Пловдивският адвокат Ясен Крайчев, председател на сдружението "Правна сигурност на потребителите и личните им данни", разказва пред "Дневник" какво е предприел след безпрецедентния теч на лични данни от НАП миналото лято.

След миналогодишния скандал, станал известен като НАП leaks, като че ли се потвърждава максимата "Всяко чудо за три дни". Така и все още не е станало ясно на широката публика дали и какви действия са предприети в приходната агенция, за да се предотвратят нови течове на данни или друг вид пробиви в системата. Все пак отвреме навреме в медийното пространство се появява информация, касаеща различни аспекти на случая - за хода на съдебни дела за обезщетения, по жалби до Комисията за защита на личните данни (КЗЛД) или за развоя на производството по обжалване на наказателното постановление, с което КЗЛД санкционира НАП.

В лично качество скоро след информацията за теча отправих няколко искания до НАП в качеството им на администратор, които не бяха удовлетворени, а впоследствие предявих иск за заплащане на обезщетение в размер на 1 лев за причинени неимуществени вреди, както и сезирах с жалба Комисията за защита на личните данни.

Ето накратко какво се случва по различните производства:

Исканията до НАП за доброволно плащане на обезщетения и своевременно уведомяване за това кои точно лични данни са били неправомерно достъпени, останаха без уважение. Доколкото отказът по първото искане беше очакван, то вторият вече представлява и нарушение на Общия регламент за защита на данните. В тази връзка сезирах КЗЛД, като предмет на жалбата е непроизнасянето на администратора на лични данни по два въпроса - кои мои данни са били обект на неоторизиран достъп и какви организационни и технически мерки са предприети за ограничаване на вредните последици.

В хода на производството КЗЛД даде възможност НАП да представи становище по случая. В него бе заявено, че всъщност било отговорено на въпросите, и то своевременно, като към становището са приложени моето искане и отговора по него... от които е видно, че отговори всъщност липсват. Насрочено е заседание за разглеждане на жалбата, като се очаква и решението на КЗЛД. За заседанието съм внесъл в входящ номер допълнително писмено становище, с което съм аргументирал допълнително липсата на дадени отговори от страна на администратора на лични данни.

Повече интересни въпроси дотук предизвикват делата по искове за обезщетения, които водят както колеги адвокати в лично качество, така и редица граждани, търсещи справедливост или борещи се на принципна основа. Първият от тях е свързан с допустимостта на искове по реда на Закона за отговорността на държавата и общините за вреди. Общо взето всички съдилища обвързват допустимостта на иск за обезщетение с липсата на "висящо производство по за същото нарушение" пред КЗЛД, в което участва ищецът. Съдебните състави (включително и по моето дело) изискват представянето на удостоверение от КЗЛД за липса на висящо производство "за същото нарушение".

Неслучайно поставям израза в кавички. Съдът се позовава на нормата на чл. 39, ал. 4 от Закона за защита на личните данни (ЗЗЛД), гласяща, че "субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение". Становището ми в хода на проверката за допустимост беше, че по дело с предмет иск за обезщетение няма как да е налице висящ спор по същия въпрос пред КЗЛД, предвид факта, че комисията като административен орган не е оправомощена да присъжда обезщетения. Систематично разпоредбата се намира в ал. 4 на чл. 39 ЗЗЛД, който урежда правото на субектите на данни да обжалват "действия и актове на администратора по реда на АПК" и смисълът й е да не бъде сезиран съдът с обжалване на действия на администратор на лични данни, когато е сезирана комисията, за да се избегне паралелното развитие на две производства с един и същи предмет. Съдът не се съгласи с доводите ми и ме задължи да представя удостоверение. Това изискване беше изпълнено, като удостоверението, разбира се, гласи, че не е налице висящ идентичен спор. Така делото ми за присъждане на обезщетение в размер на 1 лев продължава и предстои първо открито съдебно заседание. Някои съдилища са стигнали дори още по-далеч в тълкуването на ЗЗЛД, оставяйки исковете за обезщетение без разглеждане като недопустими, поради "липса на изрично искане за установяване на твърдяното незаконосъобразно бездействие". За щастие, колеги адвокати са обжалвали тези съдебни актове, като в крайна сметка се е произнесъл и Върховният административен съд с определение № 2492/17.02.2020 г. В него съдът много точно изяснява предмета на делото, както и смисъла на разпоредбата на чл. 39, ал. 4 ЗЗЛД, а също така и препраща към нормите на Общия регламент за защита на данните - GDPR.

Като част от правото на ЕС Общият регламент за защита на данните има пряко приложение в държавите членки. Съгласно чл. 77 и следващите от регламента физическите лица имат право на ефективна съдебна защита, когато считат, че правата им са били нарушени в резултат обработване на личните им данни и имат право да получат обезщетение от администратора или обработващия лични данни за нанесените вреди.

Нещо повече, това право е налично, без да се засягат които и да било налични административни и несъдебни средства за защита, включително правото да се подава жалба до надзорен орган.

В крайна сметка е добре, че се върви в някаква посока, макар и бавно. Неправилното тълкуване от страна на административните съдилища в страната забавиха доста производствата за обезщетения. По-интересно оттук нататък ще бъде какви доказателства ще се представят от страна на приходната агенция, за да докаже, че е предприела всички необходими и разумно изискуеми организационни и технически мерки за опазването на данните ни.

В случай, че исковете бъдат уважени, обезщетенията едва ли ще бъдат големи, тъй като всяка една вреда (имуществена или неимуществена) следва да бъде доказана. По-важна ще бъде съдебната практика, която ще се формира, тъй като тя ще даде тласък на ефективната защита срещу нарушаване на правата в сферата на личните данни. В крайна сметка, настрана от "истерията" около GDPR, къде основателна, къде - не, правото на защита на лични данни е закрепено в чл. 8, пар. 1 от Хартата на основните права на ЕС, както и в чл. 16, пар. 1 от Договора за функционирането на ЕС.