Комбиниран анализ на решенията Österreichische Post и ВБ срещу НАП
NAPLeaks – „течът“ накратко
„Течът“ на данни от НАП през лятото на 2019 година стана първопричина за обилна съдебна практика. При „теча“ „хакер“ направи личните данни на над 6 милиона българи публично достояние след като проби вече доказано слабата им защита и публикува линк към тях в глобалната мрежа. Националните медии направиха линка обществено достояние при отразяване на новината в най-гледаното време. Линкът разкри и обработки на данни, които не биха могли да имат правно основание. Реакцията на агенцията в лицето на нейния изпълнителен директор се сведе до, образно казано, свиване на рамене.
Порой от дела
Поради екзотичното законодателно разрешение в българския Закон за защитата на личните данни1 повечето дела в тази връзка се гледат от административните съдилища в България. Палитрата от съдебни произнасяния, следствие от „теча“, включва наказателно и наказателно-административно право и дори колективен иск, заведен пред Софийски градски съд поради липса на друга процесуална възможност. Всичко това – без да се броят над 100 индивидуално заведени претенции във връзка с „теча“ за обезщетения по реда на Закона за отговорността на държавата и общините за вреди. След произнасянето на СЕС през декември миналата година по въпроса за възможните неимуществени вреди, нови искове се очакват най-късно до средата на 2024 година, когато изтича давностния срок за предявяване на искове във връзка с инцидента.
Няма данни НАП да си е направила съответните изводи от лавината дела, нито в каква степен е подсилила (ако изобщо го е направила) защитата на обработваните от нея лични данни – (повече по този въпрос виж по-долу във връзка с второто преюдициално дело по повод „теча“). Напротив, агенцията обжалва не само наказателното постановление2, но и принудителните административни мерки3, наложени й от КЗЛД с цел коригиране на дефицитите в защитата на личните данни и запазването в бъдеще както на интересите на субектите на данни, така и на българската държава. Непрозрачността относно нивото и качеството на защита на личните данни, организирана от НАП след инцидента, остава.
Колективният иск
През 2020 година „Цифрова република“, представлявана от Act Legal – Bulgaria (KDBMLaw), заедно с група граждани с помощта на грантово финансиране от Digital Freedom Fund заведе колективен иск по реда на ГПК срещу Националната агенция по приходите. Петитумът на молбата включваше 13 различни иска, но не и за обезщетение за вреди. Исковете от групата на осъдителните се домогват до корекция на констатираните по повод инцидента с „теча“ дефицити в защитата на личните данни, обработвани от НАП и преустановяване на незаконосъобразните обработки; осъществяване на външен одит на системите, провеждане на обучения на данъчната администрация. Установителните искове са във връзка с противоправното бездействие на НАП да осигури подходящите защитни мерки по чл.32 във връзка с чл.24 от Общия регламент за защита на личните данни, установяване на особено съществено нарушение на правото на ЕС и други. Производството беше прекратено от Софийски градски съд с аргумента, че ищците се домогвали до изпълнение на задължения, които представлявали упражняване на властнически правомощия, съответно, че отношенията между ищците и ответника били на власт и подчинение и не били подсъдни на гражданския съд – но в същото време (както уместно отбелязва и Софийски апелативен съд) без да повдига препирня за подсъдност.
Софийски апелативен съд констатира, че решението на първоинстанционния съд е неправилно, тъй като единственият път за защита при обоснован колективен интерес е колективният иск, а той не е уреден в АПК. САС подкрепи разбирането на ищците, че НАП не действа като орган на власт, защото в създадените отношения няма подчинение или зависимост и не възниква административно-правно отношение, което да бъде осигурено с държавна принуда (констатация, подчертаваща неудачно уредената подсъдност при съдебната защита на правата, свързани с лични данни в България, както посочихме и по-горе).
В резултат на решението на втората инстанция постановлението за прекратяване на колективния иск е отменено и върнато на първоинстанционния съд с указания да се прецени дали са налице основанията за спиране поради висящото дело 340/21 година пред СЕС. Съдът преценява положително и спира делото с неподлежащо на обжалване определение. Към 04.1.2024 година се очаква възобновяването му след като съдът беше уведомен, че решението по посоченото дело е постановено на 14.12.2023 година.
Преюдициалните запитвания
Българската върволица дела се допълва от 2 преюдициални запитвания, които имат значение за развитието на правото в областта на защитата на личните данни и в европейски план и надграждат вече наличната практика на съда по темата. Първото преюдициално запитване – това на Върховния административен съд по административно дело №1037/2021 г. бе споменато във връзка с наскоро приключилото с решение дело 340/21 година, публикувано на 14.12.2023 г.
Ще опази ли НАП банковата ни тайна?
Второто преюдициално запитване беше отправено съвсем наскоро4, изненадващо по повод съдебен контрол относно искане за разкриване на банкова тайна от страна на НАП във връзка с предполагаемо укриване на данъци. Споменавам го, тъй като то засяга потенциални бъдещи вреди – както за ревизираните от НАП лица, така и за българския фиск, а от там и за българските данъкоплатци.
Повдигнатият пред СЕС въпрос се свежда до следното – ако българският съд е администратор на лични данни, то съобразено ли е с Общия регламент по защита на личните данни той да допусне друг такъв администратор – НАП до нови, твърде чувствителни, лични данни на български граждани – предмет на банкова тайна, било то и в кръга на упражняване на официални правомощия? Въпросът е свързан с факта на установяване от компетентен орган, че НАП не полага дължима грижа под формата на „подходящи“ технически и организационни мерки за защита на личните данни и липса на последваща констатация, че тези дефицити са отстранени. Ако СЕС отговори отрицателно на повдигнатия въпрос, то запитващата юрисдикция би следвало да постанови отказ за разкриване на банкова тайна. В такъв случай ревизионната дейност на НАП при подозрения за данъчни нарушения или престъпления, може да бъде блокирана до отстраняване по безсъмнен начин на установените дефицити в защитата на личните данни. Междувременно би следвало производството по всички подобни искания да бъде спряно до произнасяне на СЕС. Ще очакваме развитието по този въпрос с интерес, тъй като последиците му далеч надхвърлят пределите на защитата на личните данни, и пряко засягат фискалните интереси на българската държава.
Докато чакаме реакцията на СЕС по преюдициалното запитване от 2023 година, можем да обърнем поглед към въздействието за развитието на правото на решението по дело 340/2021.
Какво е обхватът на неимуществените вреди от „теча“ на данни на НАП според СЕС?
За да вникнем по-добре в изводите от решението по дело 340/21, следва да споменем, че то надгражда друго решение на СЕС от изминалата година в областта на вредите, произтичащи от нарушение на защитата на личните данни – по дело C‑300/21 (Österreichische Post).
Първият важен извод в Österreichische Post е, че липсва автоматизъм на вредите при установено със съдебно решение нарушение на защитата на личните данни.
Съгласно т.37 от решението: „ … настъпването на вреди в рамките на … обработване е само потенциално, второ, че нарушение на ОРЗЛД не води непременно до вреди, и трето, че трябва да съществува причинно-следствена връзка между разглежданото нарушение и нанесените на субекта на данни вреди, за да се обоснове право на обезщетение.“
Възможно е формално нарушение по защитата на личните данни да е налице (например, да са предприети неподходящи или недостатъчни мерки за защита), това да бъде установено и доказано по административен или съдебен ред, но въпреки това вреди от нарушението да не са настъпили или да не бъдат доказани пред съд.
Ето защо според СЕС „…член 82, параграф 1 от ОРЗЛД трябва да се тълкува в смисъл, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се присъди право на обезщетение.“
Т.е., настъпването на вреди от нарушението по защита на личните данни, както и причинно-следствената връзка между двете трябва при всички случаи да бъде доказано от твърдящият ги. Това съвпада с класическата концепция за вредите, настъпили в резултат от деликт в гражданското право. Разбира се, ако между субекта на данни и администратора има сключен договор, който третира тези въпроси изрично и там е предвидена конкретна отговорност на администратора при нарушение или дефицит на определени технически или организационни мерки за защита, този въпрос следва да бъде разгледан отделно и е възможно в случая да се присъдят вреди поради неизпълнение на договора.
На второ място, в Österreichische Post съдът приема, че няма някакъв de minimis праг на същественост, над който вредите могат да бъдат релевантни за целите на определяне на обезщетение. Дори много малки като размер, но доказани, вреди, могат и следва да бъдат обезщетени.
Тези вреди могат да бъдат материални – например, разноски, свързани с необходимостта от смяна на лични документи или преиздаване на банкови карти. Настъпилите вреди от нарушение по защита на личните данни могат да бъдат и нематериални, и именно в тази посока развива правото решение 340/21 година.
Как решение 340/21 СЕС (ВБ срещу НАП) надгражда Österreichische Post?
Поради предмета на преюдициалното запитване, решението ВБ срещу НАП се фокусира върху един отделен случай нематериални вреди – опасенията, свързани със злоупотреба с лични данни. По тази причина решението разглежда един подслучай спрямо общата тема за вредите Österreichische Post. В решението ВБ срещу НАП СЕС допуска, че „опасенията“ могат да бъдат една форма на реална неимуществена вреда вследствие от подобен инцидент, която да подлежи на обезщетение. От друга страна, в него се правят важни изводи относно обхвата на прегледа и тежестта на доказване във връзка с предприетите от администратора мерки за защита. Тази преценка е много важна във връзка с вредите, защото в някои случаи може да доведе до освобождаването на последния от отговорност за тях. Случаят с „теча“ на НАП не попада в тази категория.
Националната юрисдикция обаче е тази, която следва да провери, при спазване на националните процесуални правила, дали и доколко претендираните като вреди от нарушението опасения са основателни „с оглед на обстоятелствата на конкретния случай и на субекта на данни“5. Това означава, че няма да е ефективно при всеки теч на данни да отидете в съда и да кажете „много се уплаших, моля, дайте ми 1000 лева“. Трябва да докажете, че наистина конкретният теч Ви е притеснил поради това, че данните, които са изтекли, са от такова естество или са били разпространени по такъв начин, че Вие, лично, имате повод за притеснения. Един възможен пример е, когато, стават ясни данни за имущественото Ви състояние, а то е значително и в същото време имате малки деца или други любими хора, а домашният Ви адрес също е станал обществено достояние. Тогава би могло да се приеме, че опасенията от отвличане или посегателство срещу субекта на данни или член на неговото семейство с цел имотна облага след узнаване на съответните лични данни от недобронамерено трето лице, имат основателен характер.
Насрещната теза на НАП в главното производство е почивала на твърдението, че вредите, състоящи се в „страх“ или „опасения“ са хипотетични нематериални вреди. Оказва, че СЕС е на друго мнение – стресът, безпокойствието, скръбта, страхът и паниката са отрицателни човешки емоции с потенциал да съставляват реална психическа вреда. Доказването на подобни вреди се развива съобразно общите национални правила.
Кой причинява деликта и кой носи отговорност за вредите от него?
Интерес представлява съпоставката на двете крайни тези, разгледани от СЕС в практиката му по повод вредите от нарушение на защитата на личните данни. Първата теза е, че самият факт на „хакването“ или пробива означава, че техническите и организационни мерки за защита на личните данни, които администраторът е трябвало да предприеме, са били недостатъчни. На другият полюс е тезата, че доказаното наличие на външна намеса (хакерска атака) изключва отговорността на администратора за нарушението по защитата. Съдът правилно не приема и двете тези. СЕС се позовава на текста на чл.82, т.3 от Общия регламент по защита на личните данни, съгласно който освобождаване от отговорност на администратора е възможно само, ако същият докаже „че по никакъв начин не е отговорен за събитието, причинило вредата“6.
В същото време Съдът аргументира, че „…членове 24 и 32 от ОРЗД не могат да се разбират в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от трета страна са достатъчни, за да се направи изводът, че приетите от съответния администратор на лични данни мерки не са подходящи по смисъла на тези разпоредби, без дори да му се позволи да представи доказателства за противното.“ Според Съда [т]акова тълкуване се налага на още по-силно основание, тъй като член 24 от ОРЗД предвижда изрично, че администраторът трябва да е в състояние да докаже съответствието с този регламент на мерките, които е въвел, възможност, от която ще бъде лишен, ако бъде приета необорима презумпция.“7
От друга страна, решението по делото срещу НАП потвърждава принципа, че тежестта на доказване за наличието на достатъчни и подходящи технически и организационни мерки е върху администратора, а не, както НАП се опитва да твърди в своя защита в главното производство, че било задача на субекта на данни да докаже, че мерките не са подходящи. Това, разбира се, би било правен абсурд и обезсмислило всякакви и всички дела срещу администратори от подобен ранг. В устните прения в административно – наказателното производство по жалбата на НАП срещу наказателното постановление на КЗЛД НАП се позоваваше пред Софийски районен съд дори на аргументи, че агенцията била „стратегически обект от национално значение“ и затова отговорите на въпросите на назначените от съда експерти били „класифицирана информация“, независимо от тривиалния характер на голяма част от въпросите относно мерките за информационна сигурност и хигиена. Доколкото всички български граждани имаха възможност да се запознаят с част от тази класифицирана информация, не стана ясно според НАП защо съдът не следва да разбира как се охранява тя.
Кой следва да установи дали мерките за защита на личните данни са подходящи?
Съдът на ЕС по дело 340/21 припомня, че процесуалните средства и гаранции за установяване на правно значими факти и обстоятелства в светлината на правото на ЕС са национален прерогатив при спазване на принципите на равностойност и ефективност.
В практиката на СЕС спазването на принципа на равностойността означава, че възможните по националното право средства за защита не следва да предлагат по-малко гаранции за правата на гражданите, уредени в правото на ЕС, от регулираните от националното право. В този смисъл СЕС не вижда защо експертизата, назначена от националната юрисдикция, да не бъде едно такова средство, но припомня, че не експертите, а съдът в крайна сметка е призван да прецени дали в конкретния случай и предвид всички обстоятелства избраните от администратора технически и организационни мерки са достатъчни. В хода на тази преценка националната юрисдикция може, но не е длъжна, да назначи експертиза и да вземе предвид нейните изводи, за да формира убеждението си по отношение на решението. Но националният съд може да използва в анализа си и други доказателствена средства, допустими от закона на държавата членка и по своя преценка, за да формира вътрешното си убеждение.
Също така според СЕС: „член 32 от ОРЗД и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно.“8
Интересно е да се отбележи, че българският районен съд в решението по жалбата на НАП срещу решението на КЗЛД в административно-наказателно дело 41811/2019 също стига до подобен извод: „…въпросът за това кои/какви мерки се явяват подходящи, е … както правен, така и фактически, … който следва да се решава отделно за всеки конкретен случай от съответния правоприлагащ орган, като адресатите на съответното правило са задължени да направят правилна… преценка в тази връзка, т. е. да приложат мерки, които обективно са подходящи с оглед съответната преследвана легитимна цел, а когато преценката им в тази връзка е неправилна, те … подлежат на санкциониране;“ Това разсъждение на съда в случая се извежда като контрапункт срещу тезата на НАП, изказана по време на устните прения по делото, че администраторът бил решавал кои мерки са подходящи и в този смисъл не можело трето лице да твърди нещо различно, тъй като регламентът не въвеждал конкретни изисквания (и по тази логика администраторът има абсолютното право на преценка, чиято правилност не подлежи на оспорване от трета страна).
Комбинираните изводи от двете преюдициални дела относно вредите
Вредите при нарушение по защитата на личните данни, както и тяхната причинно – следствена връзка с нарушението не се предполагат, а трябва да бъдат доказани от субекта на данни, който ги претендира.
Нематериалните вреди могат да обхващат и основателни опасения на субекта на данни, стига те да са такива по преценка на съда, както с оглед обстоятелствата на конкретния случай, така и на субекта на данни.
Дали мерките, предприети от администратора, с оглед защитата на личните данни – предмет на нарушението към момента на настъпването на ефекта от него са били подходящи с оглед на „постиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица“9 е въпрос на конкретна преценка, която се прави от съда съобразно националните процесуални правила при условията на равностойност и ефективност. Преценката може да включи и назначаването на експертиза, но това нито е „системно необходимо“, нито е „системно достатъчно“ според СЕС. Крайната преценка дали мерките са подходящи и ефективни е на съда.
Тежестта да докаже, че мерките са били именно такива, е върху администратора, а не, както неправилно са допускали някои български съдилища – върху субекта на данни, че същите не са подходящи.
Условия за освобождаване от отговорност на администратора при настъпили вреди от нарушението по защита на личните данни
За да се освободи от отговорност за настъпили вреди или да я намали, администраторът трябва да проведе успешно доказване, че мерките са били подходящи и именно поради тази причина същият не носи никаква или минимална вина за настъпилите отрицателни последици в правната сфера на субекта на данни, въпреки, че защитата на личните данни е била нарушена. В случаите, когато е налице външна намеса, както е с теча на НАП, трябва тази намеса да е била тъй изкусна или с такава „брутална сила“, че мерките, въпреки, че са били подходящи, не са успели да я предотвратят.
Предпоставка за успешното провеждане на такова доказване от страна на администратора е документираното и доказуемо спазване на всички съвременни и възприемани като задължителни или силно препоръчителни изисквания по информационна сигурност и защита на личните данни в аналогични ситуации на мащабни обработки на чувствителни данни чрез сложна информационно-техническа инфраструктура, а не само минималните такива.
Доколкото вече има множество стандарти в тази област, част от които и с нормативна санкция, както и някои азбучни протоколи за информационна сигурност, тяхното неспазване, както е в случая на НАП, би представлявало убедителна демонстрация за липса на подходящи мерки.
Не следва да се забравят и организационните изисквания, свързани, например с достъп до данните на принципа на „необходимо да се знае“, периодични обучения на персонала, политики относно управление на устройства и пароли, „чисто бюро“ и редица други.
Установената от съда липса на подходящи технически и организационни мерки за защита предвид естеството и мащаба на обработките, осъществявани от НАП и достиженията на техническия прогрес, ни дава отговор на въпроса какво се е объркало през лятото на 2019 година и защо беше възможно намеса с минимум ресурс и умения да доведе до поражения от такъв мащаб.
Въпросът, който остава неотговорен е – какво е положението със защитата на личните данни в НАП към момента и дали приложените от агенцията мерки са подходящи и се поддържат такива постоянно, а, ако не – може ли НАП да упражнява законовите си правомощия в пълна степен?
Отговорите на въпросите относно текущото състояние на защитата следва да получим от самата агенция – доброволно или в хода на колективния иск срещу нея.
Преценката за допустимостта на разкриване на банкова тайна по искане на НАП във връзка с наличието на подходящи мерки за защита на личните данни в агенцията (или липсата им) очакваме да получим при произнасянето на СЕС по новото преюдициално дело 563/2023 година.
1 Член 39, ал.1 във връзка с ал.2 от ЗЗЛД
2 Дело 14811/2019 година на Софийски районен съд
3 Дело 10477/2019 година на Административен съд – София град
4 Дело 563/2023 година на Съда на ЕС
5 Параграф 85 на Решение на СЕС по дело 340/21
6 Така и параграф 37 на Решение на СЕС по дело 340/21
7 Параграфи 31 и 32, пак там.
8 Параграф 64, пак там.
9 Член 32, пар.1 от Общия регламент за защита на личните данни