Адв. Деница Люнчева и Юлия Пригонча, lex.bg
След хакерската атака срещу информационната система на Националната агенция за приходите (НАП), станала известна миналия понеделник, много хора логично започнаха да си задават въпроса как и пред кого да защитят правата си – пред Комисията за защита на личните данни (КЗЛД) или пред съда, включително чрез предявяването на колективен иск.
Правните средства за защита са уредени в Общия регламент за защита на личните данни (GDPR, ОРЗД, Регламентът) и Закона за защита на личните данни (ЗЗЛД), който по отношение на реда за разглеждане на жалбите и исковете от физически лица – субекти на данни, препраща към Административнопроцесуалния кодекс (АПК). Що се отнася до колективните искове, в българската процесуалноправна система те имат своето специално място в глава 33 на част III (“Особени искови производства”) от Гражданския процесуален кодекс (ГПК).
Жалба до надзорния орган по защита на личните данни (чл. 38 и чл. 38А от ЗЗЛД във връзка с чл. 77 и чл. 78 от GDPR)
В чл. 77 на GDPR е предвидено, че всеки субект на данни (физическо лице, което може да бъде идентифицирано по определени лични данни) има право да подаде жалба до надзорен орган в държавата членка на обичайното си местопребиваване, място на работа или място на предполагаемото нарушение, ако счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на регламента.
У нас компетентният надзорен орган е КЗЛД. Всеки засегнат от изтичането на лични данни от НАП има право да подаде жалба до КЗЛД, в която трябва да опише нарушението на GDPR и ЗЗЛД. За разглеждането ѝ от КЗЛД не се дължи такса.
Жалбата се подава в срок до 6 месеца от узнаването за допуснатото нарушение, но не по-късно от 2 години от извършването му (чл. 38, ал. 1 от ЗЗЛД). Решените да използват този ред, за да потърсят правата си, е добре да имат предвид, че изтичането на данни от НАП беше публично огласено от медиите на 15 юли 2019 г. Затова е много вероятно КЗЛД да приеме по конкретната жалба, че 6-месечният срок по чл. 38, ал. 1 от ЗЗЛД е започнал да тече именно на тази дата и следователно ще изтече на 15 януари 2020 г. Разбира се, ако жалбоподателят представи на КЗЛД доказателства за това, че е разбрал в по-късен момент, че личните му данни са били обект на въпросната хакерска атака и са изтекли в интернет, е възможно КЗЛД да приеме друга дата за начало на споменатия 6-месечен срок.
На сайта си (виж тук) КЗЛД е публикувала указания за това по какъв начин може да се подаде жалба до нея – лично, по пощата с обратна разписка, по факс или по електронен път, като в последния случай жалбата трябва да е подписана с електронен подпис. Към указанията е приложен и примерен образец на жалба. Образецът е във връзка със злоупотребата при обработване на лични данни в списъците на избирателите, подкрепящи регистрацията на политически субекти. Затова при изготвяне на жалбата си до КЗЛД по повод изтичането на лични данни от НАП потенциалният жалбоподател трябва да опише сам нарушението на GDPR и/или ЗЗЛД, което смята, че е извършено срещу него. Препоръчително е описанието да е максимално подробно, а що се отнася до доказателствените искания към него, те трябва като минимум да съдържат искане НАП да бъде задължена да предостави на КЗЛД справка за това какви лични данни на конкретния жалбоподател са били обект на хакерската атака и са изтекли в интернет.
Подателят на жалбата може да очаква от КЗЛД да го информира за напредъка в разглеждането ѝ или за резултата от нея в 3-месечен срок от подаването ѝ (чл. 38, ал. 2 от ЗЗЛД). Комисията се произнася с решение. Ако уважи жалбата, тя може да приложи мерките по чл. 58, пар. 2, б. „а” – „з” и „й” от GDPR или по чл. 80, ал. 1, т. т. 3, 4 и 5 от ЗЗЛД и в допълнение към тези мерки или вместо тях да наложи административно наказание на администратора в съответствие с чл. 83 от GDPR – имуществена санкция или глоба, както и по Глава девета от ЗЗЛД. Ако КЗЛД прецени, че жалбата е очевидно неоснователна или прекомерна, тя може да я остави без разглеждане (чл. 38, ал. 4 от ЗЗЛД).
Комисията изпраща копие от решението си и на подателя на жалбата и ако той не е доволен от него, например когато жалбата му не е уважена или е оставена без разглеждане, има право в 14-дневен срок от датата, на която му е връчено решението, да го обжалва по реда на АПК пред административния съд.
Ако жалбоподателят е ползвал адвокат в производството пред КЗЛД, може да иска от нея да му присъди и направените разноски за адвокатско възнаграждение. Такова може да се претендира и от съда, ако лицето е било представлявано от адвокат пред него.
Важно е да се отбележи, че КЗЛД не присъжда обезщетения за вреди на жалбоподателите. За тази цел е необходимо засегнатото лице да се обърне към съда.
Ефективна защита пред съд (чл. 39 от ЗЗЛД във връзка с чл. 79 и чл. 82 от GDPR)
GDPR дава възможност, без да се засяга правото на жалба до надзорния орган (КЗЛД), всеки субект на данни да се обърне към съда, когато счита, че правата му по Регламента са били нарушени от администратор или обработващ лични данни в резултат на обработване на личните му данни, което не е в съответствие с Регламента (чл. 79 от GDPR). Ако от това нарушение са настъпили вреди, лицето има право да търси и обезщетение за вреди от администратора или обработващия лични данни (чл. 82, пар. 1 и пар. 2 от GDPR). Последните се освобождават от отговорност, само ако докажат, че по никакъв начин не са отговорни за събитието, което е причинило вредата (чл. 82, пар. 3 от GDPR).
Тук трябва да бъде отворена една скоба. GDPR поставя в задължение на администраторите, каквато е и НАП, да въведат и прилагат подходящи технически и организационни мерки за защита на личните данни, които са съобразени с естеството, обхвата и контекста на обработването на лични данни и най-вече с рисковете за правата на субектите на данни. Това е свързано с един от основните принципи на обработване на лични данни по чл. 5, пар. 1, б. „е“ от GDPR – цялостност и поверителност на данните. Администраторът трябва да може да докаже във всеки един момент не само, че е изпълнил задълженията си за въвеждане на такива мерки, но и за това, че спазва и всички останали принципи по чл. 5, пар. 1 от GDPR. Това е едно от нововъведенията на GDPR – способността да се доказва неговото спазване (принцип на отчетността). Така че в едно съдебно производство по иск за обезщетение за вреди срещу НАП на нея ще се падне тежестта да докаже, че преди инцидента е взела всички необходими и адекватни мерки за сигурност на данните, като покаже и механизма, по който ги е взела, включително анализи, оценки на риска и оценки на въздействието. Ето защо ако изтичането на данни е причинено отвън, от атака на хакери, това не би следвало да освободи автоматично НАП от нейната отговорност.
Затваряме скобата и продължаваме нататък с уредбата на правните мерки за съдебна защита в националното ни законодателство. В чл. 39, ал. 1 от ЗЗЛД е предвидено, че при нарушаване на правата му по GDPR и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК. А според ал. 2 на чл. 39 от ЗЗЛД в това производство субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерното обработване на личните му данни.
Самият АПК съдържа специална уредба на производството за обезщетения в едноименната глава единадесета. Според чл. 203, ал. 1 от АПК исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни или очевидно нарушаващи правото на Европейския съюз актове, действия или бездействия на административни органи и длъжностни лица, се разглеждат по реда на тази глава. За неуредените въпроси за имуществената отговорност по ал. 1 се прилагат Законът за отговорността на държавата и общините за вреди (ЗОДОВ), както и стандартите на извъндоговорната отговорност на държавата за нарушаване правото на Европейския съюз (чл. 203, ал. 2 от АПК).
Когато става дума за вреди от незаконосъобразно действие или бездействие на публична институция, каквато е НАП, чл. 204, ал. 4 от АПК предвижда, че тяхната незаконосъобразност се установява от съда, от който се иска присъждането на обезщетението. Ако вредите са причинени от незаконосъобразен административен акт, то искът за обезщетение може да се предяви заедно с оспорването на този акт (чл. 204, ал. 2 от АПК). Предявяването на иска за обезщетение, заедно с обжалването на незаконосъобразното действие, бездействие или акт може да спести време, тъй като не е необходимо да се чака първо да приключи производството по тяхната отмяна/обявяване за незаконосъобразни. Може всичко да се разгледа в рамките на едно дело.
Вредите, които може да се претендират, може да бъдат както имуществени (загуби или пропуснати ползи), така и неимуществени (причинени болки и страдания, включително психически такива) и трябва да са пряка и непосредствена последица от увреждането, независимо дали са причинени виновно от длъжностно лице от съответната държавна институция (чл. 4 от ЗОДОВ).
По правилото на чл. 7 от ЗОДОВ във връзка с чл. 133, ал. 5 от АПК исковете по чл. 39, ал. 2 от ЗЗЛД, съединени с обжалване по ал. 1 на същия член, респективно чл. 203 във връзка с чл. 204 от АПК, могат да се предявят пред съда по адреса или седалището на жалбоподателя.
Дължи се проста държавна такса в размер, определен с тарифа, приета от Министерския съвет (чл. 204а от АПК).
Особеното в уредбата на реда за правна защита по чл. 39 от ЗЗЛД е, че според ал. 4 на този член субектът на данни не може да сезира съда, когато има висящо производство пред КЗЛД за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. Затова при избор на този ред за защита лицето, което подава иска за обезщетение, съединен с обжалването на действието, бездействието или акта, който е в нарушение на GDPR и/или ЗЗЛД, трябва да поиска от КЗЛД удостоверение за липсата на висящо производство пред нея по същия спор.
Ако лицето се е обърнало с жалба първо към КЗЛД, след приключване на производството пред нея с влязло в сила положително за него решение, което установява, че е допуснато нарушение на правата му по GDPR и/или ЗЗЛД, може да предяви иск за обезщетение на общо основание.
Колективен иск до съда (чл. 379 – чл. 388 от ГПК)
За разлика от други области на обществения живот, в които правото на колективен иск е изрично уредено, например в Закона за защита на потребителите, в ЗЗЛД такава уредба липсва.
В момента в ГПК съществува обща регламентация на колективните искове, които според чл. 379, ал. 2 и ал. 3 от ГПК може да бъдат иск за установяване на увреждащото действие или бездействие, неговата противоправност и вината или иск за преустановяване на нарушението, за поправяне на последиците от него за увредения колективен интерес или за обезщетение на вредите, причинени на този интерес. Няма обаче пряка възможност за лицата, увредени от едно и също нарушение, в резултат на колективен иск да получат обезщетение за вредите от него. Независимо от това, тъй като те са част от колектива, чийто интерес е увреден, решението на съда по колективния иск ще се ползва със сила на пресъдено нещо спрямо всички тях. А това означава, че ако изходът по колективния иск е благоприятен, то те могат да се позовават на решението по него, без да е необходимо, например, в индивидуалните си дела за обезщетение да доказват наличието на виновно противоправно действие или бездействие, което е увредило техния интерес.
Друго предимство при колективните искове е, че по силата на ГПК те се водят от колектива или от организация за защита на увредените лица, на увредения колективен интерес или за защита срещу такива нарушения. Обикновено подобни организации или техни обединения могат, благодарение на опита и експертизата си в съответната област, да защитят по-пълноценно и професионално интересите на колектива. Неслучайно чл. 380, ал. 3 във връзка с чл. 381, ал. 1 от ГПК поставят изискване ищецът да може и да представи доказателства, че може сериозно и добросъвестно да защити увредения интерес, както и да понесе тежестите, свързани с водене на делото, включително разноските. Това е един от въпросите, които се преценяват от съда.
Предявяването на колективния иск се разгласява публично, за да може към него да се присъединят други увредени лица, организации за защита на увредените лица, на увредения колективен интерес или за защита срещу такива нарушения. А също и ако има такива лица, които искат самостоятелно да осъществят защитата си, те да могат изрично да заявят това.
Преди да разгледа делото по същество, съдът може да определи подходящи привременни мерки за защита на увредения интерес, които да ограничат опасността извършваното от ответника по иска нарушение да продължава и така да застрашава живота и здравето на хората.
Процесът преминава още през препоръка от съда за сключване на спогодба и ако се постигне такава – през нейното одобрение. Традиционно за всеки процес и тук се провежда доказване на фактите и обстоятелствата, твърдени от защитниците на колективния интерес и от лицето, срещу което е насочен искът. И едва след това се стига до решение.
Производството по колективните искове по ГПК е сложно и се развива бавно, затова е трудно да се предположи колко време би отнело и какъв би бил резултатът от него. Понякога то се блокира от процедурни въпроси (свързани например с легитимацията на лицата, които предявяват иска, заявяване на воля за спогодба, пристъпване към преговори и в последствие непостигане на такава и др. под.).
Колективният иск срещу НАП е възможен и полезен, но експертите изразяват опасения, че докато трае процеса по него, давностните срокове, в които увредените от изтичането на данни физически лица могат да претендират обезщетение за вреди, може да изтекат. Ето защо, ако бъде предявен такъв иск, съдът, който ще го разглежда, трябва да бъде изключително дисциплиниран, съзнавайки важността, мащаба и въздействието на решението си върху правната сфера и живота на изключително голям брой лица.
При обсъждане на бъдещи промени в ЗЗЛД би било добре да се обмисли възможността колективните искове да намерят място в него като средство за защита на правата на субектите на данни. Предвиждането на специален ред за разглеждане на колективни искове в случаите, когато много субекти на данни са жертва на едно и също нарушение при „ситуация на масова вреда”, ще улесни тяхната защита. Това ще бъде в съзвучие и със становището на Европейския надзорен орган по защита на данните (ЕНОЗД) относно законодателния пакет „Нов търговски механизъм за потребителите“, за което ще стане дума по-нататък в изложението. Резюме на становището на български език може да бъде намерено тук.
Еднаквото прилагане на правото на ЕС е от значение за всички европейски граждани и ги засяга всекидневно. Ето защо, е необходимо да има ефективна, ефикасна и стабилна система на прилагане, която да гарантира, че държавите членки напълно въвеждат и прилагат правото на ЕС, осигурявайки адекватна защита на гражданите.
Необходимостта от действия от страна на ЕС относно колективната защита беше установена и от Европейския парламент (ЕП) и е във фокуса на вниманието на европейските институции от няколко години. В своята резолюция от 2012 г. „Към съгласуван европейски подход за колективна защита“ ЕП подчерта нуждата от хоризонтален подход на ЕС за колективната защита, с фокус върху нарушения на правата на потребителите, въз основа на общ набор от принципи, уважаващи националните правни традиции и осигуряващи гаранции, за да се избегнат злоупотреби с предявяването на искове в съдилищата. Бяха подчертани също така и възможните ползи от колективните съдебни искове по отношение на по-ниските разходи и по-голямата правна сигурност за ищците, ответниците и съдебната система, от избягването на отделни съдебни спорове със сходни искове.
Същевременно оценките на Европейската комисия (ЕК) сочат, че рискът от нарушения на правото на ЕС, което засяга колективните интереси на потребителите, се увеличава поради икономическата глобализация и дигитализацията. В продължение на много години ЕК обмисля въвеждането на механизъм за колективно обезщетяване. Колективното обезщетяване е юридически термин, използван в рамките на ЕС за определяне на процедурен механизъм, който позволява, поради причини, свързани с процесуална икономия и/или ефективност на принудителното изпълнение, много подобни правни претенции да бъдат обединени в едно съдебно дело. Следователно, тя се отнася до групови процедури като групови или колективни искове. В продължение на своя препоръка на ЕК от 11 юни 2013 г. относно общите принципи на механизмите за колективно обезщетяване и компенсаторните обезщетения в държавите членки относно нарушенията на правата, предоставени по правото на ЕС, на 2 януари 2018 г. ЕК публикува доклад относно прилагането на препоръката. Той показа, че наличието на механизми за колективна защита, както и прилагането на предпазни мерки срещу потенциалната злоупотреба с такива механизми, все още не е консистентно в целия ЕС.
Понастоящем не съществува хармонизиран подход към колективните искове като групови или колективни искове.
Към момента действащите национални механизми за колективно компенсаторно обезщетение в държавите членки на ЕС се различават значително по отношение на тяхната ефективност и условия за прилагане, като няколко държави членки все още не предвиждат такива механизми. Определянето на равнище на съюза на обща рамка за представителни (колективни) искове, насочени към съдебни актове и обезщетения за защита на колективните интереси, ще гарантира ефективно и ефикасно третиране на нарушенията на правото на съюза, произтичащи от вътрешни или трансгранични сделки.
На 11 април 2018 г. ЕК публикува предложение за Директива на Европейския парламент и на Съвета относно представителните искове за защита на колективните интереси на потребителите и за отмяна на Директива 2009/22/ЕО. Съгласно Приложение 1 към Директивата в обхвата ѝ изрично е включен и GDPR. Предложението изисква държавите членки да гарантират „необходимата експедитивност“ на процедурите.
Потребителите следва да бъдат адекватно осведомени за резултатите от представителните искове и как биха могли да се възползват от тях. Предложението също така окуражава извънсъдебните колективни споразумения, подлежащи на контрол от страна на съдебен или административен орган, и ще даде възможност на квалифицирани субекти да предявяват колективни искове за различни видове мерки в зависимост от обстоятелствата по случая.
В цитираното по-горе становище ЕНОЗД приветства намерението на ЕК да модернизира съществуващите правила в област, чиито цели са тясно съгласувани с тези на наскоро актуализираната рамка за защита на данните. В това становище ЕНОЗД подкрепя новото предложение за колективна защита, което има за цел да улесни защитата на потребителите в случаите, когато много потребители са жертва на едно и също нарушение при „ситуация на масова вреда“. В тези случаи ЕНОЗД счита, че „компетентните структури“, които ще могат да предявяват представителните искове в тази област съгласно предложението, следва да подлежат на същите условия като посочените в чл. 80 от GDPR, доколкото въпросите, свързани със защитата на личните данни, ще бъдат включени в обхвата на колективните искове. Структурите по чл. 80 от GDPR са определени така: „Структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни”. В същото време ЕНОЗД настоява в становището си в предложението за колективна защита да се поясни, че представителните (колективните) искове по въпроси, свързани със защитата на данните, могат да бъдат предявявани само пред административни органи, които са надзорен орган по защита на данните по смисъла на чл. 4, пар. 21 и чл. 51 от GDPR.
Темата за възможността при нарушение на правата им по GDPR субектите на данни да се възползват от предявяването на колективен иск срещу съответния администратор или обработващ лични данни е тема с продължение. Тя съдържа в себе си и много важни въпроси от гледна точка на правната наука.
Както споменахме и по-горе, понастоящем не съществува хармонизиран подход в държавите членки към колективните искове като групови или колективни искове.
Предвид тези различия и липсата на уеднаквени механизми, съвсем естествено е експертите по защита на правото на неприкосновеност, в частност правото на защита на личните данни, да прилагат стратегически подходи при избора на една или друга държава, в която да се водят делата, в зависимост от това къде е по-благоприятно да бъдат защитавани те при масови вреди. Доскоро тези подходи, прилагани от международните активисти, срещаха предизвикателства и исковете бяха блокирани с години поради спорове, свързани с националната подсъдност при нарушаването на даден материален закон.
GDPR добави стойност и в това отношение. Така Австрийският апелативен съд на 11 юни 2019 г. по казуса „Шремс срещу Фейсбук“ отхвърли възраженията на Фейсбук, че подобни искове може да бъдат водени само в държавата, в която е основното място на администратора. С този съдебен акт се затвърди предвиденото в GDPR, че субектите имат право да предявяват искове за нарушения на правата си и пред съда на държавата членка, в която е тяхното обичайно пребиваване.
Следва обаче да подчертаем, че в случая, когато се водят искове срещу публични органи, това не може да бъде приложено, както изрично се урежда в GDPR. Независимо от това, при засегнати субекти на чужди държави това изключение за публичните органи поставя въпроси за ефективността от защитата, когато са засегнати основни права на граждани на чужди държави от национален орган на дадена държава. Възможно е, благодарение на казуса с нашата НАП, този въпрос да получи специално внимание. Не изключваме и възможността да станем свидетели на нови прецеденти при упражняването на международна защита срещу нарушенията на фундаментални човешки права именно от страна на публични органи, което впрочем би било съвсем в съответствие с обявената от ЕС стратегия за „единния цифров пазар“.
GDPR, както казват много експерти, е закон на новото поколение. Много държави извън Европа актуализират законодателството си като следват наложения от GDPR модел. В този смисъл България, като част от ЕС, е облагодетелствана да бъде и част от подобни широкообхватни режими за защита на фундаменталните човешки права.
Настоящото изложение не претендира за изчерпателност, изготвено е с информативна цел и не представлява индивидуален правен съвет.
Още от България
Забравена истина, недомлъвки или подмяна на фактите: Стефан Дечев за предстоящата си книга
Предстои издаването на книга за тримата български студенти, дръзнали да изкажат несъгласието си със смазването на Пражката пролет 1968 г.
Георги Георгиев: 261 жени, пострадали от насилие, са намерили помощ в Правната клиника
"Домашното насилие не е домашен, семеен проблем, а обществен и засяга фундаментални човешки права"
БАБХ откри първо огнище на чума по дребните преживни животни за последните шест години
Определена е 3-километрова предпазна зона около огнището, в която влиза гр. Велинград, общ. Велинград, обл. Пазарджик.