В понеделник се разбра, че хакери (предполагаемо) са източили от

...
В понеделник се разбра, че хакери (предполагаемо) са източили от
Коментари Харесай

Колективен иск срещу НАП за теча на данни - възможен ли е?

В понеделник се разбра, че хакери (предполагаемо) са източили от масивите на Националната организация по приходите (НАП) 21 GB персонални данни, които съдържат сигурно ЕГН, имена, адреси, приходи, допустимо и други данни.

Вероятно засегнатите са милион физически и юридически лица, а данните са от такова естество, което може да аргументи вреди на субектите – имуществени и неимуществени. От изказванията на самите хакери излиза наяве, че са се възползвали от недостатъци в осведомителната сигурност на данъчните, а от признанията на Национална агенция за приходите се схваща в допълнение, че това е била системата на електронната услуга „ Възстановяване на Данък добавена стойност, заплатен в чужбина “. От всичко това можем да предположим, че случаят се дължи на незадоволителна грижа и ограничения за отбраната на сигурността на данните или нарушаване по чл.32 GDPR.

Нормално е освен това състояние хората да са загрижени за правата си и да се питат по какъв метод могат вероятно да ги защитят. За това в последните два дни до мен и нашата адвокатска фирма – „ Господинов и Генчев “, идват запитвания за това дали е допустимо да се заведе групов иск против Национална агенция за приходите за нарушаването в сигурността на персоналните данни.

Въпросът наподобява логически, с оглед характера на нарушаването и кръга на повредените лица – неустановен, само че неопределяем, което е причина за групов иск.

Краткият отговор е: „ Да, може “, само че не за това, което хората чакат, а точно – обезщетение на вредите (имуществени и неимуществени), които са претърпели в резултат на теча на данни. За тях, един групов иск може да помогне, само че би трябвало да се водят в последна сметка самостоятелни искове.

Ето и малко по-подробно какво имам поради:

Материалноправни учредения да се търси отговорността на Национална агенция за приходите има, несъмнено. Съгласно чл.82, ал.1 GDPR, всяко лице, което е претърпяло имуществени или неимуществени вреди вследствие на нарушаването на Регламента, има право да получи обезщетение. И без тази наредба, нормите на чл.45 Закон за задълженията и договорите и чл.1, ал.1 ЗОДОВ дават право да се търси отговорност на Национална агенция за приходите за вероятно отговорно позволеното нарушаване на сигурността на данните.

Но въпросът е дали може това да стане по реда на груповите искове?

Ако приказваме за това дали повредените от теча на персонални данни могат да съдят Национална агенция за приходите за обезщетение посредством групов иск, то отговорът е ясно – не. Доколкото се отнася за България несъмнено.

Колективните искове в българското право са необикновен тип исково произвеждане по гл.33 на Граждански процесуален кодекс. Съгласно чл.379 Граждански процесуален кодекс, те са две разновидности – за нарушени самостоятелни права и за нарушени/застрашени групови права:

1 За нарушени самостоятелни права вероятният иск е един – установителен за обстоятелството на нарушаването, неговата противоправност и виновността на дееца. С този иск не се потвърждават вреди и не се позволява неоправдателен петитум. В съответния случай подобен иск против Национална агенция за приходите би съдържал молба до съда да се откри, че:

Се е случило приключване на персонални данни от масивите на Национална агенция за приходите и събитията при които е станало;

Това приключване се е случило противоправно (т.е. в хипотезата на нарушаване на сигурността на данните, а не някакво разрешено разпространяване);

Нарушението се е случило по виновност на Национална агенция за приходите.

Не може обаче с този иск да се потвърждават вреди и да се претендира съдът да осъди Национална агенция за приходите да заплати на засегнатите обезщетение.

Този иск обаче има мощ на пресъдено нещо за обстоятелството на нарушаването сред нарушителя и всички евентуално повредени лица и може доста да улесни следващи искове за обезщетение по чл.39, ал.2 ЗЗЛД и чл.1, ал.1 ЗОДОВ, за които ще кажа малко по-надолу.

2 За нарушени/застрашени групови права – чл.379, ал.3 Граждански процесуален кодекс. Колективните права се отличават от самостоятелните по това, че засягат колектива като цяло, а не самостоятелния индивид. Такива са да вземем за пример правото на чист въздух, на здравословна и безвредна среда, възбраната за заблуждаващи търговски практики или за разпространяване на артикули, които не са безвредни. Нарушението на груповото право може да се отличи от самостоятелното по това, че не е належащо някой да бъде повреден самостоятелно, с цел да се осъществя то. Например в съответния случай: колективът – всички субекти, за които се обработват данни от Национална агенция за приходите, има право те да бъдат съхранявани от данъчните с използването на съответни механически и организационни ограничения, с цел да се подсигурява тяхната сигурност. Това право ще бъде нарушено, в случай че тази дължима грижа от админа не се ползва, без значение дали някой е повреден от възможен теч на данни или не. В съответния случай с подобен иск може да се желае от съда:

Да откри нарушаването, неговата противоправност и виновността на нарушителя;

Да се осъди нарушителя да прекрати нарушаването – да вземем за пример Национална агенция за приходите да подхващат избрани ограничения за осведомителна сигурност, при обработването на персонални данни;

Да се осъди нарушителя да поправи последствията от нарушавания групов интерес – нормално осведомителни акции, спомагателна компенсираща услуга и така нататък

Да се осъди нарушителя да обезщети вредите, породени на груповия интерес. Да, това е единствената форма на парично обезщетение при груповите искове, само че внимание, тук се обезщетява груповия интерес, което значи, че парите от компенсацията се разходват за цели в социална изгода от умишлен комитет на повредените лица (чл.387 и 388 ГПК). Те не се прибират в джоба, а би трябвало да отиват за коригиране на последствията от нарушавания групов интерес тогава, когато колектива няма доверие на нарушителя, че може да ги поправи самичък.

С оглед съществуването на регулатор обаче, който може да издаде наложителни наставления на администратора/обработващия да прекрати нарушаванията си, както и да го глоби солено, завеждането на тази група искове би било удачно в релативно редки случаи. Такива биха били когато е подаден сигнал до КЗЛД, инспекция или не е направена или е предходна и е завършила без глоба, само че заинтригувани субекти или тяхна организация желаят да поддържат обвиняванията си пред съд. В този случай, планувания в чл.39, ал.1 ЗЗЛД ред по Административнопроцесуален кодекс няма да се ползва, тъй като той касае самостоятелни, а не групови права.

В резюме, групови искове в тази ситуация против Национална агенция за приходите могат да се заведат:

За да се откри нарушаването на сигурността на данните и виновността на Национална агенция за приходите със мощ на пресъдено нещо сред нарушителя и всички субекти, които вероятно са увредени;

За да се осъди Национална агенция за приходите да прекрати нарушаването си (действие/бездействие), както и да компенсира колектива посредством дейности или посредством обезщетение.

Как тогава обаче засегнатите могат да получат обезщетение за вредите си?

В разследване на приключването на персонални данни от Национална агенция за приходите е допустимо за субектите да са настъпили имуществени вреди – кражба на идентичност, уволняване от работа, машинация и така нататък, или неимуществени – неудобството от това сътрудниците ти да знаят какъв брой пари получаваш, да стане обществено известно, че играеш хазарт и така нататък Засегнатите субекти могат самостоятелно да търсят обезщетение за вредите си пред административния съд по реда на Административнопроцесуален кодекс – чл.39, ал.1 ЗЗЛД. Разбира се, по-добре е преди този момент да сезират КЗЛД и да изчакат резултата от производството пред тях, тъй като актовете на регулатора, с които се открива нарушаване (АУАН) имат материална доказателствена мощ пред съда – чл.179 Граждански процесуален кодекс. Не би трябвало да се не помни и че, до момента в който не завърши производството пред КЗЛД, не може да се заведе иск по Административнопроцесуален кодекс пред съда – чл.39, ал.4 ЗЗЛД.

Един авансово заведен и извоюван групов иск от първата група нагоре (чл.379, ал.2 ГПК), а точно – за определяне на нарушаването и виновността на нарушителя, може доста да улесни приемането на компенсацията. Причината е в така наречен „ мощ на пресъдено нещо “, с която се употребява решението по груповия иск и която не разрешава на съда да слага наново за разглеждане въпросите, по които към този момент се е произнесъл. Т.е. всеки повреден, имайки едно решение по групов иск „ зад тила си “, е задоволително единствено да потвърди пред съда, че е претърпял някакви вреди от нарушаването, без да го потвърждава самото него и виновността на нарушителя. Това е голямо практическо облекчение, тъй като можем да си представим дали ще е по силите на всеки обособен индивид да потвърждава пред съда, че Национална агенция за приходите не са приложили съответни ограничения за осведомителна сигурност, което е довело до теча на персонални данни. Повечето повредени най-вероятно няма да знаят какво значи това, което в най-честия случай просто ще ги лиши от отбрана.

В умозаключение:

Колективните искове могат да са доста потребни за реализиране на правата, свързани със отбрана на персоналните данни, само че не и като средство да се търси директно обезщетение на самостоятелно наранени лица. Тяхната функционалност в огромна степен се препокрива с тази на регулатора КЗЛД, само че имат някои незаменими изгоди. За това, въпреки и да са по-тежко и по-скъпо занятие, бих предложил групови искове за отбрана на персонални данни, когато:

Има данни за голям брой повредени, нарушителят отхвърля да ги компенсира непринудено и желаеме да ги улесним с еднократно доказване на нарушаването от името на всички, а в следствие всеки самостоятелно да си получи обезщетение.

КЗЛД е сезирана, само че бездейства или работи несъответстващо. Тогава добре готови експерти могат да предложат и защитят пред съд по-адекватни ограничения за прекратяване на рискови за колектива нарушавания (например – безгрижие във връзка с осведомителната сигурност).

Б. ред. - Авторът Димо Господинов е юрист и ръководещ съучастник в адвокатско сдружение " Господинов и Генчев ", чийто фокус на активността е IT право, отбрана на интелектуална благосъстоятелност, комерсиално право и посланичество на жители и бизнеса по цивилен, търговски и административни каузи и правно обслужване потребностите на бизнеса.

СПОДЕЛИ СТАТИЯТА



Промоции

КОМЕНТАРИ
НАПИШИ КОМЕНТАР