Националната агенция за приходите (НАП) е виновна за безпрецедентния теч на лични данни от масивите ѝ през 2019 г., тъй като не е предприела необходимите мерки за защита, с които е можело да предотврати хакерската атака. Това е изводът от делото в Административния съд – София-град (АССГ), което НАП заведе срещу Комисията за защита на личните данни (КЗЛД), съобщи "Лекс".
КЗЛД констатира преди три години и половина, че приходната агенция е бездействала по отношение на опасността от изтичане на лични данни и издаде 20 предписания, които НАП обжалва в съда. С решението си съдия Антоанета Аргирова потвърждава почти всички разпореждания на КЗЛД – отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г., когато публично бяха разпространени ЕГН на над 5 млн. български граждани.
Предписанията задължават НАП да предприеме подходящи технически и организационни мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите, както и да предвиди достатъчно рестриктивни мерки за достъп до базите данни, като те да не се достъпват с прекомерни права от привилегированите потребители. Освен това приходната агенция трябва да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, използвани еднократно, и стратегия за криптиране на данни от архивни справки. КЗЛД иска също НАП да актуализира длъжностните характеристики на служителите си с включени клаузи, касаещи обработването на лични данни.
Приходната агенция обаче се жалва пред съда, че дадените разпореждания са "много общо формулирани и непълно дефинирани, което създавало неясноти и препятствало тяхното изпълнение". Също така срокът от 6 месеца за тяхното изпълнение бил прекалено кратък, тъй като се изисквало провеждането на процедури по Закона за обществените поръчки.
В крайна сметка административният съд стига до заключение, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в Общия регламент за защита на данните. "И двете вещи лица по трите експертизи със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", пише в решението си съдия Аргирова.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност.
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП“, посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.
ДЕЛОТО СРЕЩУ ГЛОБАТА
Делото на НАП срещу глобата в размер на 5,1 млн. лева, която ѝ беше наложена от КЗЛД през 2019 г., остава блокирано на първа инстанция в Софийския районен съд повече от 3 г. заради техническа експертиза. На последното заседание съдът реши да даде срок до 26 април 2023 г. да бъде изготвено заключение на вещите лица дали приходната агенция е предприела адекватни мерки за защита на информационните си масиви преди "НАПлийкс". На няколко пъти делото се отлагаше заради това, че нямаше кой да извърши прословутата експертиза. После агенцията за приходите изрази становище, че е нужно повече експерти, а не само един, да дадат становище дали е положила адекватни мерки за защита от хакерска атака. Съдът се съобрази, като вече се очаква петорна техническа експертиза.