Време за прочитане : 9 мин.

Общ преглед

Опасности

Получавате SMS или имейл уведомление, влизате в профила си за интернет банкиране и с ужас установявате, че е налице неоторизирана транзакция и източена банкова сметка или кредитна / дебитна карта. Това е един все по-често срещан сценарий за онлайн кражба, а настоящата статия разглежда източването на лични или фирмени банкови сметки чрез хакерски атаки, мерките за предпазване и опциите за ефективно и пълно възстановяване на щетите от подобна неоторизирана банкова транзакция.

Видове банкиране

Интернет банкирането бива основно 2 вида – активно, при което могат да се правят нареждания на суми онлайн, и пасивно, при което единствено може да се следят движения по сметки и да се правят справки онлайн, но не и да се извършва разпореждане със суми. Източването на банкови сметки посредством хакерски атаки е възможно само в първия случай. Теоретично е възможно източване и при пасивно банкиране, но авторът не е запознат с такъв случай.

Видове защита

При активното онлайн банкиране неминуемо се ползват потребителско име и парола за съответния профил. Но освен това абсолютно всяка банка в България предлага един слой допълнителна защита. Това обикновено са квалифицирани електронни подписи, специални цифрови сертификати на съответната банка, PIN или SMS кодове, предварително генерирани и разпечатани на хартия TAN кодове, или генерируеми на момента и в реално време TOKEN кодове или 3D пароли.

SMS кодове

Изпращането на SMS кодове на телефона на потребителя, титуляр на интернет банкирането, се смята за изключително сигурна опция за допълнителна защита. В такава хипотеза потребителят въвежда потребителско име и парола при нареждане на банкова транзакция, а банката генерира и му изпраща код под формата на SMS съобщение на мобилния му телефон, който код следва също да бъде въведен, наред с потребителско име и парола, за да бъде транзакцията извършена.

Единият риск при тази опция е чисто физическа кражба на телефон, който да попадне в ръцете на хакери, а другата, по-популярна, включва различни опции за атаки от разстояние, при които телефонът е у собственика му, който не подозира нищо.

Хардуерен TOKEN / TAN код

При тази опция на клиента се предоставя хардуерно устройство, т.нар. TOKEN (известно като токен или тоукън). Това устройство генерира уникални кодове в реално време с минимална трайност, обикновено в рамките на 1 минута. Идеята е единствено държателят на това устройство, който би следвало да е оторизиран потребител на онлайн банкирането, да може да извършва банкови транзакции.

Дори хакерска атака напълно да компрометира компютъра или електронното устройство на потребителя посредством инсталирането на зловреден код (вирус, троянски кон или друг малуеър) и дори потребителското име и паролата да бъдат откраднати – съответният хакер или неоторизиран потребител в най-добрия случай ще може да влезе в клиентския профил, но не и да нареди транзакция, защото за тази цел е нужен код, генериран от TOKEN устройството, което чисто физически няма как да се намира в ръцете на хакерите.

TOKEN устройството предоставя още по-сигурна защита, защото не може да бъде клонирано както SIM картите на мобилни оператори. Но е напълно възможно кодовете да попаднат в ръцете на хакер чрез т.нар. ФИШИНГ (PHISHING) атака, която е разгледана по-долу.

Софтуерен TOKEN / 3D парола

Софтуерните токъни и 3D пароли са най-новият „писък на модата“ при 2-факторната автентикация. Те се генерират под формата на код или QR код от устройството на клиента на банката, било то компютър или смартфон. Допълнителен слой защита при мобилните телефони дава мобилният идентификатор, с който разполага всеки смартфон, на който е инсталирано приложение за онлайн банкиране.

Това е един от системните тригъри в банковите системи, който обаче много често банките „проспиват“ при хакване и източване на сметка, но след това, разбира се, се опитват да квалифицират поведението на потребителя като груба небрежност, което разбира се е абсурдно и това става пределно ясно, когато спорът влезе в съд.

Видове атаки

SIM Клониране

Въпреки че SMS кодовете се смятат за сигурна опция за защита, в края на 2021 в България беше разкрита първата масова организирана престъпна схема за източване на банкови сметки чрез клониране на SIM карти на мобилни оператори. Клонирането всъщност представлява активиране на нова SIM карта – пълен дубликат на SIM картата на жертвата на хакерите, която хакерът поставя в своя собствен мобилен телефон, на който пък получава всички SMS кодове за авторизация, а оттам нататък е лесната за хакерите част. Тази атака е възможна в 2 случая – когато хакерът има достъп до телефона на жертавата, за да клонира лично SIM картата му, или когато хакерът има помагач – служител на съответния мобилен оператор, с чиято помощ клонирането става много лесно.

Simjacker / WIBattack

Другият най-популярен вид SMS хакерска атака е т.нар. Simjacker атака, както и нейният по-усъвършенстван „наследник“ WIBattack. Първият тип използва слабости във вградения във всяка SIM карта S@T Browser, а втория – в WIB браузъра, чрез които оперират редица функции на съответния мобилен оператор (проверка на сметка, заявяване на услуги и т.н.).

При Simjacker и WIBattack хакерите изпращат вид системни SMS-и (т.нар. OTA SMS), за които потребителят не бива уведомяван по никакъв начин и няма как да разбере, че е станал жертва на подобна атака. Въпросните SMS-и генерират и обратни SMS-и, изходящи от телефона на жертвата на хакерите, които дават ценна информация на хакерите. По такава схема може да бъде установено местоположението на жертвата (т.е. на практика същата да бъде постоянно следена), могат да бъдат изпращани скъпи SMS-и, да бъдат набирани телефонни номера с добавена стойност и т.н.

Man in the middle

Името на този тип атака („Човек по средата“) напълно отговаря на действителното положение. При този сценарий електронното устройство обикновено е заразено с малуер, който дава на хакера пълен контрол над машината. Следи се комуникацията, като автоматизиран зловреден софтуер „слуша“ за конкретни данни. Когато напр. жертвата натисне бутона „Плати“ в напълно автентичен сайт на онлайн търговец, платежния пакет пристига в компютъра му, но малуерът прихваща потока данни, който не продължава пътя си, а в браузъра се зарежда страница, която прилича на тази на оператора и след въвеждане на данните от потребителя, хакерът вече разполага с тях и може да направи каквито разплащания пожелае.

Хакерът може напр. да нареди плащане в чужбина, откъдето „муле“ може да изтегли сумата, а потребителят, дори да бъде известен с SMS, или не може да се ориентира или вече е твърде късно.

При такива атаки се назначава експертиза, от заключението на която обикновено става пределно ясно, че се касае за хакерска атака, която банката е проспала, най-малкото защото се касае за влизане в онлайн банкирането от непознат IP адрес. Последният може да бъде променен с помощта на ползвана от хакерите VPN услуга, но последната също може да бъде установена при проявено внимание от страна на банката.

Phishing

При класическия фишинг хакерите правят абсолютно или поне максимално точно визуално копие на оригиналния сайт за интернет банкиране, но всъщност сайтът не е на съответната банка, а под контрола на хакерите. В масовия случай хакерите изпращат до жертвата имейли, в които се съдържа покана за предприемане на определени действия (напр. потвърждаване на информацията в профила за онлайн банкиране), често придружена със заплаха от неблагоприятни последици (напр. закриване или изтриване на профила, ако бездействате).

Чисто визуално, на имейл съобщението е придаден вид, че изхожда от съответната банка, но ако се вгледате в адреса на подателя, веднага бихте забелязали нещо нередно – напр. вместо някаквоиме@ibank.bg, в полето за изпращач ще прочетете ibank@каквотоидае.bg. Това е най-сигурният белег, че се касае за опит за измама. Освен това сигурно ще може да видите връзка от сорта на https://ibanking.ibank.bg/, но при щракването на връзката ще се отвори съвсем друг адрес. На който разбира се ще се зареди страница, която визуално изглежда точно като оригиналната страница на съответната банка.

Значи вече сте влезли в сайт, под контрола на хакери, но си мислите, заблудени от дизайна, че сте на автентичния сайт на Вашата банка. И въвеждате всички данни, необходими за влизане във Вашия профил. Обаче не влизате в профила на интернет банкирането, а излиза каквото и да е друго съобщение, обикновено за грешка 404 или временна недостъпност на страницата поради системна поддръжка. Видите ли такова съобщение, тогава значи хакерите вероятно вече разполагат с всички данни, необходими за извършването на неоторизирана банкова транзакция онлайн.

Фалшив IBAN

Разновидност на Phishing и Man in the middle е хакерската атака, при която престъпниците, обикновено чрез фишинг прийоми добиват контрол върху електронното устройство на клиента на съответната банка. След това започват да следят неговата кореспонденция, вкл. изпращаните и получавани имейли.

В нормалната си дейност търговските дружества изпращат фактури по имейл, след което същите се заплащат онлайн или офлайн. Когато започне такава напълно реална кореспонденция между търговски партньори, единият (доставчик) изпраща фактура на другия (получател на стока или услуга), която следва да бъде платена. Получателят много добре знае, че такава фактура следва да бъде платена (защото преди това е проведена имейл кореспонденция или телефонни разговори с параметрите на сделката) и по никакъв начин не би се усъмнил, когато получи имейл с приложена фактура от контрагента си.

Измамата се състои в това, че хакерите прихващат автентичния имейл, който никога не достига до получателя. Изтеглят обаче приложената фактура и обикновено единственото, което правят е да променят IBAN номера на сметката на получателя на плащането. Обикновено дори фирмените данни не се променят. След това тази фалшифицирана фактура се прикача и се изпраща до получателя й, като много често дори се използва оригиналното съдържание на оригиналния имейл (който, както беше изяснено по-горе, е бил прихванат и никога не е бил доставен). И след това добросъвестният получател получава имейла и прави плащането по сметката, посочена във фактурата. Но IBAN номерът е на сметката на хакерите, въпреки че са изписани абсолютно истински фирмени данни. И по този начин парите безвъзвратно заминават по сметка на хакерите.

Банкови карти

Legacy

За източването на сметки не е необходимо да имате онлайн банкиране, достатъчна е дори само една физическа банкова карта (пластика). Преди въвеждането на актуалните банкови карти с чип се използваха карти с магнитна лента, базирани на EMV (Europay, Mastercard, Visa) стандарта за комуникация, който използваше MSD (Magnetic Stripe Data) протокол при картите Visa и респ. PayPass M-Stripe при Mastercard.

Преждеизброените стандарти са доста остарели и уязвими към атаки и затова бяха заменени с нови такива при новото поколение безконтактни карти с чипове. За съжаление старите стандарти са на много места все още приложими в режим „Съвместимост“ (legacy mode) и това неимоверно улеснява хакването и източването дори на най-модерните и защитени карти, тъй като, вместо да разбиват криптирането им, хакерите просто използват споменатия legacy mode.

NFC

Най-новите карти с чип са безконтактни и работят по NFC (Near Field Communication) стандарта за безжична комуникация, при който се безжично се предават данни на честота 13.56 MHz. Всички модерни телефони с ОС Android (Google) / iOS (Apple) разполагат с NFC хардуер, който им позволява да изпълняват същата роля като банкова карта с чип и на практика да заместят последната. Когато данните от картата се копират в телефона (т.нар. дигитализиране), телефонът осъществява абсолютно същата комуникация и за един POS терминал няма значение дали до него доближавате карта с чип или NFC хардуер (мобилен телефон, часовник и др.).

Добрата новина, доколкото може да има такава, при все по-зачестяващите измами с карти, е, че самите криптографски ключове на картите с чип са трудно уязвими и това е една от причините с клонирана карта да бъде използвана за плащания по интернет, като това е възможно само на физически POS терминали за разплащане.

Видове злоупотреби

На първо място сред начините за злоупотреба с и източване на банкова карта е нейната чисто физическа кражба или придобиване и държане по друг начин. За теглене на пари в брой на ATM (банкомат) е необходимо въвеждането на ПИН код, което затруднява крадците и затова те предпочитат плащането на POS терминали, където не се изисква ПИН код. Съгласно евродирективата PSD2 има въведени лимити за плащане без ПИН, но хакерите прилагат различни способи за преодоляване на това ограничение, особено ако картата е в тяхно държане.

Друг все повече набиращ популярност метод е т.нар. скимиране, което е възможно да бъде осъществено поне по няколко различни начина. Първият и най-стар е инсталирането от хакери на допълнителен хардуер на иначе автентични ATM и POS, напр. двойна клавиатура, четец на магнитна лента и т.н. Във връзка с това е препоръчително използването на банкомати, които са оборудвани с камери за наблюдение – там хакерите избягват да извършват подобни измами.

По-модерно напоследък е безжичното прихващане на карти и NFC портфейли. Ако напр. държите банкова си карта (или телефон, в който тя е дигитализирана) в задния си джоб докато чакате на опашка в магазин, хакер може да прихване NFC сигнала на картата или телефона, ако се доближи на по-малко от 10 см от тях. Затова е препоръчително NFC функцията да бъде включвана само при плащане, а картите могат да се държат в специални RFID блокери (продават се кожени портфейли с такава защита, но същата работа върши и станиол, напр. от шоколад, който блокира излъчването на безжични сигнали от картата или телефона).

Apple/Google Pay/Wallet

Същност

Портфейлите (wallets) на Google и Apple са приложения за операционните системи Android и iOS, които представляват платформи за разплащания. Една от основните им функции, използвана от хакерите, се състои в т.нар. дигитализиране на банкови карти, което представлява „вкарването“ на картите в съответния портфейл за бъдеща многократна употреба.

Видове злоупотреби

Хакерите използват два основни способа за източване на суми от картите на потребители – или чрез поемане контрол върху електронното устройство на крайния потребител (чрез инсталиране на троянски коне, spyware или друг тип malware) и извършването на транзакции от директно от него, или чрез кражба на данните на банкови карти. В последния случай хакерите дигитализират картите на потребителите директно на свои собствени устройства, от които извършват неоторизирани транзакции.

Кражба на данни

Основен въпрос във връзка с горното е как могат да бъдат откраднати нечии данни. На първо място това е възможно чрез хакване на онлайн бази данни, в които потребителите са правили разплащания или в които се съдържат данни за техните карти. Възможни са и течове дори от сайтовете на самите банки издатели на картите.

Най-сложена е кражбата на токените за мултифакторна автентикация (3D пароли и др.), като там предпочитани методи са фишингът или зловредни приложения, на които сте дали системни права (permissions) да четат или изпращат SMS или нотификации, в които често се съдържат токени за потвърждение на различни действия – от създаване на портфейл (напр. Apple wallet) или дигитализирането на карти в него до разплащания.

Дигитализация

Предпочитаният напоследък от хакерите метод за източване е чрез дигитализиране на откраднати (данни на) кредитни или дебитни карти, след което започват да я източват чрез правенето на различни покупки чрез офлайн терминали, при плащането на които не се изисква нито въвеждане на ПИН код, нито наличие на физическа карта, а единствено мобилно устройство с NFC функционалност.

Основен въпрос в случая е за мерките против измами в тази връзка, които банката е взела, за да предотврати подобни измами. Опитен адвокат може да изследва въпроса и да постави банката „на тясно“, при което същата няма друг изход, освен да признае претенциите на клиента, чиито средства са били източени.

Спешни действия

Блокиране

Когато „белята“ вече е станала, все още не е прекалено късно. Следва обаче веднага да направите едно нещо – незабавно да се обадите на Вашата банка, която незабавно да блокира профилът Ви в онлайн банкирането, за да не могат да се извършват транзакции. Ако не направите това, вероятно съвсем скоро ще разберете, че сте наредил определена сума на определено трето лице, което не познавате.

Жалба

Силно препоръчително е и своевременното подаване на жалба в полиция или прокуратура. В резултат на която вероятно ще бъде образувано полицейско производство, по което ще бъде установено, че някое трето лице, т.нар. бушон или муле, е изтеглило в брой въпросната сума, с която Вие сте „олекнали“ и я е предало на непознати нему трети лица, които са му оставили нищожна част от сумата като вид възнаграждение за извършената от него услуга по получаване на превод от непознато лице и предаването му в брой на друго непознато лице.

Хакерите, разбира се, ще останат неразкрити, а изтеглилото и предало им сумата лице меко казано няма да е в добро финансово състояние и съответно няма да има смисъл въобще да се опитвате да си възстановите сумата от него.

Възстановянане на сумите

Отговорност

В горния случай изниква въпросът – кой носи отговорността и за чия сметка са финансовите загуби в резултат на подобна измама? Със сигурност и банката, и мобилният оператор ще се опитат да измият ръцете си с потребителя. И не е изключен вариант, напр. при груба небрежност, при който наистина потребителят, независимо дали обикновен гражданин или бизнесмен, понася цялата отговорност и всички финансови загуби.

Затова е повече от препоръчително, още в началния етап на осъществяване на престъпната схема, пострадалото лице да се консултира с опитен адвокат, който знае какво следва да бъде направено и запазено като доказателства, за да бъде пострадалото лице впоследствие напълно обезщетено за всички загуби. Компетентен адвокат може да се намеси напълно ефективно и на по-късен етап, но принципът е, че колкото по-рано – толкова по-добре.

Оспорване

Предвид горното, очевидно загубата ще трябва да бъде понесена или от банката, или от клиента. Или с други думи единствената възможност за клиента да възстанови сумата, източена от банковата му сметка, остава оспорването на неоторизираната банкова транзакция.

Банката, разбира се, в масовия случай ще прехвърли вината върху клиента, дори евентуално ще вземе компютъра или електронното му устройство за експертиза, в резултат на която ще достигне до извод, че клиентът не е положил дължимата грижа съгласно договора за ползване на онлайн банкиране или общите условия към него и предвид това… няма да му възстанови източената неправомерно сума. Съдебната практика обаче е категорична за съдържанието на понятието „груба небрежност“ и тълкуванието на банките почти винаги е друго.

В случая е важна намесата на компетентен експерт, напр. адвокат по банково право, който е запознат как функционират онлайн системите на различните банки. Това помага да се отсеят неоснователните защитни твърдения на съответната банка, с която същата отхвърля претенциите на пострадалите клиенти. Ако напр. се касае за много последователни преводи на по-малка стойност, а не на цялата сума с един превод, това само по себе си не е недопустимо. Но много често, ако се проследят под лупа всички тези преводи, може да се установи пропуск в онлайн системата за сигурност на съответната банка, която е следвало да реагира своевременно и да блокира или изходящите преводи, или въобще целия клиентски акаунт.

Обикновено следват жалби до съответния надзорен орган, който обаче нерядко прехвърля топката обратно към банката и нейния клиент и така се стига до една задънена улица.

Дело

А изходът от горната ситуация е надлежното оспорване на неоторизираната банкова транзакция по съдебен ред или казано с други думи – завеждане на дело срещу банката. Обикновено отпорът от страна на банката е твърд – пълен отказ за споразумение или комуникация дори.

Впоследствие, при завеждане на дело, насрочване на съдебни заседания и назначаване на експертизи, съответната банка има опции да започне да „омеква“ и да предлага компромисно споразумение на клиента, чийто адвокат е поставил доста „неудобни“ въпроси на вещото лице по делото, чиито отговори пък са още по-смущаващи за защитната теза на банката.

И така е напълно възможно да се стигне до момента, в който банката сама моли за извънсъдебно споразумение за възстановяване на клиента на цялата източена от сметката му сума плюс целия заплатен адвокатски хонорар и всички направени в съдебното производство разноски, само и само да не се стигне до постановяването на съдебно решение.

Спечелени дела

Съдебната практика познава много различни случаи на успешно осъдени банки, които възстановяват откраднатите суми на клиентите си, независимо дали са търговски дружества (фирми) или физически лица (потребители).

И то не само чрез хакерски атаки и интернет банкиране, но и при „офлайн“ измами, при които напр. счетоводител на фирма бавно и методически е източвал фирмена сметка с неподписани от управител документи.

Има дори случаи, в които първо банката е осъдена да върне откраднатите суми, а след това е осъдена да заплати обезщетение на клиента за неимуществени вреди – изгубено време и нерви при оспорването на транзакциите, необходимост от водене на дела, за да се докаже правотата на клиента и т.н.

Загубени дела

За съжаление в практиката са срещани и загубени от клиентите дела, което се дължи на няколко основни причини.

На първо място това са прибързани действия от страна на клиента, напр. след блокирането на онлайн банкирането или картата си, клиентът посещава клон на банката, където излага несъгласувани с адвокат обстоятелства, които впослествие са използвани от банката изцяло в негов ущърб.

Друга причина е недостатъчно задълбочено изследване на конкретния казус, в резултат на което може да се окаже, че е предявен иск с една обстоятелствена част, а разследващите или съдът впоследствие установяват ако не коренно, то съвсем различна такава.

Предвид горното е препоръчителна спешна консултация с адвокат веднага след най-неотложните действия по блокиране на карти или акаунти.

Време за прочитане : 2 мин.

Продажбата на лекарства по интернет е поредният клон на онлайн търговията, който претърпя бурно развитие по време на пандемията от COVID-19. При поръчка в онлайн аптека, всеки може да закупи определени лекарства и хранителни добавки, без да се налага физически да посещава аптека, а основното ограничение при регистрацията и работата на аптеките онлайн е, че имат право да продават по интернет само лекарства, за които не се изисква рецепта. Така например, пациент не може да се снабди легално напр. с антибиотици, които обикновено са предписвани от личните лекари.

За да може да функционира законосъобразно една онлайн аптека, тя първо трябва да бъде регистрирана надлежно, а след това има законови и подзаконови изисквания, на които трябва да отговаря. Част от тях са валидни за всички онлайн търговци – напр. касаещи сключване на договори от разстояние, защита на потребителите, защита на лични данни (които в случая са чувствителни и изискванията са специални, а санкциите са по-високи) – но други са специфични точно за тази дейност, напр. задължителна регистрация на интернет сайта в Изпълнителната агенция по лекарства (ИАЛ) и т.н. В сайта на ИАЛ има публичен регистър с всички регистрирани онлайн аптеки, така че ако пациент не е сигурен дали и откъде да поръча някое лекарство онлайн, може да направи бърза справка за лиценза на дадена онлайн аптека и да направи поръчка или пък да подаде сигнал за незаконна дейност на онлайн търговец на лекарства.

Особено съществено изискване за откриването на онлайн аптека и нейната регистрация е нейният собственик да има разрешение за продажба на лекарствени продукти на дребно, т.е. да е собственик на офлайн аптека. Друго специфично изискване е задължението по Наредба за предоставяне на консултации във връзка с дейността. Наред с това, собственикът трябва да разполага и със специални превозни средства, които да осигурят максимална защита на лекарствените продукти, предлагани в интернет аптеката. Има и изискване за доставка в рамките на 24 часа.

В последно време, поради все повече увеличаващият се брой интернет аптеки, върху тяхната дейност започна да се упражнява все по-строг контрол. В тази връзка, както всеки онлайн магазин, аптеката трябва да има прецизно изготвени Общи условия, задължителна Политика за защита на личните данни, както и други специфични документи, защото именно в тази насока проверките от страна на надзорните органи са най-чести. В същото време сравнително масово онлайн аптеките нямат изготвени специално за тях и подходящи за дейността им такива задължителни документи, а има и такива, които копират подобни документи от други сайтове, но всички тези пропуски няма как да не бъдат констатирани от проверяващите органи, които налагат съответните санкции, които обикновено са в размер на няколко хиляди лева. Затова е препоръчително съгласуването на работата на онлайн аптеката между няколко категории експерти – IT специалисти, които поддържат сайта, счетоводители, които осчетоводяват поръчките и транзакциите, и юристи, които съгласуват с предходните 2 фигури и собственика на бизнеса наложителни от законова гледна точка промени във функционирането на сайта.

Както при всеки друг сайт за онлайн търговия, онлайн аптеката също има нужда от изготвяне на важна документация, съобразена изцяло с настоящото национално и европейско законодателство, с цел търговецът да не бъде подложен на имуществени санкции поради несъответствие на сайта си със законовите изисквания. И в тази връзка, дори вече да имате изготвен и функциониращ сайт за продажба на лекарства, препоръчително е компетентни лица в областта на приложимото законодателство да направят правен одит и да дадат компетентно становище какво следва да бъде ревизирано на сайта, така че рискът от санкции от надзорните органи да бъде сведен до нула. Юридическият одит обикновено струва многократно по-малко от дори от първата и най-лека санкция, която може да бъде наложена от проверяващи органи, а освен него, адвокат с опит в електронното право би могъл, срещу повече от приемлива месечна такса да сключи официален договор с онлайн аптеката, по силата на който да предоставя текущи правни консултации при всеки възникнал въпрос или проблем и да бъде официален контакт с надзорните органи в случай на проверка.

Време за прочитане : 3 мин.

Закон за виртуалните валути, базирани на блокчейн (blockchain) технологията, все още няма, нито в България, нито в ЕС, нито в някоя друга развита държава, въпреки че търговията с криптовалути (Bitcoin, Ethereum и др.) процъфтява вече години наред. Надзорните органи в различните държави издават спорадични указания, препоръки и предупреждения, но това няма нищо общо със създаването на правнорегламентирана рамка, към която криптотърговията да се придържа, за унифицирани законови изисквания да не говорим.

Имайки предвид горното, малките и индивидуалните играчи на криптопазара обикновено не предприемат никакви мерки за съответствие със законодателството и това е донякъде оправдано, защото за това се изискват допълнителни разходи. При малко по-големите и средни играчи на пазара на виртуални валути обаче е препоръчително вземането на превантивни мерки, които могат да им спестят между малко и много главоболия с всевъзможни държавни институции за в бъдеще. Дори криптовалутите да не са изчерпателно и прецизно регламентирани в действащото българско и европейско законодателство, това не означава, че напр. НАП няма да направи данъчна ревизия, в рамките на която да установи с ревизионен акт немалки приходи и оттам и неплатени данъци от страна на задълженото лице. Или пък от финансовото разузнаване към ДАНС няма да почукат на вратата във връзка с непредприети дори само на хартия мерки срещу изпирането на пари. Или пък Комисията за защита личните данни (КЗЛД) за изиска от задълженото лице документация за съответствие и изпълнение на законовите изисквания.

Може би е излишно да бъде въобще споменавано, че първата задължителна стъпка в тази насока е регистрацията на дружество с ограничена отговорност (ООД или ЕООД) или акционерно дружество (АД или ЕАД), защото съгласно Търговския закон (ТЗ) лицата, които извършват търговска дейност по занятие, дори да не са регистрирали абсолютно нищо, се приема, че са еднолични търговци (ЕТ). А при ЕТ първо данъчното облагане е по-неблагоприятно и освен това търговецът отговаря с цялото си лично имущество за задълженията си.

Следващата стъпка е начертаването на бизнес модела, в съответствие с който ще бъде извършвана на практика дейността по търговия с криптовалути. Същият е силно препоръчително да бъде съгласуван с адвокат и счетоводител. Най-малко препоръчителен е вариантът, при който се пробва нещо дали работи и след като се установи, че работи безотказно (само от техническа страна обаче), допълнителни мерки от правно или счетоводно естество не се вземат, поне докато не дойдат на посещение компетентните органи и връчат предписание, акт за установяване на административно нарушение, наказателно постановление или друг акт. Добър компромисен вариант е как нещо работи да бъде изпробвано от индивидуален акаунт, който впоследствие да не бъде използван в дейността по търговия с виртуални валути.

Законът за мерките срещу изпирането на пари (ЗМИП) е първият нормативен акт, който следва да бъде съобразен от търговците на криптовалути при извършваната от тях дейност. Там се съдържа и първият опит за легална дефиниция в българското законодателство на понятието виртуални валути – „цифрово представяне на стойност, която не се емитира или гарантира от централна банка или от публичен орган, не е непременно свързана със законово установена валута и няма правния статут на валута или на пари, но се приема от физически или юридически лица като средство за обмяна и може да се прехвърля, съхранява и търгува по електронен път.“. Съгласно най-новите точки на чл. 5 от ЗМИП задължени и съответно подлежащи на санкции по закона са лицата, които по занятие предоставят услуги за обмяна между виртуални валути и признати валути без златно покритие, както и доставчици на портфейли, които предлагат попечителски услуги (физическо или юридическо лице или друго правно образувание, което предоставя услуги за опазване на частни криптографски ключове от името на своите клиенти за притежаването, съхраняването и прехвърлянето на виртуални валути). В зависимост от обема и сложността на извършваните от криптотърговеца операции следва да бъде изготвена и съответната документация, която следва да е налична при поискване от компетентните органи.

Следващият акт, който следва да бъде съобразен при търговията с криптовалути е ЗЗЛД и европейският регламент GDPR. Същите не поставят в прав текст изисквания към търгуващите с криптовалути, но същите произтичат от извършваната дейност. Имайки предвид, че дори само имейл адресите без други съпътстващи данни спадат към категорията „лични данни“, то просто няма как ЗЗЛД да бъде заобиколен, дори когато става дума за търговия със съпътстващо високо ниво на анонимизиация като криптотърговията.

И на последно място сред органите, контролиращи търговията с виртуални валути, се нареждат органите на приходната администрация в лицето на НАП. В тази връзка някои биха се изненадали да разберат, че въобще в законодателството съществува една Наредба № Н-9 от 07.08.2020 г. на министъра на финансите, съгласно която съществува публичен регистър към НАП, в който криптотърговците следва да бъдат вписани. Но следва да се има предвид, че не е толкова важно самото формално вписване в този регистър, колкото „изпипването“ на бизнес модела и дейността, така че данъчната администрация да няма за какво да се „хване“ при упражняването на контрол върху криптотърговците. Въпросното вписване в регистъра е важно да се отбележи, че следва да бъде извършено преди започване на дейността.

Време за прочитане : 3 мин.

Нарушение на сигурността на данните по смисъла на GDPR (ОРЗД) и ЗЗЛД може да е налице при онлайн или офлайн пробив в сигурността. За да е налице пробив или изтичане, трябва да сме изправени пред един или няколко от следните резултати:

• Унищожаване – данните не могат вече да бъдат изцяло или частично разчетени, напр. лоши или форматирани сектори на твърд диск или изгорени хартиени документи
• Загуба – данните са налични, но администраторът няма достъп до тях, напр. кражба на компютър или изгубена от служител по път за работа флашка
• Промяна – данните са налични, но неточни, напр. злонамерено променени стойности на резултати от медицински изследвания, счетоводни одити, IBAN номера на банкови сметки и др., осъществени от неоторизирано лице
• Неразрешено разкриване – данните са непокътнати и администраторът има достъп до тях, но са нерегламентирано разпространени, вкл. публично, въпреки че са поверителни, напр. публикуване в онлайн пространството на откраднати от болница здравни досиета на пациенти, номера на кредитни карти, потребителски имена и пароли и т.н.
• Достъп – същото като по предходната точка, с тази разлика, че не са разпространени, напр. хакер или неоторизирано лице са прочели трудовите договори или служебната имейл кореспонденция на служители в дадена фирма, без да ги правят достояние на трети лица

Офлайн пробивът може да бъде констатиран на практика безпогрешно и в повечето случаи включва човешка намеса – напр. кражба на документи, лаптоп, компютърна конфигурация, NAS сървър, твърд диск (HDD/SSD), оптичен диск (CD/DVD), флаш памет (USB storage) и др. аналогови или цифрови носители, но може да е и напр. резултат от природни или други бедствия като пожар или наводнение. Пробивът може да засегне както цифрови носители, върху които са записани данни, като изброените по-горе, така и аналогови, напр. разпечатани на хартия същите тези данни. Крадецът може да открадне както флашка, на която са записани лични данни на служители, така и класьор с принтирани на хартия същите тези данни, а в резултат на пожар или наводнение могат да бъдат безвъзвратно повредени и двата вида (цифров и аналогов) носители, върху които са записани лични данни.

Онлайн пробивите изискват повече технически знания, но са и по-опасни, защото много често остават незабелязани. Ако дадено лице осъществи неоторизиран достъп до данни офлайн, напр. в архива на фирмата, до което помещение няма право на достъп, поведението му може да бъде забелязано от служители във фирмата или от охраната, оперираща CCTV видеонаблюдение. В аналогична ситуация, но в онлайн среда, неоторизираното лице (хакер) може да осъществи достъп до поверителни лични данни в много случаи напълно незабелязано, особено ако фирмената мрежа, хардуер и софтуер не се поддържат професионално, напр. неправилно конфигуриран файъруол (firewall), липса на антивирусна защита, лог файлове (log files), които се изтриват автоматично в много кратки срокове и т.н.

Ако сигурността на личните данни е била нарушена, чл. 33 от GDPR изисква надзорният орган, в случая Комисията за защита на личните данни (КЗЛД), да бъде уведомен в 3-дневен срок (72 часа) от администратора на лични данни. Ако обработващ лични данни установи пробив, следва да уведоми администратора, който от своя страна пък да уведоми КЗЛД. Ако бъде установено, че е налице висок риск, следва да бъдат уведомени и съответните субекти на лични данни. Пробивът задължително трябва да бъде отбелязан в регистъра на нарушенията на сигурността на личните данни, които администраторът е длъжен да води. Задължително следва да бъде уведомено длъжностното лице по защита на данните (ДЛЗД или DPO), ако такова е било назначено. Ако не е било назначено, препоръчителна е незабавна консултация със и съдействие от специалист в материята на защитата на личните данни, защото неговият опит, преценка и съвети могат да спестят много хиляди левове санкции (максимално до 10 млн. евро или 2% от годишния оборот съгласно GDPR), които могат да бъдат наложени от надзорния орган дори само за неуведомяване или некоректно уведомяване.

Ето и част от въпросите, от отговора на които зависи дали е налице нарушение на сигурността на личните данни и ако е, каква е неговата тежест и респ. вероятна имуществена санкция в ущърб на администратора на лични данни:

• Съставлява ли дадено злонамерено или неоторизирано действие нарушение на сигурността на личните данни. Защото е възможно да е успешно осъществена хакерска атака, но същата да не съставлява нарушение по смисъла на GDPR, напр. един от най-популярните типове хакерски атаки (DDoS) може само временно да доведе до загуба на достъп до данни.
• Съществува ли вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако бъде направена правилна, професионална и юридически издържана преценка, че няма риск за субектите на данни, тогава органът може да не бъде уведомяван.
• Представлява ли нарушението на сигурността на данните висок риск за засегнатите лица – субекти на данни. Ако представлява, същите следва да бъдат уведомени, в допълнение към уведомлението до КЗЛД.
• Каква информация да бъде първоначално предоставена на надзорния орган. Защото законът допуска поетапно предоставяне на информация на органа, което може да е от неимоверно голяма полза за администратора, ако знае как да се възползва.
• Описание на нарушението и евентуалните негови последици. Ако нарушението е повече от категорично доказано и не подлежи на никакво съмнение, как точно ще бъде описано то е може би най-важният за администратора на лични данни въпрос, който има пряка връзка с неговата имуществена отговорност и потенциалните санкции, които може да му бъдат наложени. Едно би било положението, ако вирус или друг малуер (malware), напр. троянски кон (trojan), ренсъмуер (ransomware) и др., единствено форматира хард диска на заразен компютър, но съвсем друго, ако се разпрати до всички имейл контакти на заразен компютър и оттам инфектира и нанесе допълнителни поражения. От значение също така са и много други въпроси, вкл. дали напр. е налице бекап (backup) сървър и дали същият е локален или облачен (cloud), дали даден вирус е полиморфен, дали данните са били симетрично или асиметрично криптирани, дали за даден ренсъмуер има наличен декриптор (decryptor) и т.н.
• Описание на предприетите от администратора мерки. Това е въпрос, който е почти изцяло в компетентността на IT специалистите или IT отдела на администратора на лични данни, но не бива да се неглижира и правилното описание на предприетите мерки. Защото същите може да са на практика най-ефективните, но ако не са добре законово обосновани, това може да доведе до значително по-неприятни за администратора последици.

Време за прочитане : 2 мин.

Едно и също нещо ли е информирано съгласие на пациента и съгласие за обработка на лични данни? Задължителни ли са и двете при изследвания или лечение в болница, лаборатория, при стоматолог и т.н.? Отговорът и на двата въпроса е не и е разгледан по-долу в статията.

През май 2018г. в сила влезе прословутият GDPR (Регламент за защита на личните данни). В началото всички бяха в паника какво точно трябва да правят или да не правят и как да процедират с личните данни след GDPR. Заваля лавина от въпроси както от администратори и обработващи лични данни, така и от субекти на данни (това са всички физически лица). Започна да се говори, че за всяко влизане в болница, поликлиника, аптека и други подобни институции ще трябва да подписваме допълнително съгласие за обработка на личните данни. Това не е нужно поради простата причина, че нито Регламентът (GDPR), нито националното ни законодателство (ЗЗЛД) не поставят такова изискване. Дори обратното. Има становище на Комисията за защита на личните данни (КЗЛД), в което изрично се посочва, че „обработването на данни за здравословното състояние е законосъобразно, ако се извършва за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни и социални грижи, лечение, за управление на системите за здравеопазване и социални грижи, в областта на общественото здраве, за защита срещу сериозни трансгранични заплахи за здравето и др.“. В такива, както и в подобни случаи, касаещи здравето на човека, които не могат да бъдат изброени изчерпателно, „болничното заведение, лаборатория или аптека няма нито задължение, нито право да иска допълнително изрично съгласие на лицето (пациента). И всичко това е логично, защото какво би станало, ако тежко болен пациент откаже да даде съгласие за обработване на личните му данни и поради тази причина болницата не му окаже необходимата грижа?

Всичко написано до тук има и своята нормативна установеност, а именно: Регламентът посочва, че лични данни могат да бъдат обработвани на различни основания (разбира се, едно от най-разпространените е съгласието). Такива обаче също са и „спазване на законово задължение“, „за да бъдат защитени жизненоважните интереси на субекта на данните“, „за изпълнение на задача от обществен интерес“. Като такива, тези основания се приемат за достатъчни за обработване на лични данни, свързани със здравословното ни състояние и в същото време изключват необходимостта от даване на изрично съгласие.

В болничните заведения обаче в напълно възможно, даже в някои случаи задължително, да подпишете друг вид съгласие, т.нар. „информирано съгласие“. То не е свързано с обработването на лични данни, а с описание на определените медицински процедури, които предстои да бъдат извършени на пациента. Такива може да бъдат например хирургични операции, поставяне на упойка (анестезия) за извършване на процедура и други. Подписването на такъв документ трябва да е съпроводено от обяснения на достъпен за всеки обикновен човек език от лекуващия лекар, свързани с поставената диагноза и заболяването, метода на лечение, възможни рискове и усложнения и др. По принцип без лично да подпишете такова съгласие, лекарите нямат право да извършват описаните манипулации. От това правило обаче има и изключения, свързани с невъзможността в някои случаи самият пациент да даде съгласието си, да подпише документа, да разбере неговото съдържание. Така например, ако сте приети по спешност в болница в критично състояние, животоспасяващите действия могат да се извършват и без такова предварително съгласие. В други случаи не самият пациент, а неговите родители, настойници или попечители ще трябва да подпишат документа – например: пациентът е под 14 годишна възраст или е поставен под пълно запрещение.  Друго важно, което трябва да се знае за информираното съгласие е, че дори и такова да е дадено, същото може в последствие да бъде оттеглено от пациента, неговите родители, попечители или настойници. А също така е възможно да се наложи пациентът да се запознае и да подпише различни видове информирани съгласия за един престой в болнично заведение, когато се налага да бъдат извършвани различни манипулации. При изписване от болнично заведение на пациента задължително се издава епикриза, като срокът за издаването й зависи от вида на заболяването, извършените интервенции и други.

Време за прочитане : 4 мин.

Длъжностно лице по защита на личните данни (ДЛЗД) стана особено популярна, а в някои случаи и задължителна фигура след влизането в сила през 2018 на новия Регламент за защита на личните данни (GDPR), който изведе на хоризонта една нова фигура, която е натоварена с немалко задачи във връзка със спазване разпоредбите на европейското законодателство. Регламентът има пряко приложение в държавите-членки и не е задължително допълнително уреждане на неговата материя и на национално ниво. Въпреки това обаче,  след повече от година от влизането в сила на Регламента, бяха променени Законът за защита на личните данни, както и други национални актове, които почти дословно имплементираха разпоредбите на европейския акт.

Длъжностното лицe по защита на данните (ДЛЗД), известно на английски език като Data Protection Officer (DPO), е ново както за българското, така и за по-голяма част от европейското общество и бизнес. Въпреки множеството спекулации, че именно това лице ще утежни бизнеса, това не е точно така. Основно поради факта, че не всяка фирма или организация трябва задължително да назначи свое ДЛЗД. Има три случая, в които обаче това е неизбежно и задължително. Те са:

1. Публичен административен орган – такива са например общините, НАП, НОИ, КАТ и др. като в това число влизат всички държавни и общински публични сектори.
2. При мащабно наблюдение на различни физически лица като основна дейност – под „мащабно“ се взема предвид: броя на засегнатите лица; обем на обработваните данни; продължителността на обработването. Според компетентния в случая орган – Работната група по чл. 29, типични примери за мащабно наблюдение са:
   1. Дейността на една болница при обработване на данните за здравословното състояние на пациентите
   1. Обработване на лични данни, включително местоположение, от доставчици на интернет или телефонни услуги
   1. Не е мащабно обработването на лични данни от отделен лекар или адвокат
3. Обработване на „чувствителни“ данни (данни за расова или етническа принадлежност, политически възгледи и убеждения, здравословно състояние, сексуална ориентация и други).

Освен в тези изрично упоменати в Регламента случаи, всяка фирма (малка или голяма), предприятие или организация, дори и да няма задължение да назначи длъжностно лице по защита на данните (ДЛЗД), може да го направи и това в никакъв случай не би било грешно. Напротив, това е една от стъпките, с помощта на които организацията ясно може да докаже спазването на GDPR. Към назначаването на такова лице има още няколко съществени елемента.

Според новото европейско законодателство в областта на защитата на личните данни няма точни и конкретни изисквания, на които следва задължително да отговаря длъжностното лице по защита на личните данни. То се назначава с оглед на неговите професионални качества, като според становище на Комисията за защита на личните данни ДЛЗД е необходимо да притежава задълбочени експертни познания в областта на законодателството и практиката за защитата на личните данни, напр. адвокат, специализиращ именно в тази област. Срещу символична месечна сума един опитен адвокат – експерт в областта на защитата на личните данни би могъл да консултира професионално и по този начин да предотврати налагането на санкции на дадено предприятие за неспазване на действащото законодателство и GDPR. Освен това може да следи за всякакви промени в националното и европейското законодателство и да препоръча или съдейства с актуализацията на документацията за съответствие с GDPR. И не на последно място – да комуникира със субектите на лични данни (напр. отправили искане или жалба до търговеца) или с Комисията за защита на личните данни. Обикновено тази услуга не изисква ежедневни ангажименти и поради това, изненадващо или не, наемането на адвокат, който за изпълнява функцията на ДЛЗД, е значително по-евтино от наемането на отделен служител на трудов договор в предприятието.

Тъй като с навлизането на този Регламент, бизнесът не на шега се стресна от факта, че трябва да вложи доста финансови средства по съобразяването си с него, трябва да кажем също, че не е необходимо длъжностното лице, което ще обслужва дадена организация за защита на личните данни, да е новоназначено външно лице. Това може да бъде и вътрешно лице – част от персонала на предприятието, което да бъде назначено с изрична заповед на длъжност, която не е изрично предвидена в Регламента, но обикновено бива наименувана „Отговорник по защита на личните данни“. При по-големите компании, най-вече тези, които не оперират само в едно населено място или държава, е важно да се спомене, че група предприятия могат да назначат и само едно ДЛЗД за всички предприятия. Но условието е, че трябва да има осигурен достъп до него от всяко предприятие. Разбира се, тук „достъп“ не бива да се приема в буквалния смисъл на физически достъп до лицето. Достатъчно е по всяко време и от всяко място субектът на данните да има връзка с ДЛЗД. Преди това длъжностното лице задължително трябва да е официално представено като такова на всички работници или служители в организацията или предприятието.

Във връзка с горното, една от основните задачи на администраторите и на обработващите лични данни е да публикуват и да направят достъпни данните за контакт с ДЛЗД. Тази информация следва да се доведе до знанието и на надзорния орган в лицето на Комисията по защита на личните данни (за България). Това е така поради факта, че една от основните функции на това лице и именно да си сътрудничи постоянно с този водещ орган. Именно в тази връзка от Комисията за защита на личните данни направиха специално уведомление за назначаване на ДЛЗД. Това уведомление се изготвя от администратора на лични данни и се изпраща до Комисията. За това няма определен срок, нито санкция, ако не бъде сторено.

Изготвянето на оценка на въздействието върху защитата на данните е една от областите, в които ДЛЗД може да е от изключителна полза. Формално погледнато самата оценка на въздействието върху защитата на данните се прави от администратора на лични данни, но ДЛЗД може да подпомага неговата дейност, като даде своето становище, мнение, насоки и други. Администраторът и обработващите лични данни са длъжни да осигурят на длъжностното лице необходимите ресурси за изпълнение на неговите задачи, а също и неговата пълна независимост (от администратора и обработващия) – никой не може да влияе на неговите решения и политики за защита на данните. Не може да се допуска по какъвто и да е начин да се влияе върху неговата преценка, когато тя е свързана със защита на личните данни.

Сред основните задачи, които следва да изпълнява ДЛЗД са:

1. Да отговаря на всички въпроси, отправени към него, от страна на субектите на данните – какви лични данни се обработват, как се съхраняват и всяка друга информация, свързана с тези данни
2. Съветва администратора или обработващия личните данни по принципни положения, свързани с приложението на Регламента, както и по конкретни казуси, възникнали в практиката на предприятието
3. Да съблюдава извършването на оценка на въздействието върху защитата на данните и да дава съвети и оказва помощ по нея
4. Да подпомага по всякакъв възможен начин администратора или обработващия личните данни във връзка със защитата на техните права и бизнес интерес
5. Да сътрудничи и да се консултира с надзорния орган (КЗЛД) като представител на администратора или обработващия лични данни

Наред с тези задачи, длъжностното лице може да изпълнява и други задачи, възложени му от администратора или обработващия личните данни, стига тези други задачи да не водят до конфликт на интереси с функцията му по спазване Регламент 2016/679 ЕС. В този аспект като пример за конфликт на интереси, може да се посочи, че длъжностно лице по защита на данните не може да бъде ръководите, управител на самата организация, главен или изпълнителен директор и други подобни длъжности.

Време за прочитане : 4 мин.

Мерки срещу изпирането на пари

Задължения на фирмите по ЗМИП

Лице за контакт и декларация за действителен собственик

Изпирането на пари – чрез банки, имоти, подставени лица или чрез други схеми – е престъпление не само съгласно българския Наказателен кодекс (НК), но и по целия свят. Във връзка с това през 2018 година влезе в сила новия Закон за мерките срещу изпирането на пари (ЗМИП), който изцяло отмени действащия до този момент стар закон, а тези промени бяха съобразени с европейското законодателство и в частност с Директива (ЕС) 2015/849 за предотвратяване използването на финансовата система за целите на изпирането на пари и финансирането на тероризма. Промените в него са свързани основно с вменяването на нови задължения за посочените в закона задължени субекти – физически и юридически лица, които са ангажирани със спазването и прилагането на посочените в същия закон мерки за борба с прането на пари и финансирането на тероризма.

Едно от основните задължения по новия ЗМИП е свързано с всички фирми, в това число и клоновете на чуждестранни търговски дружества, регистрирани в България. Съгласно действащия закон, при установяване на делови взаимоотношения с клиентите си, както и в някои други специфични случаи, задължените субекти трябва да приложат мерки за комплексна проверка на клиента, които включват идентификация на своя клиент – физическо лице или идентификация на действителния собственик на своя клиент – юридическо лице. По смисъла на закона, клиент е всяко физическо или юридическо лице или друго правно образувание, което встъпва в делови взаимоотношения или извършва случайна операция или сделка задължен субект. За да може да извърши тази идентификация, задълженото лице трябва да направи справка в съответния национален регистър (Търговски регистър, Регистър БУЛСТАТ), както и да се сдобие с официален документ (договор, удостоверение или друг), който да показва кой е действителния собственик в случай, че клиент се явява не той, а подставено лице. Новият закон въвежда задължение за всички юридически лица и други правни образувания да подават до съответния регистър (Търговски регистър, регистър БУЛСТАТ) изрична декларация за това, кой именно е действителният им собственик. Именно тази декларация и нейното подаване беше предмет на най-много дискусии. На пръв поглед изглеждаше, че всички търговци трябва да подадат декларация пред съответния регистър, независимо каква е формата на дружеството им. Малко по-нататък в закона обаче се пояснява, че такава декларация не подават физическите лица, които са вписани като действителни собственици на юридическо лице или друго правно образувание (напр. фондация) на друго основание. Това означава, че ЕООД, което има вписано физическо лице за едноличен собственик на капитала и това е действителният собственик, не е задължено повторно да декларира и да доказва, че именно това физическо лице е действителният собственик на въпросното търговско дружество. Друг е въпросът, ако обаче собственик на същото това ЕООД е не физическо, а друго юридическо лице, независимо дали българско или чуждестранно. В този случай, от националния регистър няма директно да става ясно именно кой е действителният собственик на фирмата и тогава такава декларация следва да се подаде задължително.

По отношение на ООД е по-логично да има задължение за деклариране на действителния собственик, тъй като има поне две лица – съдружници (могат да бъдат физически или юридически лица). Законодателно въпросът при ООД със съдружници, притежаващи най-малко 25% от капитала на дружеството, стои по същия начин, както и при ЕООД. С други думи, за ООД, в което имаме напр. двама съдружници физически лица, притежаващи по 50% от капитала всеки, не възниква задължение за деклариране на действителен собственик, тъй като имената и на двамата са обявени и се виждат в регистъра. Когато в ООД има повече съдружници, някои от които (или всички) са с по-малко от 25% от капитала, съдружниците, притежаващи по-малко от 25% от капитала не следва да се декларират като действителни собственици. Ако имаме обаче съдружник – юридическо лице, което притежава по-малко от 25% от капитала в дружеството, то дружеството трябва да декларира действителен собственик, като посочи за такъв лицето, което пряко или косвено контролира юридическото лице – съдружник.

Друго съществено важно обстоятелство, което трябва да се заявява заедно с действителния собственик, е лице с постоянен адрес в България за контакт с данъчните и други власти. Такова лице се изисква за всички дружества, но практически проблем за осигуряването му възниква най-вече при дружествата с чуждестранни собственици. Лицето за контакт трябва задължително да изрази своето съгласие да бъде вписано като такова посредством специална нотариално заверена декларация. След вписването му за него възникват редица задължения, като например задължение да получава, да разполага и да предоставя в определените по закон случаи подходяща, точна и актуална информация относно физическите лица, които са действителни собственици в съответните дружества, включително с подробни данни относно притежаваните от тях права. Неспазването на тези задължения е скрепено с глоба за самото лице за контакт в размер от 100 лв. до 1000 лв., а при повторно нарушение – от 200 лв. до 2000 лв.  

Законът казва, че за подаването на декларацията за действителен собственик на юридическото лице има краен срок. Първоначално за такъв е посочен 1 февруари 2019 г. Наскоро обаче, беше обнародван така дълго чаканият Правилник за прилагането на закона. В него е посочен нов срок, в който следва да се декларират действителните собственици и лицата за контакт. Това е 31 май 2019г. Поместена е и самата декларация, която трябва да се попълни и подаде в съответния регистър. Може да бъде попълнена самата декларация или да е част от друг документ, но задължително трябва да съдържа цялата изискуема информация, посочена в декларацията. Подаването й към регистрите обаче ще бъде възможна след 31 януари 2019г., тъй като до тогава Агенцията по вписванията трябва да осигури техническа възможност за вписването на тази нова информация.

В последния момент, ден преди да изтече крайният срок за подаване на декларациите за действителни собственици, Агенцията по вписванията излезе с две важни указания. Поради многото неясноти още от самото приемане на ЗМИП, Агенцията разясни няколко основни неща. Както беше упоменато, за някои юридически лица възникна задължение за посочване на лице за контакт с постоянен адрес в България. Неясно беше обаче дали когато дружеството няма задължение да декларира действителния си собственик, понеже той ясно се вижда, дали трябва да има обявено лице за контакт (пример: юридическо лице, регистрирано в България от чуждестранни граждани – физически лица). Становището на Агенцията е, че дори и да няма задължение за деклариране на действителен собственик, това не води до отпадане на задължението за посочване на лице за контакт. Независимо от това, че и двете неща се посочват в една обща декларация и с едно общо заявление.

Проблеми имаше и около посочването на действителните собственици на акционерните дружества. Сега, според Агенцията по вписванията, реално всяко АД трябва да подаде такава декларация, тъй като имената на отделните акционери не са част от задължителната информация, която се предоставя при вписването. Тоест, не се знае кои реално са акционерите. Изключение може да има само в случаите на ЕАД, в което собственик на капитала е физическо лице или юридическо лице, което обаче също е регистрирано в България.

Друго интересно указание от Агенцията е, че дружества, които са изцяло собственост на държавата не са длъжни да посочват действителен собственик. Това е породено от факта, че правата се упражняват от определен министър, който е ясен във всеки един момент. По аналогия, същото би следвало да се прилага и за дружества, чийто собственик на капитала е община.

В отделно указание, Агенцията по вписванията прави разяснения специално за ЮЛНЦ – фондации и сдружения. Те обаче до някъде преповтарят последните промени в ЗМИП. Така например, действителните собственици на фондация може да бъде учредител, доверителен собственик, пазител, ако имате запазени права чрез които упражняват контрол върху решенията на фондацията. Ако не може да бъде определен действителния собственик, за такъв се счита представляващият, който изпълнява ролята на висш ръководен служител. Относно сдруженията – разпоредбите са почти идентични. Разликата е, че ако в сдружението членуват до 4 физически лица, се прилагат разпоредбите за търговските дружества.

Наред с действителните собственици на фирмите, за субектите на данни възникнаха и други задължения – изготвяне на вътрешни правила за контрол и предотвратяване изпирането на пари, план за въвеждащо и продължаващо обучение на служителите си. Когато беше приет новият Закон, субектите на данни бяха задължение да изпращат тези планове за обучение в ДАНС. След като бяха затрупани от планове обаче беше въведена промяна, според която това задължение отпадна. Плановете за обучение се съхраняват само от субектите на данни. Споменатите вътрешни правила също не трябва да се изпращат за съгласуване в ДАНС, но трябва да бъдат изготвени в 6-месечен срок, считано от 09.01.2020г. (тогава са публикувани резултатите от националната оценка на риска на сайта на ДАНС).

Време за прочитане : 3 мин.

Правото „да бъде забравен“ даден човек е един сравнително нов термин свързан с личните данни и в частност интернет активността на физическите лица. Приложението му е вече ефективно въведено от големите корпорации в IT бранша, а и допълнително разширено с влизането в сила през 2018 на новия общоевропейски Регламент (ЕС) 2016/679 за защита на личните данни. Право „да бъде забравено“ има всяко физическо лице (това право е неприложимо за търговски дружества и юридически лица), чиито лични данни най-общо казано някога са попаднали в интернет пространството или у офлайн администратори на лични данни (напр. банки, кредитни институции, колекторски фирми и т.н.). По същество, това е право на физическото лице да поиска негови лични данни да бъдат изтрити (т.е. администраторът на лични данни, който ги е получил на законно или незаконно основание, да спре използването и предоставянето им на трети лица).

По закон това право може най-често да бъде упражнено в 2 хипотези:

1. Когато физическото лице е дало съгласие на администратор на лични данни (напр. при регистрация в онлайн директория, имейл услуга и т.н.) да обработва неговите лични данни или
2. Когато това право произтича от договор (напр. банка или фирма за бързи кредити е отпуснала заем на лицето, онлайн магазин, от който лицето е закупило стока и т.н.)

Именно в последния случай мнозина граждани се оплакват от „психически тормоз по телефона“ от банки, колекторски фирми и др. Въпросният тормоз по телефона се изразява в многократни покани, обикновено отправяни от кредитор към длъжник, срещу които длъжникът възразява. Всъщност адресатът на въпросния психически тормоз не възразява против това, че има задължения, но има против това служители на кредитодателя да го притесняват многократно по телефона, нерядко в неподходящо време. Имайки предвид, че няма закон за телефонния тормоз, нито за такъв психически тормоз се носи наказателна отговорност (освен ако не е напр. закана за убийство, което е престъпление), тогава на помощ идва правото „да бъде забравен“ адресата на споменатия психически телефонен тормоз.

Съгласно новия Регламент за защита на личните данни субект на лични данни (т.е. лицето чиито лични данни се събират и обработват) не може да поиска да бъде „напълно забравен“ при положение, че има непогасени задължения, а кредиторът има право да претендира вземанията си, но длъжникът има пълно право да поиска да бъдат изтрити някои негови конкретни лични данни, които нямат пряка връзка с изпълнението на задълженията му. Напр. длъжник по банков кредит или адресат на телефонен тормоз от колекторска фирма няма право да иска изтриването на неговите имена, ЕГН и пр. данни, които го индивидуализират като длъжник по договор и без които кредиторът няма да може ефективно да предяви вземанията си (напр. банката няма да може да подаде искова молба в съда без да разполага с имената на длъжника), но има други лични данни, които по никакъв начин не са в пряка връзка с изпълнението на задълженията на длъжника по даден договор – напр. телефонният му номер.

Предвид горното, всеки длъжник, който бива тормозен по телефона, независимо дали по един правомерен (напр. покана доброволно да погаси задълженията си) или незаконосъобразен начин (напр. заплахи за действия, които могат да бъдат предприети при неизпълнение на задълженията му) – може да изиска от съответното дружество – администратор на лични данни (банка, финансова институция, факторинг дружество, колекторска фирма и т.н.) да изтрие и спре използването на някои негови лични данни, вкл. телефонния му номер.

Трябва да имате предвид обаче, че дори и да се позовете на това свое право, администраторът на лични данни (например банката или колекторската фирма) може да възрази и да откаже да изтрие личните ви данни, защото счита, че неговият интерес има преимущество пред този на субекта на данните (физическото лице, което бива тормозено по телефон или имейл). Горепосоченият Регламент му дава това право, но следва то да бъде доказано.

Друга възможност, която предоставя Регламента за защита на личните данни на физическите лице е свързано с ограничаване обработването на личните им данни. Какво означава това? Най-просто казано, това е алтернатива на „правото да бъдеш забравен“, защото не изисква от администратора да изтрие напълно личните данни, с които разполага, а само да спре да ги използва. Той може да ги съхрани за определен период от време, но няма право да ги използва. С две думи – ако поискате да бъдат ограничени телефонният ви номер и електронната поща, то администраторът трябва да преустанови тормозещата си практика по този начин.

Препоръчително е заявлението за изтриване или за ограничаване обработването на лични данни от страна на физическото лице да бъде направено в писмена форма, тъй като устните волеизявления на практика трудно могат да бъдат доказани, а е добре да има писмено доказателство за обстоятелствата, свързани с гореизяснения психически тормоз. Ако е налице изрично писмено волеизявление в тази насока и администраторът на лични данни продължи да използва тези лични данни, които субектът на лични данни (физическото лице) изрично е забранил да бъдат използвани или е поскал да бъдат „забравени“ – тогава това физическо лице има право на жалба до Комисията за защита на личните данни, която съгласно новия Регламент за защита на личните данни има компетентност да налага огромни по размер санкции (до 20 милиона евро). Следва да бъде изрично обърнато внимание, че това не трябва да бъде жалба срещу телефонен тормоз, а жалба за неспазване на закона от администратор на лични данни. Ако комисията за защита на личните данни бъде сезирана с жалба за телефонен, психически или какъвто и да е друг тормоз, то тя няма да се произнесе по нея предвид липсата на компетентност.

Време за прочитане : 3 мин.

Законът за защита на личните данни (ЗЗЛД) съществува още отпреди да влезе в сила през май 2018 Общият регламент за защита на личните данни на физическите лица (ОРЗД или GDPR). Оттогава всички заинтересовани лица тръпнеха в очакване как нашият законодател ще имплементира изискванията на Регламента в националното ни законодателство. За целта трябваше да бъдат направени сериозни промени и допълнения в Закона за защита на личните данни. Обновеният закон вече е факт след цели 10 месеца чакане. Промените са в голяма си част преписани от разпорежданията от Регламента, но разбира се и нашият законодател е добавил нещичко от себе си.

Няма да се спираме отделно на всяка изменена или допълнена разпоредба на закона, тъй като няма смисъл при все, че основно се преповтаря Регламента, а неговото разглеждане може да видите в други обширни статии. Ще се спрем само на основните и по-значителни неща, които са допълнени или по някакъв начин се различават от тези в Регламента.

Едни от най-съществените допълнения са свързани с уреждане на въпросите относно събирането и обработването на лични данни от работодател, в качеството му на администратор. По отношение на случаите на подбор на персонал, работодателят има право да съхранява личните данни на кандидатите, които не са били одобрени за съответната позиция за срок, не по-дълъг от 6 месеца. Този срок може да бъде удължен само ако кандидатът е дал изричното си съгласие за по-дълго съхранение и евентуално последваща свободна позиция за работа. Има случаи, в които работодателят изисква някои документи от кандидатите в оригинал (диплома, трудова книжка, медицинско свидетелство и др.). Той обаче е длъжен след приключване на подбора на персонал да върне изисканите документи на кандидатите, които не са били одобрени в срок до 6 месеца от приключване на процедурата. Същото важи и за нотариално заверени копия от посочените документи.

Във връзка с горното е важно да се спомене фактът, че копирането на документи за самоличност, вкл. шофьорска книжка, може да стане само ако има изрично посочена в закона причина за това. Подборът на персонал не би следвало да се счита за такава, още повече, че често кандидатът представя достатъчно документи, които включват лични данни. Това ограничение обаче, в доста случаи ще отпада, тъй като с въвеждането на Закона за мерките срещу изпирането на пари (ЗМИП) голяма част от администраторите са задължени да снемат самоличността на своите клиенти, за да докажат в последствие пред ДАНС, че са извършили необходимите вътрешни проверки. А задължените по този закон лица са много, сред които: адвокати, нотариуси, ЧСИ, застрахователи, брокери на недвижими имоти, държавни органи и куп други.

Друга съществена разлика на Закона от Регламента е по-ниската възрастова граница при обработването на лични данни на деца. Според Регламента тя е 16 години, а според нашия закон – едва 14 години. Това не е някакво своеволие, а резултат от възможността, предвидена в Общия регламент националните законодателства на отделните страни членки да сложат по-ниска граница. Това означава, че за лица под тази възраст, трябва изрично съгласие от страна на упражняващия родителските права (родител, попечител или настойник) за всяко действие, което е свързано със събирането, обработването и съхраняването на лични данни на деца.

Както повечето закони у нас, така и ЗЗЛД трябва да има свой Правилник за прилагане. Той обаче не е готов все още и не е ясно кога можем да го очакваме. В него трябва да бъдат уредени някои допълнителни въпроси, а именно: редът, условията и критериите за одобрение на проекти на кодекси за поведение на администраторите и обработващите лични данни; редът за обучение на Длъжностни лица по защита на данните (тук можем да кажем, че сертифицирането на тези лица не е задължително условие при назначаването на ДЛЗД. Сертификатът се издава след успешно положен изпит и е със срок на валидност 3 години);  формата и редът за уведомяване на КЗЛД за назначаване на ДЛЗД (в момента на сайта на Комисията е публикувана информация как се подава такова уведомление, заедно с бланката, която се попълва от администратора).

Ще се спрем накратко и на правата на субектите на данни. В случай на нарушение, субектът има право да сезира Комисията в срок до 6 месеца от узнаване на нарушението, но не по-късно от 2 години от извършването му. Законодателят е предвидил обаче, че за нарушение на закона и на Регламента, които са извършени преди влизането в сила на новия ЗЗЛД, сроковете за сезиране на Комисията са различни – 1 година от узнаването и до 5 години от извършването на нарушението. Освен сезирането на Комисията, субектът на данни може да иска обезщетение за претърпени вреди от неправомерно обработване на личните му данни по пътя на съдебното производство.

Другата разлика с Регламента е предвидената глоба или имуществена санкция за „други нарушения на този закон“ в размер на 5 000 лв., а при повторно нарушение – в двоен размер. Най-съществената разлика с Регламента обаче е различният срок за отговор от страна на администратора до субекта на данни при отправено искане и упражняване на правата си. Според Регламента този срок е 1 месец, а нашият законодател, незнайно защо, удължава двойно този срок – до 2 месеца.

В заключение е важно да се знае, че при несъответствие на национален закон (напр. ЗЗЛД) с регламент на Европейския съюз (напр. GDPR), прилага се регламентът.

Време за прочитане : 4 мин.

Безплатни образци и бланки на декларации, политики, регистри и всевъзможни други документи по новия GDPR Регламент и Закона за защита на личните данни (ЗЗЛД) са предмет на все по-голямо търсене от бизнес потребителите, имащи качеството на администратори на лични данни. Целта на настоящата статия е на първо място да обясни същността на тези документи, както и да предостави някои примерни образци за свободно ползване.

Мнозина може би вече са установили, че, въпреки голямото търсене, безплатни образци и бланки, свързани със защитата на личните данни, се намират трудно или въобще не се намират в интернет пространството. Това има своето напълно логично обяснение, което се корени в следните 2 основни причини:

1. Стандартни пакети образци не се разпространяват безплатно, а се продават
2. Стандартен пакет документи не вършат почти никаква работа

На пръв поглед купуващите подобни документи съвестни бизнесмени, които искат да спазват закона, остават с впечатлението, че с придобиването на подобен „ПЪЛЕН“ комплект документи, те вече ще са напълно изрядни и отговарящи на изискванията за обработка на лични данни, което обаче е огромна заблуда поради следните очевидни причини:

1. Нито в ЗЗЛД, нито в GDPR има посочен „пълен“ и изчерпателен списък от необходими документи, т.е. документите са неограничен брой и всеки път варират според особеностите на съответния бизнес
2. Всеки стандартен на пръв поглед документ, напр. политика за поверителност / защита на личните данни, следва да бъде изготвен съобразно индивидуалните особености на конкретния бизнес
3. Дори една стандартна бланка на декларация за защита на личните данни да отразява съвършено точно 90% от изискуемата информация – останалите 10% биха съставлявали невярна или непълна информация, което вероятно би съставлявало нарушение

Като илюстрация на горното идва един напълно реален пример от практиката. Продавачите на стандартни бланки на документация за защита на личните данни няма как да знаят къде точно и на каква платформа напр. се хоства даден онлайн магазин, какви протоколи за сигурност използва, дали съхранението на лични данни е локално или облачно, има ли локално или отдалечено видеонаблюдение и по какъв стандарт функционира и т.н. и т.н. Това са само няколко мънички детайла от ужасно многото такива, които следва да се преценят при изготвянето на пълната документация за съответствие с изискванията за защита на личните данни. Ако дори само едно мъничко детайлче се окаже невярно, то несъответствието в документацията на съответния бизнес ще е налице,. Така напр. е възможно в дадени стандартни образци да е записано, че администраторът ползва един вид хостинг или търговска платформа, но да се окаже, че в даден случай се касае за напълно различен вид – в резултат на което да се окаже, че се предават лични данни на трета страна – за което се изисква допълнителен слой защита, изразяващ се в задължението за инкорпориране на съответните допълнителни мерки и гаранции във фирмената документация за защита на лични данни. На практика е напълно немислимо съответните допълнителни мерки да бъдат предварително инкорпорирани в стандартен пакет образци на документи защото възможните различни комбинации от конкретни детайли, са хиляди, а продаваните пакети стандартни образци са един вид.

По-долу ще бъде направен кратък преглед на основните видове документи, които следва да се изготвят от администратор на лични данни (или респ. нает от него експерт, напр. адвокат или длъжностно лице по защита на данните), за да бъдат спазени изискванията на GDPR и ЗЗЛД при обработката на лични данни (т.нар. GDPR compliance). Отново следва да се има предвид, че наборът от документи варира при различните администратори в зависимост от естеството на конкретния бизнес.

Политика за защита на личните данни, позната още като политика за поверителност. Това един от основополагащите документи при доказване спазването на изискванията за защитата на личните данни. Това е вероятно най-всеобхватния документ в тази връзка, който съдържа препратки към останалата документация и различните конкретни аспекти на защитата на личните данни при съответния администратор. Предвид горното, изготвянето на стандартен образец – бланка на политика поверителност и защита на личните данни би било напълно неиздържано от правна гледна точка и може би несериозно от гледна точка на репутацията на даден бизнес. Защото изискванията на Регламента са за конкретни мерки, а не абстрактни декларации

Има редица други политики при обработката на лични данни, необходимостта от които обаче следва да се преценява с оглед конкретните параметри на съответния бизнес. Политика за обучение и инструктаж на персонала напр. няма да е необходима при ЕООД без нает персонал. Политика за възлагане на работа на подизпълнители също може да не е необходима, особено ако администраторът не планира наемането на подизпълнители в скорошен план и ако не обработва чувствителни данни. Политика за обработка на лични данни при видеонаблюдение, разбира се, би била напълно излишна, ако локално или онлайн видеонаблюдение не е инсталирано от администратора.

Оценка на въздействието върху защитата на личните данни е другият най-мащабен и сложен документ, наред с политиката за защита на личните данни, който следва да бъде изготвен, за да е налице съответствие с изискванията за защита на личните данни. Добрата новина е, че той не е задължителен за по-малките като обем и специфичност на бизнес дейност администратори. Оценка обаче е изискуема при използването на нови технологии в бизнес модела на администратора, напр. онлайн транзакции, които крият съществен риск от засягане на правата на субектите на лични данни (напр. източване на банкови карти, кражба на пароли и самоличност и т.н.). Същото важи и за обработката на лични данни. Като цяло оценката на въздействието върху защитата на личните данни представлява цялостен и напълно конкретен анализ на бизнес модела на администратора на лични данни, при който се систематизират и индивидуализират операциите, свързани с обработката на лични данни, тяхното въздействие върху правата на субектите и рисковете, които крият и най-сетне – мерките и гаранциите от страна на администратора за защитата на правата на субектите.

Декларация за защита на личните данни. Всъщност декларациите в тази връзка може да са неограничен брой – от интернет потребители, от работодатели, от служители на даден администратор и т.н. Най-съществените от тях са декларация за поверителност и декларация за съгласие.

Декларацията за поверителност е едно от различните наименования в практиката на документ, който се изготвя от администратора на лични данни или натоварено от него за целта лице и съдържа задължителна според Регламента информация, която следва да се предостави в определени в Регламента случаи на субектите на лични данни. Регламентът дава общи насоки за съдържанието на този документ – какви точно лични данни се обработват, какви са целите и основанието на обработката, кои са получателите на лични данни, предават ли се такива на трети страни и т.н. Конкретни отговори на всички тези въпроси по отношение на бизнеса на конкретен администратор няма как да бъдат дадени предварително и затова използването на бланка на декларация за поверителност по GDPR е практически неприложимо.

Декларацията за съгласие е документ, по силата на който субект на лични данни дава съгласието си конкретен администратор да обработва личните му данни на конкретно основание и за конкретни цели при спазването на конкретни изисквания. Следва да се има предвид, че съгласието е едно от няколкото основания, на които законосъобразно според GDPR могат да бъдат обработвани лични данни и съгласие не е необходимо, ако са налице други валидни основания, напр. договор. След влизането в сила на GDPR през май 2018 настана истинска истерия и всевъзможни администратори започнаха да изискват съгласие за обработка на лични данни, като се стигна дори до абсурдни ситуации болници да не приемат пациенти докато последните не дадат изрично писмено съгласие. Предвид което Комисията за защита на личните данни (КЗЛД) беше принудена да излезе с официално становище на интернет страницата си, че съгласие не се изисква при обичайната дейност на редица професии като лекари, адвокати и т.н. Но никъде в становището не се споменава, че за обработка на специални категории лични данни (т.нар. чувствителни данни) съгласие се изисква въпреки това. Дори напр. основанието за обработка да е договор (в който случай съгласие не се изисква), ако се обработват чувствителни данни, изрично съгласие се изисква паралелно с договора.

Вътрешни регистри за обработка на лични данни. Вътрешните регистри са различни видове в зависимост от дейността на администратора, но основен документ в тази насока е вътрешният регистър по обработката на лични данни. Последният представлява аналитична таблица, в която се систематизират абсолютно всички дейности, които извършва администраторът и които имат връзка с обработката на лични данни. За всяка отделна дейност следва да се посочат различни изискуеми от Регламента реквизити. Други основни регистри са тези за искания от страна на субекти до администратора, за пробиви в сигурността (security breaches), за планирано изтриване на лични данни и др.

Образци на документи в PDF формат:

• Искане от субект до администратор на лични данни
• Вътрешен регистър на исканията на субекти на лични данни
• Оценка на въздействието върху защитата на личните данни