Разпореждане по дело №48465/2022 на Софийски районен съд

Номер на акта: 50528
Дата: 4 април 2024 г. (в сила от 4 април 2024 г.)
Съдия: Андрей Красимиров Георгиев
Дело: 20221110148465
Тип на делото: Гражданско дело
Дата на образуване: 7 септември 2022 г.

Съдържание на акта

РАЗПОРЕЖДАНЕ
№ 50528
гр. София, 04.04.2024 г.
СОФИЙСКИ РАЙОНЕН СЪД, 28 СЪСТАВ, в закрито заседание на
четвърти април през две хиляди двадесет и четвърта година в следния състав:
Председател:АНДРЕЙ КР. ГЕОРГИЕВ
като разгледа докладваното от АНДРЕЙ КР. ГЕОРГИЕВ Гражданско дело №
20221110148465 по описа за 2022 година
По делото е постъпило чрез Единния портал за електронно правосъдие
(„ЕПЕП“) заявление с вх. № 112163 / 04.04.2024 г. за предоставяне на
електронен достъп до гражданско дело № 48465/2022 г. на Софийския
районен съд, 28. състав.
В системния прозорец на ЕИСС „свързани лица“ са отбелязани две такива - А.
С. В. като ответник по делото, а под него - адв. Т. В.Н..
Същевременно при проверка за електронен подпис на молбата, в същата се
установява такъв само на адв. Т. В.Н., като молбата не съдържа подпис на
ответника А. С. В..
Настоящият съдебен състав спазва стриктно правилото на чл. 102з, ал. 1 ГПК
и правилата на чл. 17 от Наредба № 5 за организацията и реда за водене,
съхраняване и достъп до електронните дела и начина на съхраняване на
доказателствата и доказателствените средства по делата, както и вътрешния
оборот и съхраняването на друга информация, обработвана от съдебната
администрация на Пленума на ВСС („Наредба № 5“). За целта районният
съдия се опитва да проверява всяко постъпило искане за достъп, наличието на
пълномощно (само в електронна форма съгласно чл. 102з, ал. 1 ГПК или при
представено такова лично от адвокат на хартия) и списъка на страните по
делата.
При тази проверка обаче първоначалният подател на искането се проверява от
наличните в ЕИСС в екрана „свързани лица“ данни, като районният съдия
разчита на минимална технологична сигурност, която ЕПЕП трябва да има,
като допуска, че в посочения екран могат да се визуализират само данни на
1
лицето, което е изпълнило електронния подпис при подаване на заявлението в
ЕПЕП. По настоящото дело се оказва, че това не е така и системата ЕПЕП не
проверява автоматично дали вписаният като титуляр, подаващ изявлението,
съвпада с неговия автор, съответно - че данните, изписващи се в екрана
„свързани лица“, са само на лица, отбелязани в сертификата на електронния
подпис като автор или титуляр. Изглежда, че в посочения екран се
визуализира не информация, която системата сверява с данните от цифровия
сертификат на квалифицирания електронен подпис, а цялата онази
непроверена информация, която потребителят в ЕПЕП може да избере да
въведе.
Доколкото предвидената като задължение за работата на ЕПЕП в чл. 18, ал. 2
от Нардеба № 5 автоматична електронна проверка не е въведена софтуерно в
продукта, а функциите по предоставяне на достъп до делата са вменени
(въпреки отчасти прекомерната натовареност в някои съдилища) не на
специално обучени в областта на сигурността на информацията служители, а
на съдиите-докладчици, това означава, че неправилната информация в екрана
„свързани лица“ може да доведе до извод, че подаденото искане изхожда от
страна по делото, докато подателят може да е неупълномощен. Това създава
възможност за объркване, което да доведе до изтичане на лични данни към
лице, което няма достъп до делото, тъй като е възможно на искането да е
придаден вид, че изхожда от страна, а за пълна проверка дали това е така се
налага ръчно съдията да изтегля файловете и да ги въвежда ръчно в системата
за проверка на електронни подписи на сайта на Изпълнителна агенция
„Електронно управление“, което е изключително времеемко, несвързано с
основната работна функция на съдията, и създава предпоставки за човешки
грешки.
Всичко това води до извод, че обстоятелството, че ЕПЕП допуска като
подател да се посочи лице, което не е описано в данните за сертификата на
електронен подпис, с който се подписват искания за достъп до съдебни дела,
или поне лице от регистъра на упълномощаванията по чл. 29 от Закона за
електронната идентичност, и така създава риск от предоставяне на достъп до
лични данни, до които те не са оторизирани да имат такъв, представлява риск
за сигурността на данните по смисъла на чл. 24, пар. 1 от Регламент (ЕС) №
2016/679 („Общия регламент за защита на данните“, „ОРЗД“). Поради това
настоящият съдебен състав следва да сигнализира за риска Пленума на ВСС,
2
който отговаря към момента за функционалността на ЕПЕП с искане данните
в ЕПЕП за подател на изявления до съда да се ограничават винаги и само до
лицето, което е посочено в сертификата за електронен подпис като подател на
това изявление; автора на изявлението, посочен в сертификата, или лице, за
което с автоматизирани средства (а не по изявление на подателя на
документа) може да се направи извод, че е пълномощник. Това искане намира
своето основание в чл. 25, пар. 2 ОРЗД, което изисква всички програмни
интерфейси да са изработени така, че по подразбиране да създават
минимални рискове за изтичане на данни, а не отговорността за това да се
прехвърля върху служители с други задачи.
На основание чл. 57, пар. 1, буква „з“ ОРЗД препис от настоящото
разпореждане следва да се изпрати и до Инспектората на Висшия съдебен
съвет за изпълнение на задължението му по чл. 58, пар. 2, б. „г“ ОРЗД по
отношение на ЕПЕП, като същият да даде указания за преработка на софтуера
така, че същият да не допуска като лице, на което се предоставя електронен
достъп по делото, да се посочва където и да е в информационните системи на
съдилищата някой, чиито данни не са извлечени от сертификата за електронен
подпис.
Тъй като дейността на ЕПЕП е финансирана със средства на Европейския
съюз, а нивото на автоматизация на предоставянето на достъпа е
изключително ниско и разчита за тази техническа задача на усилията на
съдиите, които не следва да са насочени основно в такива административни
действия, настоящото разпореждане следва да се изпрати и на
представителството на Европейската комисия в България като сигнал за
недостатък в изпълнението на проекта „Електронно правосъдие - проучване и
изграждане на единна комуникационна и информационна инфраструктура и
единен електронен портал на съдебната власт“, финансиран по Оперативна
програма "Административен капацитет", съфинансирана от Европейския
съюз чрез Европейския социален фонд, по който е създаден ЕПЕП.
Така мотивиран, Софийският районен съд, 28. състав,
РАЗПОРЕДИ:
ОТПРАВЯ ИСКАНЕ на основание чл. 25, пар. 2 ОРЗД до Съдийската
3
колегия на Висшия съдебен съвет в изпълнение на функциите по § 23, ал.
2 от Закона за изменение и допълнение на Конституцията (ДВ, бр. 106/2023
г.) да измени програмния продукт, чрез който се управлява Единния портал за
електронно правосъдие така, че последният да не допуска като подател на
изявление до съда до може да се въвеждат данни на лице, което не е вписано
като автор или титуляр в сертификата за кавлифициран електронен подпис, с
който се осъществява достъп до портала, или лице, за което по автоматизиран
начин може да се установи, че има представителна власт.
ДА СЕ ИЗПРАТИ препис от настоящото разпореждане на Инспектората на
Висшия съдебен съвет като сигнал по чл. 57, пар. 1, б. „3“ ОРЗД за преценка
дали следва да даде на Съдийската колегия на Висшия съдебен съвет
указания за преправяне на ЕПЕП и ЕИСС така, че да посочват в
автоматизирания си интерфейс като податели на искания за достъп до
съдебни дела само лицата, които са подписали искането с квалифициран
електронен подпис или такива, за които може по автоматизиран път да се
провери, че са упълномощени да представляват страни по делото.
ДА СЕ ИЗПРАТИ препис от настоящото разпореждане
на Представителството на Европейската комисия в България за преценка
за евентуални проверки и указания по проекта „Електронно правосъдие -
проучване и изграждане на единна комуникационна и информационна
инфраструктура и единен електронен портал на съдебната власт“, финансиран
по Оперативна програма "Административен капацитет", съфинансирана от
Европейския съюз чрез Европейския социален фонд, като изработените в
рамките на същия програмни продукти да бъдат оптимизирани, за да не
допускат лесно изтичане на лични данни.
Разпореждането не може да се обжалва.
Съдия при Софийски районен съд: _______________________
4