Колективен иск срещу НАП за теча на данни - възможен ли е?

Димо Господинов 17 юли 2019 в 11:11 11797 0

В понеделник се разбра, че хакери (предполагаемо) са източили от масивите на Националната агенция по приходите (НАП) 21 GB лични данни, които съдържат със сигурност ЕГН, имена, адреси, доходи, възможно и други данни.

Вероятно засегнатите са милион физически и юридически лица, а данните са от такова естество, което може да причини вреди на субектите – имуществени и неимуществени. От изявленията на самите хакери става ясно, че са се възползвали от слабости в информационната сигурност на данъчните, а от признанията на НАП се разбира допълнително, че това е била системата на електронната услуга „Възстановяване на ДДС, платен в чужбина“. От всичко това можем да предположим, че инцидентът се дължи на недостатъчна грижа и мерки за защитата на сигурността на данните или нарушение по чл.32 GDPR.

Нормално е при това положение хората да са загрижени за правата си и да се питат по какъв начин могат евентуално да ги защитят. За това в последните два дни до мен и нашата кантора – „Господинов и Генчев“, пристигат запитвания за това дали е възможно да се заведе колективен иск срещу НАП за нарушението в сигурността на личните данни.

Въпросът изглежда логичен, с оглед характера на нарушението и кръга на увредените лица – неопределен, но неопределяем, което е предпоставка за колективен иск.

Краткият отговор е: „Да, може“, но не за това, което хората очакват, а именно – обезщетение на вредите (имуществени и неимуществени), които са претърпели в следствие на теча на данни. За тях, един колективен иск може да помогне, но трябва да се водят в крайна сметка индивидуални искове.

Ето и малко по-подробно какво имам предвид:

Материалноправни основания да се търси отговорността на НАП има, разбира се. Съгласно чл.82, ал.1 GDPR, всяко лице, което е претърпяло имуществени или неимуществени вреди в резултат на нарушението на Регламента, има право да получи обезщетение. И без тази разпоредба, нормите на чл.45 ЗЗД и чл.1, ал.1 ЗОДОВ дават право да се търси отговорност на НАП за евентуално виновно допуснатото нарушение на сигурността на данните.

Но въпросът е дали може това да стане по реда на колективните искове?

Ако говорим за това дали увредените от теча на лични данни могат да съдят НАП за обезщетение чрез колективен иск, то отговорът е ясно – не. Доколкото се отнася за България разбира се.

Колективните искове в българското право са особен вид исково производство по гл.33 на ГПК. Съгласно чл.379 ГПК, те са две разновидности – за нарушени индивидуални права и за нарушени/застрашени колективни права:

1 За нарушени индивидуални права възможният иск е един – установителен за факта на нарушението, неговата противоправност и вината на дееца. С този иск не се доказват вреди и не се допуска осъдителен петитум. В конкретния случай такъв иск срещу НАП би съдържал молба до съда да се установи, че:

Се е случило изтичане на лични данни от масивите на НАП и обстоятелствата при които е станало;

Това изтичане се е случило противоправно (т.е. в хипотезата на нарушение на сигурността на данните, а не някакво позволено разпространяване);

Нарушението се е случило по вина на НАП.

Не може обаче с този иск да се доказват вреди и да се претендира съдът да осъди НАП да плати на засегнатите обезщетение.

Този иск обаче има сила на пресъдено нещо за факта на нарушението между нарушителя и всички потенциално увредени лица и може значително да улесни последващи искове за обезщетение по чл.39, ал.2 ЗЗЛД и чл.1, ал.1 ЗОДОВ, за които ще кажа малко по-надолу.

2 За нарушени/застрашени колективни права – чл.379, ал.3 ГПК. Колективните права се отличават от индивидуалните по това, че засягат колектива като цяло, а не индивидуалния субект. Такива са например правото на чист въздух, на здравословна и безопасна среда, забраната за заблуждаващи търговски практики или за разпространение на стоки, които не са безопасни. Нарушението на колективното право може да се отличи от индивидуалното по това, че не е необходимо някой да бъде увреден индивидуално, за да се реализира то. Например в конкретния случай: колективът – всички субекти, за които се обработват данни от НАП, има право те да бъдат съхранявани от данъчните с прилагането на адекватни технически и организационни мерки, за да се гарантира тяхната сигурност. Това право ще бъде нарушено, ако тази дължима грижа от администратора не се прилага, независимо дали някой е увреден от евентуален теч на данни или не. В конкретния случай с такъв иск може да се иска от съда:

Да установи нарушението, неговата противоправност и вината на нарушителя;

Да се осъди нарушителя да преустанови нарушението – например НАП да предприемат определени мерки за информационна сигурност, при обработването на лични данни;

Да се осъди нарушителя да поправи последиците от нарушения колективен интерес – обикновено информационни кампании, допълнителна компенсираща услуга и т.н.

Да се осъди нарушителя да обезщети вредите, причинени на колективния интерес. Да, това е единствената форма на парично обезщетение при колективните искове, но внимание, тук се обезщетява колективния интерес, което значи, че парите от обезщетението се разходват за цели в обществена полза от нарочен комитет на увредените лица (чл.387 и 388 ГПК). Те не се прибират в джоба, а трябва да отиват за поправяне на последиците от нарушения колективен интерес тогава, когато колектива няма доверие на нарушителя, че може да ги поправи сам.

С оглед наличието на регулатор обаче, който може да издаде задължителни предписания на администратора/обработващия да преустанови нарушенията си, както и да го санкционира солено, завеждането на тази група искове би било удачно в относително редки случаи. Такива биха били когато е подаден сигнал до КЗЛД, проверка или не е направена или е минала и е приключила без санкция, но заинтересовани субекти или тяхна организация искат да поддържат обвиненията си пред съд. В този случай, предвидения в чл.39, ал.1 ЗЗЛД ред по АПК няма да се прилага, защото той касае индивидуални, а не колективни права.

В обобщение, колективни искове в случая срещу НАП могат да се заведат:

За да се установи нарушението на сигурността на данните и вината на НАП със сила на пресъдено нещо между нарушителя и всички субекти, които евентуално са увредени;

За да се осъди НАП да преустанови нарушението си (действие/бездействие), както и да компенсира колектива чрез действия или чрез обезщетение.

Как тогава обаче засегнатите могат да получат обезщетение за вредите си?

В следствие на изтичането на лични данни от НАП е възможно за субектите да са настъпили имуществени вреди – кражба на самоличност, уволнение от работа, измама и т.н., или неимуществени – неудобството от това колегите ти да знаят колко пари получаваш, да стане публично известно, че играеш хазарт и т.н. Засегнатите субекти могат индивидуално да търсят обезщетение за вредите си пред административния съд по реда на АПК – чл.39, ал.1 ЗЗЛД. Разбира се, по-добре е преди това да сезират КЗЛД и да изчакат резултата от производството пред тях, защото актовете на регулатора, с които се установява нарушение (АУАН) имат материална доказателствена сила пред съда – чл.179 ГПК. Не трябва да се забравя и че, докато не приключи производството пред КЗЛД, не може да се заведе иск по АПК пред съда – чл.39, ал.4 ЗЗЛД.

Един предварително заведен и спечелен колективен иск от първата група по-горе (чл.379, ал.2 ГПК), а именно – за установяване на нарушението и вината на нарушителя, може много да улесни получаването на обезщетението. Причината е в т.нар. „сила на пресъдено нещо“, с която се ползва решението по колективния иск и която забранява на съда да поставя повторно за разглеждане въпросите, по които вече се е произнесъл. Т.е. всеки увреден, имайки едно решение по колективен иск „зад гърба си“, е достатъчно само да докаже пред съда, че е претърпял някакви вреди от нарушението, без да го доказва самото него и вината на нарушителя. Това е огромно практическо облекчение, защото можем да си представим дали ще е по силите на всеки отделен субект да доказва пред съда, че НАП не са приложили адекватни мерки за информационна сигурност, което е довело до теча на лични данни. Повечето увредени най-вероятно няма да знаят какво означава това, което в най-честия случай просто ще ги лиши от защита.

В заключение:

Колективните искове могат да са много полезни за осъществяване на правата, свързани със защита на личните данни, но не и като средство да се търси пряко обезщетение на индивидуално засегнати лица. Тяхната функция в голяма степен се препокрива с тази на регулатора КЗЛД, но имат някои незаменими ползи. За това, макар и да са по-тежко и по-скъпо занимание, бих препоръчал колективни искове за защита на лични данни, когато:

Има данни за множество увредени, нарушителят отказва да ги компенсира доброволно и искаме да ги улесним с еднократно доказване на нарушението от името на всички, а в последствие всеки индивидуално да си получи обезщетение.

КЗЛД е сезирана, но бездейства или действа неадекватно. Тогава добре подготвени специалисти могат да предложат и защитят пред съд по-адекватни мерки за преустановяване на опасни за колектива нарушения (например – нехайство по отношение на информационната сигурност).

Б. ред. - Авторът Димо Господинов е адвокат и управляващ съдружник в адвокатско дружество "Господинов и Генчев", чийто фокус на дейността е IT право, защита на интелектуална собственост, търговско право и представителство на граждани и бизнеса по граждански, търговски и административни дела и правно обслужване нуждите на бизнеса.

Най-важното
Всички новини
Най-четени Най-нови