Какво се случи? Някъде през 2019 година личните данни на над 6 милиона данъкоплатци и осигурени лица бяха „разпилени“ в онлайн пространството, нарушението стана публично известно на 15.7.2019 година и никой никога не пое отговорност за това на институционално ниво.
Започнаха и се разгърнаха най-различни производства и дела – наказателни, административни, отделни граждански за вреди и дори преюдициално запитване пред Съда на ЕС. Резултатът от това за преодоляване на идентифицираните системни слабости и нередности при теча до тук беше нулев. Защо?
- Делата за отделни обезщетения поради претърпяно безпокойство и страх от злоупотреби преобладаващо приключиха в полза на ищците. Те обаче не изследваха причините за инцидента, пропуските на агенцията, не правеха общи изводи за нивото на електронни услуги, киберсигурност и гаранции за правата на данъкоплатците. Констатациите бяха – да, случило се е нещо, да потърпевшите са се притеснявали и им се дължи някаква дребна сума за това неудобство. Никакво задълбаване в значението на инцидент от подобна величина за нивото на киберсигурност на една от най-важните и „информирани“ държавни институции.
- Наказателните дела катастрофираха. Обвинението спрямо Иван Тодоров, собственика на „ТАД Груп“ се оказа, че е за нещо, което не е престъпление. Прокуратурата прави някакви опити да ограничи репутационните щети, сключвайки споразумение с „опасния хакер“ Кристиян Бойков, но явно според неговите защитници това не е в негов интерес.
- От друга страна, големите, сериозни дела, по които бяха назначени 5 съдебно–технически експертизи и които се опитаха да изследват нивото на киберзащита на НАП, бяха бавени докато изтеклото време позволи решенията по тях да бъдат отменени поради изтекла давност или на процедурни основания.
Резултатът от разгърналата се бурна и шумна дейност е на практика никакъв – яснота не беше постигната и правосъдие не беше въздадено.
Защо това е важно?
Приходната агенция е една от най-важните институции в държавата, която следи нашите финанси, събира публичните вземания (често и принудително), следи паричните потоци и има огромна информация за всяко икономически заето лице и за всички бизнеси. Ако има съмнения дали НАП обработва тази информация по правилата, законосъобразно и в интерес на фиска при спазване на правата на гражданите, то се повдигат съмнения доколко въобще нейната дейност е легитимна. Ако предоставяйки данните си на НАП, не ги предоставяме на максимално сигурна институция, действаща само въз основа на закона, то може да се допусне, че изпълнявайки конституционните си задължения да плащаме данъци и осигуровки, ние поставяме себе си, бизнеса си и семействата си под риск. Ако папката „Qne Qnev“ наистина съдържа удобно селектирани данни за български професионалисти с определена обществена позиция или високи доходи, то кой ползва българските институции за лична употреба, която, ако не е законна, няма как да бъде различна от престъпна?
Отговорите на тези въпроси се опитват да търсят „Цифрова република“ и група физически лица, които са предявили 11 на брой колективни иска към НАП, целящи да постигнат прозрачност, да установят фактите и да задължат агенцията да приведе обработката си на лични данни и нивото си на киберсигурност в съответствие с действащото законодателство – така, както това се изисква от всеки български бизнес. Исковете бяха спирани неколкократно, но всеки път Софийски апелативен съд връщаше топката в полето на първоинстанционния съд и го задължаваше да продължи. 3 години след завеждането им делото започна по същество.
Всеки икономически активен човек, който би желал да държи отговорна държавата за начина, по който разходва внесените от него средства и обработва информацията за неговите финанси, следва да пожелае да се присъедини към иска. Това все още е възможно и не влече разходи, тъй като те са покрити от Фонда за цифрови права и доброволен труд.
Като пример, че подобни дела понякога остават последният шанс на бизнеса и гражданите да реагират на институционалните провали е делото за чистия въздух, който преди няколко години активисти спечелиха срещу Столична община. Това принуди администрацията на кмета да предприеме мерки за следене на състоянието на въздуха, миене на улиците и въвеждане на нискоемисионни зони – ефектът от тях все още не може да се усети пълноценно, но благодарение на съдебното решение гражданите притежават поне инструмент за натиск, включително финансов – при неизпълнение – който подтикна администрацията към действие. Ако съдим по политическия цугцванг от последните години, може би съдът, с всички условности и уговорки, остава едно от малкото места, където отчетност и отговорност от администрацията все пак може да бъде потърсена. В допълнение, подобна активност създава прецеденти, на които следващи такива дела могат успешно да стъпят и да надградят постигнатото в случай на следващ институционален провал.
Моментът изисква или да удвоим усилията по отстояване на правата си и проследимостта на платените от нас пари на фиска, или да предадем всичко, за което сме се борили, в ръцете на каста от чиновници, управляващи държавата ни като своя собственост.
Вижте предишния ни блогпост по темата тук.