Новина от съда! Колективен иск срещу НАП

СОФИЙСКИ ГРАДСКИ СЪД разгласява на основание чл.382, ал.1 ГПК, че КОЛЕКТИВ ОТ УВРЕДЕНИ ЛИЦА /всички правоспособни и дееспособни и физически лица, ползвали услугите на НАП от 25.05.2018 г. до 15.07.2019 г., чиито данните са станали достояние без основание в следствие нарушение по защитата на личните данни съхранявани от НАП (неоторизираният достъп до тези данни)/, представлявани от Сдружение „Цифрова република“, ЕИК 204951036, Биляна Вълкова, Спасимир Пилев, Малина Маринова, Александър Иванов, Ирина Друмева, Николай Раянов и Боряна Мусева чрез Адвокатско съдружие „Динев, Мандажиева, Близнакова и Калдамуков“, БУЛСТАТ: 177434261 са предявили обективно съединени осъдителни и установителни колективни искове с правно основание чл.379 ал.2 и ал.3 ГПК срещу „НАЦИОНАЛНА АГЕНЦИЯ ЗА ПРИХОДИТЕ“, гр. София, за което е образувано гр.д. № 13344/2021 г. по описа на Софийски градски съд, Първо гражданско отделение, І-13 състав със следните искания спрямо ответника:

– да изпълни задълженията си по чл.32 от ОРЗЛД, чл.142ф, ал.2 и 3 ДОПК и чл.21 от ЗК, като осигури подходящо ниво на сигурност на видовете обработки на лични данни, които НАП извършва, като се вземат предвид конкретните изисквания на всеки от посочените нормативни актове и осигури възстановяването на автоматичния обмен на финансова информация за данъчни цели.

– за преустановяване на нарушението на чл.142а ДОПК, да предприеме всички необходими и достатъчни действия, за да възстанови автоматичния обмен на финансова информация по смисъла на Раздел III а ДОПК в областта на данъчното облагане с всички държави и Форума, които са спрели обмяната вследствие на Разкриването в сигурността на лични данни от 15.07.2019 г.

– за преустановяване на нарушението на чл.34 ОРЗЛД, да изпълни задължението си по чл. 34, параграф 2 от ОРЗЛД във връзка с чл. 33, параграф 3, буква „г“ от ОРЗЛД, като НАП изпрати съобщение до субектите на данни, включващо и „предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици“.

– да идентифицира и преустанови незаконосъобразни обработки на лични данни на определени групи субекти, включително такива, за които липсва основание или когато основанието за обработка не е доведено до знанието на субекта на данни по начина, изискуем от приложимото законодателство (преди започване на обработката). В случай, че незаконосъобразните обработки са били предприети в разрез с приложимата политика за защита на личните данни, НАП да бъде осъдена да потърси дисциплинарна отговорност от лицата, които са ги предприели в разрез с вътрешните правила на Агенцията и законите на ЕС и страната.

– да предприеме следните защитни подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск (чл.21, ал.2, параграф1 от ЗК); подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им.

– да осъди НАП да възложи за своя сметка на частен субект – юридическо лице – специализирано в сферата на кибер и информационната сигурност, с опит не по-малко от 5 г. в тази област – който да извърши независим технически одит на мерките за мрежова и информационна сигурност, който НАП е въвела и който одит да: бъде публично достъпен с изключение на информацията, която по закон не може да бъде публично достояние; посочи дали НАП е въвела всички изискуеми мерки по ЗК и НМИМИС съобразно спецификите на дейността ѝ; посочи дали НАП е въвела всички подходящи и достатъчни технически и организационни мерки съгласно чл. 32 ОРЗЛД с оглед достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, които НАП прави, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, чиито данни НАП обработва.

– да осъди НАП последната да извършва ежегодни обучения в сферата на защита на личните данни на своите служители, както и регулярни тестове за уязвимост на своите информационни системи от независим доставчик, изводите от които, в съответния ограничен от изискването за конфиденциалност в подобни случаи обем, да бъдат правени достояние на обществото.

– да установи, че НАП не е представила убедителни доказателства за изпълнение на изискванията на чл.24 във връзка с 32 ОРЗЛД с оглед задължението, вменено на Агенцията от принципа на отчетност, уреден в чл.5, т.2 във връзка с т.1, буква „е“ ОРЗЛД.

– установителен иск по чл.379, ал.2 ГПК за установяване на нарушение от страна на НАП на чл.8 ЕКПЧ, чл.7,8, 20 и 41 ХОПЕС т.е.да се установи, че към 16.07.2019 г. НАП е била в нарушение на чл.197 от ДЕС, чл.142ф, ал.З и 4 от ДОПК и чл.16, ал.2 от ЗЕУ, с които са нарушени гаранциите за спазване на правата в ХОПЕС, уредени в чл.7,8, 20 и 41 от ХОПЕС.

– за установяване на нарушение на чл.4, ал.1 КРБ, че към 16.07.2019 г. НАП е била в нарушение на чл.4 КРБ, за установяване на противоправно бездействие на НАП с оглед изискването на чл.24 във връзка с чл.32 ОРЗЛД, че НАП не е представила убедителни доказателства за изпълнение на изискванията на чл.24 във връзка с 32 ОРЗЛД с оглед задължението, вменено на Агенцията от принципа на отчетност, уреден в чл.5, т.2 във връзка с т.1, буква „е“ ОРЗЛД.

– за установяване на нарушение от страна на НАП на чл.2 ЗА, чл.4, чл.6, ал.1, чл.6, ал.5 и чл.13 АПК (Направление 4) Особените представители на Колектива молят съда да постанови решение, с което да установи, че към 25.05.2018 г. НАП е била в нарушение на чл.2 ЗА, чл.4, чл.6, ал.1, чл.6, ал.5 и чл.13 АПК във връзка с изложените аргументи по Направление 4 от тази искова молба.

– за установяване че нарушенията на чл.5 и/или чл.6 и/или чл. 22 и/или чл. 24 във връзка с чл. 32 и/или чл. 34 ОРЗДЛ и/или на 142ф, ал.З и 4 ДОПК и/или на чл.16, ал.2 ЗЕУ имат характера на особено съществено нарушение на правото на ЕС от страна на НАП по смисъла на ЗОДОВ.

УВЕДОМЯВА всички правоспособни и дееспособни и физически лица, ползвали услугите на НАП от 25.05.2018 г. до 15.07.2019 г., чиито данните са станали достояние без основание в следствие нарушение по защитата на личните данни съхранявани от НАП (неоторизираният достъп до тези данни), които считат себе си за увредени от действията на ответника НАП, че в ДВУМЕСЕЧЕН срок от публикацията имат право да заявят участието си в процеса по предявените искове.