Най-актуалната и коментираната тема от изминалата седмица е течът на лични данни от информационния масив на НАП, в резултат на предполагаем осъществен неоторизиран достъп. Личните данни на около 5,1 млн. български граждани бяха свободно пуснати в публичното пространство, като имена, ЕГН, доходи, включително за години назад. Към настоящия момент КЗЛД е започнала проверка за установяване на нарушението на сигурността на личните данни и изясняване на всички обстоятелства относно нерегламентирания достъп и разпространяване на личните данни.
Обезпокоени от създавала се ситуация, наши клиенти се обърнаха към нас за информация какви са правата им при нарушаване на сигурността на личните им данни и могат ли да предявят искове срещу НАП за заплащане на обезщетение.
Без съмнение, от нарушаване на поверителността на лични данни могат да произтекат сериозни вреди за засегнатите лица.
Проверка дали ваши лични данни са изтекли
На първо място, всяко заинтересовано лице следва да се увери дали негови лични данни са част от базите данни на НАП, които бяха незаконно разпространени, респективно дали спрямо него е извършено нарушение на сигурността на личните му данни.
Правото на всяко лице, чиито лични данни се обработват, да получи информация за извършено нарушение на сигурността на личните данни е предвидено в чл. 34 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година (GDPR). Нито GDPR, нито Законът за защита на личните данни, предвиждат специална форма за упражняването правото на информация, поради което се приема, че същото може да бъде направено както устно, така и писмено, в свободен текст.
Нещо повече, и без да е налице изрично искане за предоставяне на информация, в случаите, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът на лични данни, в случая НАП, следва да уведоми засегнатите лица незабавно чрез изпращане на съобщение за нарушението на сигурността на личните данни. Задължение за уведомяване не възниква, когато администраторът е предприел подходящи технически и организационни мерки за защита и уведомяването би довело до непропорционални усилия. В последния случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
Видно от публикувано обявление на уеб сайта на НАП, приходната агенция подготвя за пускане специално приложение, чрез което всички граждани ще могат да проверят дали техни лични данни са изтекли.
Обезщетение от НАП за претърпените вреди
Правото на всяко пострадало лице да потърси защита срещу изтичането на личните му данни намира нормативна опора в чл. 82 от GDPR, който предвижда че „всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.
Законът за защита на личните данни в чл. 39 също предвижда възможност засегнатото лице да обжалва действията и актовете на администратора пред административния съд по реда на АПК, в случаите на нарушаване на правата по ЗЗЛД или по GDPR. В това производство лицето може да претендира и обезщетение за претърпените от него вреди вследствие на неправомерното обработване на лични данни от страна на администратора.
Предвид обстоятелството, че в конкретния случай администраторът на лични данни е държавата, чрез нейния специализиран държавен орган към министъра на финансите, а именно НАП, то предвидената в чл. 39 от ЗЗЛД отговорност се явява специална норма спрямо общата отговорност на държавата и общините за вреди, причинени на граждани и юридически лица от незаконосъобразни актове, действия и бездействия на техни органи и длъжности лица, съгласно ЗОДОВ.
Следва да се обърне особено внимание на обстоятелството, че както GDPR, така и ЗЗЛД и ЗОДОВ, предвиждат, че за да се ангажира отговорността на нарушителя, следва не просто да е извършено нарушение, но за лицето да са настъпили вреди, т.е. да е настъпил вредоносен резултат от съответното нарушение. Това могат да бъдат както имуществени вреди, например кражба на самоличност, измама и други, така и неимуществени вреди, като притеснение, неудобство от изнесените лични данни, например от узнаването на доходите на лицето от негови съседи, колеги, близки. В един евентуален съдебен процес пострадалото лице ще следва да докаже, че е налице пряка причинна връзка между извършеното нарушение на лични данни и претърпените от него вреди в резултат на изтичането на личните му данни, както и размера на вредите.
Много важно е да се посочи, че в ЗЗЛД е изрично предвидено, че докато тече производство пред КЗЛД за установяване на съответното нарушение, както е в настоящия случай, засегнатите лица не могат да заведат съответен съдебен иск по чл. 39 от ЗЗЛД. Едва след приключване на проверката с влязло в сила решение, лицата ще могат да сезират компетентния съд.
Може ли да се търси обезщетение чрез колективен иск
Предвид, че кръгът на засегнатите лица от публичното разпространяване на личните данни от масивите на НАП, е много широк, резонно се постави и въпросът може ли да се търси обезщетение по реда на колективните искове. Производството по колективни искове е уредено в чл. 379 и сл. от ГПК, като са предвидени две разновидности на защита.
1) В първия случай колективен иск може да се предяви, когато от нарушението е увреден или застрашен от увреждане колективният интерес, т.е. колективът като цяло, без да може точно да се определи кръгът на засегнатите лица, но същият е определяем. При тази форма на защита не е нужно да е налице конкретно индивидуално увреждане от съответното нарушение, а е достатъчно да са засегнати колективни права (например правото на надеждна защита от НАП на личните данни). Лицата, които предявяват колективен иск от името на засегнатите лица, могат да искат от съда:
- да бъде осъден нарушителят да преустанови нарушението – например да се вземат технически и организационни мерки от НАП за засилване на защита на информационната система;
- да се осъди нарушителят да поправи последиците от нарушението на увредения колективен интерес – да се иска заличаване на изтеклите данни от публичното пространство, или извършване на други действия в зависимост от обхвата на последиците;
- да бъде осъден нарушителят да заплати обезщетение на вредите, причинени на колективния интерес – следва да се има предвид, че присъденото парично обезщетение се разходва от специален комитет в обществена полза, а не се разпределя между засегнатите лица. Т.е. чрез този вид иск гражданите няма да могат да получат конкретно индивидуално обезщетение за вредите, които сте претърпели от изтичането на лични им данни.
2) Възможно е от нарушението да са засегнати индивидуални права на лицата. В този случай, законът предвижда, че всяко лице, което претендира да е увредено от съответното нарушение, може от името на всички увредени да предяви иск пред съда, с който да иска: да се установи фактът на самото нарушение, противоправността на съответното действие или бездействие и вината на нарушителя. С този иск не може да се търси заплащане на обезщетение от нарушителя. Съответно в това производство не се претендират и доказват вреди и всяка претенция в тази насока ще бъде недопустима.
В заключение, според нас, по реда на колективните искове засегнатите лица от изтичането на личните им данни от НАП не могат да търсят присъждане в тяхна полза на конкретно индивидуално парично обезщетение от извършеното нарушение от НАП, поради което тази форма на защита се явява неприложима за целта.
Настоящата публикация е създадена единствено с информационна цел, като същата не претендира за изчерпателност. Съдържанието на публикацията не представлява правно становище или съвет. Авторът не носи отговорност за вреди или пропуснати ползи от действия или бездействия, основани на тази публикация.
Автор: Станислава Иванова - адвокат