НАП е виновна за безпрецедентния теч на лични данни през 2019 г.: Съдът

Националната агенция за приходите (НАП) е виновна за безпрецедентния теч на лични данни от масивите ѝ през 2019 г., тъй като не е предприела необходимите мерки за защита, с които е можело да предотврати хакерската атака. Това е изводът от решението в Административния съд – София-град (АССГ), което НАП заведе срещу Комисията за защита на личните данни (КЗЛД), съобщи Лекс.

КЗЛД констатира преди три години и половина, че приходната агенция е бездействала по отношение на опасността от изтичане на лични данни и издаде 20 предписания, които НАП обжалва в съда. С решението си съдия Антоанета Аргирова потвърждава почти всички разпореждания на КЗЛД – отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г., когато публично бяха разпространени ЕГН на над 5 млн. български граждани.

Предписанията задължават НАП да предприеме подходящи технически и организационни мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите, както и да предвиди достатъчно рестриктивни мерки за достъп до базите данни, като те да не се достъпват с прекомерни права от привилегированите потребители.

Освен това приходната агенция трябва да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, използвани еднократно, и стратегия за криптиране на данни от архивни справки. КЗЛД иска също НАП да актуализира длъжностните характеристики на служителите си с включени клаузи, касаещи обработването на лични данни.

Приходната агенция обаче се жалва пред съда, че дадените разпореждания са "много общо формулирани и непълно дефинирани, което създавало неясноти и препятствало тяхното изпълнение". Също така срокът от 6 месеца за тяхното изпълнение бил прекалено кратък, тъй като се изисквало провеждането на процедури по Закона за обществените поръчки.

В крайна сметка административният съд стига до заключение, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в Общия регламент за защита на данните. "И двете вещи лица по трите експертизи със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", пише в решението си съдия Аргирова.