19min.media

Съдът потвърди глобата от 5,1 млн. лв. за НАП след големия теч на лични данни

Софийският районен съд (СРС) потвърди глобата от 5,1 млн. лв., която Комисията за защита на личните данни (КЗЛД) наложи на Националната агенция за приходите (НАП) след големия теч на лични данни през 2019 г. От решението на СРС става ясно, че едно от основните нарушения на сигурността на данните в НАП е, че е използван HTTP протокол за връзка, вместо сигурен HTTPS протокол. Съдът е изслушал и заключение на експертиза по тези въпроси.


Останалите констатирани уязвимости са свързани с използване на неактуални версии на сървърите за приложения и бази данни и персонални компютри, при положение че имало публикувани уязвимости на съответния софтуер в по-новите му версии, където те вече били отстранени. Имало е възможност за публикуване в интернет на вътрешни адреси, наличие на пароли в явен вид в базите данни, липса на криптиране на връзките за достъп и обмен във вътрешния сайт на НАП.


„При всяко положение налице било използване на несигурния протокол HTTP за обмяна на данни с други държавни учреждения като Агенция Митници, които ползвали такъв протокол, но не и HTTPS, съответно с тях комуникация не можело да бъде осъществявана чрез ползване на HTTPS протокол, но към 15.07.2019 г. от страна на НАП не било предприето нищо, което да представлява сигнализиране на длъжностни лица, компетентни да предприемат необходимите мерки за това съответните други учреждения да ползват несигурния HTTP протокол, а сигурния HTTPS протокол в комуникацията си с НАП“, се казва в решението.


Съдът обаче пише, че не може да бъде направен несъмнен извод за причинно-следствена връзка между констатираните слабости в дейността на НАП и нерегламентирания достъп до данни, какъвто иначе е направила комисията, когато е санкционирала агенцията. Но в решението е изрично отбелязвано, че такава връзка не е нужно да бъде направена, тъй като НАП е била длъжна да защитава данните, независимо дали е настъпило увреждане. В този смисъл съдът се позовава на задължението по чл. 32 от Регламент (ЕС) 2016/679.
Решението на Софийския районен съд подлежи на обжалване.