Националната агенция за приходите (НАП) е на път да се спаси от плащането на глобата от 5,1 млн. лева, която ѝ беше наложена след големия теч на лични данни от 15 юли 2019 г. Агенцията поиска от Административния съд София-град (АССГ) да прекрати делото за имуществената санкция, защото вече е изтекла абсолютната давност за наказване на нарушенията, довели до изтичането на данните на хиляди граждани. Съдът обяви, че ще се произнесе за давността с решението си, съобщава ЛЕКС. Глобата беше наложена от Комисията за защита на личните данни (КЗЛД) още през август 2019 г., но НАП я обжалва пред Софийския районен съд (СРС), който обаче едва в края на миналата година реши изцяло да потвърди наказателното постановление.

В решението на СРС се казваше, че едно от основните нарушения на сигурността на данните в НАП е, че е използван HTTP протокол за връзка, вместо сигурен HTTPS протокол. Съдът е изслушал и заключение на експертиза по тези въпроси. Останалите констатирани уязвимости са свързани с използване на неактуални версии на сървърите за приложения и бази данни и персонални компютри, при положение че имало публикувани уязвимости на съответния софтуер в по-новите му версии, където те вече били отстранени. Имало е възможност за публикуване в интернет на вътрешни адреси, наличие на пароли в явен вид в базите данни, липса на криптиране на връзките за достъп и обмен във вътрешния сайт на НАП.

Съдът прие, че не може да бъде направен несъмнен извод за причинно-следствена връзка между констатираните слабости в дейността на НАП и нерегламентирания достъп до данни, какъвто иначе е направила комисията, когато е санкционирала агенцията. Но в решението изрично беше отбелязвано, че такава връзка не е нужно да бъде направена, тъй като НАП е била длъжна да защитава данните, независимо дали е настъпило увреждане. Относно размера на глобата съдът написа, че тя е минимална, като отбеляза, че би я завишил, но няма това право и подчерта, че няма и никакви основания да я намали, а още по-малко да приеме случая за маловажен и да не наложи такава. НАП обжалва решението пред АССГ, който на 26 януари обяви делото за решаване, но според агенцията абсолютната давност е изтекла още на 15 януари тази година и то трябва да бъде прекратено.

От НАП се позовават на тълкувателното постановление на Общото събрание на Наказателната колегия на Върховния касационен съд и на Втора колегия на Върховния административен съд (ВАС), с което през 2015 г. беше прието, че чл. 11 от ЗАНН препраща към уредбата за погасяване на наказателното преследване по давност в Наказателния кодекс (пълния текст на тълкувателното постановление виж тук). Т.е. за обстоятелствата, изключващи отговорността, в производството по ЗАНН се прилагат разпоредбите на НК. Това означава, че в случая ще се приложи чл. 81, ал. 3 от НК, според който независимо от спирането или прекъсването на давността наказателното преследване се изключва, ако е изтекъл срок, който надвишава с една втора този по чл. 80 НК, а имено три години. Така давността, която изключва налагането на имуществена санкция по ЗАНН, е 4 години и половина, което означава, че е изтекла на 15 януари 2024 г.

От протокола от заседанието става ясно, че представителят на КЗЛД твърди, че давността изтича на 15 юли 2024 г. Т.е. че давността е 5 години, а не 4 години и половина, но в него не са посочени аргументите на комисията за това. Както е известно, в задължителната си практика (пълния текст на тълкувателното решение виж тук) ВАС приема, че за имуществените санкции т. нар. изпълнителна давност не е като за глобите, а е 5 години, тъй като се прилага разпоредбата на чл. 171, ал. 1 от ДОПК. Въпросът за нея обаче може да бъде поставен едва когато е налице влязло в сила наказателно постановление, каквото в случая със санкцията на НАП не е налице.

За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от „анонимен руски хакер“, който се самообявяваше за автор на атаката в приходната агенция. В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на „Тад груп“ Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров. Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.

Собственикът на „Тад Груп“ остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Делото беше внесено в градския съд в началото на миналата година, но два пъти вече беше връщано на прокуратурата и още не е започнало по същество. Пред ВАС пък е висящо производството, по което НАП оспорва акта за установяване на административно нарушение с констатациите на КЗЛД, въз основа на които беше наложена рекордната глоба и бяха издадени 20 разпореждания. По това дело в началото на миналата година АССГ потвърди почти всички разпореждания на КЗЛД и прие, че НАП е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица. Делото беше обявено за решаване в края на миналата година.