Изпълнила ли е Националната агенция за приходите (НАП) задълженията си за опазване на данните на гражданите, които ѝ вменява Общият регламент за защита на личните данни (GDPR). Това питат юристи и експерти от Асоциацията за защита на личните данни в заявления за достъп до обществена информация до шефката на НАП Галя Димитрова, министъра на финансите Владислав Горанов и до председателя на Комисията за защита на личните данни (КЗЛД) Венцислав Караджов, като настояват отговорите да бъдат огласени публично, защото се дължат на цялото общество (пълния текст на заявленията виж тук и тук).

Питането идва след атаката в НАП, довела до изтичането на данни на 5 милиона граждани и фирми.

Междувременно шефът на „Компютърни престъпления“ в ГДБОП Явор Колев съобщи пред Нова телевизия, че вчера следобед е задържан заподозрян за атаката на сървърите на НАП. Той обяви, че арестуваният е на 20 години, открит на работното му място в компания за киберсигурност, където работата му била свързана с това да тества системи за уязвимости. Претърсени са офисите на компанията, както и домът му, откъдето са иззети множество устройства и носители на информация.

„Направените тази нощ експертизи сочат, че той е съпричастен към пробива в системата“, заяви Колев, като подчерта, че предстои много работа и към момента не може да се каже със сигурност дали това е извършителят или дали е действал самостоятелно. По думите му той не за пръв път прониква неправомерно в информационна система и е заставал и от двете страни на закона – бил е „и бял, и черен хакер“.

Междувременно премиерът Бойко Борисов нарече хора, като задържания хакер „вълшебници“, които трябва да бъдат привлечени да работят за държавата и в помощ на службите. И поръча на Владислав Горанов да помисли как да стане това. От младата възраст на заподозрения за атаката в НАП пък заключи: „Образованието ни става все по-добро“. 

 Имаме истински вълшебници. Много млади и кадърни. Вчера задържахме един от хората. Той ако работи за държавата…

каза премиерът. И продължи: „Много е важно за такива деца да имаме възможност да им плащаме повече, за да ги ползват службите и ние самите, за да не ни нанасят такива щети и след това да им се повдигат обвинения, а да ги привлечем в полза на държавата“, добави Борисов.

И дори определи атаката като своеобразен младежки бунт. „Това е един вид бунтарско, да докажеш, че можеш да преодолееш системите“, каза Борисов, като поясни, че такива случаи има в САЩ и в други страни.

Въпросът дали НАП е спазила изискванията на GDPR вече беше поставен пред Комисията за защита на личните данни, като вчера председателят ѝ напомни, че агенцията е заплашена от глоба до 20 млн. евро, но даде знак, че няма да се бърза със санкциите, тъй като е по-важно да се инвестира в решаване на проблема.

Общият регламент за защита на данните обаче е в сила от 25 май 2018 г. и още от тогава той вменява сериозни задължения на всички администратори на лични данни. Именно за тяхното изпълнение поставят въпроси и настояват отговорите им да станат всеобщо достояние от Асоциацията за защита на личните данни.

„Личните данни са само лични. GDPR е ясен и категоричен в това отношение. Тяхното опазване трябва да е приоритет, а предприетите мерки за защита – да са подходящи и основани на оценка на рисковете и оценка на въздействието върху физическите лица. Тези оценки обикновено се извършват от компетентни експерти, а МФ и НАП са били длъжни да ги направят предварително съгласно GDPR. Как те са изпълнили това свое задължение?“, питат от асоциацията.

От там обясняват, че предоставянето на тази информация на разположение на гражданите да се счита за добра практика, информация за оценките на въздействие, извършени от МФ и НАП липсва. Информация за това дали след тези оценки са провеждани консултации с надзорния орган – КЗЛД, също няма.

Освен това от асоциацията настояват на интернет страниците на МФ и НАП да бъде публикувана информация за това какъв е процесът в двете институции за мониторинг по GDPR, честотата на проверките, приложените мерки, предприетите действия и основните констатации и препоръки, отправени към тях като администратори на лични данни от страна на длъжностните им лица по защита на данните. Като искат информация и за това какво са направили тези длъжностни лица по защита на данните във връзка пробива, довел до изтичането на чувствителни данни за милиони граждани и фирми.

„В съответствие с подхода, базиран на риска, предвид естеството, мащаба и броя засегнати лица, настояваме на основание чл. 14, ал. 2 от ЗДОИ МФ и НАП да публикуват на Интернет страниците си и анализ и оценка на евентуалните рискове за правата на субектите на данни, които могат да се реализират в резултат на настъпилия инцидент, за да могат тези рискове да бъдат разпознавани от физическите лица и те да могат да се предпазят от тях“, пишат от Асоциацията за защита на личните данни.

От шефа на КЗЛД те искат информация за това дали от влизането в сила на GDPR комисията е получавала искания от Министерството на финансите или НАП за извършване на предварителни консултации (по чл. 36 от регламента) във връзка с констатирани рискове и извършени оценки за въздействие. Ако е имало такива, какви са основните констатации и препоръчаните мерки от КЗЛД.

Самият Венцислав Караджов заяви пред БНР, че теоретично, всеки засегнат може да предяви претенции за това, че са били разпространени неправомерно личните му данни „Въпросът е, че той трябва да докаже конкретен интерес, конкретно нарушение на неговите права, от които са се породили неговите претенции – имуществени или неимуществени. Самият теч на информация би следвало да доведе до санкция за администратора, но той не значи, че личните данни на физическото лице ще бъдат допълнително обработени, което да доведе до неблагоприятни последици за самото лице“, обясни той.

И каза, че „на НАП ще бъде наложена имуществена санкция за бездействие, а в правото има основен принцип – че два пъти за едно и също нарушение не може да се наложи санкция“. КЗЛД ще провери и доколко правилата на НАП за обработване на лични данни, обучението на хора, организацията и техническите мерки, които са взети, отговарят на анализираните рискове.

13
Коментирайте

avatar
нови хронологично най-добре оценени
Обичайните заподозрени
Обичайните заподозрени
18 юли 2019 16:59
Гост

Изобщо не се връзвайте на цацаратурските номера. Този е натопен, няма никакви релани доказателства срещу момчето. Целият театър, който виждаме е манипулативна схема, целяща да даде неограничен и непроследим достъп до база данни за всички български граждани. Държавата е илюзия, а организираната престъпност вече е практически непобедима и всички сме нейни заложници.

Анонимен
Анонимен
17 юли 2019 16:36
Гост

И фейса се срина. Дали не е бунт на някой вълщебник.

Костадинов
Костадинов
17 юли 2019 12:00
Гост

Ха, виждате ли какво казва Караджов – че на практика гражданите не могат да съдят НАП, защото КЗЛД изпреварващо ще глоби данъчните за бездействие и не можело две глоби за едно и също нещо. Ето как ще ги пожалят, гадове!

Макаренко
Макаренко
17 юли 2019 11:56
Гост

Наличието на такъв вълшебен хакер въобще не е признак на добро образование у нас. И в случая не е правилно младежът да се поощрява.

Анонимен
Анонимен
17 юли 2019 12:01
Гост

Какъв бунтар, бе човек? Защо се прицели точно в НАП. Чак и списък на магистрати си спретна за нула време.

неизвестен
неизвестен
17 юли 2019 12:53
Гост

Напротив младежа трябва да получи златен медал за извършеното. Когато такива младежи влязат да работят за държавата и се спре със роднинските назначения, които внедряват некадърни кадри тогава вече ще има работеща и сигурна система. Така, че браво на момчето, ако то е хакнало тази некадърно направена система.

Възмутен
Възмутен
17 юли 2019 11:21
Гост

А, ясно – целият лийк ще се окаже младежки бунт. Егати манипулаторите! 5 милиона граждани останаха беззащитни, а премиерът се умилява от някакъв набеден хакер. Нямам думи!

Гейтс
Гейтс
17 юли 2019 11:07
Гост

С този 20-годишен хакер само ни хвърлят прах в очите. Ако се окаже истина, още по-лошо – някакъв келеш срутва държавата с няколко клика. Защото като чета обясненията как е станал пробивът, излиза, че е елементарна уязвимост – ненаправен ъпдейт, незапушен порт, пароли и юзъри по подразбиране…

Анонимен
Анонимен
17 юли 2019 10:48
Гост

Не съм съвсем сигурен, че НАП е изпълнила задълженията си по GDPR. Виж, ако става въпрос те да следят за неизпълнение на задълженията- гонят до дупка.

Анонимен
Анонимен
17 юли 2019 10:46
Гост

КЗЛД колкото и да увърта, ще трябва да глоби Министерството на финансите, защото са нарушили GDPR по всякакъв начин и това е очевидно. Не знам какви доказателства за предприети преди инцидента мерки ще скалъпят/фалшифицират, но и без тях са нарушители. Тъпото е, че глобата за МФ и НАП ще я платим всички пострадали.

Анонимен
Анонимен
17 юли 2019 10:32
Гост

Шефът на КЗЛД Караджов се гърчи като червей на въпроса дали НАП ще бъдат глобени. Не бивало да бъдат притеснявани точно сега. А ние гражданите какво да правим? Не сме ли притеснени, ощетени и изложени на много по-голям риск, отколкото институциите?

Някой
Някой
17 юли 2019 10:29
Гост

Браво на тази асоциация, това са правилните въпроси. Отговорите ще покажат дали МФ и НАП въобще са си мръднали пръста.

Анонимен
Анонимен
17 юли 2019 10:30
Гост

От сега е ясно, че не са. Твърде са велики, за да изпълняват изисквания и регламенти, които иначе натрисат на всички граждани и фирми.