НАП били предупредени да подсилят системата си, но не реагирали 21.08 | 17:46

Нищо не са направили от НАП по отношение на защитата на личните данни на гражданите. Това обяви проф. Веселин Целков, член на Комисията за защита на личните данни, предаде БГНЕС.

Целков каза, че са изтекли над 6 млн. данни, от които над 5 млн. са на живи граждани. По думите на Целков НАП я грози глоба в размер на 20 млн. евро или 4% от оборота й.

"Проверката на комисията в НАП приключи. Вчера приехме констативния акт от проверката. Предстои издаване на акт за установяване на административно нарушение, след което ще последва издаване на наказателно постановление", обясни той и добави, че изводите от проверката е показала, че приходната агенция не е предприела адекватни технически и организационни мерки за защита на личните данни.

Според него този проблем не предстои само пред НАП, а и пред останалите държавни институции, защото няма разбиране за проблема от висшия мениджмънт на държавата.

"Виждаме колко късно, повече от 6 месеца е назначен председател на Съвета по киберсигурност, при условие, че законът е приет през декември 2018 г. Назначаването на различни постове трябва да изисква изключителна експертиза", заяви Целков и каза, че не може да коментира качествата и уменията на Марияна Николова, която оглави съвета по киберсигурност.

Той заяви, че кибератаките в България протичат за няколко секунди и няма нужда от съвети, които по негови думи са утопия от миналото, тъй като работата им е бавна и тя не само би могла да се случи, но и да приключи.

Целков заяви, че защитата струва пари, които държавата в момента не може да си позволи, както и поддържане на постоянното високо експертно ниво на служителите си.

Представителят на КЗЛД коментира, че преди няколко месеца от комисията направили запитване към НАП по повод достъпа до информационните системи, съдържащи лични данни, и заради това, че не може този достъп да бъде осъществяван само с ЕГН. Отговорът от НАП беше, че са въвели втори идентификатор – рождената дата и това показва експертното знание в институцията.

На въпрос какви трябва да бъдат ефективните мерки, с които биха могли да се защити информацията, Целков призна, че те са много.

"Администраторът е длъжен да предприеме подходящи технически и организационни мерки за защита на личните данни. Няма дефиниция за подходящи. Единственият критерий дали мерките са подходящи или не е има ли пробив в сигурността или няма. Ако има пробив – явно мерките не са подходящи, а ако няма, значи мерките са подходящи”, заяви той и добави, че Комисията не е институцията, която казва какво трябва да се направи в тази връзка.

Той подчерта още, че откакто е въведен GDPR са се появили много хора, които си предлагат услугите, но 95% от тях са некоректни и не познават какво представляват GDPR.