№ 348
гр. София, 10.01.2023 г.
СОФИЙСКИ ГРАДСКИ СЪД, ГО I-13 СЪСТАВ, в закрито заседание
на десети януари през две хиляди двадесет и трета година в следния състав:
Председател:Росен Димитров
като разгледа докладваното от Росен Димитров Гражданско дело №
20211100113344 по описа за 2021 година
Представители на КОЛЕКТИВА, неформална група от лица, чрез адвокати Д.А. К.,
Ж.Н.М. и Е.И.Д., са предявили против "НАЦИОНАЛНА АГЕНЦИЯ ЗА ПРИХОДИТЕ",
гр. София колективни искове,както следва:
1. ОСЪДИТЕЛЕН ИСК Иск по чл. 379, ал. 3 ГПК за преустановяване на нарушението
на чл.32 от ОРЗЛД, чл.142ф, ал.2 и 3 ДОПК и чл.21 от ЗК, посочени в параграф 162 и
следващите по-горе (Направление 3) Особените представители на Колектива молят съда да
постанови решение, с което да осъди НАП да изпълни задълженията си по чл.32 от
ОРЗЛД, чл.142ф, ал.2 и 3 ДОПК и чл.21 от ЗК, като осигури подходящо ниво на
сигурност на видовете обработки на лични данни, които НАП извършва, като се вземат
предвид конкретните изисквания на всеки от посочените нормативни актове и осигури
възстановяването на автоматичния обмен на финансова информация за данъчни цели.
2. ОСЪДИТЕЛЕН ИСК Особените представители на Колектива молят съда да
постанови решение, с което да осъди НАП да Стр. 84 от 103 Иск по чл. 379, ал. 3 ГПК за
преустановяване на нарушението на чл.142а от ДОПК, посочено в параграф 261 по-горе
(Направление 7) предприеме всички необходими и достатъчни действия, за да възстанови
автоматичния обмен на финансова информация по смисъла на Раздел III а от ДОПК в
областта на данъчното облагане с всички държави и Форума, които са спрели обмяната
вследствие на Разкриването в сигурността на лични данни от 15.07.2019 г.
3. ОСЪДИТЕЛЕН ИСК Иск по чл. 379, ал. 3 ГПК за преустановяване на
нарушението на чл.34 от ОРЗЛД, посочено в параграф 168 по-горе (Направление 3).
Особените представители на Колектива молят съда да постанови решение, с което да осъди
НАП да изпълни задължението си по чл. 34, параграф 2 от ОРЗЛД във връзка с чл. 33,
параграф 3, буква "г" от ОРЗЛД , като НАП изпрати съобщение до субектите на данни,
включващо и "предприетите или предложените от администратора мерки за справяне с
нарушението на сигурността на личните данни, включително по целесъобразност мерки за
намаляване на евентуалните неблагоприятни последици".
4. ОСЪДИТЕЛЕН ИСК Иск по чл. 379, ал. 3 ГПК за преустановяване
противозаконната практика на НАП, изразяваща се нарушения на чл.5, чл.6, чл.22 ОРЗЛД и
чл.16, ал.2 във вр. с ал.1 от ЗЕУ, посочени в параграф 127 и 100.1 по-горе (Направление 4) и
(Направление 7). Особените представители на Колектива молят съда да постанови решение,
с което да осъди НАП да идентифицира и преустанови незаконосъобразни обработки на
лични данни на определени групи субекти, включително такива, за които липсва
основание или когато основанието за обработка не е доведено до знанието на субекта на
1
данни по начина, изискуем от приложимото законодателство (преди започване на
обработката). В случай, че незаконосъобразните обработки са били предприети в разрез с
приложимата политика за защита на личните данни, НАП да бъде Стр. 85 от 103 осъдена да
потърси дисциплинарна отговорност от лицата, които са ги предприели в разрез с
вътрешните правила на Агенцията и законите на ЕС и страната.
5. ОСЪДИТЕЛЕН ИСК ИСК по чл. 379, ал. 3 ГПК за преустановяване на нарушение
на чл.21 от ЗК, посочено в параграф 222 по[1]горе (Направление 5) Особените
представители на Колектива молят съда да постанови решение, с което да осъди НАП да
изпълни задължението си по: 1. чл. 21 от ЗК, като предприеме следните защитни мерки:
подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и
информационна сигурност, съответстващо на съществуващия риск (чл.21, ал.2, параграф1 от
ЗК); • подходящи мерки за предотвратяване и намаляване до минимум на въздействието на
инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на
непрекъснатост на дейността им. Считаме, че конкретните мерки, които са подходящи и
пропорционални следва да бъдат определени с помощта на съдебно техническа експертиза.
2. Чл.4 от НМИМИС, като приеме съответната политика за сигурност, която да включва
конкретни специфики за сигурност на информационните и комуникационни системи на
НАП; 3. Чл.5, ал.1 от НМИМИС, като създаде и поддържа посочената документация; 4.
Чл.6, ал.1 от НМИМИС, като създаде съответните вътрешни правила; 5. Чл.7 от НМИМИС,
като извърши анализ и оценка на мрежовата и информационната сигурност; 6. Чл.8, ал.1 от
НМИМИС, като приеме съответните вътрешни правила за управление на информационните
активи; 7. Чл.9, ал.1 от НМИМИС, като приеме съответните вътрешни правила и
инструкции относно сигурността на човешките ресурси; 8. Чл.10 от НМИМИС, като създаде
изисквания за мрежова и информационна сигурност при взаимодействията си с трети
страни; 9. Чл.11 от НМИМИС, като приеме вътрешни правила за управление на измененията
в информационните активи; 10. Чл.12 от НМИМИС, като заложи адекватни и комплексни
изисквания за мрежова и информационна сигурност при разработването на проекти и
технически задания; 11. Чл.13 от НМИМИС, като поддържа информационна и
комуникационна инфраструктура, която отговаря на изискванията на чл.13; 12. Чл.14 от
НМИМИС, като гарантира, че трафикът между отделните системи и техните подсистеми е
контролиран чрез подходящо филтриране 13. Чл.15 от НМИМИС, като приеме съответните
политики; 14. Чл.16 от НМИМИС, като приеме съответните политика и вътрешни правила;
15. Чл.17 от НМИМИС, като приложи съответните мерки за защита на профилите с
административни права 16. Чл.19 от НМИМИС, като приеме съответните правила; 17. Чл.20-
31 от НМИМИС
6. ОСЪДИТЕЛЕН ИСК Иск по чл.379, ал.З ГПК за поправяне на последици от
нарушението на увредения колективен интерес - възстановяване на доверието във
възможностите на НАП да предоставя сигурен достъп до електронни услуги (Направление
6), както и да предоставя електронни услуги, които отговарят на стандартите на 21 век
(Направление 8) Особените представители на Колектива молят съда да постанови решение, с
което да осъди НАП последната да възложи за своя сметка на частен субект -
юридическо лице - специализирано в сферата на кибер[1]и информационната
сигурност, с опит не по-малко от 5 г. в тази област - който да извърши независим
технически одит на мерките за мрежова и информационна сигурност, който НАП е въвела и
който одит да: • бъде публично достъпен с изключение на информацията, която по закон не
може да бъде публично достояние; • посочи дали НАП е въвела всички изискуеми мерки по
ЗК и НМИМИС съобразно спецификите на дейността й; • посочи дали НАП е въвела всички
подходящи и достатъчни технически и организационни мерки съгласно чл. 32 ОРЗЛД с
оглед достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът,
контекстът и целите на обработването, които НАП прави, както и рисковете с различна
вероятност и тежест за правата и свободите на физическите лица, чиито данни НАП
2
обработва.
7 ОСЪДИТЕЛЕН ИСК Иск по чл. 379, ал. 3 ГПК за поправяне на последици от
нарушението на увредения колективен интерес - възстановяване на доверието във
възможностите на НАП да предоставя сигурен достъп до електронни услуги (Направление
6) и да осигури необходимата мрежова и информационна сигурност (Направление 5).
Особените представители на Колектива молят съда да постанови решение, с което да осъди
НАП последната да извършва ежегодни обучения в сферата на защита на личните
данни на своите служители, както и регулярни тестове за уязвимост на своите
информационни системи от независим доставчик, изводите от които, в съответния
ограничен от изискването за конфиденциалност в подобни случаи обем, да бъдат правени
достояние на обществото.
8 ОСЪДИТЕЛЕН ИСК Иск по чл. 379, ал. 3 ГПК за поправяне на последици от
нарушението на увредения колективен интерес - възстановяване на доверието във
възможностите на НАП да предоставя сигурен достъп до електронни услуги (Направление
6), да осигури необходимата мрежова и информационна сигурност (Направление 5), както и
да обработва лични данни Особените представители на Колектива молят съда да постанови
решение, с което да задължи НАП на основание чл.101 от Закона за държавния служител
да потърси имуществена отговорност от пряко отговорното за Пробива и Разкриването
лице - а именно Изпълнителния директор на НАП в посочения период, който е
администратор на лични данни по смисъла на ДОПК за целите на автоматичния обмен,
както и пряко отговорното лице за работата на отдел "Информационна и мрежова
сигурност" в НАП. Стр. 89 от 103 законосъобразно (Направление 4).
9 УСТАНОВИТЕЛЕН ИСК Иск по чл.379, ал.2 ГПК за установяване на нарушение от
страна на НАП на чл.8 ЕКПЧ, чл.7,8, 20 и 41 ХОПЕС (Направление 1) Особените
представители на Колектива молят съда да постанови решение, с което да установи, че към
16.07.2019 г. НАП е била в нарушение на чл.197 от ДЕС, чл.142ф, ал.З и 4 от ДОПК и
чл.16, ал.2 от ЗЕУ, с които са нарушени гаранциите за спазване на правата в ХОПЕС,
уредени в чл.7,8, 20 и 41 от ХОПЕС.
10 УСТАНОВИТЕЛЕН ИСК Иск по чл.379, ал.2 ГПК за установяване на нарушение
от страна на НАП на чл.4, ал.1 от КРБ (Направление 2) Особените представители на
Колектива молят съда да постанови решение, с което да установи, че към 16.07.2019 г. НАП
е била в нарушение на чл.4 КРБ във връзка с изложените аргументи по Направление 2 от
тази искова молба.
11 УСТАНОВИТЕЛЕН ИСК Иск по чл.379, ал.2 ГПК за установяване на
противоправно бездействие на НАП с оглед изискването на чл.24 във връзка с чл.32 ОРЗЛД
Особените представители на Колектива молят съда да постанови решение, с което да
установи, че НАП не е представила убедителни доказателства за изпълнение на
изискванията на чл.24 във връзка с 32 ОРЗЛД с оглед задължението, вменено на
Агенцията от принципа на отчетност, уреден в чл.5, т.2 във връзка с т.1, буква "е" ОРЗЛД.
12 УСТАНОВИТЕЛЕН ИСК Иск по чл.379, ал.2 ГПК за установяване на нарушение
от страна на НАП на чл.2 ЗА, чл.4, чл.6, ал.1, чл.6, ал.5 и чл.13 АПК (Направление 4)
Особените представители на Колектива молят съда да постанови решение, с което да
установи, че към 25.05.2018 г. НАП е била в нарушение на чл.2 ЗА, чл.4, чл.6, ал.1, чл.6,
ал.5 и чл.13 АПК във връзка с изложените аргументи по Направление 4 от тази искова
молба.
13 УСТАНОВИТЕЛЕН ИСК Особените представители на Колектива молят съда да
постанови решение, с което да установи, че Иск по чл.379, ал.2 ГПК за установяване че
нарушенията на чл.5 и/или чл.6 и/или чл. 22 и/или чл. 24 във връзка с чл. 32 и/или чл. 34
ОРЗДЛ и/или на 142ф, ал.З и 4 ДОПК и/или на чл.16, ал.2 ЗЕУ имат характера на особено
съществено нарушение на правото на ЕС от страна на НАП по смисъла на ЗОДОВ.
3
На два пъти съдът е давал указания за да се посочат нарушенията увреждащи
колективен интерес за всеки от искове, да се посочат критериите за засегнатите
лица,правния интерес от исковете,както и да установи възможността на лицата предявили
исковете сериозно и добросъвестно да защитят увредения интерес, както и да понесат
тежестите, свързани с водене на делото, включително разноските.
С нарочни молби представителите на Колектива са взели становища във връзка с
указанията.
След уточненията на нарушенията , които ищецът иска да се установят и да се осъди
ответника за определени действия по отстраняване и предотвратяването им съдът
констатира следното:
Сочените от ищеца нарушения се изразяват в действия и главно бездействия свързани
с нормативно установени задължения на НАП като орган на изпълнителната власт и
конкретно при работата,обработката и защитата на личните данни на всички лица
встъпващи във взаимоотношения тази агенция, т.е. на лицата,които представителите на
Колектива са посочени като кръг на засегнатите лица. Въпросните взаимоотношения не са
гражданскоправни, а административноправни - изградени са на основата на субординацията,
установена както в ДОПК, така и в специализираните законови и подзаконови нормативни
актове свързани с установяване, обезпечаване и събиране на публични вземания и
определени със закон частни държавни вземания. Във връзка с основните си функции НАП
има правата да изисква определено поведение от данъчнозадължените субекти и при
неизпълнение или отклоняване от предписанията да ги санкционира и естествено е
администратор на лични данни.
Според съда колективният иск за установяване на нарушението свързано с изтичане
на данни на огромен брой данъкоплатци, така и този за отстраняване на последиците от него
или обезщетяване на причинените вреди, могат да бъдат предявявани само при отношения
на равнопоставеност, не и при такива на субординация. С колективен иск могат да бъдат
защитавани граждански правоотношения, не и административни такива.
Така, както са формулирали искането си, ищците фактически се домогват до решение
на съда, с което да бъде задължен публичен орган да изпълни задължения, възложени му
като властнически правомощия- ревизия и анализ на допуснатите пропуски и обезпечаване
добро ниво на сигурност и защита на електронния обмен на данни и документи все
действия,за които ответникът е нормативно задължен да съблюдава.
Ето защо, макар кръгът на засегнатите от бездействието на ответника да е определяем
и те да имат общ интерес от установяването му, с исковата молба не е заявен иск по чл.379
ал.2 ГПК.
Не е заявен и иск по чл.379 ал.3 ГПК, защото под формата на претенция за
отстраняване на последиците от нарушението се претендира осъждане на ответника да
извършат действия, които дължи в качеството му на административен орган т.е. да
1
изпълнява законовите си задължения визирани например в чл. 143п ЗОПК, както и в
нормите към които този текст препраща, вкл. и относимите такива на Регламент (ЕС)
2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година,на ДОПК и
другите нормативни актове чието нарушаване се претендира.
С оглед на горното настоящия състав приема,че заявеният с исковата молба спор не е
гражданскоправен, съответно предявените искове не са колективни искове по смисъла на
глава ХХХІІІ ГПК и разглеждането им по същество не е допустимо.
Ето защо като недопустимо производството следва да бъда прекратено.
На основание чл.130 ГПК съдът
ОПРЕДЕЛИ:
4
ОПРЕДЕЛИ:
ПРЕКРАТЯВА производството по гр.д.№ 13344/2021 год. по описа на СГС,І ГО,13
състав.
ОПРЕДЕЛЕНИЕТО подлежи на обжалване от ищеца в едноседмичен срок от
съобщението за изготвянето му пред САС.
Съдия при Софийски градски съд: _______________________
5