Санкцията за изтеклите лични данни: по лев на човек и глоба от единия джоб в другия
Един лев и седемнадесет стотинки - на толкоз са били оценени персоналните данни на всеки от българите, наранени от нерегламентираното навлизане в сървърите на Националната организация за приходите (НАП) в края на юни и последвалото приключване на информацията в интернет. Това стана известно през днешния ден, откакто Комисията за отбрана на персоналните данни (КЗЛД) разгласи, че ще санкции данъчната администрация с 5,1 млн. лева поради източените персонални данни на над 6 млн. души.
Националният регулаторен орган изясни ниския размер на санкцията - близо четири пъти по-малко от вероятния най-много по закон, с нуждата администрацията по-скоро да бъде насърчавана да се грижи за сигурността на данните, в сравнение с да бъде наказвана за пропуските. Всъщност, санкцията е изцяло алегорична, доколкото нейното заплащане ще завърти официално пари от държавния бюджет през няколко институции, а опциите за възобновяване на част от сумите посредством правосъдни каузи води в необозримото бъдеще.
Данъчните имали неточности, само че работили отговорно
" Установено е, че в непозволено достъпената и публикувана в интернет пространството информация се съдържат персонални данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и непознати жители, и 1 959 598 умряли физически лица ", оповестиха публично от Комисията за персоналните данни.
Наложената на данъчните глоба за най-големия случай на приключване на персонални данни в българската история е по-близка до минимума, в сравнение с до максимума и се равнява на към 1/4 от оптималната планувана по закон - 20 млн. лева Пред " Дневник " ръководителят на КЗЛД Венцислав Караджов изясни решението по този начин: " Заради това, че е позволен теч на данни, сме наложили глоба. Заради това, че в Агенцията за приходите са подхванали навреме ограничения и са работили отговорно след непозволеното източване, сме наложили по-ниска глоба ".
" Установили сме, че директно след нерегламентирания достъп до данните приходната организация е работила отговорно като админ. Спряла е теча навреме, подхванала е нужните дейности, в това число и разбора, който трябвало да се извърши на рисковете. Запушени са течовете и са спрени проблематичните електронни услуги. Служителите са работили вярно и отговорно ", добави Караджов.
По думите му при решението е регистрирано и че данните са източени с външна интервенция, което води до глоба за Национална агенция за приходите по-близка до минимума, в сравнение с до максимума: " Трябва да се регистрира, че данните са на доста огромен брой физически лица, само че също по този начин и дейностите, които админът е направил ".
Глобените ще си търсят парите... от хакерите
Малко откакто беше разгласен размерът на санкцията данъчните оповестиха, че актът на комисията за определяне на административно нарушаване е оспорен в законовия период в пред съда и че ще апелират както акта за осъществено нарушаване, по този начин и размера на самата санкция. Мотивът - че кражбата на данни и общественото им обявяване са резултат от дейности, които съставляват закононарушение по смисъла на Наказателния кодекс, осъществено макар подхванатите от Национална агенция за приходите ограничения за отбрана.
Ако актът и санкцията бъдат доказани дефинитивно от съда, парите би трябвало да бъдат платени неотложно или пък с лихви според от забавянето. " Не мога да предрека какво ще бъде решението, само че мога да кажа, че повече от 80-90% от решенията на Комисията се удостоверяват от съда ", разяснява Караджов пред " Дневник ".
От приходната организация дадоха да се разбере, че обмислят да възстановят дължимата сума от дело против причинителите на хакерската офанзива. Кои са те обаче на този стадий не може да се каже, доколкото няма влезнала в действие присъда, а следствието по случая против компанията " ТАД груп " продължава. В момента обвинявания за кибертероризъм имат трима души от компанията - притежателят Иван Тодоров и административният шеф Георги Янев са упрекнати като подбудители на посочения за причинител чиновник във компанията Кристиян Бойков. Разследващите към този момент споделиха, че знаят кой е поръчителят, само че той към момента не е обществено разгласен.
Как санкцията ще умножи делата
Ако желанието за завеждане на иск против " ТАД груп " се реализира, то неизбежно ще усили броя на водените правосъдни каузи към теча на данни.
Според адвокати, с цел да тръгне на каузи, приходната администрация има два разновидността. В първия тя може да бъде конституирана като потърпевша страна по наказателното дело, в случай че обвиняването против " ТАД Груп " въобще бъде импортирано в съда и магистратите одобряват, че спомагателния цивилен иск няма да затрудни самия развой против причинителите.
Вторият вид е организацията да заведе настрана гражданско дело, което обаче може да бъде сполучливо само в случай че има неоправдателни присъди по наказателното дело. Макар досега да показва случая като на практика обяснен (включително посредством трикратното обществено разгласяване на извадки от документи, показани като доказателства по следствието против " ТАД Груп " ), прокуратурата ще би трябвало да събере също задоволително и безапелационни доказателства за закононарушението, с цел да може обвиняването да издържи и в съда, освен това на всички инстанции.
Дори Национална агенция за приходите да успее да завоюва в тази правосъдна процедура, то това би могло да се случи след години поради дългите процедури и периоди за обжалване.
Междувременно юристите на арестуваните оповестиха, че " ТАД Груп " - посредством записана в Калифорния (САЩ) компания, чието отделение е българската компания, възнамерява да заведе искове във Вашингтонския търговски арбитраж против България по конвенцията за отбрана на задграничните вложители, защото целият бранд страда. Става въпрос за шест-седемцифрена сума, която ще бъде поискана от страната, заяви преди две седмици юрист Героги Стефанов, който пази Иван Тодоров.
Бюджетни пари тук, бюджетни пари там
И в случай че делата за компенсации са по-скоро в далечното бъдеще, то заплащането на санкцията може да се наложи да се извърши много по-скоро. От изказванията на представителите на властта обаче наподобява, че то ще е по-скоро
алегорично и парите ще се трансферират от една институция в друга.
При удостоверение на глобата данъчните би трябвало да платят санкцията с пари от бюджета, които се събират от налозите, в това число и на потърпевшите, чиито данни бяха източени непозволено и публикувани. Преди дни финансовият министър Владислав Горанов увери, че Национална агенция за приходите има задоволително средства в бюджета си, с цел да заплати санкцията, без да се постанова дофинансиране на бюджета. Уточни също, че с цел да се обезпечат пари няма да се постанова орязване на бонуси или заплати на данъчни чиновници.
" Това ще бъде чиста интервенция ", съобщи Горанов, и добави: " Това няма да се отрази на бюджета, ще се отрази на ориста на тези терористи, които нападнаха системата... " Вчера " Дневник " не съумя да се свърже с представител на приходната организация, който да изясни от кое перо ще бъдат обезпечени средствата за наложената глоба.
От санкцията не може да се възползва и Комисията за персоналните данни, която я постанова, сподели инспекция на " Дневник ". " Сумата не може да бъде употребена за нищо от нас. Имаше възражения от неправителствени организации, че комисията може да постанова високи наказания, с цел да си попълня бюджета. Комисията не може да употребява сумите от санкции, които постъпват в нейния бюджет, с изключение на за посочените в закона за обществените финанси цели. Нито една от тях не е използвана и тези санкции отиват непосредствено в централния бюджет ", изясни Венцислав Караджов.
Къде е отговорността – персоналната и на институциите
" Законът за отбрана на персоналните данни не включва случаи на търсене на отговорност от физически лица. Законът е ориентиран към предварителна защита за самите админи, към компаниите и организациите, които събират нашите персонални данни, с цел да схванат, че данните освен се събират, само че и те би трябвало да се пазят ", разяснява през вчерашния ден ръководителят на Комисията за персоналните данни.
Венцислав Караджов е оптимист, че след обществения скандал нещата ще се трансформират. " Начинът на мислене на висшия мениджмънт ще се промени както в обществения, по този начин и в частния бранш. Това демонстрира доста ясна наклонност, че, в случай че не се промени методът на мислене и по-стриктно използване на разпоредбите, проблемите ще продължат в съответните браншове и тогава максимумът на глобите ще бъде неминуем ", сподели Караджов.
Дни откакто избухна абсурдът, изпълнителният шеф на Националната организация за приходите Галя Димитрова уволни ръководителите на звената за осведомителните системи и за осведомителна сигурност на приходната администрация. Самата тя тогава съобщи, че няма желание да подава оставка.
Окончателно: какви данни са изтекли
В решението за санкцията Комисията за персоналните данни разказва детайлно изтеклите персонални данни. Според домукента става дума за имена, ЕГН и адреси на български жители, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни заявления на физически лица, данни от справките за изплатени приходи на физически лица, данни от осигурителни заявления, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лекуване на гражданите), данни за издадени актове за административни нарушавания, данни за осъществени заплащания на налози и осигурителни отговорности през " Български пощи " АД, както и данни за пожелан и възобновен Данък добавена стойност, заплатен в чужбина.
Комисията е отправила и наставления, които приходната организация би трябвало да извърши в идващите 6 месеца като предприеме " подобаващи механически и организационни ограничения в подтекста на настоящото законодателство за отбрана на персоналните данни ".
От комисията оповестиха още, че след решението няма да се произнасят по всяка самостоятелно подадена тъжба на жители за корист с персонални данни след източването на базите на Национална агенция за приходите: " Фактът, че тези данни са изтекли в общественото пространство, не значи автоматизирано, че с тях е осъществена корист, доколкото злоупотребата допуска осъществяването на спомагателни дейности, представляващи сами по себе си обособени закононарушения ".
Данъчните ще дават и детайлности за изтеклите данни
От Агенцията за приходите пък оповестиха, че от идната седмица ще бъде допустимо да се направи информация какви персонални данни на хората са изтекли. Проверката ще се прави посредством личен идентификационен код, публикуван от приходната организация, с електронен автограф или в офисите на Национална агенция за приходите след показване на персонална карта.
11 дни след приключването на персоналните данни приходната организация пусна приложение, в което всеки може да ревизира дали персоналните му данни са измежду източените след хакерската офанзива. То е налично на страницата на организацията.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (140)
Националният регулаторен орган изясни ниския размер на санкцията - близо четири пъти по-малко от вероятния най-много по закон, с нуждата администрацията по-скоро да бъде насърчавана да се грижи за сигурността на данните, в сравнение с да бъде наказвана за пропуските. Всъщност, санкцията е изцяло алегорична, доколкото нейното заплащане ще завърти официално пари от държавния бюджет през няколко институции, а опциите за възобновяване на част от сумите посредством правосъдни каузи води в необозримото бъдеще.
Данъчните имали неточности, само че работили отговорно
" Установено е, че в непозволено достъпената и публикувана в интернет пространството информация се съдържат персонални данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и непознати жители, и 1 959 598 умряли физически лица ", оповестиха публично от Комисията за персоналните данни.
Наложената на данъчните глоба за най-големия случай на приключване на персонални данни в българската история е по-близка до минимума, в сравнение с до максимума и се равнява на към 1/4 от оптималната планувана по закон - 20 млн. лева Пред " Дневник " ръководителят на КЗЛД Венцислав Караджов изясни решението по този начин: " Заради това, че е позволен теч на данни, сме наложили глоба. Заради това, че в Агенцията за приходите са подхванали навреме ограничения и са работили отговорно след непозволеното източване, сме наложили по-ниска глоба ".
" Установили сме, че директно след нерегламентирания достъп до данните приходната организация е работила отговорно като админ. Спряла е теча навреме, подхванала е нужните дейности, в това число и разбора, който трябвало да се извърши на рисковете. Запушени са течовете и са спрени проблематичните електронни услуги. Служителите са работили вярно и отговорно ", добави Караджов.
По думите му при решението е регистрирано и че данните са източени с външна интервенция, което води до глоба за Национална агенция за приходите по-близка до минимума, в сравнение с до максимума: " Трябва да се регистрира, че данните са на доста огромен брой физически лица, само че също по този начин и дейностите, които админът е направил ".
Глобените ще си търсят парите... от хакерите
Малко откакто беше разгласен размерът на санкцията данъчните оповестиха, че актът на комисията за определяне на административно нарушаване е оспорен в законовия период в пред съда и че ще апелират както акта за осъществено нарушаване, по този начин и размера на самата санкция. Мотивът - че кражбата на данни и общественото им обявяване са резултат от дейности, които съставляват закононарушение по смисъла на Наказателния кодекс, осъществено макар подхванатите от Национална агенция за приходите ограничения за отбрана.
Ако актът и санкцията бъдат доказани дефинитивно от съда, парите би трябвало да бъдат платени неотложно или пък с лихви според от забавянето. " Не мога да предрека какво ще бъде решението, само че мога да кажа, че повече от 80-90% от решенията на Комисията се удостоверяват от съда ", разяснява Караджов пред " Дневник ".
От приходната организация дадоха да се разбере, че обмислят да възстановят дължимата сума от дело против причинителите на хакерската офанзива. Кои са те обаче на този стадий не може да се каже, доколкото няма влезнала в действие присъда, а следствието по случая против компанията " ТАД груп " продължава. В момента обвинявания за кибертероризъм имат трима души от компанията - притежателят Иван Тодоров и административният шеф Георги Янев са упрекнати като подбудители на посочения за причинител чиновник във компанията Кристиян Бойков. Разследващите към този момент споделиха, че знаят кой е поръчителят, само че той към момента не е обществено разгласен.
Как санкцията ще умножи делата
Ако желанието за завеждане на иск против " ТАД груп " се реализира, то неизбежно ще усили броя на водените правосъдни каузи към теча на данни.
Според адвокати, с цел да тръгне на каузи, приходната администрация има два разновидността. В първия тя може да бъде конституирана като потърпевша страна по наказателното дело, в случай че обвиняването против " ТАД Груп " въобще бъде импортирано в съда и магистратите одобряват, че спомагателния цивилен иск няма да затрудни самия развой против причинителите.
Вторият вид е организацията да заведе настрана гражданско дело, което обаче може да бъде сполучливо само в случай че има неоправдателни присъди по наказателното дело. Макар досега да показва случая като на практика обяснен (включително посредством трикратното обществено разгласяване на извадки от документи, показани като доказателства по следствието против " ТАД Груп " ), прокуратурата ще би трябвало да събере също задоволително и безапелационни доказателства за закононарушението, с цел да може обвиняването да издържи и в съда, освен това на всички инстанции.
Дори Национална агенция за приходите да успее да завоюва в тази правосъдна процедура, то това би могло да се случи след години поради дългите процедури и периоди за обжалване.
Междувременно юристите на арестуваните оповестиха, че " ТАД Груп " - посредством записана в Калифорния (САЩ) компания, чието отделение е българската компания, възнамерява да заведе искове във Вашингтонския търговски арбитраж против България по конвенцията за отбрана на задграничните вложители, защото целият бранд страда. Става въпрос за шест-седемцифрена сума, която ще бъде поискана от страната, заяви преди две седмици юрист Героги Стефанов, който пази Иван Тодоров.
Бюджетни пари тук, бюджетни пари там
И в случай че делата за компенсации са по-скоро в далечното бъдеще, то заплащането на санкцията може да се наложи да се извърши много по-скоро. От изказванията на представителите на властта обаче наподобява, че то ще е по-скоро
алегорично и парите ще се трансферират от една институция в друга.
При удостоверение на глобата данъчните би трябвало да платят санкцията с пари от бюджета, които се събират от налозите, в това число и на потърпевшите, чиито данни бяха източени непозволено и публикувани. Преди дни финансовият министър Владислав Горанов увери, че Национална агенция за приходите има задоволително средства в бюджета си, с цел да заплати санкцията, без да се постанова дофинансиране на бюджета. Уточни също, че с цел да се обезпечат пари няма да се постанова орязване на бонуси или заплати на данъчни чиновници.
" Това ще бъде чиста интервенция ", съобщи Горанов, и добави: " Това няма да се отрази на бюджета, ще се отрази на ориста на тези терористи, които нападнаха системата... " Вчера " Дневник " не съумя да се свърже с представител на приходната организация, който да изясни от кое перо ще бъдат обезпечени средствата за наложената глоба.
От санкцията не може да се възползва и Комисията за персоналните данни, която я постанова, сподели инспекция на " Дневник ". " Сумата не може да бъде употребена за нищо от нас. Имаше възражения от неправителствени организации, че комисията може да постанова високи наказания, с цел да си попълня бюджета. Комисията не може да употребява сумите от санкции, които постъпват в нейния бюджет, с изключение на за посочените в закона за обществените финанси цели. Нито една от тях не е използвана и тези санкции отиват непосредствено в централния бюджет ", изясни Венцислав Караджов.
Къде е отговорността – персоналната и на институциите
" Законът за отбрана на персоналните данни не включва случаи на търсене на отговорност от физически лица. Законът е ориентиран към предварителна защита за самите админи, към компаниите и организациите, които събират нашите персонални данни, с цел да схванат, че данните освен се събират, само че и те би трябвало да се пазят ", разяснява през вчерашния ден ръководителят на Комисията за персоналните данни.
Венцислав Караджов е оптимист, че след обществения скандал нещата ще се трансформират. " Начинът на мислене на висшия мениджмънт ще се промени както в обществения, по този начин и в частния бранш. Това демонстрира доста ясна наклонност, че, в случай че не се промени методът на мислене и по-стриктно използване на разпоредбите, проблемите ще продължат в съответните браншове и тогава максимумът на глобите ще бъде неминуем ", сподели Караджов.
Дни откакто избухна абсурдът, изпълнителният шеф на Националната организация за приходите Галя Димитрова уволни ръководителите на звената за осведомителните системи и за осведомителна сигурност на приходната администрация. Самата тя тогава съобщи, че няма желание да подава оставка.
Окончателно: какви данни са изтекли
В решението за санкцията Комисията за персоналните данни разказва детайлно изтеклите персонални данни. Според домукента става дума за имена, ЕГН и адреси на български жители, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни заявления на физически лица, данни от справките за изплатени приходи на физически лица, данни от осигурителни заявления, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лекуване на гражданите), данни за издадени актове за административни нарушавания, данни за осъществени заплащания на налози и осигурителни отговорности през " Български пощи " АД, както и данни за пожелан и възобновен Данък добавена стойност, заплатен в чужбина.
Комисията е отправила и наставления, които приходната организация би трябвало да извърши в идващите 6 месеца като предприеме " подобаващи механически и организационни ограничения в подтекста на настоящото законодателство за отбрана на персоналните данни ".
От комисията оповестиха още, че след решението няма да се произнасят по всяка самостоятелно подадена тъжба на жители за корист с персонални данни след източването на базите на Национална агенция за приходите: " Фактът, че тези данни са изтекли в общественото пространство, не значи автоматизирано, че с тях е осъществена корист, доколкото злоупотребата допуска осъществяването на спомагателни дейности, представляващи сами по себе си обособени закононарушения ".
Данъчните ще дават и детайлности за изтеклите данни
От Агенцията за приходите пък оповестиха, че от идната седмица ще бъде допустимо да се направи информация какви персонални данни на хората са изтекли. Проверката ще се прави посредством личен идентификационен код, публикуван от приходната организация, с електронен автограф или в офисите на Национална агенция за приходите след показване на персонална карта.
11 дни след приключването на персоналните данни приходната организация пусна приложение, в което всеки може да ревизира дали персоналните му данни са измежду източените след хакерската офанзива. То е налично на страницата на организацията.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (140)
Източник: dnevnik.bg
КОМЕНТАРИ