Съдът потвърди глобата от 5,1 млн. лв. за НАП след големия теч на лични данни
Софийският районен съд (СРС) потвърди глобата от 5,1 млн. лв., която Комисията за защита на личните данни (КЗЛД) наложи на Националната агенция за приходите (НАП) след големия теч на лични данни през 2019 г.
Съдия Ангел Павлов потвърждава изцяло наказателното постановление.
Както „Лекс“ писа, в началото на година Административен съд – София-град пък категорично прие, че НАП е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица, но е бездействала (повече виж тук).
От решението на СРС става ясно, че едно от основните нарушения на сигурността на данните в НАП е, че е използван HTTP протокол за връзка, вместо сигурен HTTPS протокол. Съдът е изслушал и заключение на експертиза по тези въпроси.
Останалите констатирани уязвимости са свързани с използване на неактуални версии на сървърите за приложения и бази данни и персонални компютри, при положение че имало публикувани уязвимости на съответния софтуер в по-новите му версии, където те вече били отстранени. Имало е възможност за публикуване в интернет на вътрешни адреси, наличие на пароли в явен вид в базите данни, липса на криптиране на връзките за достъп и обмен във вътрешния сайт на НАП.
„При всяко положение налице било използване на несигурния протокол HTTP за обмяна на данни с други държавни учреждения като Агенция „Митници“, които ползвали такъв протокол, но не и HTTPS, съответно с тях комуникация не можело да бъде осъществявана чрез ползване на HTTPS протокол, но към 15.07.2019 г. от страна на НАП не било предприето нищо, което да представлява сигнализиране на длъжностни лица, компетентни да предприемат необходимите мерки за това съответните други учреждения да ползват не несигурния HTTP протокол, а сигурния HTTPS протокол, в комуникацията си с НАП“, се казва в решението.
Съдът обаче пише, че не може да бъде направен несъмнен извод за причинно-следствена връзка между констатираните слабости в дейността на НАП и нерегламентирания достъп до данни, какъвто иначе е направила комисията, когато е санкционирала агенцията. Но в решението е изрично отбелязвано, че такава връзка не е нужно да бъде направена, тъй като НАП е била длъжна да защитава данните, независимо дали е настъпило увреждане. В този смисъл съдът се позовава на задължението по чл. 32 от Регламент (ЕС) 2016/679.
Относно размера на глобата съдът пише, че тя е минимална, като отбелязва, че би я завишил, но няма това право. В решението се казва, че предвид обема, значимостта и чувствителността на застрашените данни, размерът на санкцията „се явява силно (явно) занижен… но съдът не разполага с правомощие да увеличи нейния размер“. Съдът подчертава, че няма и никакви основания да намали глобата, а още по-малко да приеме случая за маловажен и да не наложи такава.
„Налага се да бъде напомнено, че в крайна сметка достатъчно основание за санкциониране се явява самото неприлагане на съответните подходящи технически мерки, а не осъществяването на нерегламентирания достъп до лични данни. Напълно несъмнено и безспорно е, че НАП обработва и е обработвала и към 15.07.2019 г. лични данни по смисъла на горепосочения регламент, отнасящи се до при всяко положение много значителен брой живи физически лица и за – най-просто казано – опазването на тези лични от нерегламентиран достъп е следвало да бъдат предприети съответните подходящи технически мерки“, се казва в заключение в решението.
20
Коментирайте
Много интересно, сега в НАП от перо „Разходи“ ще прехвърлят тия пари в перо „Събрани публични задължения“ 🙂
Най-продаваният продукт за отслабване в света! Килограмите наистина изчезват без диета и спорт, резултатите са видими след седмица. Помогна на мен и съпруга ми и ще помогне на вас, взех го с отстъпка тук:––> https://paply.org/keto
Сега за погасяването на тази глоба от ДМС-то на Спецката ли ще се вземат пари, че май по това перо НАП имат свободни средства.
Това няма никакво значение. От една бюджетна сметка – в друга. Въпросът е кой лично ще понесе отговорност за този огромен гаф!
Както винаги никой, или някоя дребна риба.
Тресе ме нервата, като чета тия неща!
Да събират тия 5 милиона от Влади Горанов, че той е назначил шефа на НАП по онова време. Не го е назначила баба ми.
Гледайте сега сеир как никой в ръководството на държавата НЯМА да поеме никаква вина. Но бас ловя, че ако това се случеше сега, щяха да надуят тръбите на Йерихон да ни крещят как ПП/ДБ са виновни за всичко, за всемирния глад също! Мерзавци!
Путин е виновен, много ясно. Пеперастите и Даукраинците са светии. Отде ви събират такива..
Да живеят калинките на ГЕРБ
Още си летят безгрижно за съжалвние.
Не се плашете и за този проблем ще обвиним Денков и Асен Василев, че така е по-лесно
Пу, да му се невиди, сега ще събират още по-усърдно данъци.
Пак на нашия г*з се пише ама ней се.
То затова е важно да избираш разумно и след премисляне решение кой да те управлява. Защото като избереш дебили те назначават дебили. И последните дебили правят така, че изтичат данни от НАП, а после освен, че са ти взели данните и могат да правят с тях каквото си искат – наказват НАП с 5 милиона. Обаче НАП няма лични пари, а работата и е да събира пари от нас. Следователно ние ще плащаме за глупостите на НАП. Едва ли шефа на НАП по онова време ще извади 5 милиона лично финансиране. Ама пак идете в неделя и си изберете ГЕРБ… Покажи целия коментар »
От къде ще ги вземат ?
От Левски
От джоба на данъкоплатеца.
А така
Може ли номера на делото в СРС?