Националната агенция за приходите (НАП) е виновна за безпрецедентния теч на лични данни през 2019 г., тъй като не е предприела необходимите мерки за защита, с които е можело да предотврати хакерската атака.
Това е изводът от делото в Административния съд – София-град (АССГ), което НАП заведе срещу Комисията за защита на личните данни (КЗЛД), съобщи „Лекс„.
КЗЛД констатира преди три години и половина, че приходната агенция е бездействала по отношение на опасността от изтичане на лични данни и издаде 20 предписания, които приходната агенция обжалва пред Темида.
С решението си съдия Антоанета Аргирова потвърждава почти всички разпореждания на КЗЛД – отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г., когато публично бяха разпространени ЕГН на над 5 млн. български граждани.
Предписанията задължават НАП да предприеме подходящи технически и организационни мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите, както и да предвиди достатъчно рестриктивни мерки за достъп до базите данни, като те да не се достъпват с прекомерни права от привилегированите потребители.
Освен това приходната агенция трябва да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, използвани еднократно, и стратегия за криптиране на данни от архивни справки. КЗЛД иска също НАП да актуализира длъжностните характеристики на служителите си с включени клаузи, касаещи обработването на лични данни.
Приходната агенция обаче се жалва пред съда, че дадените разпореждания са „много общо формулирани и непълно дефинирани, което създавало неясноти и препятствало тяхното изпълнение“. Също така срокът от 6 месеца за тяхното изпълнение бил прекалено кратък, тъй като се изисквало провеждането на процедури по Закона за обществените поръчки.
В крайна сметка административният съд стига до заключение, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в Общия регламент за защита на данните. „И двете вещи лица по трите експертизи със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки“, пише в решението си съдия Аргирова.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност.
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. „Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП“, посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.