Можем да съдим НАП и за манипулирани лични данни след теча
След невиждания теч на персонални данни от Националната организация за приходите (НАП) на над 4 млн. български жители остана въпросът по какъв начин пострадалите да потърсят правата си. Пловдивският юрист Ясен Крайчев който е ръководител на сдружението " Правна сигурност на потребителите и персоналните им данни ", описа пред " Дневник ", че е подхванал няколко стъпки: Внесъл е искане в Национална агенция за приходите да бъде известен кои са персоналните му данни, които са изтекли. Паралелно с това е пратил на Национална агенция за приходите покана за непринудено осъществяване да бъде заплатен със символичния 1 лев за претърпени неимуществени вреди. Към нея е приложил номера на поръчката си, с която приложението на Национална агенция за приходите го уведомява, че има изтекли негови данни, и е показал банковата си сметка. Адвокат Крайчев споделя за читателите на " Дневник " какъв е резултатът от дейностите му:
По двете отправени до Национална агенция за приходите претенции получихме публични отговори. По създание не са забавни, защото като резултат бяха изцяло предстоящи, само че въпреки всичко имаше изгода от позиция на някои изложени изказвания.
Първото искане - за непринудено възнаграждение на обезщетение - естествено е отхвърлено, само че съдържа любопитно " умозаключение ": " Понастоящем в Националната организация за приходите в режим на непрекъсваемост се правят дейности по сравнение на записите, които са били неоторизирано достъпени, с действителните бази данни на Национална агенция за приходите за възможни промени или операции. "
Каква тъкмо е тази активност, осъществявана в " режим на непрекъсваемост ", не излиза наяве... както и какво е отношението й към пробива в системата.
Липсва и дума по въпроса за подхванатите ограничения от страна на институцията за отбрана на персоналните данни,
за ограничение нездравословни последствия, бъдеща нараснала отбрана и така нататък
Второто искане - за даване на информация за непозволено достъпените персонални данни - също не е задоволено. Полученият отговор е значително неправилен и съдържа информация от рода на това, че Национална агенция за приходите е създал приложение, от което всеки български жител може да ревизира дали негови персонални данни са станали обект на неоторизиран достъп - факт, който е явен от това, че в отправеното искане сме цитирали даже номера на поръчката и във връзка точно с нея питаме кои и какви тъкмо персонални данни са били непозволено достъпени.
Настрана от бланкетните изречения, присъщи за администрацията, отговорът съдържа и забавна информация - след осъществяване на сравнение на " над 70 млн. записи на данни, които са били неоторизирано достъпени " (явно става дума за процедурата, представена и в другото писмо), ще бъде въведено в употреба " приложение, посредством което физическите лица могат да получат информация за съответния вид персонални данни, които са били обект на неоторизиран достъп ". Това ще стане до " няколко седмици ".
Остатъкът от писмото не заслужава коментар, доколкото съдържа опрощение за случилото се, това, че в Национална агенция за приходите се поставят изключителни старания, както и че на уеб страницата на Национална агенция за приходите могат да се намерят отговори на постоянно задавани въпроси.
Какви заключения вършим от получените отговори?
Все още се чака основаването на приложение, посредством което всяко наранено лице да може да ревизира какви негови персонални данни са били неоторизирано достъпени. Това значи, че макар " режима на непрекъсваемост ", десетките чиновници в IT отдела на институцията и целия запас, с който разполага приходната администрация, над един месец след случая админът не е в положение да уведоми субектите на данни за това кои техни персонални данни са предмет на " приключването ". Все още се чака публична информация за подхванатите механически и организационни ограничения след случилото се.
Също толкоз неразбираемо е и какви дейности са били подхванати от Национална агенция за приходите като админ на персонални данни преди хакерската офанзива - имало ли е разбор на риска, какво е установил той, кой го е направил, какви ограничения са били подхванати, съответни ли са били те на законодателството и на техническия напредък и така нататък Вероятно това ще се разкрие в хода на правосъден развой, ако Национална агенция за приходите апелира издаденото от Комисията за отбрана на персоналните данни наказателно разпореждане.
Новина е и съпоставянето на изтеклите данни с действителните бази данни
на Национална агенция за приходите за определяне на възможни промени или операции. Тук към този момент се открива и нова повърхност, на която могат да се търсят породени вреди - освен източване, а и промени на данни в самите бази данни на Национална агенция за приходите, които биха могли да доведат до отрицателни последствия за субектите на данни.
Оттук нататък аз ще заведа иск против Национална агенция за приходите за обезщетение.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (145)
По двете отправени до Национална агенция за приходите претенции получихме публични отговори. По създание не са забавни, защото като резултат бяха изцяло предстоящи, само че въпреки всичко имаше изгода от позиция на някои изложени изказвания.
Първото искане - за непринудено възнаграждение на обезщетение - естествено е отхвърлено, само че съдържа любопитно " умозаключение ": " Понастоящем в Националната организация за приходите в режим на непрекъсваемост се правят дейности по сравнение на записите, които са били неоторизирано достъпени, с действителните бази данни на Национална агенция за приходите за възможни промени или операции. "
Каква тъкмо е тази активност, осъществявана в " режим на непрекъсваемост ", не излиза наяве... както и какво е отношението й към пробива в системата.
Липсва и дума по въпроса за подхванатите ограничения от страна на институцията за отбрана на персоналните данни,
за ограничение нездравословни последствия, бъдеща нараснала отбрана и така нататък
Второто искане - за даване на информация за непозволено достъпените персонални данни - също не е задоволено. Полученият отговор е значително неправилен и съдържа информация от рода на това, че Национална агенция за приходите е създал приложение, от което всеки български жител може да ревизира дали негови персонални данни са станали обект на неоторизиран достъп - факт, който е явен от това, че в отправеното искане сме цитирали даже номера на поръчката и във връзка точно с нея питаме кои и какви тъкмо персонални данни са били непозволено достъпени.
Настрана от бланкетните изречения, присъщи за администрацията, отговорът съдържа и забавна информация - след осъществяване на сравнение на " над 70 млн. записи на данни, които са били неоторизирано достъпени " (явно става дума за процедурата, представена и в другото писмо), ще бъде въведено в употреба " приложение, посредством което физическите лица могат да получат информация за съответния вид персонални данни, които са били обект на неоторизиран достъп ". Това ще стане до " няколко седмици ".
Остатъкът от писмото не заслужава коментар, доколкото съдържа опрощение за случилото се, това, че в Национална агенция за приходите се поставят изключителни старания, както и че на уеб страницата на Национална агенция за приходите могат да се намерят отговори на постоянно задавани въпроси.
Какви заключения вършим от получените отговори?
Все още се чака основаването на приложение, посредством което всяко наранено лице да може да ревизира какви негови персонални данни са били неоторизирано достъпени. Това значи, че макар " режима на непрекъсваемост ", десетките чиновници в IT отдела на институцията и целия запас, с който разполага приходната администрация, над един месец след случая админът не е в положение да уведоми субектите на данни за това кои техни персонални данни са предмет на " приключването ". Все още се чака публична информация за подхванатите механически и организационни ограничения след случилото се.
Също толкоз неразбираемо е и какви дейности са били подхванати от Национална агенция за приходите като админ на персонални данни преди хакерската офанзива - имало ли е разбор на риска, какво е установил той, кой го е направил, какви ограничения са били подхванати, съответни ли са били те на законодателството и на техническия напредък и така нататък Вероятно това ще се разкрие в хода на правосъден развой, ако Национална агенция за приходите апелира издаденото от Комисията за отбрана на персоналните данни наказателно разпореждане.
Новина е и съпоставянето на изтеклите данни с действителните бази данни
на Национална агенция за приходите за определяне на възможни промени или операции. Тук към този момент се открива и нова повърхност, на която могат да се търсят породени вреди - освен източване, а и промени на данни в самите бази данни на Национална агенция за приходите, които биха могли да доведат до отрицателни последствия за субектите на данни.
Оттук нататък аз ще заведа иск против Национална агенция за приходите за обезщетение.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (145)
Източник: dnevnik.bg
КОМЕНТАРИ