№ 549
гр. София, 28.02.2023 г.
АПЕЛАТИВЕН СЪД - СОФИЯ, 14-ТИ ГРАЖДАНСКИ, в закрито
заседание на двадесет и осми февруари през две хиляди двадесет и трета
година в следния състав:
Председател:Ася Събева
Членове:Кристина Филипова
Даниела Христова
като разгледа докладваното от Ася Събева Въззивно частно гражданско дело
№ 20231000500473 по описа за 2023 година
Производство по реда на чл.278 и сл ГПК.
Производството по делото е приключило с постановено определение №
348/10.01.2023г., постановено по гр.д. № 13344/21г. по описа на СГС, ГО, 13 състав, с което
производството е прекратено, поради процесуална недопустимост на депозираните
колективни искове срещу НАП.
Определението е било съобщено на Представители на Колектива, неформална група от
лица, посочени в Приложение 1 към подадената Искова молба; със съдебен адрес
Адвокатско съдружие "Д., М., Б. и К." на 18.01.2023г.
Частната жалба срещу това определение е депозирана на 24.01.2023г. преди изтичане
на предвидения едноседмичен преклузивен срок за обжалване т.е. същата е процесуално
допустима.
Жалбоподателите изтъкват факта, че определението е неправилно по отношение на
заключението, че със заведените колективни искове се претендират права, възникващи от
административни правоотношения. Както правилно се е ориентирал СГС НАП
действително е административен орган, чийто правомощия произтичат от Закона за НАП.
Обикновено отношенията между НАП и гражданите са отношения по линията на
субординация - гражданин- административен орган. Случаят обаче категорично не е такъв
Заведените от представителите на Колектива искове не произтичат от административни
актове на НАП. Никъде в исковата молба не се твърди, че Колективът обжалва
индивидуални, общи или нормативни административни актове. Такова обжалване би
следвало да се случи по линията на АПК и то пред административен съд. Исковата молба
съдържа колективни искове срещу НАП, свързани с цялостния провал на НАП да изпълнява
свои задължения в различни направления за предоставяне на сигурна услуга по електронен
1
път и опазваме на основните права, обективирани в съхраняваните от НАП данни и
информация. Въпреки задължението обаче тази информация е станала публично известна
т.е. налице са отношения между равнопоставени субекти, в които НАП има задължения за
надлежно съхраняване на събраната информация. Пробивът в системите на НАП показва, че
НАП извършва обработки на данни, които оставят съмнение по отношение на законността
им - откритата папка Q. Q.. например. Както е известно от фактологията по многобройните
образувани до момента производства, групи граждани - съдии, ЧСИ, футболисти и т.н. - са
били групирани от НАП по незнайно какви признаци и за незнайно какви цели, непосочени
в законодателството. Такъв тип действия от страна на администрацията не биха. могли да
бъдат категоризирани като административно обслужване или отношения, възникващи по
реда на АПК, до каквито изводи достига СГС.
Уточняват, че заведените от представителите на Колектива искове не са по повод
административни актове на НАП, а са по повод общата неспособност на НАП да гарантира
предоставянето на защитена и сигурна услуга на българските граждани, да обработва
информацията и данните, които е събрала на предполагаемо, законно основание, съобразно
изискванията на действащото законодателство, изискващо обезпечаване на
информационната сигурност с адекватни технически и организационни мерки. Тази
неспособност е разкрита от пробива в сигурността на личните данни на много нива. НАП не
оперира на нивото, на което се изисква от нея. предвид огромния масив от данни и
информация, който съхранява.
Съдът като взе предвид изложените от страните доводи и представените доказателства
намира частната жалба за редовна и допустима, а разгл едана по същество – същата е
основателна.
Пред СГС са депозирани обективно съеД.и осъдителни и установителни колективни искове
с правно основание чл.379 ал.2 и 3 ГПК срещу НАП, а именно:
1. да изпълни задълженията си по чл.32 от ОРЗЛД, чл.142ф, ал.2 и 3 ДОПК и чл.21 от ЗК,
като осигури подходящо ниво на сигурност на видовете обработки на лични данни, които
НАП извършва, като се вземат предвид конкретните изисквания на всеки от посочените
нормативни актове и осигури възстановяването на автоматичния обмен на финансова
информация за данъчни цели.
2. за преустановяване на нарушението на чл.142а ДОПК, да предприеме всички необходими
и достатъчни действия, за да възстанови автоматичния обмен на финансова информация по
смисъла на Раздел III а ДОПК в областта на данъчното облагане с всички държави и
Форума, които са спрели обмяната вследствие на Разкриването в сигурността на лични
данни от 15.07.2019 г.
3. за преустановяване на нарушението на чл.34 ОРЗЛД, да изпълни задължението си по чл.
34, параграф 2 от ОРЗЛД във връзка с чл. 33, параграф 3, буква "г" от ОРЗЛД, като НАП
изпрати съобщение до субектите на данни, включващо и "предприетите или предложените
от администратора мерки за справяне с нарушението на сигурността на личните данни,
2
включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни
последици".
4. да идентифицира и преустанови незаконосъобразни обработки на лични данни на
определени групи субекти, включително такива, за които липсва основание или когато
основанието за обработка не е доведено до знанието на субекта на данни по начина,
изискуем от приложимото законодателство (преди започване на обработката). В случай, че
незаконосъобразните обработки са били предприети в разрез с приложимата политика за
защита на личните данни, НАП да бъде осъдена да потърси дисциплинарна отговорност от
лицата, които са ги предприели в разрез с вътрешните правила на Агенцията и законите на
ЕС и страната.
5. да предприеме следните защитни подходящи и пропорционални мерки, които трябва да
осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия
риск (чл.21, ал.2, параграф1 от ЗК); подходящи мерки за предотвратяване и намаляване до
минимум на въздействието на инцидентите, засягащи мрежовата и информационната им
сигурност, с цел осигуряване на непрекъснатост на дейността им.
6. да осъди НАП да възложи за своя сметка на частен субект - юридическо лице -
специализирано в сферата на кибер и информационната сигурност, с опит не по-малко от 5
г. в тази област - който да извърши независим технически одит на мерките за мрежова и
информационна сигурност, който НАП е въвела и който одит да: бъде публично достъпен с
изключение на информацията, която по закон не може да бъде публично достояние; посочи
дали НАП е въвела всички изискуеми мерки по ЗК и НМИМИС съобразно спецификите на
дейността й; посочи дали НАП е въвела всички подходящи и достатъчни технически и
организационни мерки съгласно чл. 32 ОРЗЛД с оглед достиженията на техническия
прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на
обработването, които НАП прави, както и рисковете с различна вероятност и тежест за
правата и свободите на физическите лица, чиито данни НАП обработва.
7. да осъди НАП последната да извършва ежегодни обучения в сферата на защита на
личните данни на своите служители, както и регулярни тестове за уязвимост на своите
информационни системи от независим доставчик, изводите от които, в съответния
ограничен от изискването за конфиденциалност в подобни случаи обем, да бъдат правени
достояние на обществото.
8. да задължи НАП на основание чл.101 от Закона за държавния служител да потърси
имуществена отговорност от пряко отговорното за Пробива и Разкриването лице - а именно
Изп.директор на НАП в посочения период, който е администратор на лични данни по
смисъла на ДОПК за целите на автоматичния обмен, както и пряко отговорното лице за
работата на отдел "Информационна и мрежова сигурност" в НАП.
9. установителен иск по чл.379, ал.2 ГПК за установяване на нарушение от страна на НАП
на чл.8 ЕКПЧ, чл.7,8, 20 и 41 ХОПЕС т.е.да се установи, че към 16.07.2019 г. НАП е била в
нарушение на чл.197 от ДЕС, чл.142ф, ал.З и 4 от ДОПК и чл.16, ал.2 от ЗЕУ, с които са
3
нарушени гаранциите за спазване на правата в ХОПЕС, уредени в чл.7,8, 20 и 41 от ХОПЕС.
10. за установяване на нарушение на чл.4, ал.1 КРБ, че към 16.07.2019 г. НАП е била в
нарушение на чл.4 КРБ, за установяване на противоправно бездействие на НАП с оглед
изискването на чл.24 във връзка с чл.32 ОРЗЛД, че НАП не е представила убедителни
доказателства за изпълнение на изискванията на чл.24 във връзка с 32 ОРЗЛД с оглед
задължението, вменено на Агенцията от принципа на отчетност, уреден в чл.5, т.2 във
връзка с т.1, буква "е" ОРЗЛД.
11. за установяване на нарушение от страна на НАП на чл.2 ЗА, чл.4, чл.6, ал.1, чл.6, ал.5 и
чл.13 АПК (Направление 4) Особените представители на Колектива молят съда да постанови
решение, с което да установи, че към 25.05.2018 г. НАП е била в нарушение на чл.2 ЗА, чл.4,
чл.6, ал.1, чл.6, ал.5 и чл.13 АПК във връзка с изложените аргументи по Направление 4 от
тази искова молба.
12. за установяване че нарушенията на чл.5 и/или чл.6 и/или чл. 22 и/или чл. 24 във връзка с
чл. 32 и/или чл. 34 ОРЗДЛ и/или на 142ф, ал.З и 4 ДОПК и/или на чл.16, ал.2 ЗЕУ имат
характера на особено съществено нарушение на правото на ЕС от страна на НАП по
смисъла на ЗОДОВ.
СГС е давал два пъти указания на ищците, да се посочат нарушенията увреждащи
колективен интерес за всеки от искове, да се посочат критериите за засегнатите лица,
правния интерес от исковете, както и да се установи възможността на лицата предявили
исковете сериозно и добросъвестно да защитят увредения интерес, както и да понесат
тежестите, свързани с водене на делото, включително разноските. С нарочни молби,
депозирани в срок, представителите на Колектива са взели становища във връзка с
указанията.
След направените уточнения СГС е прекратил производството изцяло като е стигнал до
извод, че сочените нарушения се изразяват в действия и главно бездействия, свързани с
нормативно установени задължения на НАП, като орган на изпълнителната власт и по-
конкретно при работата, обработката и защитата на личните данни на всички лица
встъпващи във взаимоотношения с тази агенция, т.е. на лицата, които представителите на
Колектива са посочени като кръг на засегнатите лица. Въпросните взаимоотношения
според СГС не са гражданскоправни, а административноправни - изградени са на
основата на субординацията, установена както в ДОПК, така и в специализираните законови
и подзаконови нормативни актове свързани с установяване, обезпечаване и събиране на
публични вземания и определени със закон частни държавни вземания. Затова е стигнал до
извод, че заявеният с ИМ спор не е гражданскоправен, съответно предявените искове не са
колективни искове по смисъла на ГПК и разглеждането им по същество е процесуално
недопустимо пред СГС.
Настоящата съдебна инстанция констатира, че крайните изводи на първа инстанция са
неправилни от една страна, а от друга - непълни доколкото ако е приел, че спорът е
административен, съдът е следвало да изпрати делото по компетентност на АССГ, което
4
не е направено т.е. обжалваното определение би следвало да бъде допълнено, за да може
евентуално да се развие препирня. Въззивна инстанция не може да се произнесе в тази
насока, ако пред него не е повдигнат спор в тази насока.
В случая не е налице административен деликт, защитата срещу който се осъществява по
реда на ЗОДОВ, в който е предвиден специален ред за защита от непозволено увреждане,
резултат от неправомерна административна дейност /непозволено административно
увреждане/. Увредени в такива случаи са отделни лица и само те могат да са ищци по иска за
обезщетяване на реално претърпените от тях вреди. Когато обаче се касае за увреден
колектив, за увреден интерес на такъв колектив, като увреждането е от едно и също
нарушение, извършено от ответника, защита по реда на чл.1 ал.1 ЗОДОВ не може да се
търси. Защитата на увреден колективен интерес се осъществява само чрез колективен
иск, какъвто АПК по правило не предвижда. В процесния случай е обоснован увреден
колективен интерес и търсената защита, с оглед заявеният петитум, е съответна на
разпоредбата на чл.379 ал.2 и 3 ГПК т.е. защитата на интереса е предявена чрез единствено
възможния и предвиден за такива хипотези колективен иск по ГПК, основан на хакерска
атака през 2019г. и изтекли лични данни от системата на НАП не неограничен кръг от лица.
От друга страна Регламент ЕС 2016/679 на Европейския парламент и на Съвета от
27.04.2016г. в чл.79, ал.1 предоставя компетентност на съдилищата на държавата-членка, в
която администраторът или обработващият лични данни има място на установяване, да
разглежда споровете, свързани със защита при нарушение на правилата за съхранение и
обработване на лични данни. Относно реда за защита, Регламента препраща към вътрешното
право на държавите-членки – чл.82, пар.6.
В изпълнение на Регламента, ЗЗЛД урежда две алтернативни възможности за защита при
нарушения на Регламента и ЗЗЛД – пред Комисията за защита на личните данни /КЗЛД/ и
пред съда, като едновременното разглеждане на спора пред двата органа е недопустимо.
Предпоставка за допустимост на производството пред съда е да няма висящо производство
пред Комисията за защита на личните данни /КЗЛД/ - чл. 39, ал.4 ЗЗЛД. Нормата на чл. 39,
ал.1 ЗЗЛД определя реда по АПК, като приложим за защита от нарушения на
правилата на Регламента и ЗЗЛД. Съгласно действащата разпоредба на чл.39 ал. 1 ЗЗЛД
при нарушаване на правата му по Регламент ЕС 2016/679 на Европейския парламент и на
Съвета на Европа и на ЗЗЛД, субекта на лични данни може да обжалва действия и актове на
администратора на лични данни пред съда по реда на АПК. Нормата на чл.250 АПК
предоставя компетентност на административния съд да се произнесе по искане на всеки,
който има интерес, за прекратяване на действия, извършвани от административен орган или
длъжностно лице, които не се основават на административен акт или на закон.
Възможността в производството по чл. 39 ЗЗЛД да се иска и обезщетение за претърпените
от същото лице вреди от нарушението е изрично предвидена в ал.2 на този текст.
Производството по чл. 39, ал.1 ЗЗЛД е по жалба, която може да подаде всеки субект, който
счита, че са нарушени правата му по ЗЗЛД в резултат на обработване на личните му данни,
по начин, който не е в съответствие със законовите правила. Сезиращият съда с твърдения
5
за нарушение на Регламента или ЗЗЛД не може да определя и да променя реда, по
който нормативно е определено да се разглежда спора. Правната квалификация е
дейност на съда, а не на сезиращата съда страна и се определя чрез подвеждане на
твърденията и формулираният петитум под приложимите материално правни и
процесуални норми.
Това производството по правило е уредено като административно по жалба и се разглежда
по реда на АПК. Затова компетентен да се произнесе по образуваното индивидуално
производство е административния съд при местна компетентност на Административен съд-
София-град./така определение на петчленен състав на ВАС и ВКС от 24.01.2020г. по гр.д.№
А 55/2019г./ Процесуалният ред, по който засегнатият субект може да търси обезщетение и
отговорност за причинените вреди поради неправомерно обработване на личните му данни е
уреден в глава единадесета на АПК "Производство за обезщетения". Съгласно чл.204 АПК,
озаглавен "Допустимост на иска" претенцията за обезщетение е допустимо да се реализира
при няколко процесуални възможности: а/ след отмяна на административния акт по
съответния ред - чл. 204, ал. 1; б/ да се предяви в производството по оспорване на
административния акт - чл. 204, ал. 2 ; в/ когато вредите са от нищожен или оттеглен акт,
незаконосъобразността на акта се установява в производството по иска за обезщетение - чл.
204, ал. 3 и г/ незаконосъобразността на действието или бездействието се установява от
съда, пред който е предявен искът за обезщетение - чл. 204, ал. 4.
От друга страна и доколкото в АПК няма предвидена колективна жалба, а дейността
по опазване на личните данни не е чисто административна и неизпълнението на това
задължение не винаги е свързано с осъществяване на властнически функции, поради
което не е налице специалното основание, което да дерогира общия ред за
осъществяване защита на засегнатото право. Когато в резултат на неизпълнение на
задължение на държавен или местен орган на власт бъде увредено друго лице, отношенията
между страните са равнопоставени. НАП не действа като орган на власт, защото в
създадените отношения няма подчинение или зависимост. Не възниква
административноправно отношение, което да може да бъде осигурено с държавна принуда.
Възникналата между НАП и увредените лица връзка е облигационна, отговорността е
деликтна и се реализира по реда на ЗЗД. Следователно, възникналите между
неперсонифицираната група лица, чийто лични данни са "изтекли", поради пробивът в
сигурността на личните данни през 2019г., съхранявани от НАП, отношения в случая се
уреждат от частното право, поради което компетентни да разгледат предявените искове за
защита на колективния интерес са гражданските съдилища. Деликтът се основава на
транспонираната Директива 2014/107/ЕС на Съвета от 9 декември 2014 година за изменение
на Директива 2011/16/ЕС по отношение на задължителния автоматичен обмен на
информация в областта на данъчното облагане, която изисква от държавата в лицето на
НАП да "(17) зачита основните права и съблюдава принципите, които са признати по-
конкретна е Хартата на основните права на Европейския съюз, вкл. правото на защита на
личните данни", както и Регламент (ЕС) 2016/679 при обработка на личните данни на целия
6
колектив.
САС споделя изводите на ВКС, дадени в решение № 60155 от 22.07.2021г. по гр.д. №
2584/2017г., Г. К., ІІІ Г. О. НА ВКС, съгласно които и според практиката на ВКС по
прилагането на чл.385 ал.1 и 4 ГПК/ напр. опр. по ч.гр. д. № 645/10 г. на ІІІ г.о. и опр. по
ч.гр. д. № 608/10 г. на ІV г.о./ в чл.385 ал.4 ГПК е установена особеност на колективните
искове / за разлика от общия исков процес/, свързана с това, че съдът не е обвързан от
формулирания от ищеца петитум на ИМ, като притежава пълната свобода да определи и
осигури подходящата защита на увредения интерес с оглед „особеностите на случая“. На
съда е предоставена свобода при преценката на въпроса за съдържанието и измеренията на
конкретния колективен интерес. Тъй като тази преценка е определяща не само за
допустимостта на производството, но и за предмета на доказване и за съдържанието на
окончателния съдебен акт, при извършването й за съда не следва да е водещ
ограничителния подход, а да е определящ обществения интерес. Съдът следва да
изхожда от съществото на заявения интерес и съобразявайки се с целта на новосъздаденото
особено производство да осигури адекватната му защита не само от гледна точка на пряко
засегнатата група, но и от гледна точка на останалата част от обществото. Принципът,
заложен в чл.385 ал.4 ГПК допуска отклонение от строго формалистичното начало за
адекватност между търсената и постановената защита, като е предвидена възможност на
съда по колективния иск да постанови други мерки за защита на увредения интерес.
С оглед гореизложеното изводите на СГС са неправилни, а определението следва да
бъде отменено с едно изключение - по отношение на т.8 от депозираните искове, а именно -
да бъде задължена НАП на основание чл.101 от Закона за държавния служител да потърси
имуществена и дисциплинарна отговорност от пряко отговорното за Пробива и
Разкриването лице - а именно Изп.директор на НАП в посочения период, който е
администратор на лични данни по смисъла на ДОПК за целите на автоматичния обмен,
както и пряко отговорното лице за работата на отдел "Информационна и мрежова
сигурност" в НАП. САС намира че производството в тази част е процесуално недопустимо,
доколкото конститутивен иск следва да бъде изрично предвиден в закона, а такъв в ГПК
няма. Затова само в тази част определението следва да бъде потвърдено.
С оглед горното налице е несъвпадение между изводите на СГС и настоящата инстанция,
поради което определението следва да бъде отменено в останалата обжалвана част. В
настоящата хипотеза административното производство за установяване наличие на
неправомерна обработка на лични данни е висящо пред ВАС, но като индивидуални
претенции, доколкото АПК не предвижда колективни искове. ВАС е отправил още през юни
2021г. преюдициално запитване до Съда на Европейския съюз по казус, свързан с теча на
лични данни от НАП във връзка с адм.дело №1037 от 2021 г. на ВАС, но на практика с него
се спират производствата по всички такива дела в страната до произнасянето на
европейския съд. Затова при връщане на делото в СГС, съдът следва да прецени налице ли
са предпоставките за спиране, визирани в чл.631 ГПК.
Воден от изложеното, съдът
7
ОПРЕДЕЛИ:
ПОТВЪРЖДАВА определение № 348/10.01.2023г., постановено по гр.д. № 13344/21г. по
описа на СГС, ГО, 13 състав, в частта, с която е прекратено производството по иск да бъде
задължена НАП на основание чл.101 ЗДС да потърси имуществена и дисциплинарна
отговорност от пряко отговорното за Пробива и Разкриването на лични данни лице - а
именно Изп.директор на НАП.
В тази част определението подлежи на обжалване пред ВКС с касационна частна
жалба в едноседмичен срок от съобщението.
ОТМЕНЯ определението, в останалата обжалвана част, като вместо това
ПОСТАНОВЯВА:
ВРЪЩА делото на СГС, ГО, 13 състав, за продължаване на съдопроизводствените
действия и преценка налице ли са предпоставките за спиране, визирани в чл.631 ГПК.
Определението в тази част не подлежи на обжалване .
Председател: _______________________
Членове:
1._______________________
2._______________________
8