Административният, не гражданският съд е компетентен да се произнася по исковете на граждани срещу НАП за изтичането на личните им данни. Включително и когато те са внесени като колективни искове.
Това определят петима върховни съдии от двете върховни съдилища – Бонка Дечева, Ваня Атанасова и Дияна Ценева от ВКС и Таня Радкова и Анелия Ананиева от ВАС. Председател на състава е Таня Радкова, докладчик – Бонка Дечева.
Те се произнасят, след като по колективен иск, подаден от Сдружение „Международен правен център – Интернешънъл лигъл адвайз център“ и 83 граждани се завъртя между съдилищата и бе повдигнат спор за подсъдност.
Както Де факто писа, искът първо е внесен в Административен съд София-град (АССГ). На 1 ноември м.г. обаче съдия Калина Пецова от АССГ прекратява производството с аргумента, че колективният иск не е родово подсъден на административния съд и го препраща на СГС.
С определение от 12 декември м.г. съдия Десислава Зисова от Софийския градски съд повдига спор за подсъдност и изпраща делото на Върховния касационен съд за формиране на състав по реда на чл. 135, ал. 4 от Административнопроцесуалния кодекс (АПК). Текстът на АПК гласи:
Мащабният „пробив“ в системата на НАП стана известен на 16 юли тази година, впоследствие приходната агенция призна, че от теча на данни са засегнати над 5 милиона български граждани. Прокуратурата обвини за атаката собственика и служители на фирмата ТАД груп и тръгна да ги разследва за „кибертероризъм“. А правници бяха категорични – по силата на еврорегламента GDPR всеки пострадал може да предяви иск срещу НАП. Адвокати, от своя страна, предложиха завеждане на колективни искове. Освен в София, такова дело бе образувано и в Административен съд – Добрич, но също прекратено с аргумента, че искът трябва да се предяви по мястото на увреждането (София). И също е повдигнат спор за подсъдност, но пред ВАС.
В „софийския“ иск внеслите го граждани и сдружение заявяват, че той е „от името на всички граждани на Република България, чиито лични данни са станали известни и публично достъпни, вследствие от пробив в електронната система на НАП от 16.07.2019 г., както и в името на колективния интерес на всички граждани, чиито лични данни са станали публично известни и достъпни вследствие на пробив на електронната система на НАП от 16.07.2019 г., които са следствие от недостатъчна грижа и мерки за защита на сигурността на обработваните лични данни от НАП, в качеството й на администратор на лични данни“.
От съда се иска:
1. Да установи противоправно и виновно поведение на НАП в периода до 16.07.2019г., от което определяем кръг лица – всички субекти на данни – граждани на Република България, чиито лични данни се намират в станалите общодостъпни файлове – изтекли от НАП, са претърпяли неимуществени вреди, съставляващи публично оповестяване на личните им данни – три имена, ЕГН и др.
2. Да осъди НАП да обезщети вредите, причинени на колективния интерес в размер на 1000 лева за всеки субект, чиито данни са станали общодостъпни и публични, вследствие пробива в сигурността на електронната система на НАП.
Определението на върховните съдии от петчленния състав:
При тези данни, настоящият смесен петчленен състав от Върховния касационен съд и Върховния административен съд, счита, че компетентен да разгледа спора е административния съд при местна компетентност на Административен съд София-град поради следното:
Регламент ЕС 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. в чл. 79, ал.1 предоставя компетентност на съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване, да разглежда споровете, свързани със защита при нарушение на правилата за съхранение и обработване на лични данни. Относно реда за защита, Регламентът препраща към вътрешното право на държавите-членки – чл. 82, пар.6.
В изпълнение на Регламента, ЗЗЛД урежда две алтернативни възможности за защита при нарушения на Регламента и ЗЗЛД – пред Комисията за защита на личните данни / КЗЛД/ и пред съда, като едновременното разглеждане на спора пред двата органа е недопустимо. Предпоставка за допустимост на производството пред съда е да няма висящо производство пред Комисията за защита на личните данни /КЗЛД/ – чл. 39, ал.4 ЗЗЛД. Нормата на чл. 39, ал.1 ЗЗЛД определя реда по Административно процесуалния кодекс, като приложим за защита от нарушения на правилата на Регламента и ЗЗЛД. Съгласно действащата разпоредба на чл. 39, ал. 1 от ЗЗЛД при нарушаване на правата му по Регламент ЕС 2016/679 на Европейския парламент и на Съвета на Европа и на ЗЗЛД, субектът на лични данни може да обжалва действия и актове на администратора на лични данни пред съда по реда на АПК.
Нормата на чл. 250 АПК предоставя компетентност на административния съд да се произнесе по искане на всеки, който има интерес, за прекратяване на действия, извършвани от административен орган или длъжностно лице, които не се основават на административен акт или на закон. Възможността в производството по чл. 39 ЗЗЛД да се иска и обезщетение за претърпените от същото лице вреди от нарушението е изрично предвидена в ал.2 на този текст. Производството по чл. 39, ал.1 ЗЗЛД е по жалба, която може да подаде всеки субект, който счита, че са нарушени правата му по ЗЗЛД в резултат на обработване на личните му данни, по начин, който не е в съответствие със законовите правила. Сезиращият съда с твърдения за нарушение на Регламента или ЗЗЛД не може да определя и да променя реда, по който нормативно е определено да се разглежда спора. Правната квалификация е дейност на съда, а не на сезиращата съда страна и се определя чрез подвеждане на твърденията и формулираният петитум под приложимите материално правни и процесуални норми.
Следователно производството е уредено като административно по жалба и се разглеждано по реда на АПК. Затова компетентен да се произнесе по образуваното производство е административния съд при местна компетентност на Административен съд-София-град.
Водим от изложеното, петчленен състав на Върховният касационен съд и Върховен административен съд
О П Р Е Д Е Л И:
Компетентен да се произнесе по жалбата /озаглавена „колективен иск”/, подадена от сдружение „Международен правен център – Интернешънъл лигъладвайз център и 83 физически лица, с която са предявени искове от тях срещу Националната агенция по приходите за установяване на нарушение, довело до оповестяване по общодостъпен начин на 16.07.2019 г. на лични данни на ищците следствие на неоторизиран достъп до бази данни на ответника, както и искове за парично обезщетение на ищците в размер на 1000 лв. за всеки субект, чийто лични данни са станали общодостъпни е Административен съд-София-град.