Според прокуратурата става въпрос за голяма афера с рекет на фирми

Източването на лични данни от системата на НАП разтресе държавата през изминалата седмица. Арестуван е и хакерът. Прокуратурата излага версия, според която това не е някакъв инцидент, а става дума за организация, която се занимава с рекет на фирми и Кристиян Бойков е само маша в нея.

Няколко часа след изявлението на кандидата за главен прокурор Иван Гешев антимафиоти направиха обиск в "ТАД груп", където работи обвиненият за хакерската атака срещу НАП Кристиян Бойков. При акцията е задържан за разпит търговският директор на фирмата и е иззета техника.

Засега сигурният резултат от хакерския пробив е, че се вземат мерки за подобряване на електронните системи на държавните институции. По принцип в изтеклата информация от 21 гигабайта се съдържат ЕГН-та, имена, адреси и доходи на милиони български граждани и те потенциално могат да причинят имуществени и неимуществени вреди. Някои вече побързаха да обявят случая за

"дигитален

Чернобил",

но истината е, че в световната практика постоянно има подобни прецеденти (за тях четете подробно на стр. 6-7). Само преди броени дни агенцията за кредитни оценки Equifax например се споразумя с американските регулаторни органи да изплати 700 млн. долара, тъй като е допуснала изтичането на лични данни на 147 млн. души през 2017 г. И както стана ясно, поне 300 млн. долара от тази сума ще бъдат изплатени от базираната в Атланта компания на жертвите за разходи, свързани с

кражбата на идентичност

Преди година дори и социалната мрежа фейсбук беше глобена с милиарди за това, че е допуснала хакери да откраднат информация за потребителите й.

Но все пак имат ли право обикновените граждани у нас, които са най-засегнати, да водят дела за причинени вреди от хакерската атака срещу НАП? С този въпрос "168 часа" се обърна към водещи специалисти по българско и международно право.

Оказва се обаче, че заради сложността на казуса мненията на юристите не се препокриват изцяло и в тях има известни нюанси, независимо дали се касае за индвидуален, или за колективен иск. Така, докато за едни искът е допустим, макар и със съмнителен краен ефект, за други при съществуващото законодателство и съдебната практика български съд по-скоро

не би допуснал воденето на подобно дело.

Макар в случая да не е много ясно и кой трябва да носи отговорността - дали хакерът, който явно е нарушил закона, или НАП, която не е осигурила

надеждна защита на данните,

по закон формално има материалноправни основания да се търси отговорност и от държавната институция. Така съгласно чл. 82, ал. 1 GDPR (Общия регламент на ЕС относно защитата на данните) лице, което е претърпяло имуществени или неимуществени вреди в резултат на нарушаването на регламента, има право да получи обезщетение.

Освен това основание за търсене на съдебна отговорност от НАП дават и разпоредбите на чл. 45 от ЗЗЛД (Закона за защита на личните данни) и чл. 1, ал. 1 ЗОДОВ (Закона за отговорността на държавата и общините за вреди).

Принципно в чл. 77 на GDPR е предвидено, че всеки субект на данни

има право

да подаде жалба

до надзорен орган в държавата членка на обичайното си местопребиваване, място на работа или място на предполагаемото нарушение, ако смята, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на регламента.

У нас компетентният надзорен орган е Комисията за защита на личните данни (КЗЛД) и всеки засегнат от изтичането на лични данни от НАП има право да подаде жалба до нея, за която не се дължи такса. Жалбата се подава в срок до 6 месеца от узнаването за допуснатото нарушение, но не по-късно от 2 години от извършването му.

След като се произнесе по нея и я уважи, надзорният орган е длъжен да информира потърпевшия за хода на предприетите мерки и действия за отстраняването на нарушенията. Ако жалбоподателят е ползвал адвокат в производството пред КЗЛД, може да иска от нея да му присъди и направените разноски за адвокатско възнаграждение, но е важно да се отбележи, че КЗЛД не присъжда обезщетения за вреди на жалбоподателите. За тази цел е необходимо засегнатото лице да се обърне към съда.

"На първо място трябва да се изчака да се изяснят всички факти около случая - коментира казуса пред "168 часа" адвокат Александър Кашъмов. - Засега ние не знаем доколко става дума за някакви задължителни изисквания, свързани със защитата на личните данни, или пък се касае за един умел хакерски ход, защото в крайна сметка винаги в съвремието това е въпрос на конкретна преценка.

Причината е, че със създаването на по-добри защити се появяват и по-добри нарушители. И това, че една защита не е достатъчно добра с оглед уменията на някой хакер, не означава че не се носи отговорност за опити и действия, свързани с пробива на такива бази данни

Първото, което трябва да се направи, е да се реализират правата на хората съгласно GDPR. А именно непосредственото право е те да получат информация какво се е случило и до каква степен са били засегнати техни лични данни.

Оттук нататък въпросът за евентуални вреди е при всяко положение конкретен и преминава единствено и само през конкретни казуси, каквито може да възникнат, а може и да не възникнат.

Защото, за да може човек да претендира лични вреди, в това число и така наречените морални или неимуществени, той трябва да е в състояние да докаже конкретно, че такива вреди са настъпили, както и причинно-следствената връзка.

Веднага давам пример - ако някой е публикувал подобна информация, съдържаща лични данни за някого, разбира се, фактът на публикуването вече носи морални вреди. Но тук възниква въпросът кой е прекият извършител - този, който е позволил да изтече информацията, или този, който я е публикувал, въпреки че знае своето задължение да не публикува такава информация.

Така че за мен въпросът няма еднозначен отговор, при всички положения е въпрос на конкретика и според мен трябва да бъде ясно, че е някаква митология, че 5 млн. субекта могат да заведат просто така дела и всъщност

да вземат от собствения си джоб компенсация."

Тук трябва да се каже също, че според българското законодателство при колективния иск единствената възможност е да се обезщетят вредите, причинени на колективния интерес. Това означава, че парите от евентуалното обезщетение в такъв случай не отиват в джоба на засегнатите, а биха отишли за цели от обществена полза - например да се подобри системата за сигурност в НАП.

"Формално човек, четейки ГПК, може да счете, че колективен иск е възможен за такива случаи, но според мен характерът на нарушението, естеството на конкретиката, както и приложимостта на Закона за отговорността на държавата за вреди, причинени на граждани, където не се говори за колективни искове, биха се явили и процедурна пречка пред предявяването му - категоричен е Кашъмов. - Разбира се, това е мое мнение. По принцип в ГПК е предвиден механизъм за колективен иск за този вид вреди, но от това не следва, че и съдилищата биха допуснали такова нещо. Имам големи съмнения, че в случая е възможен колективен иск, според мен права в случая може да се търсят преди всичко индивидуално."

Така, доколкото юристите са скептични към евентуалната допустимост

на един колективен иск,

за гражданите по-скоро остава възможността за индивидуални дела. Но при тях трябва да се доказва конкретната вреда. Например, ако заради изтичането на лични данни някой е загубил работата си или е нарушен имиджът му в обществото, като от масивите на НАП е станал ясен някакъв нелицеприятен факт - да речем, страстта му към хазарта или прекалено голямата му задлъжнялост.

На теория тези претенции биха имали тежест в съда, но в крайна сметка ефектът от подобен процес е съмнителен и няма да доведе до желания резултат за този, който го води, смятат юристи.

"Започна едно усилено говорене от представители на институциите, че да се търсят права по съдебен ред било възможно само ако се окаже, че с данните е злоупотребено - казва по този повод адв. Михаил Екимджиев. - Това е несъмнено и тогава размера на отговорността като вреди - имуществени и неимуществени, може да бъде значително по-голям.

Но моето мнение е, че дори в сегашната ситуация хората са притеснени от усещането за несигурност, чувството, че основно твое право, което би трябвало надеждно да бъде защитено от държавата, е застрашено, нарушено и не е добре охранено от държавата,

поражда достатъчно фрустрация, притеснение,

за да могат да бъдат предявени такива искове и да бъдат те основателни като претенции за морални вреди. Още повече че ние не сме предоставили доброволно нашите данни на НАП, а те задължително са ни ги изискали.

Друг е въпросът дали си струва, защото консервативният български съд, който е свикнал да се произнася само когато има случай на убийство или изнасилване, може да не го допусне. А и дори хипотетично да предположим, че някой заведе такова дело и го води в продължение на няколко години, то ще завърши с присъждането в най-добрия случай на

символично обезщетение

от, да речем, няколкостотин лева. Така че въпреки хипотетичната възможност ми се струва, че практически няма да има особен смисъл."

Но съществува и друг въпрос, който също има връзка с правото. След като Комисията за защита на личните данни започна проверка на Националната агенция за приходите заради изтичането на лична информация, има голяма вероятност приходната агенция да бъде глобена.

Комисията за защита на личните данни ще проверява и доколко правилата на НАП за обработване на лични данни, обучението на хора, организацията и взетите технически мерки отговарят на анализираните рискове. Срокът за приключване на проверката е 20 август. Засега не е ясно какъв ще бъде размерът на глобата, но по закон максималната санкция е 20 милиона лева.

По този повод в интервю за bTV на 23 юли председателят на Комисията за защита на личните данни (КЗЛД) Венцислав Караджов също се произнесе: "Искам да кажа на гражданите, че те трябва да се обърнат към българския съд, ако са пострадали по някакъв начин от този теч. При нас засега няма жалби. Има запитвания какво трябва да се прави в такъв случай. Ако има глоба за НАП,

тя ще е индивидуална

и ще се плати от бюджета на агенцията. Самото изтичане ще бъде санкционирано, а дали от това са се породили материални или нематериални вреди, лицето трябва да го докаже."

Разбира се, в тази ситуация съществува възможност, ако се установи персонална вина, глоби да плащат и конкретни чиновници.

В същото време обаче НАП няма собствени приходи, което означава, че ако бъде наказана агенцията, като цяло сумата ще бъде платена от държавното финансиране, идващо от данъците, които всички български граждани плащат.

Парадоксално, но по този начин излиза, че онези над 5 милиона българи, чиито данни станаха публично достояние, ще бъдат

наказани повторно

за чуждо

нарушение

"Първо, независимо че става въпрос за нарушение, което със сигурност е в огромен обем, се съмнявам, че може да се стигне до тези огромни суми по GDPR, тъй като тези средства не са оборот на НАП, тоест те не са печалба на някакво търговско дружество - коментира адв. Кашъмов. - Но не трябва да омаловажаваме проблема - Комисията трябва да си свърши работата и да се установят отговорните.

Така че не е само въпрос на глоба, но по важното е какви предписания, какви уроци за бъдещето ще си извадим, защото ние като граждани не бихме искали да се злоупотребява с личните ни данни."