Отговорност и подходящи мерки според GDPR, административната санкция на КЗЛД и делата за обезщетение на засегнатите граждани

На 15.07.2019 г. нацията бе изправена пред изключително неприятната реалност на настъпилия теч на данни от НАП. Макар първоначалните измерения на събитието да не бяха напълно ясни, извършената от КЗЛД проверка и впоследствие наложената глоба показват, че са засегнати личните данни на общо 6 074 140 души, от които 4 104 786 живи български граждани и чужденци, и 1 959 598 починали физически лица.

Глобата бе обжалвана от НАП пред Софийския районен съд (СРС), а много български граждани заведоха административни дела за обезщетение. В настоящата статия ще се опитаме да внесем някаква яснота за хода на тези производства, като ще се спрем на някои важни концепции в GDPR, които често будят объркване и неразбиране.

Санкцията на КЗЛД и въпросът за подходящите мерки.

Течът на данни доведе до глоба за НАП в размер от 5 100 000 лв., наложена от КЗЛД. Този размер е най-големият до момента в практиката на органа. Комисията констатира нарушение, изразяващо се в това, че администраторът не е приложил подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване на лични данни и тяхното разпространение. Това е съставът на чл. 83, пар. 4 във вр. с чл. 32, пар. 1 GDPR, а именно нарушение на задължението на администратора за сигурност на обработването.

Така формулираното наказателно постановление и последвалото дело в СРС неизбежно поставиха в центъра на казуса концепцията за подходящи и технически и организационни мерки, установена в GDPR. Основната линия на защита на НАП дори минава през аргумента, че агенцията не може да бъде държана отговорна за настъпилия теч, тъй като хакерската атака е съставлявала престъпно деяние, а агенцията като администратор на лични данни няма вина за случилото се.

Следователно трябва да си отговорим на въпроса: „От значение ли е предприемането на подходящи технически и организационни мерки, или настъпването на пробив в сигурността е достатъчно основание за ангажиране на отговорността на администратора?” Подробен отговор може да откриете в нашата статия по въпроса. Накратко, отговорността по GDPR не е безвиновна. Напротив, GDPR в своя чл. 83, пар. 2, б. „б” изрично въздига вината на администратора във фактор, който се взема предвид при преценка дали да бъде наложена имуществена санкция и какъв да бъде нейният размер. Нещо повече, Регламентът не създава задължение за администратора да не допуска теч на данни. Неговото задължение е да предприеме подходящи технически и организационни мерки и именно те ще бъдат предмет на изследване в случай на пробив в сигурността. Ако се установи, че те действително са подходящи и не е налице някакво друго нарушение, администраторът няма да носи отговорност за настъпилия пробив, което допълнително се подкрепя като аргумент от наличието на принципа за отчетност, установен в чл. 5, пар. 2 GDPR.

Делото пред СРС.

През септември 2019 г. НАП обжалва наказателното постановление пред СРС, а през декември същата година бе даден ход на делото. Към момента обаче по различни причини не е налице значително развитие на производството. Възложена е експертиза, която цели да даде отговор на 13 въпроса, всичките от техническо естество и касаещи операциите и сигурността в системите на НАП. Все още няма резултат от експертизата. Следващото заседание, насрочено за 08.02.2021 г., не се състоя поради обстоятелството, че съдът не успява да намери достатъчно подготвени експерти.

Административните дела за обезщетение.

Немалък брой граждани решиха да защитят правата си в съда. Заведени са повече от 100 дела в цялата страна, като в почти всички се претендира обезщетение в размер от 1000 лв. Направени бяха и опити за завеждане на колективен иск, но съдът прие, че не са налице необходимите изисквания, именуването на иска като “колективен” не променя природата му и че става въпрос за субективно съединени искове, в резултат от което делата бяха разделени. По-подробно за възможността да бъде заведен колективен иск можете да проечете в нашата статия по въпроса.

В началото ищците правилно се ориентираха към иск по чл. 1, ал. 1 от Закона за отговорността на държава и общините за вреди (ЗОДОВ). Административният съд обаче прие, че чл. 39, ал. 2 от Закона за защита на личните данни (ЗЗЛД) създава специален ред по смисъла на чл. 8, ал. 3 ЗОДОВ за обезщетение на вреди вследствие на неправомерно обработени лични данни от страна на администратора. Тъй като този ред изисква обективно съединяване с установителен иск по чл. 39, ал. 1 ЗЗЛД, десетки искове бяха върнати. В множество свои актове ВАС отменя тези определения на първоинстанционния съд с аргумента, че искът за обезщетение не се води задължително като съединен с такъв по чл. 39, ал. 1 ЗЗЛД. Чл.39, ал.2 ЗЗЛД не изчерпва възможностите за търсене на обезщетение и редът по ЗОДОВ остава приложим, като съдът прави преценка за законосъобразност според случая.

Към момента имаме значителен брой решения по същество на първоинстанционния съд. В повечето от тях той намира иска за неоснователен с аргумента, че не са покрити изискванията на чл. 1, ал. 1 ЗОДОВ. Въпреки това обаче има значителни разлики в решенията, като линиите на аргументация на съда могат да бъдат разделени в 3 основни групи:

  • Липсва противоправно деяние от страна на НАП.
  • Налице е противоправно деяние на НАП, но не са настъпили вреди.
  • Налице е противоправно деяние на НАП, вреди са настъпили, но липсва причинно-следствена връзка между деянието и вредите. Тази линия е вероятно най-интересната, тъй като в тези случаи на практика съдът приема, че хакерската атака представлява опосредяващо събитие, което изключва отговорността на администратора.

Все пак има известен брой решения, в които претенциите на ищеца са приети за основателни. Съдът обаче не удовлетворява напълно претенцията от 1000 лв., като обикновено НАП бива осъден да плати обезщетение в размер между 100 и 500 лв.

Решение на ВАС по същество.

Не всички дела на гражданите обаче са без окончателна развръзка. В свое решение[1] ВАС намира касационната жалба на НАП за неоснователна и оставя в сила решение на първоинстанционния административен съд, с което НАП окончателно е осъден да заплати на засегната гражданка обезщетение в размер на 500 лв. Това е половината от претендираната от нея сума.

Делото заслужава внимание. ВАС посочва, че доказването по чл. 82 GDPR изисква следните задължителни елементи:

  1. Наличие на материална или нематериална вреда;
  2. Доказано нарушение на GDPR; и
  3. Причинна връзка между претърпяната вреда и нарушението на

Съдът приема наличието на доказано нарушение на GDPR поради причина, че в производството е задължение на НАП да докаже прилагането на подходящи технически и организационни мерки. И тъй като Приходната агенция отказва да формулира задачи към вещото лице по служебно допуснатата съдебно-техническа експертиза, съдът приема факта за неприлагането на подходящите мерки за доказан. Така НАП не може да се възползва от освобождаването от отговорност по чл. 82, ал. 3 GDPR.

ВАС приема и че са налице вреди, тъй като с нарушение на сигурността на личните данни, което води до неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин, неизменно се причиняват вреди, изразяващи се в емоционални и психически терзания на личността.

На последно място ВАС установява и наличието на връзката между нарушението и претърпяната вреда, като посочва, че е ирелевантен въпросът дали неразрешеното разкриване е станало възможно от успешно проведената хакерска атака и дали тя осъществява състав на престъпление.

Преюдициалното запитване до Съда на ЕС.

По друго дело обаче ВАС отправи преюдициално запитване, което означава, че то и всички други административни дела за обезщетение за теча на данни ще бъдат спрени до произнасяне на Съда на Европейския съюз (СЕС).[2] Отправените въпроси са пет, като, без да ги преповтарям, ще се опитам да извлека същината на всеки от тях и да дам аргументирано предположение относно това какви отговори можем да очакваме от СЕС.

Първият въпрос по същество пита дали наличието на пробив в сигурността по чл. 4, т. 12 GDPR означава, че приложените технически и организационни мерки не са подходящи и следователно е налице нарушение на GDPR. С други думи, дали от едното следва другото; ако „А“, то значи „Б“. Многократно в настоящата статия посочих, че двете концепции не са непременно свързани. Претърпяването на инцидент, в следствие на който настъпва неразрешено разкриване или достъп до лични данни, не е само по себе си нарушение на GDPR. To се превръща в такова, когато не са спазени изискванията на чл. 32, пар. 1 GDPR.

Вторият въпрос е обоснован от отрицателен въпрос на първия и с него се пита какво проверява съда, когато изследва дали приложените мерки са подходящи. Чл. 32, пар. 1 GDPR ясно посочва кои фактори се вземат предвид при преценката какви мерки да бъдат приложени. Това са:

  1. Достиженията на техническия прогрес;
  2. Разходите за прилагане;
  3. Естеството, обхватът, контекстът и целите на обработването; и
  4. Рисковете с различна вероятност и тежест за правата и свободите на физическите лица.

Когато е целесъобразно, следва да бъдат приложени също:

  1. Псевдонимизация и криптиране на личните данни;
  2. Способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  3. Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; и
  4. Процес на редовно изпитване, преценяване и оценка на ефективността на мерките.

Третият въпрос е по-интересен. Той касае доказателствената тежест и по-специално дали спазването на принципа на отчетност по чл. 5, пар. 2 GDPR обръща доказателствената тежест в съдебния процес, както и дали назначаването на съдебна експертиза може да се приеме като необходимо и достатъчно доказателствено средство за определяне дали приложените техническите и организационни мерки са достатъчни. Спорно е дали СЕС би отговорил на подобен процесуален въпрос. Въпреки това неговото разглеждане заслужава внимание. Документирането на приложените конкретни и подходящи технически и организационни мерки е основното задължение на администратора. То не е само по себе си заместил за реалното прилагане на мерките, но действа като едно убежище за отговорността на администратора, в случай че другата страна не успее да докаже противното.

С четвъртия въпрос се пита дали чл. 82, пар. 3 GDPR може да се тълкува в смисъл, че НАП може да бъде освободен от отговорност за теча, тъй като той е резултат от хакерска атака. Конкретната разпоредба гласи, че администраторът се освобождава от отговорност, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

Отговорът на този въпрос отново се крие в концепцията за подходящи технически и организационни мерки. Когато GDPR посочва, че мерките следва да се подходящи, Регламентът има предвид, разбира се, че те трябват да са подходящи с оглед потенциалните заплахи. Следователно тук се изследва естеството на атаката и целта. Разумно ли е да се очаква атака срещу държавно учреждение, което обработва личните данни на милиони граждани? Има ли нещо толкова иновативно в подхода на хакерите, че засегнатият администратор, ако и да бе приложил съответните мерки, не би могъл да предотврати теча? Тези въпроси непременно трябва да се изследват. Концепцията обаче е ясна: Ако самолетите съществуват от над 100 години и е обичайно да се ползват във военни действия, може би е добра идея да се снабдиш с радар.

Последният пети въпрос е вероятно най-интересният. С него ВАС пита дали при нарушение на сигурността на данните, изразяващо се в неразрешен достъп и разпространение на лични данни, само преживените от субекта на данни опасения, притеснения и страх от евентуална бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение. Посочените текстове са Съображение 85 и 146 GDPR. С други думи: В ситуация като тази какво се уврежда и какво се обезщетява?

В основата на това питане всъщност стои един далеч по-фундаментален въпрос, а именно: Каква ценност закриля правото, когато защитава неприкосновеността на личните данни? Вероятно съмненията идват именно от решението на българската правна система да преведе “privacy” като „защита на неприкосновеността на личните данни“. Този подход може да бъде подвеждащ.

Генезисът на правото на “privacy” се формира в американската доктрина през 1890 г. като правото да бъдеш оставен на мира. В българския език има дума, която добре отразява този смисъл – уединение. Правото на “privacy” е правото да се уединиш. И когато някой направи достояние за широката публика твои лични данни, които е следвало да бъдат запазени в тайна, с това само по себе си бива нарушено твоето право на уединение.

Заключение.

Несъмнено тепърва предстои кулминацията на този казус и на стотиците дела, изникнали в резултат от него. Към момента изглежда, че всичко зависи от решението на СЕС. Със сигурност окончателната развръзка ще даде ценни отговори за приложението в България на нормите на GDPR, касаещи подходящите технически и организационни мерки, и ще постави на преден план въпроса за характера на отговорността и естеството на вредите съгласно Регламента.

[1] Решение № 5587 от 10.05.2021 г. на ВАС по адм. д. № 12911/2020 г., V о.

[2] Чл. 144 АПК, във вр. с чл. 229, ал. 1, т. 7 ГПК, във вр. с чл. 631 и чл. 633 ГПК; вж. също Определение № 260103 от 24.02.2021 г. на Апелативен съд – Пловдив по в. ч. гр. д. № 90/2021 г.

Поискай консултация

*Първоначалната консултация има за цел да Ви ориентира какъв тип услуга Ви е необходима във Вашия случай и колко струва тя. Съгласно, чл.9 и 45 от Закона за адвокатурата и чл.5 от Етичния кодекс на адвоката, опазването на Вашите тайни е наша основна мисия и клетвено задължение.

Share this article :
Facebook
Twitter
LinkedIn

© 2021 Linx.bg

logo-footer

         

You cannot copy content of this page