Националната агенция за приходите се опитва да избегне плащането на глобата от 5,1 млн. лева, която ѝ беше наложена след големия теч на лични данни от 15 юли 2019 г, съобщава специализирания правен сайт Lex.bg.

На тази дата преди 4 години и половина до медии бяха изпратени имейли от "анонимен руски хакер", с линк към масив от близо 11 гигабайта данни - ЕГН-та, адреси, дори доходи на милиони български граждани и фирми. Течът на данни е най-големият известен в българската история досега.

В последствие за атаката бе повдигнато обвинение за тероризъм и образуване и ръководене на престъпна група - срещу собственикът на "Тад Груп" Иван Тодоров, търговият директор Георги Янков и служителят във фирмата Кристиян Бойков. Делото тръгна едва миналата година. От разследването стана обаче ясно, че пробивът в агенцията е станал изключително лесно - защото защитите й въобще не са били на очакваното ниво.

Още преди да се задвижи това дело, Комисията за защита на личните данни наложи солидната глоба от 5,1 млн. лв. - през август 2019 г., само месец след теча. НАП веднага я обжалва пред Софийския районен съд, който се бави с решението няколко години и едва в края на 2023 г. реши да потвърди наказателното постановление.

Защо КЗЛД глоби НАП?

Основното нарушение на НАП е използването на HTTP протокол за връзка, вместо сигурния HTTPS протокол - който съществува от 1994 г., а от 2018 г. сайтове без него се отбелязват като "небезопасни" от най-голямата търсачка Google. Експертиза е установила и използване на еактуални версии на сървърите за приложения и бази данни и персонални компютри, при положение че имало публикувани уязвимости на съответния софтуер в по-новите му версии, където те вече били отстранени. Имало е възможност за публикуване в интернет на вътрешни адреси, наличие на пароли в явен вид в базите данни, липса на криптиране на връзките за достъп и обмен във вътрешния сайт на НАП.

СРС признава, че не може да бъде направен "несъмнен извод за причинно-следствена връзка между констатираните слабости в дейността на НАП и нерегламентирания достъп до данни", какъвто е установила КЗЛД. Но това няма значение - тъй като НАП е била длъжна да защитава данните, независимо дали е настъпило увреждане или не.

Изтекла ли е абсолютната давност?

По принцип ВАС приема, че за имуществените санкции т. нар. изпълнителна давност не е като за глобите, а е 5 години, тъй като се прилага разпоредбата на чл. 171, ал. 1 от ДОПК. Но за целта трябва да има влязло в сила наказателно постановление - което не е налице.

От НАП се позовават на тълкувателното постановление на Общото събрание на Наказателната колегия на Върховния касационен съд и на Втора колегия на Върховния административен съд (ВАС), с което през 2015 г. беше прието, че чл. 11 от Закона за административните нарушения и наказания. препраща към уредбата за погасяване на наказателното преследване по давност в Наказателния кодекс. Т.е. за обстоятелствата, изключващи отговорността, в производството по ЗАНН се прилагат разпоредбите на НК.

А чл. 81, ал. 3 от НК предвижда, че независимо от спирането или прекъсването на давността наказателното преследване се изключва, ако е изтекъл срок, който надвишава с една втора този по чл. 80 НК, а именно три години. Така давността, която изключва налагането на имуществена санкция по ЗАНН, е 4 години и половина, което означава, че е изтекла на 15 януари 2024 г.

Според представителят на КЗЛД че давността изтича на 15 юли 2024 г., т.е. е 5 години, а не 4 години и половина, но в него не са посочени аргументите на комисията за това. Крайното решение е в ръцете на АССГ.