Хакерите ще платят глобата на НАП - този хепиенд е невъзможен
" Дневник " разгласява мнението на неправителствената организация Асоциация за отбрана на персоналните данни по декларираното от Националната организация за приходите (НАП) желание да апелира наложената й санкция поради приключването на персоналните данни на над 5 млн. български жители в края на юни. Автор е ръководителят на асоциацията Юлия Пригонча - правист, сертифициран управител по въвеждане и ръководство на стратегии за отбрана на персоналните данни. Заглавието е на редакцията.
На 29 август стана ясно, че против Националната организация за приходите е издадено наказателно разпореждане, с което на институцията е наложена имуществена глоба от 5.1 млн. лева от Kомисията за отбрана на персоналните данни (КЗЛД).
Според оповестената публична информация на уеб страницата на КЗЛД, повода е, че " при реализиране на активността си, организацията в качеството ѝ на админ на персонални данни, не е приложила подобаващи механически и организационни ограничения, вследствие на което е сбъднат неоторизиран достъп, неразрешено откриване и разпространяване на следните категории персонални данни на физически лица: имена, ЕГН и адреси на български жители, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни заявления на физически лица, данни от справките за изплатени приходи на физически лица, данни от осигурителни заявления, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лекуване на гражданите), данни за издадени актове за административни нарушавания, данни за осъществени заплащания на налози и осигурителни отговорности през " Български пощи " АД, както и данни за пожелан и възобновен Данък добавена стойност, заплатен в чужбина. "
На уеб страницата си Национална агенция за приходите направи изказване в следните насоки:
I. Изрази противоречие с издадения акт, като по тази причина е подхванала следното:
" Актът за определяне на административно нарушаване, формиран против Национална агенция за приходите от КЗЛД, е оспорен в законовия 3-дневен период. Наказателното разпореждане, с което комисията постанова глоба в размер на 5,1 млн. лева, също ще бъде обжалвано пред съда. "
Главният претекст за оспорването на акта на КЗЛД е " че неоторизираният достъп, кражбата на данни и последващото им обществено обявяване са резултат от дейности, представляващи закононарушение по смисъла на Наказателния кодекс, осъществени без значение и макар подхванатите от Национална агенция за приходите механически и организационни ограничения за отбрана. "
С други думи, Национална агенция за приходите стимулира оспорването на издадения й акт с две съображения. Първото е, че случаят е станал заради " дейности, представляващи закононарушение ", осъществени от трети лица.
Това не би могло да е издържано съображение. Законодателството за отбрана на персоналните данни задължава админите за съответно държание и изискуем резултат. Ето за какво това, че в следствие от неспазване на законодателството недобронамерени лица могат да бъдат улеснени да осъществят кражбата на данни,
не съставлява мотив за освобождение от налагане на глоба
на админа заради нарушение на регламента от самия админ. Санкциите във връзка със отбраната на персоналните данни се постановат на админа поради неспазване на законодателството.
При установяване на глобата се вземат поради и насоките на работната група по член 29, която е европейски самостоятелен съвещателен орган, трансформиран в Европейски ръб за отбрана на персоналните данни. При налагането на глобата се регистрира подхванатото от страна на админа на разнообразни стадии - преди обещано нарушаване, както и след него. Действията на трети лица не са предмет на наказателно-административната процедура.
Вторият претекст, посочен от Национална агенция за приходите за оборване на акта, е, че случаят е станал " макар подхванатите " ограничения от нейна страна.
Не знаем какво визират от приходната организация под " подхванати ограничения ". Можем да разясняваме единствено публично обявената информация или да предоставим разбор на публично получени документи, като, съгласно обществено наличните източници (някои от тях предоставени от самата НАП)
подобаващи ограничения по запазване на данните от страна на Национална агенция за приходите преди случая са липсвали
В тази връзка:
1. Мотивът за налагане на глобата от КЗЛД е липса на приложени " подобаващи механически и организационни ограничения " . Тази констатация стимулира надзорния орган, с изключение на да наложи глоба, да задължи Национална агенция за приходите под формата на корективна мярка, да предприеме редица ограничения по привеждане на активността си в сходство със законодателството.
2 . Според публично изказване от страна на представител на КЗЛД по Би Ти Ви по въпроса за киберсигурността на Национална агенция за приходите " най-общо, не е направено нищо ".
3. Спроред разбори и обществени мнения на специалисти, осведомителната сигурност на Национална агенция за приходите е на ниско равнище и липсва експертиза.
4. В предоставения отговор от Национална агенция за приходите по Закона за достъп до социална информация, в отговор на питане от Асоциацията за отбрана на персоналните данни, се установи, че Национална агенция за приходите не е направила оценки (на риска, на въздействието). Интересен факт, на който се натъкнаха специалистите по отбрана на данните в този отговор, е позоваване в директива на Национална агенция за приходите на неотносима за организацията глава от закона. Тази констатация е тревожна и като че ли прокара мисълта в експертната общественост (след проблема с рождената дата като втори идентификатор към ЕГН), че неналичието на експертиза в организацията е сериозна и визира освен ИТ-специалистите на Национална агенция за приходите, само че и правния й екип.
Накратко, посочените от приходната организация претекстове за оборване на акта от КЗЛД не кореспондират с правната просвета и фактическата реалност.
Да разгледаме и друга догадка, при която при обжалване на наказателното разпореждане Национална агенция за приходите уточни други причини и резултатът от делото е позитивен за нея. Въпреки, че нямаме всички обстоятелства и данни, нито разполагаме с оригинали на актовете, подобен сюжет чисто юридически е вероятен - да вземем за пример, заради фиктивен недостатък на акта и така нататък Тези учредения са изчерпателно посочени в законодателството.
По-интересното в тази ситуация е какво би означавал подобен резултат, видяно през призмата на едно законодателство, защитаващо фундаментални човешки права, както и имайки поради публично известната фактическа конюнктура към теча на данните и равнището на подготвеност на институцията да опазва данните. Подобен сюжет (предвид голям брой доказателства дотук за неспазено законодателство по запазване правата на субектите на данни от страна на НАП) би означавал единствено едно само нещо - едни обществени средства няма да бъдат преместени от левия в десния джоб. Това не би трансформирало обстоятелството на изтеклите данни.
Действително, поради спецификата на админа (а точно: обществен орган), за специалистите, работещи в тази сфера заплащането на самата глоба, а и самият й размер, не са главният фокус поради интервенцията, обвързвана с това - пренасяне на средства от едно място на друго. Това го споделяме, тъй като ненужно се дискутира, че глобата била ниска, по левче на физическо лице.
Санкцията е задоволително сериозна и може би е една от дребното високи имуществени наказания,
наложени в страната за нарушение на закон. Важното е да разберем сериозността на законодателството и сериозността на следствията за жителите, които могат да настъпят при сходно нарушение на закона.
Сериозността на следствията проличава и от опцията сходни закононарушения да бъдат квалифицирани като закононарушения, с които могат да се удовлетворят структурите на наказателното право за тероризъм. Тази подготовка, прочее, повдига още веднъж въпроси към неизвършените оценки на риска: откакто едни данни са дотам скъпи и огромни по своето естество, че е допустимо при нарушаването на тяхната дискретност да се извършат и терористични действия, с какви ограничения са били защитавани те?
II. Осъждането на виновниците за кражбата и разпостраняването на данните
Според формалния текст, оповестен на уеб страницата на Национална агенция за приходите, там " обмислят и предприемането на правосъдни дейности по отношение на причинителите на хакерската офанзива против сървърите на организацията, като е допустимо както присъединението на организацията в наказателното произвеждане, по този начин и воденето на гражданско дело. Така финансовата рекламация в размер, покриващ наложената на приходната организация имуществената глоба, ще бъде ориентирана към причинителите на незаконното посягане. "
Това желание чисто теоретично е една правна опция и механизъм за приемане на обезвреда. Възниква въпрос, обвързван с обещаното на жителите, че по този метод " финансовата рекламация в размер, покриващ наложената на приходната организация имуществената глоба, ще бъде ориентирана към причинителите на незаконното посягане. "
Това, колкото и да наподобява успокояващо за жителите и евентуален хепиенд за Национална агенция за приходите, няма юридически и в действителност пиедестал, с цел да се осъществя.
Защо Национална агенция за приходите прави сходни обещания? Лош пиар ли е това, или експертна неточност?
По настоящото законодателство всеки е задължен да поправи вредите, които отговорно е предизвикал другиму. Обезщетение се дължи за всички вреди, които са директна и непосредствена последица от увреждането. В съответния случай това значи, че Национална агенция за приходите, като повредена от хакерската офанзива институция, фактически може да претендира вреди от тези, за които се потвърди, че са й ги предизвикали.
Претендирането на вреди обаче не би могло да покрие размера на наложената имуществена глоба за неспазване на закона. Фактът, че в резултат на хакерската офанзива непозволено са били публикувани данни, е другата страна на монетата. Лицата, за които се потвърди, че са отговорни за осъществяване на незаконното действие, подлежат на наказателна отговорност. От тях обаче не може да се търси отговорност за неспазване на закона от страна на обществен орган, за което е наложена парична глоба.
Ето ви житейски образец, илюстриращ догадка, сходна на проблема с Национална агенция за приходите – не подавате данъчна декларация и по някаква причина, това остава неустановено от тези, които надзирават спазването на данъчното законодателство. Дотук добре, единствено че решавате да споделите този факт в преписка с ваш непосредствен. Същевременно ваш комшия, който без ваше познание " следи " кореспонденцията ви, го схваща и подава сигнал против вас пред данъчните органи. В резултат бивате глобен от Национална агенция за приходите. Бихте ли имали опция по закон да осъдите съседа да ви заплати наложената санкция заради неподадена декларация? Разбира се, че не, това звучи неуместно. Това, което можете да извършите, е вероятно да предприемете дейности за ангажиране наказателната отговорност на това лице за осъществените от него незаконни дейности. Предявяването на рекламация за обезвреда на вероятно породени ви вреди обаче ще е въпрос на друго произвеждане, което няма да има общо с наложената ви глоба заради неспазено от вас законово обвързване за неподадена данъчна декларация.
Т.е. това, което следва да се разграничава ясно в съответната обстановка с Национална агенция за приходите, са следните две съществени условия:
1. Неспазване на законодателството за отбрана на персоналните данни , упражняването на корективни пълномощия и налагане на имуществена глоба от страна на надзорния орган;
2. Кражбата на данни и тяхното непозволено разпространяване в общественото пространство.
Темата фактически продължава да се заплита от ден на ден и повече в неверна посока. Тревожно, с изключение на към този момент настъпилия отрицателен резултат с нарушаването на конфиденциалността на данните, е и държанието на Национална агенция за приходите. Самата организация в тази обстановка дава заблуждаващ образец на другите админи. Национална агенция за приходите безусловно декларира, че в случай че някой открадне информация, следва да се подхващат дейности по наказание на " крадеца ", като без значение е дали са били подхванати ограничения за отбрана или не против сходно посягане. Това може да дискредитира освен работата на локалния контролен орган по отбрана на данните, на специалистите, които работят непрекъснато, с цел да са в крайник със законодателството и се борят за опазването на поверителността като фундаментална човешка полезност, това дискредитира философията и на европейското законодателство за отбрана на персоналните данни.
На 29 август стана ясно, че против Националната организация за приходите е издадено наказателно разпореждане, с което на институцията е наложена имуществена глоба от 5.1 млн. лева от Kомисията за отбрана на персоналните данни (КЗЛД).
Според оповестената публична информация на уеб страницата на КЗЛД, повода е, че " при реализиране на активността си, организацията в качеството ѝ на админ на персонални данни, не е приложила подобаващи механически и организационни ограничения, вследствие на което е сбъднат неоторизиран достъп, неразрешено откриване и разпространяване на следните категории персонални данни на физически лица: имена, ЕГН и адреси на български жители, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни заявления на физически лица, данни от справките за изплатени приходи на физически лица, данни от осигурителни заявления, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лекуване на гражданите), данни за издадени актове за административни нарушавания, данни за осъществени заплащания на налози и осигурителни отговорности през " Български пощи " АД, както и данни за пожелан и възобновен Данък добавена стойност, заплатен в чужбина. "
На уеб страницата си Национална агенция за приходите направи изказване в следните насоки:
I. Изрази противоречие с издадения акт, като по тази причина е подхванала следното:
" Актът за определяне на административно нарушаване, формиран против Национална агенция за приходите от КЗЛД, е оспорен в законовия 3-дневен период. Наказателното разпореждане, с което комисията постанова глоба в размер на 5,1 млн. лева, също ще бъде обжалвано пред съда. "
Главният претекст за оспорването на акта на КЗЛД е " че неоторизираният достъп, кражбата на данни и последващото им обществено обявяване са резултат от дейности, представляващи закононарушение по смисъла на Наказателния кодекс, осъществени без значение и макар подхванатите от Национална агенция за приходите механически и организационни ограничения за отбрана. "
С други думи, Национална агенция за приходите стимулира оспорването на издадения й акт с две съображения. Първото е, че случаят е станал заради " дейности, представляващи закононарушение ", осъществени от трети лица.
Това не би могло да е издържано съображение. Законодателството за отбрана на персоналните данни задължава админите за съответно държание и изискуем резултат. Ето за какво това, че в следствие от неспазване на законодателството недобронамерени лица могат да бъдат улеснени да осъществят кражбата на данни,
не съставлява мотив за освобождение от налагане на глоба
на админа заради нарушение на регламента от самия админ. Санкциите във връзка със отбраната на персоналните данни се постановат на админа поради неспазване на законодателството.
При установяване на глобата се вземат поради и насоките на работната група по член 29, която е европейски самостоятелен съвещателен орган, трансформиран в Европейски ръб за отбрана на персоналните данни. При налагането на глобата се регистрира подхванатото от страна на админа на разнообразни стадии - преди обещано нарушаване, както и след него. Действията на трети лица не са предмет на наказателно-административната процедура.
Вторият претекст, посочен от Национална агенция за приходите за оборване на акта, е, че случаят е станал " макар подхванатите " ограничения от нейна страна.
Не знаем какво визират от приходната организация под " подхванати ограничения ". Можем да разясняваме единствено публично обявената информация или да предоставим разбор на публично получени документи, като, съгласно обществено наличните източници (някои от тях предоставени от самата НАП)
подобаващи ограничения по запазване на данните от страна на Национална агенция за приходите преди случая са липсвали
В тази връзка:
1. Мотивът за налагане на глобата от КЗЛД е липса на приложени " подобаващи механически и организационни ограничения " . Тази констатация стимулира надзорния орган, с изключение на да наложи глоба, да задължи Национална агенция за приходите под формата на корективна мярка, да предприеме редица ограничения по привеждане на активността си в сходство със законодателството.
2 . Според публично изказване от страна на представител на КЗЛД по Би Ти Ви по въпроса за киберсигурността на Национална агенция за приходите " най-общо, не е направено нищо ".
3. Спроред разбори и обществени мнения на специалисти, осведомителната сигурност на Национална агенция за приходите е на ниско равнище и липсва експертиза.
4. В предоставения отговор от Национална агенция за приходите по Закона за достъп до социална информация, в отговор на питане от Асоциацията за отбрана на персоналните данни, се установи, че Национална агенция за приходите не е направила оценки (на риска, на въздействието). Интересен факт, на който се натъкнаха специалистите по отбрана на данните в този отговор, е позоваване в директива на Национална агенция за приходите на неотносима за организацията глава от закона. Тази констатация е тревожна и като че ли прокара мисълта в експертната общественост (след проблема с рождената дата като втори идентификатор към ЕГН), че неналичието на експертиза в организацията е сериозна и визира освен ИТ-специалистите на Национална агенция за приходите, само че и правния й екип.
Накратко, посочените от приходната организация претекстове за оборване на акта от КЗЛД не кореспондират с правната просвета и фактическата реалност.
Да разгледаме и друга догадка, при която при обжалване на наказателното разпореждане Национална агенция за приходите уточни други причини и резултатът от делото е позитивен за нея. Въпреки, че нямаме всички обстоятелства и данни, нито разполагаме с оригинали на актовете, подобен сюжет чисто юридически е вероятен - да вземем за пример, заради фиктивен недостатък на акта и така нататък Тези учредения са изчерпателно посочени в законодателството.
По-интересното в тази ситуация е какво би означавал подобен резултат, видяно през призмата на едно законодателство, защитаващо фундаментални човешки права, както и имайки поради публично известната фактическа конюнктура към теча на данните и равнището на подготвеност на институцията да опазва данните. Подобен сюжет (предвид голям брой доказателства дотук за неспазено законодателство по запазване правата на субектите на данни от страна на НАП) би означавал единствено едно само нещо - едни обществени средства няма да бъдат преместени от левия в десния джоб. Това не би трансформирало обстоятелството на изтеклите данни.
Действително, поради спецификата на админа (а точно: обществен орган), за специалистите, работещи в тази сфера заплащането на самата глоба, а и самият й размер, не са главният фокус поради интервенцията, обвързвана с това - пренасяне на средства от едно място на друго. Това го споделяме, тъй като ненужно се дискутира, че глобата била ниска, по левче на физическо лице.
Санкцията е задоволително сериозна и може би е една от дребното високи имуществени наказания,
наложени в страната за нарушение на закон. Важното е да разберем сериозността на законодателството и сериозността на следствията за жителите, които могат да настъпят при сходно нарушение на закона.
Сериозността на следствията проличава и от опцията сходни закононарушения да бъдат квалифицирани като закононарушения, с които могат да се удовлетворят структурите на наказателното право за тероризъм. Тази подготовка, прочее, повдига още веднъж въпроси към неизвършените оценки на риска: откакто едни данни са дотам скъпи и огромни по своето естество, че е допустимо при нарушаването на тяхната дискретност да се извършат и терористични действия, с какви ограничения са били защитавани те?
II. Осъждането на виновниците за кражбата и разпостраняването на данните
Според формалния текст, оповестен на уеб страницата на Национална агенция за приходите, там " обмислят и предприемането на правосъдни дейности по отношение на причинителите на хакерската офанзива против сървърите на организацията, като е допустимо както присъединението на организацията в наказателното произвеждане, по този начин и воденето на гражданско дело. Така финансовата рекламация в размер, покриващ наложената на приходната организация имуществената глоба, ще бъде ориентирана към причинителите на незаконното посягане. "
Това желание чисто теоретично е една правна опция и механизъм за приемане на обезвреда. Възниква въпрос, обвързван с обещаното на жителите, че по този метод " финансовата рекламация в размер, покриващ наложената на приходната организация имуществената глоба, ще бъде ориентирана към причинителите на незаконното посягане. "
Това, колкото и да наподобява успокояващо за жителите и евентуален хепиенд за Национална агенция за приходите, няма юридически и в действителност пиедестал, с цел да се осъществя.
Защо Национална агенция за приходите прави сходни обещания? Лош пиар ли е това, или експертна неточност?
По настоящото законодателство всеки е задължен да поправи вредите, които отговорно е предизвикал другиму. Обезщетение се дължи за всички вреди, които са директна и непосредствена последица от увреждането. В съответния случай това значи, че Национална агенция за приходите, като повредена от хакерската офанзива институция, фактически може да претендира вреди от тези, за които се потвърди, че са й ги предизвикали.
Претендирането на вреди обаче не би могло да покрие размера на наложената имуществена глоба за неспазване на закона. Фактът, че в резултат на хакерската офанзива непозволено са били публикувани данни, е другата страна на монетата. Лицата, за които се потвърди, че са отговорни за осъществяване на незаконното действие, подлежат на наказателна отговорност. От тях обаче не може да се търси отговорност за неспазване на закона от страна на обществен орган, за което е наложена парична глоба.
Ето ви житейски образец, илюстриращ догадка, сходна на проблема с Национална агенция за приходите – не подавате данъчна декларация и по някаква причина, това остава неустановено от тези, които надзирават спазването на данъчното законодателство. Дотук добре, единствено че решавате да споделите този факт в преписка с ваш непосредствен. Същевременно ваш комшия, който без ваше познание " следи " кореспонденцията ви, го схваща и подава сигнал против вас пред данъчните органи. В резултат бивате глобен от Национална агенция за приходите. Бихте ли имали опция по закон да осъдите съседа да ви заплати наложената санкция заради неподадена декларация? Разбира се, че не, това звучи неуместно. Това, което можете да извършите, е вероятно да предприемете дейности за ангажиране наказателната отговорност на това лице за осъществените от него незаконни дейности. Предявяването на рекламация за обезвреда на вероятно породени ви вреди обаче ще е въпрос на друго произвеждане, което няма да има общо с наложената ви глоба заради неспазено от вас законово обвързване за неподадена данъчна декларация.
Т.е. това, което следва да се разграничава ясно в съответната обстановка с Национална агенция за приходите, са следните две съществени условия:
1. Неспазване на законодателството за отбрана на персоналните данни , упражняването на корективни пълномощия и налагане на имуществена глоба от страна на надзорния орган;
2. Кражбата на данни и тяхното непозволено разпространяване в общественото пространство.
Темата фактически продължава да се заплита от ден на ден и повече в неверна посока. Тревожно, с изключение на към този момент настъпилия отрицателен резултат с нарушаването на конфиденциалността на данните, е и държанието на Национална агенция за приходите. Самата организация в тази обстановка дава заблуждаващ образец на другите админи. Национална агенция за приходите безусловно декларира, че в случай че някой открадне информация, следва да се подхващат дейности по наказание на " крадеца ", като без значение е дали са били подхванати ограничения за отбрана или не против сходно посягане. Това може да дискредитира освен работата на локалния контролен орган по отбрана на данните, на специалистите, които работят непрекъснато, с цел да са в крайник със законодателството и се борят за опазването на поверителността като фундаментална човешка полезност, това дискредитира философията и на европейското законодателство за отбрана на персоналните данни.
Източник: dnevnik.bg
КОМЕНТАРИ