СЪДЪТ РЕШИ: НАП е виновна за безпрецедентното изтичане на лични данни през 2019 г.
Националната организация за приходите (НАП) е отговорна за невиждания теч на персонални данни през 2019 година, защото не е подхванала нужните ограничения за отбрана, с които е можело да предотврати хакерската офанзива.
Това е изводът от делото в Административния съд – София-град (АССГ), което Национална агенция за приходите заведе против Комисията за отбрана на персоналните данни (КЗЛД), заяви " ".
КЗЛД установи преди три години и половина, че приходната организация е бездействала във връзка с заплахата от приключване на персонални данни и издаде 20 наставления, които приходната организация апелира пред Темида.
С решението си арбитър Антоанета Аргирова удостоверява съвсем всички разпоредби на КЗЛД – анулира напълно 3 и отчасти 2 от общо 20-те наложителни ограничения, които би трябвало да извърши Национална агенция за приходите, с цел да не се повтори повече обстановката от 2019 година, когато обществено бяха публикувани ЕГН на над 5 млн. български жители.
Предписанията задължават Национална агенция за приходите да предприеме подобаващи механически и организационни ограничения за повишение отбраната при обработка на персонални данни в приложения за електронни услуги към жителите, както и да планува задоволително рестриктивни ограничения за достъп до базите данни, като те да не се достъпват с несъразмерни права от привилегированите консуматори.
Освен това приходната организация би трябвало да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и заличаване на електронните данни, употребявани еднократно, и тактика за криптиране на данни от архивни информации. КЗЛД желае също Национална агенция за приходите да актуализира длъжностните характерности на чиновниците си с включени клаузи, касаещи обработването на персонални данни.
Приходната организация обаче се жалва пред съда, че дадените разпоредби са " доста общо дефинирани и ненапълно дефинирани, което създавало неясноти и препятствало тяхното осъществяване ". Също по този начин срокът от 6 месеца за тяхното осъществяване бил прекомерно къс, защото се изисквало провеждането на процедури по Закона за публичните поръчки.
В последна сметка административният съд стига до умозаключение, че Национална агенция за приходите не е спазила правилата за правомерност и почтеност, залегнали в Общия правилник за отбрана на данните. " И двете движимости лица по трите експертизи сигурно настояват, че приключването на данни е могло да бъде избегнато, в случай че са били взети нужните механически и организационни ограничения ", написа в решението си арбитър Аргирова.
АССГ е открил, че употребяваната в Национална агенция за приходите система не е била обновявана и приспособена към непрестанно изникващите нови закани за осведомителната сигурност.
Национална агенция за приходите е оспорила и 6-месечния период за осъществяване на рекомендациите на КЗЛД, само че съдът припомня, че той не е обвързван със законосъобразността на акта на комисията, а с неговото осъществяване. " Отделно от това напълно не е без значение и събитието, че към сегашния миг (след доста по-дълъг период от 6 месеца) оспореният акт към момента не е влезнал в действие, а някои от предписанията в това време са изпълнени от админа Национална агенция за приходите “, показва арбитър Аргирова.
Решението ѝ не е дефинитивно и може да бъде обжалвано пред Върховния административен съд.
Това е изводът от делото в Административния съд – София-град (АССГ), което Национална агенция за приходите заведе против Комисията за отбрана на персоналните данни (КЗЛД), заяви " ".
КЗЛД установи преди три години и половина, че приходната организация е бездействала във връзка с заплахата от приключване на персонални данни и издаде 20 наставления, които приходната организация апелира пред Темида.
С решението си арбитър Антоанета Аргирова удостоверява съвсем всички разпоредби на КЗЛД – анулира напълно 3 и отчасти 2 от общо 20-те наложителни ограничения, които би трябвало да извърши Национална агенция за приходите, с цел да не се повтори повече обстановката от 2019 година, когато обществено бяха публикувани ЕГН на над 5 млн. български жители.
Предписанията задължават Национална агенция за приходите да предприеме подобаващи механически и организационни ограничения за повишение отбраната при обработка на персонални данни в приложения за електронни услуги към жителите, както и да планува задоволително рестриктивни ограничения за достъп до базите данни, като те да не се достъпват с несъразмерни права от привилегированите консуматори.
Освен това приходната организация би трябвало да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и заличаване на електронните данни, употребявани еднократно, и тактика за криптиране на данни от архивни информации. КЗЛД желае също Национална агенция за приходите да актуализира длъжностните характерности на чиновниците си с включени клаузи, касаещи обработването на персонални данни.
Приходната организация обаче се жалва пред съда, че дадените разпоредби са " доста общо дефинирани и ненапълно дефинирани, което създавало неясноти и препятствало тяхното осъществяване ". Също по този начин срокът от 6 месеца за тяхното осъществяване бил прекомерно къс, защото се изисквало провеждането на процедури по Закона за публичните поръчки.
В последна сметка административният съд стига до умозаключение, че Национална агенция за приходите не е спазила правилата за правомерност и почтеност, залегнали в Общия правилник за отбрана на данните. " И двете движимости лица по трите експертизи сигурно настояват, че приключването на данни е могло да бъде избегнато, в случай че са били взети нужните механически и организационни ограничения ", написа в решението си арбитър Аргирова.
АССГ е открил, че употребяваната в Национална агенция за приходите система не е била обновявана и приспособена към непрестанно изникващите нови закани за осведомителната сигурност.
Национална агенция за приходите е оспорила и 6-месечния период за осъществяване на рекомендациите на КЗЛД, само че съдът припомня, че той не е обвързван със законосъобразността на акта на комисията, а с неговото осъществяване. " Отделно от това напълно не е без значение и събитието, че към сегашния миг (след доста по-дълъг период от 6 месеца) оспореният акт към момента не е влезнал в действие, а някои от предписанията в това време са изпълнени от админа Национална агенция за приходите “, показва арбитър Аргирова.
Решението ѝ не е дефинитивно и може да бъде обжалвано пред Върховния административен съд.
Източник: eurocom.bg
КОМЕНТАРИ