НАП и хакерската атака. Възможности за защита
Хакерската атака срещу информационната система на Националната агенция за приходите (НАП) вся сериозна паника сред обществото. Предвид обема на изтеклата чувствителна информация, оказва се, че повечето български граждани са засегнати. Не малка част се запитаха дали няма да станат жертва на измамници и как да се защитят от такива. Други пък се зачудиха дали няма възможност „да изкарат някой лев“ от скандала с изтичането на данни от НАП. И доколкото става въпрос за една изключително важна и сериозна тема, днес ще разгледаме въпроса за личните данни и тяхната защита.
Кои данни са „лични“ според българското и европейското законодателство
„Лични“ са тези данни, които, най – общо казано, могат да послужат за идентификация на дадено физическо лице. Такива данни са име, идентификационен номер (ЕГН), адрес, телефонен номер, имейл, номер на лична карта, IP адрес и др. В повечето случаи, наличието само на една единствена категория данни не е достатъчна за идентифицирането на лице. Например, ако разполагаме единствено с името на физическото лице „Иван Иванов“, трудно можем да разберем кой точно Иван Иванов се има предвид. Съвсем по друг начин стоят нещата с данни като ЕГН, телефонен номер, номер на лична карта, тъй като тази информация е уникална за всеки субект на данни. Не бива да се забравя още, че всяка цифра от ЕГН-то, например, символизира определен признак на лицето, което го притежава. Така, само от ЕГН може да се разберат датата и годината на раждане, полът и месторождението на дадено лице.
Какви лични данни обработва НАП и с какви цели?
С оглед ефективното изпълнение на правомощията си на орган по приходите, НАП събира множество данни за гражданите. Сред тях са имена, ЕГН, адрес на упражняване на дейност, професия, размер на доходите, ползвани болнични и майчинство, размер на осигуряване, номер на лична карта и др. В своята съвкупност, всички тези данни представляват пълна идентификация на физическото лице и предоставят възможност за злоупотреби.
Личните данни, които НАП събира, записва, организира, структурира, съхранява, адаптира или променя, извлича, консултира, употребява, разкрива чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подрежда или комбинира, ограничава, изтрива или унищожава, са защитени от разпоредбите на Общия регламент относно защитата на личните данни и от Закона за защита на личните данни. Целите на извършване на изброените действия, които в съвкупност представляват „обработване“, са многообразни. Основната цел, за която НАП обработва личните данни на физическите лица е идентифицирането им по безспорен начин, във връзка с осъществяването на законоустановени функции на органа. Тези функции се състоят в обслужване на лицата, установяване на данъци и задължителни осигурителни вноски, обезпечаване и събиране на публични вземания, в това число и установяване на имущественото и финансово състояние на задължените лица, установяване на административни нарушения и налагане на административни наказания, надлежно информиране на клиентите на НАП, както и други правомощия, предвидени в нормативната уредба.
Разкриване на лични данни
Съществуват законоустановени основания за разкриване на лични данни. Сред тях са съгласието на субекта на лични данни, разрешение от Комисията за защита на личните данни, необходимост от защита на националната сигурност, разкриване и предотвратяване на престъпления и др. Извън изброените от закона случаи, разкриването на лични данни е недопустимо.
Съгласно политиката за защита на лични данни на НАП, органът прилага комплекс от мерки за защита на данните от загуба, кражба, злоупотреба, неоторизиран достъп, разкриване, промяна или унищожаване. Предвид осъществената хакерска атака става ясно, че тези мерки са били недостатъчни. В тази връзка, НАП, като администратор на данни, подлежи на административнонаказателна отговорност. Същата може да бъде реализирана в размери до 20 000 000 EUR. Въпреки впечатляващо големия размер на потенциалната санкция към НАП, обикновеният гражданин се интересува повече от възможностите за собствената си защита. И така …
Как да се защитим от неправомерното разкриване на наши лични данни от НАП?
Както и при защитата от дискриминация, тук защитата също може да се осъществи по административен и по съдебен ред.
I. Административен ред
Административният орган, компетентен да се произнесе по такава жалба е Комисията за защита на личните данни (КЗЛД).
При неправомерно разкриване на лични данни, всеки засегнат може да сезира КЗЛД. Срокът е едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му. Комисията следва да се произнесе с решение в 30-дневен срок от сезирането. Тя има правомощията да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание. Решението на Комисията може, в 14-дневен срок от получаването му, да се обжалва пред Върховния административен съд. Съдът може да потвърди или отмени решението на комисията. Съдебното решение е окончателно и произвежда действие за физическото лице и администратора. Освен по инициатива на физическо лице, КЗЛД може служебно да констатира наличие на нарушени права. В тези случаи се предприемат предвидените в закона мерки за тяхната защита, включително уведомяване на засегнатото лице.
Предвид огромният медиен отзвук на хакерската атака срещу НАП, КЗЛД вече е предприела действия по установяване и санкциониране на нарушението. Така, всяко едно лице, чиито лични данни са изтекли, може да поиска от КЗЛД да бъде конституирано в производството като засегната страна.
II. Съдебен ред
При неправомерно разкриване на лични данни, засегнатото лице може да сезира и съда. Разглеждането на такава жалба става по реда на Административнопроцесуалния кодекс от съответния административен съд. В рамките на това производство, за разлика от производството пред КЗЛД, жалбоподателят може да поиска обезщетение за претърпениот него вреди. Именно това е и предимството на съдебния процес пред административното производство, тъй като с една обща жалба може да се поиска установяване на нарушението, санкционирането на нарушителя и осъждането му да заплати обезщетение, което от своя страна спестява на жалбоподателя време и пари. При разглеждане на жалба от КЗЛД тя може да се произнесе само по първите два въпроса.
Тоест, ако бъде подадена жалба пред КЗЛД трябва да се изчака влизането в сила на нейното решение преди да се иска обезщетение по съдебен ред. Това е така, тъй като законът постановява, че субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. Действително, Комисията се произнася изключително бързо, но решението ѝ влиза в сила едва след като бъде потвърдено от ВАС. И именно решението на ВАС забавя самия процес, тъй като в практиката, решаването на дела пред него отнема от една до три години.
Кои вреди подлежат на обезщетяване?
Обезщетение за неправомерно разкриване на лични данни се дължи за претърпените имуществени и неимуществени вреди, които са в пряка и непосредствена връзка с нарушението. В статията относно правата на пострадалия при ПТП изяснихме кои вреди са имуществени и кои – неимуществени. За улеснение, нека ги повторим.
Кои вреди са имуществени?
Имуществените вреди са материални и винаги имат определена парична стойност. Такива вреди, например, са таксите, които субектът на данни трябва да плати за смяна на личните си документи. Имуществена вреда ще бъде и всяка вреда, която лицето търпи, когато трябва да направи разходи, които не би се налагало да прави, ако не беше виновното поведение на администратора на лични данни.
Кои вреди са неимуществени?
Неимуществените вреди са тези, които нямат ясна парична равностойност. Поради тази тяхна характеристика, съдът винаги ги присъжда „по справедливост“. Такива вреди са причинените вследствие на неправомерното разкриване на лични данни притеснения, страх от настъпване на злоупотреби, изгубено време за проучване на въпросите за потенциалните последици и възможностите за защита, както и за чакане по опашки в паспортните служби и др.
В заключение
Личните данни на гражданите представляват изключително чувствителна информация, която е обект на сериозна защита. Поради това санкциите за администраторите на лични данни, които не изпълняват задълженията си по закон и по регламент, са огромни. Всяко едно нарушение може да стане причина за сериозни и необратими последици. Дали при изтичането на лични данни от информационната система на НАП такива последици са възможни, може да се каже едва след като се разбере какви категории данни са изтекли за всеки конкретен гражданин.