Добре дошли в блога на адвокат Владислав Дацов

В този блог съм публикувал някои от статиите, които съм писал през годините по наболели въпроси на юридическата практика.

За обезщетението за неимуществени вреди, претърпени като резултат на изтекли (неправомерно разпространени) лични данни от електронната страница на НАП

 Мога ли да търся обезщетение от НАП за „изтичането” (неправомерното разпространяване) на личните ми данни след хакерска атака на електронната страница на Агенцията?

             Напоследък се намериха много адвокати, които предлагат на българските граждани да предявят иск против Националната агенция за приходите (НАП или Агенцията) за обезщетение на претърпените неимуществени вреди вследствие на „изтичането” (неправомерното разпространение) на лични данни от електронната страница на НАП поради осъществена хакерска атака. Преди обаче да се доверите на някого от тези „яхнали вълната” на негодуванието адвокати и да му платите адвокатското възнаграждение, за да „осъдите държавата”, силно Ви препоръчвам да прочетете настоящата статия и да помислите дали не бивате подведени да „напълните нечия гуша” вместо да защитите свое законно право (не че има други, непризнати с нормативен акт, права, разбира се).

             На първо място, НАП е администратор на лични данни, тъй като по смисъла на чл. 4, § 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (по-нататък за краткост „Регламента”) „администратор” е „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка”. По необходимост ще дам и определенията на „лични данни” и „обработване” съгласно Регламента. Съгласно чл. 4, § 1 от Регламента „лични данни” са „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице”, а „обработване” (съгласно чл. 4, § 2 от Регламента) представлява „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване”. Тъй като НАП в качеството си на публичен орган обработва Вашите лични данни като физическо лице (ако се касае за данните, отнасящи се до юридическо лице, то те не попадат в категорията „лични данни”), които правят възможно еднозначното Ви идентифициране, и дейността на Агенцията се регулира с нормативни актове (Регламента и Закона за защита на личните данни (ЗЗЛД)), то НАП е администратор на лични данни и за нея съществуват нормативно предвидени задължения във връзка със защитата на личните данни. За да бъде ангажирана отговорността на НАП като администратор на лични данни, то следва Агенцията да не е изпълнила някое от нормативно предвидените си задължения като в случая от значение е задължението ѝ, произтичащо от правилото, съдържащо се в разпоредбата на чл. 5, ал. 1, б. „е” от Регламента: „Личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).” Чл. 32 от Регламента доразвива това задължение на администратора на лични данни, като последният следва да вземе предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Съгласно ал. 2 на същия член: „При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.” Затова първият ключов въпрос, на който следва да си отговорите преди да предявите иск против НАП, е дали Агенцията е нарушила свое нормативно задължение като не е осигурила достатъчно ниво на сигурност на предоставените ѝ за обработване Ваши лични данни

. Самото разпространяване на тези данни вследствие нарушаването на създадената от администратора (НАП) система за сигурност не означава неизпълнение на нормативно задължение от страна на Агенцията. Поведението на едно трето лице (популярно наричано „хакер”) е условието, без което пробивът в сигурността и последващото разпространяване на личните Ви данни би било невъзможно. Ако НАП докаже, че е предприела всички необходими, съответстващи на нивото на техническото развитие и разумни мерки за защита на личните данни, които обработва, но въпреки тях е настъпило неправомерното разпространяване на лични данни, то отговорността на НАП за вреди не може да бъде ангажирана и искът Ви ще бъде оставен без уважение. В такъв случай не само ще заплатите възнаграждението на адвоката, който Ви е подвел да водите дело против НАП, но ще заплатите и юрисконсултско възнаграждение на процесуалния представител на Агенцията, както и всички разноски по делото.

             На второ място, правото Ви на защита по съдебен ред е най-общо закрепено в Регламента, а конкретното му осъществяване е уредено в ЗЗЛД и в Административнопроцесуалния кодекс (АПК). В чл. 39, ал. 1 и 2 ЗЗЛД е посочено, че субектът на данните (физическото лице, чиито лични данни биват обработвани) може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на  АПК като в същото производство може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни. Имайте предвид и че съгласно ал. 4 на същия член не можете да сезирате съда, когато има висящо производство пред комисията (Комисията за защита на личните данни) за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. В тези два случая искът Ви пред съда ще бъде процесуално недопустим и няма да бъде разгледан по същество, тъй като такава ще бъде и жалбата за установяване на незаконосъобразност на действията на НАП. За да бъде уважен искът Ви за обезщетение, то съдът, пред който е предявен, трябва да установи, че е налице незаконосъобразност на действията или бездействията на НАП (по този въпрос вече изложих съображения в предходния параграф). Чл. 203, ал. 2 АПК препраща към Закона за отговорността на държавата и общините за вреди (ЗОДОВ) за неуредените в АПК въпроси относно имуществената отговорност. От значение за настоящата статия са няколко текста на ЗОДОВ. Съгласно чл. 1, ал. 1 ЗОДОВ: „Държавата и общините отговарят за вредите, причинени на граждани и юридически лица от незаконосъобразни актове, действия или бездействия на техни органи и длъжностни лица при или по повод изпълнение на административна дейност”, а чл. 4 ЗОДОВ гласи: „Държавата и общините дължат обезщетение за всички имуществени и неимуществени вреди, които са пряка и непосредствена последица от увреждането, независимо от това, дали са причинени виновно от длъжностното лице.” Тук обаче се поставя въпросът дали увреждането произтича от незаконосъобразни действия или бездействия на НАП или от незаконосъобразното поведение на едно трето лице – „хакера”. Дори да се установи, че НАП не е предприела всички необходими, разумни и технически възможни мерки за защита на личните данни на субектите на данни, то не можем да пренебрегнем обстоятелството, че без намесата на едно трето лице, пробив в сигурността и неправомерно разпространяване на данните не би имало. Затова увреждането не може в никакъв случай да се приеме, че е резултат изцяло от незаконосъобразните действия или бездействия на НАП. Напротив, дори НАП да не е изпълнила нормативните си задължения във връзка със сигурността (което неизпълнение ми се струва съмнително), то увреждането при всяко положение ще бъде съпричинено от третото лице, което умишлено е пробило сигурността на базите данни и неправомерно е разпространило данните. Съдът ще установи каква „част” от увреждането е причинена от НАП и каква от „хакера” и ще осъди НАП на обезщетение, пропорционално на частта на съпричиняване (не смятам, че чл. 53 от Закона за задълженията и договорите (ЗЗД) ще намери приложение, тъй като е спорно дали увреждането изобщо е причинено от „неколцина”; по-скоро увреждането е причинено от третото лице; ще цитирам и мотивите към Решение № 2 от 5.I.1965 г. по гр. д. № 2133/64 г., ВС, I г. о.: „Въпросът за това, кой причинител в каква степен е допринесъл за настъпване на резултата, възниква едва след като се установи кои са го причинили и ако не може да се установи степента на допринасянето на всеки поотделно, съществува законната презумпция, че всички еднакво са причинили вредоносния резултат, поради което отговарят солидарно. Но тази законна презумпция идва едва след като безспорно е установено, че всички са причинили резултата.”). Цялото увреждане ще бъде причинено от две лица като всяко от тях отговаря за онази част, която е пряка и непосредствена последица от неговото участие. Имайте предвид, че намесата на третото лице („хакера”) е ключова – това е условието, без което неправомерно разпространяване на лични данни не би било възможно и нямаше да се случи. Също така не забравяйте, че преди така наречената „хакерска атака” личните Ви данни не са били общодостъпни, т.е. била е налице някаква защита. Тези обстоятелства могат да мотивират съда да приеме, че дори НАП да не е предприела всички необходими, разумни и технически възможни мерки за защита на личните Ви данни, то увреждането е причинено в малка част от действията и бездействията на Агенцията, т.е. искът Ви ще бъде уважен на под 50% от цената, която сте посочили, вследствие на което ще Ви бъдат присъдени разноски, съответстващи на уважената част от иска, но ще трябва да заплатите разноски, съответстващи на отхвърлената част (в това число и юрисконсултско възнаграждение).

             На трето място, неимуществените вреди не само че не се предполагат, но трябва и да се докажат във всеки случай. Трябва да се установи и пряката им и непосредствена връзка с увреждането. Неимуществените вреди са болки и страдания  и обезщетението за тях се определя от съда по справедливост (арг. от чл. 52 ЗЗД). Няма как да бъде уважен иск, с който само поради факта, че са разпространени неправомерно лични данни, се претендира обезщетение. Във всеки конкретен случай размерът на твърдените неимуществени вреди следва да бъде доказан, както и в какво се състоят последните. Неимуществените вреди могат да се състоят в постоянно безпокойство, в силно притеснение, в някакво временно неблагоприятно здравословно състояние след научаването за неправомерното разпространяване на личните данни и т.н. Всички тези твърдения обаче следва да бъдат доказани от ищеца – със свидетелски показания или с медицински документи например. Размерът на обезщетението се определя от съда, ако и след като прецени, че наистина е налице увреждане, че вследствие на него са произлезли неимуществени вреди за ищеца и че именно ответникът е причинил с поведението си увреждането. Но трябва да се има предвид, че за всеки ищец размерът на вредите и съответно на обезщетението ще бъде строго индивидуален и трябва да бъде доказан пред съда, защото в противен случай искът ще бъде оставен без уважение. Затова твърденията на колеги-адвокати, че само поради факта на неправомерното разпространяване на личните Ви данни ще Ви бъде присъдено обезщетение за неимуществени вреди или че имате право на такова, са неверни и могат да Ви подведат да водите дело, което ще приключи неблагоприятно за Вас.

             Настоящата статия има за цел да повиши критичността на преценката Ви по отношение на предложенията на колеги-адвокати да водите дела против НАП за обезщетение за неимуществени вреди вследствие на неправомерното разпространяване на лични данни поради „хакерска атака”. Според мен, предявяването на иск против НАП в случая е по-скоро авантюра и непремерен риск, отколкото упражняване на правото на защита. Обстоятелството, че едно трето лице е предизвикало увреждането било изцяло, било преимуществено, силно подкопава тезата, че обезщетение ще се дължи изцяло от НАП, дори и Агенцията да не е изпълнила своите задължения във връзка със сигурността на личните данни по най-добрия начин. Освен това, доказването на неимуществени вреди и обосноваването на размера им във всеки конкретен случай не е никак лесно, имайки предвид характера на нарушението. По-големи изгледи за успех би имал иск за непозволено увреждане срещу „хакера”, предявен (искът) по общия исков ред, предвиден в Гражданския процесуален кодекс (ГПК). 

Коментари

Формуляр за връзка

Име

Имейл *

Съобщение *