Санкцията за изтеклите лични данни: по лев на човек и глоба от единия джоб в другия

Приходната агенция бе глобена с 1.5 млн. лв. заради нерегламентираното проникване в сървърите и разпространението на личните данни на над 6 млн. българи.

© Дневник

Приходната агенция бе глобена с 1.5 млн. лв. заради нерегламентираното проникване в сървърите и разпространението на личните данни на над 6 млн. българи.



Един лев и седемнадесет стотинки - на толкова са били оценени личните данни на всеки от българите, засегнати от нерегламентираното проникване в сървърите на Националната агенция за приходите (НАП) в края на юни и последвалото изтичане на информацията в интернет. Това стана известно днес, след като Комисията за защита на личните данни (КЗЛД) обяви, че ще глоби данъчната администрация с 5,1 млн. лв. заради източените лични данни на над 6 млн. души.


Националният регулаторен орган обясни ниския размер на глобата - близо четири пъти по-малко от възможния максимум по закон, с необходимостта администрацията по-скоро да бъде насърчавана да се грижи за безопасността на данните, отколкото да бъде наказвана за пропуските. Всъщност глобата е напълно символична, доколкото нейното плащане ще завърти формално пари от държавния бюджет през няколко институции, а възможностите за възстановяване на част от сумите чрез съдебни дела води в необозримото бъдеще.


Данъчните имали грешки, но действали отговорно


"Установено е, че в неправомерно достъпената и разпространена в интернет пространството информация се съдържат лични данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани и 1 959 598 починали физически лица", съобщиха официално от Комисията за личните данни.




Наложената на данъчните санкция за най-големия случай на изтичане на лични данни в българската история е по-близка до минимума, отколкото до максимума, и се равнява на около 1/4 от максималната предвидена по закон - 20 млн. лв. Пред "Дневник" председателят на КЗЛД Венцислав Караджов обясни решението така: "Заради това, че е допуснат теч на данни, сме наложили санкция. Заради това, че в Агенцията за приходите са предприели своевременно мерки и са действали отговорно след неправомерното източване, сме наложили по-ниска санкция".


"Установили сме, че непосредствено след нерегламентирания достъп до данните приходната агенция е действала отговорно като администратор. Спряла е теча своевременно, предприела е необходимите действия, включително и анализа, който трябвало да се извърши на рисковете. Запушени са течовете и са спрени проблемните електронни услуги. Служителите са действали правилно и отговорно", допълни Караджов.


По думите му при решението е отчетено и че данните са източени с външна намеса, което води до санкция за НАП, по-близка до минимума, отколкото до максимума: "Трябва да се отчете, че данните са на много голям брой физически лица, но също така и действията, които администраторът е направил".


Глобените ще си търсят парите ... от хакерите


Малко след като беше обявен размерът на глобата данъчните обявиха, че актът на комисията за установяване на административно нарушение е оспорен в законовия срок пред съда и че ще обжалват както акта за извършено нарушение, така и размера на самата глоба. Мотивът - че кражбата на данни и публичното им оповестяване са резултат от действия, които представляват престъпление по смисъла на Наказателния кодекс, извършено въпреки предприетите от НАП мерки за защита.


Ако актът и глобата бъдат потвърдени окончателно от съда, парите трябва да бъдат платени незабавно или пък с лихви в зависимост от забавянето. "Не мога да предрека какво ще бъде решението, но мога да кажа, че повече от 80-90% от решенията на комисията се потвърждават от съда", коментира Караджов пред "Дневник".


От приходната агенция дадоха да се разбере, че обмислят да възстановят дължимата сума от дело срещу извършителите на хакерската атака. Кои са те обаче на този етап не може да се каже, доколкото няма влязла в сила присъда, а разследването по случая срещу фирмата "ТАД груп" продължава. В момента обвинения за кибертероризъм имат трима души от компанията - собственикът Иван Тодоров и административният директор Георги Янев са обвинени като подбудители на сочения за извършител служител във фирмата Кристиян Бойков. Разследващите вече казаха, че знаят кой е поръчителят, но той все още не е публично обявен.


Как глобата ще умножи делата


Ако намерението за завеждане на иск срещу "ТАД груп" се осъществи, то неминуемо ще увеличи броя на водените съдебни дела около теча на данни.


Според юристи, за да тръгне на дела, приходната администрация има два варианта. В първия тя може да бъде конституирана като пострадала страна по наказателното дело, ако обвинението срещу "ТАД груп" изобщо бъде внесено в съда и магистратите приемат, че допълнителния граждански иск няма да затрудни самия процес срещу извършителите.


Вторият вариант е агенцията да заведе отделно гражданско дело, което обаче може да бъде успешно единствено ако има осъдителни присъди по наказателното дело. Макар до момента да представя случая като практически изяснен (включително чрез трикратното публично огласяване на извадки от документи, представени като доказателства по разследването срещу "ТАД груп"), прокуратурата ще трябва да събере също достатъчно и убедителни доказателства за престъплението, за да може обвинението да издържи и в съда, при това на всички инстанции.


Дори НАП да успее да спечели в тази съдебна процедура, то това би могло да се случи след години предвид дългите процедури и срокове за обжалване.


Междувременно адвокатите на задържаните обявиха, че "ТАД груп" - чрез регистрирана в Калифорния (САЩ) компания, чието поделение е българската фирма, планира да заведе искове във Вашингтонския търговски арбитраж срещу България по конвенцията за защита на чуждестранните инвеститори, тъй като целият бранд страда. Става въпрос за шест-седемцифрена сума, която ще бъде поискана от държавата, съобщи преди две седмици адвокат Героги Стефанов, който защитава Иван Тодоров.


Бюджетни пари тук, бюджетни пари там


И ако делата за обезщетения са по-скоро в далечното бъдеще, то плащането на глобата може да се наложи да се извърши доста по-скоро. От изявленията на представителите на властта обаче изглежда, че то ще е по-скоро
символично и парите ще се прехвърлят от една институция в друга.


При потвърждение на санкцията данъчните трябва да платят глобата с пари от бюджета, които се събират от данъците, включително и на пострадалите, чиито данни бяха източени неправомерно и разпространени. Преди дни финансовият министър Владислав Горанов увери, че НАП има достатъчно средства в бюджета си, за да плати глобата, без да се налага дофинансиране на бюджета. Уточни също, че за да се осигурят пари, няма да се налага орязване на бонуси или заплати на данъчни служители.


"Това ще бъде нетна операция", заяви Горанов, и допълни: "Това няма да се отрази на бюджета, ще се отрази на съдбата на тези терористи, които атакуваха системата..." Вчера "Дневник" не успя да се свърже с представител на приходната агенция, който да обясни от кое перо ще бъдат осигурени средствата за наложената санкция.


От глобата не може да се възползва и Комисията за личните данни, която я налага, показа проверка на "Дневник". "Сумата не може да бъде използвана за нищо от нас. Имаше възражения от неправителствени организации, че комисията може да налага високи санкции, за да си попълва бюджета. Комисията не може да използва сумите от глоби, които постъпват в нейния бюджет, освен за посочените в закона за публичните финанси цели. Нито една от тях не е приложима и тези глоби отиват директно в централния бюджет", обясни Венцислав Караджов.


Къде е отговорността – личната и на институциите


"Законът за защита на личните данни не включва случаи на търсене на отговорност от физически лица. Законът е насочен към превенция за самите администратори, към фирмите и организациите, които събират нашите лични данни, за да разберат, че данните не само се събират, но и те трябва да се пазят", коментира вчера председателят на Комисията за личните данни.


Венцислав Караджов е оптимист, че след публичния скандал нещата ще се променят. "Начинът на мислене на висшия мениджмънт ще се промени както в публичния, така и в частния сектор. Това показва много ясна тенденция, че ако не се промени начинът на мислене и по-стриктно прилагане на правилата, проблемите ще продължат в съответните сектори и тогава максимумът на санкциите ще бъде неизбежен", каза Караджов.


Дни след като избухна скандалът, изпълнителният директор на Националната агенция за приходите Галя Димитрова уволни ръководителите на звената за информационните системи и за информационна сигурност на приходната администрация. Самата тя тогава заяви, че няма намерение да подава оставка.


Окончателно: какви данни са изтекли


В решението за глобата Комисията за личните данни описва детайлно изтеклите лични данни. Според документа става дума за имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през "Български пощи" АД, както и данни за поискан и възстановен ДДС, платен в чужбина.


Комисията е отправила и предписания, които приходната агенция трябва да изпълни в следващите 6 месеца, като предприеме "подходящи технически и организационни мерки в контекста на действащото законодателство за защита на личните данни".


От комисията съобщиха още, че след решението няма да се произнасят по всяка индивидуално подадена жалба на граждани за злоупотреба с лични данни след източването на базите на НАП: "Фактът, че тези данни са изтекли в публичното пространство, не означава автоматично, че с тях е извършена злоупотреба, доколкото злоупотребата предполага извършването на допълнителни действия, представляващи сами по себе си отделни престъпления".


Данъчните ще дават и подробности за изтеклите данни


От Агенцията за приходите пък обявиха, че от следващата седмица ще бъде възможно да се направи справка какви лични данни на хората са изтекли. Проверката ще се прави чрез персонален идентификационен код, издаден от приходната агенция, с електронен подпис или в офисите на НАП след представяне на лична карта.


11 дни след изтичането на личните данни приходната агенция пусна приложение, в което всеки може да провери дали личните му данни са сред източените след хакерската атака. То е достъпно на страницата на агенцията.


Всичко, което трябва да знаете за:
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK