Лазарина Бонева: Човек може да се окаже с кредит, без да подозира

Лазарина Бонева е магистър по право от УНСС. Работи като юрист в сферата на енергетиката и промишлеността.

- Г-жо Бонева, какво точно се случва с личните данни на българските граждани след кибератаката срещу НАП? 

- Изтекоха лични данни на почти всички българи, които са подавали документи към НАП. Според Националната агенция за приходите става дума за 3% от техните архиви, но тук трябва да имаме предвид, че базата данни на данъчните е наистина огромна и на практика 3% означава лични данни на милиони българи и дори на чужденци, плащащи данъци в България. Това са имена, ЕГН-та, адреси, информация за доходи, дължими данъци, пенсионни вноски, адреси за контакт и др. НАП са придобили и обработват тази информация на законни основания и са длъжни да я съхраняват при подходящо ниво на сигурност. Общият регламент за защита на лични данни предвижда технически мерки за защита на данните. Ако тези мерки са приложени, изтеклият файл не би следвало да може да бъде разчетен от външни лица, които не притежават съответните ключове. 

Затова мисля, че НАП дължат обяснение на обществото не как и защо са обект на хакерски атаки, а как съхраняват файловете си с лични данни на физически лица. 

- Трябва ли хората, чиито данни са изтекли, да се притесняват от злоупотреби и какви по-конкретно?

- Да, злоупотреби са възможни. В миналото имаше случаи с фирми за бързи кредити и мобилни оператори, при които недобросъвестни служители съставяха договори за заеми или услуги на нищо неподозиращи хора. С трите имена и ЕГН-то си човек може да бъде назначен като член на секционна избирателна комисия, без да знае. Отделно от това информацията за доходите и данъците на различни български граждани биха представлявали интерес за отделите "Продажби" и "Маркетинг" на големите банкови, кредитни и застрахователни компании. Това много би ги улеснило при подхода към конкретни платежоспособни клиенти. С оферти за кредити или влогове например.

- Чухме само, че данните в базата на НАП не са изчезнали. Но могат ли да са манипулирани?

- Не е невъзможно.

- Какво не направи държавата в първите часове след разкриването на атаката?

- Ключовото в случая е кога от НАП са установили неоторизирания достъп до базата им данни. Ако НАП са разбрали на 15 юли от медийни публикации, а хакерската атака е извършена 20 дни по-рано според сайта на НАП, остава отворен въпросът колко още течове на информация има, за които от НАП не знаят? Ако пък НАП са знаели за атаките от 20 дни, възниква въпросът уведомили ли са КЗЛД и защо не са публикували на сайта си публично съобщение, с което да уведомят гражданите за изтичането на данните им. 

- Имат ли право гражданите и фирмите с изтекли в публичното пространство данни да си потърсят правата?

- Според Общия регламент за защита на личните данни НАП носи отговорност и ще дължи обезщетения на гражданите, ако за тях настъпят каквито и да било материални и нематериални вреди в резултат на теча на данни. Тази отговорност следва да се търси по съдебен път и още е рано да се каже как ще протече този процес. 

Отделно от това по административен път всеки гражданин би могъл да поиска от НАП, в качеството им на администратор на лични данни, писмена информация дали негови лични данни фигурират във файла с изтекла информация и от какъв характер са те. НАП са длъжни да отговорят на запитването в 30-дневен срок.

Всеки гражданин, чиито лични данни са изтекли и счита, че е налице злоупотреба с тях, може писмено да сезира Комисията за защита на личните данни, която на свой ред да извърши проверка на неговата индивидуална партида с лични данни, и ако установи нарушения, да наложи глоба до 20 милиона евро.

- А каква отговорност трябва да понесат служителите на агенцията? Ако това се случи с частна компания, какви ще са последиците?

- Опасявам се, че тук въпросът не опира само до личната дисциплинарна отговорност на един или друг служител на НАП, а до цялостната политика на ведомството за защита на лични данни - вътрешни правила, процедури, технически и организационни мерки. 

Ако подобно нещо се случи с частна компания, вероятно КЗЛД щеше вече да се е самосезирала и да е влязла на проверка, но по казуса с НАП цари тишина от страна на контролния орган. Но следва да се има предвид, че мандатът на членовете на комисията изтече на 15.04.2019 г. и тъй като до момента не са избрани нови членове, възникват спорове за легитимността на решенията на комисията.