Съдът: НАП е виновна за безпрецедентния теч на лични данни през 2019 г.
Националната организация за приходите (НАП) е отговорна за невиждания теч на персонални данни от масивите ѝ през 2019 година, така като не е подхванала нужните ограничения за отбрана, с които е можело да предотврати хакерската офанзива. Това е изводът от делото в Административния съд – София-град (АССГ), което Национална агенция за приходите заведе против Комисията за отбрана на персоналните данни (КЗЛД), заяви " ".
КЗЛД установи преди три години и половина, че приходната организация е бездействала във връзка с заплахата от приключване на персонални данни и издаде 20 наставления, които Национална агенция за приходите апелира в съда. С решението си арбитър Антоанета Аргирова удостоверява съвсем всички разпоредби на КЗЛД – анулира напълно 3 и отчасти 2 от общо 20-те наложителни ограничения, които би трябвало да извърши Национална агенция за приходите, с цел да не се повтори повече обстановката от 2019 година, когато обществено бяха публикувани ЕГН на над 5 млн. български жители.
Предписанията задължават Национална агенция за приходите да предприеме подобаващи механически и организационни ограничения за повишение отбраната при обработка на персонални данни в приложения за електронни услуги към жителите, както и да планува задоволително рестриктивни ограничения за достъп до базите данни, като те да не се достъпват с несъразмерни права от привилегированите консуматори. Освен това приходната организация би трябвало да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и заличаване на електронните данни, употребявани еднократно, и стратегия за криптиране на данни от архивни информации. КЗЛД желае също Национална агенция за приходите да актуализира длъжностните характерности на чиновниците си с включени клаузи, касаещи обработването на персонални данни.
Приходната организация обаче се жалва пред съда, че дадените разпоредби са " доста общо дефинирани и ненапълно дефинирани, което създавало неясноти и препятствало тяхното осъществяване ". Също по този начин срокът от 6 месеца за тяхното осъществяване бил прекомерно къс, тъй като се изисквало провеждането на процедури по Закона за публичните поръчки.
В последна сметка административният съд стига до умозаключение, че НАП не е спазила правилата за правомерност и почтеност, залегнали в Общия правилник за отбрана на данните. " И двете движимости лица по трите експертизи сигурно настояват, че приключването на данни е могло да бъде избегнато, в случай че са били взети нужните механически и организационни ограничения ", написа в решението си арбитър Аргирова.
АССГ е открил, че употребяваната в НАП система не е била обновявана и приспособена към непрестанно изникващите нови закани за осведомителната сигурност.
Национална агенция за приходите е оспорила и 6-месечния период за осъществяване на рекомендациите на КЗЛД, само че съдът припомня, че той не е обвързван със законосъобразността на акта на комисията, а с неговото осъществяване. " Отделно от това напълно не е без значение и събитието, че към сегашния миг (след доста по-дълъг период от 6 месеца) оспореният акт към момента не е влезнал в действие, а някои от предписанията в това време са изпълнени от админа Национална агенция за приходите ", показва арбитър Аргирова.
Решението ѝ не е дефинитивно и може да бъде обжалвано пред Върховния административен съд.
ДЕЛОТО СРЕЩУ ГЛОБАТА
Делото на НАП срещу санкцията в размер на 5,1 млн. лв., която ѝ беше наложена от КЗЛД през 2019 година, остава блокирано на първа инстанция в Софийския областен съд повече от 3 година поради техническа експертиза. На последното съвещание съдът реши да даде период до 26 април 2023 година да бъде направено умозаключение на движимостите лица дали приходната организация е подхванала съответни ограничения за отбрана на осведомителните си масиви преди " НАПлийкс ". На няколко пъти делото се отлагаше поради това, че нямаше кой да извърши прословутата експертиза. После агенцията за приходите изрази становище, че е нужно повече специалисти, а освен един, да дадат мнение дали е положила съответни ограничения за отбрана от хакерска офанзива. Съдът се съобрази, като към този момент се чака петорна техническа експертиза.
Източник: " "
КЗЛД установи преди три години и половина, че приходната организация е бездействала във връзка с заплахата от приключване на персонални данни и издаде 20 наставления, които Национална агенция за приходите апелира в съда. С решението си арбитър Антоанета Аргирова удостоверява съвсем всички разпоредби на КЗЛД – анулира напълно 3 и отчасти 2 от общо 20-те наложителни ограничения, които би трябвало да извърши Национална агенция за приходите, с цел да не се повтори повече обстановката от 2019 година, когато обществено бяха публикувани ЕГН на над 5 млн. български жители.
Предписанията задължават Национална агенция за приходите да предприеме подобаващи механически и организационни ограничения за повишение отбраната при обработка на персонални данни в приложения за електронни услуги към жителите, както и да планува задоволително рестриктивни ограничения за достъп до базите данни, като те да не се достъпват с несъразмерни права от привилегированите консуматори. Освен това приходната организация би трябвало да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и заличаване на електронните данни, употребявани еднократно, и стратегия за криптиране на данни от архивни информации. КЗЛД желае също Национална агенция за приходите да актуализира длъжностните характерности на чиновниците си с включени клаузи, касаещи обработването на персонални данни.
Приходната организация обаче се жалва пред съда, че дадените разпоредби са " доста общо дефинирани и ненапълно дефинирани, което създавало неясноти и препятствало тяхното осъществяване ". Също по този начин срокът от 6 месеца за тяхното осъществяване бил прекомерно къс, тъй като се изисквало провеждането на процедури по Закона за публичните поръчки.
В последна сметка административният съд стига до умозаключение, че НАП не е спазила правилата за правомерност и почтеност, залегнали в Общия правилник за отбрана на данните. " И двете движимости лица по трите експертизи сигурно настояват, че приключването на данни е могло да бъде избегнато, в случай че са били взети нужните механически и организационни ограничения ", написа в решението си арбитър Аргирова.
АССГ е открил, че употребяваната в НАП система не е била обновявана и приспособена към непрестанно изникващите нови закани за осведомителната сигурност.
Национална агенция за приходите е оспорила и 6-месечния период за осъществяване на рекомендациите на КЗЛД, само че съдът припомня, че той не е обвързван със законосъобразността на акта на комисията, а с неговото осъществяване. " Отделно от това напълно не е без значение и събитието, че към сегашния миг (след доста по-дълъг период от 6 месеца) оспореният акт към момента не е влезнал в действие, а някои от предписанията в това време са изпълнени от админа Национална агенция за приходите ", показва арбитър Аргирова.
Решението ѝ не е дефинитивно и може да бъде обжалвано пред Върховния административен съд.
ДЕЛОТО СРЕЩУ ГЛОБАТА
Делото на НАП срещу санкцията в размер на 5,1 млн. лв., която ѝ беше наложена от КЗЛД през 2019 година, остава блокирано на първа инстанция в Софийския областен съд повече от 3 година поради техническа експертиза. На последното съвещание съдът реши да даде период до 26 април 2023 година да бъде направено умозаключение на движимостите лица дали приходната организация е подхванала съответни ограничения за отбрана на осведомителните си масиви преди " НАПлийкс ". На няколко пъти делото се отлагаше поради това, че нямаше кой да извърши прословутата експертиза. После агенцията за приходите изрази становище, че е нужно повече специалисти, а освен един, да дадат мнение дали е положила съответни ограничения за отбрана от хакерска офанзива. Съдът се съобрази, като към този момент се чака петорна техническа експертиза.
Източник: " "
Източник: inews.bg
КОМЕНТАРИ