Изнесените по делото данни за действията/бездействията на толкова важна държавна агенция в тази ситуация биха звучали като крайно хиперболизирана сатира, която щеше да звучи направо невероятно, ако не беше просто епизод пореден на "тука е така".
    А животът си продължава в ‘държавата’, в която никой за нищо не носи отговорност, но за това пък гордо се е устремила към дъното на малкото останали непокорени все още показатели. Но явно достатъчно много хора ги устройва така, харесва им даже, тъй че проблем няма, продължаваме смело напред към забвението на историята...

  13. 13 Профил на stein
    stein
    Рейтинг: 988 Неутрално

    Похвална инициатива - не че сме очаквали нещо друго от тиквите и калинките, които ръководят НАП, но друго си е бездействието да е описано в съдебно решение.

    "Свободата започва там, където свършва невежеството." Виктор Юго.
  14. 14 Профил на petrapetra
    petrapetra
    Рейтинг: 1017 Неутрално

    Поредното доказателство, че държавата не е рухнала по чудо - повсеместна престъпна безотговорност и потресаваща некомпетентност, гарнирани с безочие и арогантност. Още малко ГЕРБ.

  15. 15
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

  16. 16
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

  17. 17 Профил на fpyyh
    fpyyh
    Рейтинг: 1852 Любопитно

    @дневник - не може ли тези, които са в графата "отбягвай", да не се появяват в коментарите, които виждам? Така много бързо троловете ще останат да си говорят сами. Или няма интерес от това?

    за да разберете всичко за белодробния рак, продължавайте да пушите
  18. 18 Профил на Николай Бучков
    Николай Бучков
    Рейтинг: 5198 Разстроено

    Лоша тенденция за бъдещите данъци......

  19. 19
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

  20. 20 Профил на mitkokitkata
    mitkokitkata
    Рейтинг: 317 Неутрално
  21. 21 Профил на nzt42649448
    nzt42649448
    Рейтинг: 69 Неутрално

    И защо не е съдил хакерите-келеши, след като се знаят кои са?

  22. 22 Профил на lz73
    lz73
    Рейтинг: 1438 Неутрално

    До коментар [#21] от "nzt42649448":

    Тях би трябвало да ги съди НАП....ама нещо се мотат...

  23. 23 Профил на hodounski
    hodounski
    Рейтинг: 3131 Любопитно

    Имало Комисия по информационна сигурност , която въобще не е реагитала , ама сигурно си взимат заплатите и бонусите

  24. 24 Профил на tsvetko_51
    tsvetko_51
    Рейтинг: 1970 Неутрално

    И защо не е съдил хакерите-келеши, след като се знаят кои са?
    —цитат от коментар 21 на nzt42649448


    Хакерите келеши, както ги наричате, ги съди ържавата в лицето на известния ни какскет, а хората чиито данни са изтекли, могат и трябва да съдят тази организация, на която са предоставили своите данни ( това се изисква по закон) и която също по закон е длъжна да осигури тяхното опазване.
    Както знаем от случая и както автора е описал, ни едното, ни другото.
    Каскета за сега не е спечели делото срещу предполагаемите хакери, а НАП си го е преместил в другия крачол и началниците са си взели бонусите за "добрата" работа.

  25. 25 Профил на Dark
    Dark
    Рейтинг: 1677 Неутрално

    Респект за адвокат Ясен Крайчев.

  26. 26 Профил на НеКой
    НеКой
    Рейтинг: 1249 Неутрално

    Първа инстанция, адвокате.
    Има още две.

  27. 27 Профил на Petleshev
    Petleshev
    Рейтинг: 3182 Неутрално

    Проблемът е, че за НАП, все едно нищо не се е случило...! Толкова се впечатлиха, че най-големият началник там, даже не сметна, че трябва да си прекъсва отпуската.
    Съдът написал на един лист хартия, че НАП е виновен. Добре. Ама кой по-точно от НАП? Не се знае... За какво говорим всъщност? Вината се носи персонално. Всичко останало са общи приказки.

    Бивш tww09306483.
  28. 28 Профил на Анти Шишковци
    Анти Шишковци
    Рейтинг: 544 Неутрално

    Неработещите институции (тук влиза и местната власт) са признак на мафиотизирана държава. ГЕРБ процъфтява като следствие на завладяване на властта от простотия, която по правило е необразована, безумно алчна и лесно превземаема от мафията (в случая ДПС представлява мафията във властта). За да е по-шарена картинката, в играта влизат най-уродливите представители на гьон-суратлъка: Воля и някакви измислени патриоти. Така се получава на територията на ч*евреите и клепоу*хотел.

  29. 29 Профил на Анти Шишковци
    Анти Шишковци
    Рейтинг: 544 Неутрално

    Имах предвид червеи и клепоухи

  30. 30 Профил на hope
    hope
    Рейтинг: 3529 Неутрално

    Само благодарение на такива мъже, не съм се отчаяла съвсем от политическата обстановка в страната.

    Любовта ще спаси света!!!
  31. 31 Профил на slaveyko
    slaveyko
    Рейтинг: 258 Неутрално

    Браво за упоритостта и резултата. Дано само висшите съдебни инстанции не го осе..ат, както им е обичая.

  32. 32 Профил на Darkman
    Darkman
    Рейтинг: 1234 Неутрално

    Докато никой не носи лична отговорност в държавните институции за делата си, няма да има промяна.

    Фобиите и филиите са признак на ниско самочувствие и слугинаж
  33. 33
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

  34. 34
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

  35. 35
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

  36. 36 Профил на spalding
    spalding
    Рейтинг: 301 Неутрално

    Браво на адв. Крайчев!
    Патриотизмът не е само народни носии, хорА и знамена на определени дати. Той е ежедневна борба в името на по-добрия живот за всички съграждани и за държава майка, а не мащеха.

  37. 37 Профил на kkl38598034
    kkl38598034
    Рейтинг: 96 Неутрално

    Къде сте тръгнали срещу НАП бе? Не случайно лого на НАП е един чеп, в който е запит по-остър чеп. Цялото упражнение сега са мо постигна загуби за бюджета. А самите служители на НАП само са по настървени срещу въпросните ищци и ще си го изкарат на гражданите със "европейско" самочувствие. Нула е шанса да си изряден пред НАП.

  38. 38 Профил на chepokalipsis
    chepokalipsis
    Рейтинг: 1225 Неутрално

    2 пъти съм имал досег с хора от нап и двата пъти се държаха супер нагло и надменно. Единият ме издразни повече и му казах 2 думи на криво, че ако го бях набил, щяха да ме изкарат расист, че беше по-мургав, след 1 час имаше проверка от НАП, в централния ни офис, случайност? Не мисля... много дребни душици са се събрали там.

  39. 39 Профил на val1320
    val1320
    Рейтинг: 626 Неутрално

    НАП ли?!Едни от най-големите смешници в българската администрация!

  40. 40 Профил на lz73
    lz73
    Рейтинг: 1438 Неутрално

    До коментар [#38] от "chepokalipsis":

    Всичко е до хората...аз имах досег с НАП по повод едни стари актове от КАТ...изключително професионално и бързо решение на въпроса от служителката, на която попаднах, при това само по телефон и мейл. По-късно по друг повод се сблъсках с друга такава....ами калинка и то надменна.

  41. 41 Профил на Николай Колев
    Николай Колев
    Рейтинг: 2392 Весело

    От малки червени бубулечки с точки какво да очакваме?

    * ПКП-Прекрасна Кърджалийска Принцеса. Политкоректна формулировка на думи на министър председателя за председателя на Народното събрание




За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK