Националната агенция за приходите (НАП) ще избегне плащането на наложената през 2019 година санкция от 5,1 милиона лева за изтичането на данни на около 6 милиона български граждани.
Причината е изтеклата абсолютна давност за административни нарушения, която в случая е 4 години и 6 месеца. Това стана ясно по време на уебинар, организиран от компанията Legal Tech, която се специализира в софтуерни решения за правни кантори и отдели.
В рамките на събитието адвокат Елислав Атанасов, съосновател на Legal Tech, обясни, че административният съд е длъжен да прекрати делото поради изтичане на абсолютната давност, която не позволява събирането на глобата.
Причини за забавянето
Едно от основните препятствия, довели до проточването на процеса, е било трудността в намирането на вещи лица, които да изготвят техническа експертиза по делото. Предвид сложността на случая и обема на делото, експертите са били затруднени да предоставят навременна експертиза. Въпреки това, Софийският районен съд потвърди наказателното постановление на Комисията за защита на личните данни (КЗЛД), но поради забавянето и изтичането на срока за давност, случаят е приключен без налагане на санкцията.
Мащаб на изтичането на данни
През 2019 година от системите на НАП изтекоха данни на около 6 милиона души, като от тях 4,1 милиона са активни физически лица, включително български и чужди граждани. Останалите 2 милиона са данни на починали лица. Основната причина за инцидента е използването на несигурния протокол HTTP за обмен на информация с други държавни институции вместо криптиран HTTPS, което се оказа основен пропуск в сигурността на системите на НАП.
По-широкият контекст на GDPR санкциите
Според доклад на Европейската комисия за защита на данните, над 100 хиляди жалби се подават всяка година в рамките на Европейския съюз, а наложените глоби са на стойност над 4,2 милиарда евро. България също се нарежда сред страните, които активно увеличават своите усилия за прилагане на GDPR, като между 2020 и 2024 година е удвоила бюджета си за тези дейности и увеличила персонала с 56%.Уебинарът на Legal Tech имаше за цел да информира за често срещани нарушения на GDPR, като един от примерите включва изпращането на чувствителна финансова информация на грешен адресат, което е довело до глоба от 10 хиляди евро. Атанасов подчерта, че санкциите варират значително в зависимост от това колко пъти е повторено нарушението и колко лица са засегнати.
Поучителни примери
Един от разгледаните случаи по време на уебинара включва транспортна компания, която неправомерно е предала личните данни на бивш служител на държавен орган, без предварителна проверка. В случая това е довело до несправедливо глобяване на служителя, без той да е участвал в нарушението. Други примери включват неправилното разкриване на лични данни при изпращане на имейли до множество получатели или игнориране на искания за достъп до лична информация. Адвокат Атанасов подчерта, че неспазването на сроковете за отговор на такива искания също може да доведе до значителни санкции. Тази новина показва колко важно е прилагането на GDPR и колко стриктно се следи за нарушенията на регулацията, като случаят с НАП е поучителен пример за забавянията и административните пречки, които могат да доведат до отпадане на наложените санкции.