Административният съд в Русе излезе с решение по жалба за изтеклите лични данни от НАП

Претърпяните емоционални и психически страдания на ищеца се обезщетяват с 1 лев

От решението на Административен съд – Русе става известно, че в приходната агенция е утвърдена Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1, към чл.24, ал.2 от Инструкцията, служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.

Ето накратко какво пише в съдебния акт:

В решението се посочва, че поради нерегламентиран достъп, осъществен на 15.07.2019 г., е изтекла информация от информационните масиви на НАП, съдържаща лични данни на общо 6 074 140 физически лица, от които 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица.

Съдията цитира и проверката на КЗЛД, установила, че при осъществяване на дейността си, НАП в качеството си на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица, в различен обем. За това, председателят на КЗЛД е издал НП на НАП, за нарушение на чл.32, §1, б. Б от регламент /ЕС/ 2016/679. НП не е влязло в сила, предвид оспорването му пред СРС. Отделно от това, предвид констатирани нарушения, с решение № ППН-02-399/22.08.2019 г. по описа на КЗЛД, на НАП е издадено и разпореждане за предприемане на подходящи технически и организационни мерки. Решението също е оспорено пред АССГ и не е влязло в сила.

Ищецът претендира присъждане на обезщетение за претърпени от него неимуществени вреди, в следствие на незаконосъобразно бездействие от страна на служители на НАП, изразяващо се неизпълнение на задължения, произтичащи от чл. 59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.

Съдът приема, че е доказана първата предпоставка на чл.1, ал.1 ЗОДОВ, а именно налице е незаконосъобразно бездействие от страна на държавен орган да изпълни вменено му от чл. 59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/ задължения.

От фактическите обстоятелства, изложени в исковата молба, както и от събраните по делото доказателства, се установява, че конкретното бездействие, от което се твърди, че са претърпени вредите е изтеклата на 15.07.2019 г., вследствие нерегламентиран достъп от неизвестно лице, от електронните масиви на НАП, информация съдържаща лични данни на ищеца.

В резултат на неоторизирания достъп до сървъра на НАП, съдържащ информация относно личните данни на ищеца, се създали притеснения и опасения у последния, да не бъде злоупотребено с тях. По факта, че на посочената дата, поради нерегламентиран достъп, е изтекла информация от информационните масиви на НАП, съдържаща лични данни на ищеца, по делото не се спори.

По подаденото заявление до директора на ТД на НАП Варна, с вх.№ 18923/14.08.2019г., е изготвена справка, която е приложена на л.10 от делото, в която са отразени конкретните лични данни на ищеца, допуснати да бъдат разпространени, в резултат на неоторизирания достъп от базите данни на НАП.

Безспорно се установява, че по отношение на ищеца има неправомерно разпространени данни, които включват ЕГН, имена, данни за ГДД по ЗОДФЛ за 2004 г., 2003 г., 2006 г., данни от декларации, подадени от работодатели/осигурители за осигурените от тях лица, за период 2008 г., данни за финансовите отчети за 2006 г., 2007 г., 2008 г., идентификационни данни за лице, в качеството на представляващ лице, от подадена декларация за промяна/първоначално деклариране на авансови вноски по ЗКПО, за 2016 г., за 2017 г. и за 2018 г.

Съгласно правната норма на чл.59 ал.1 от ЗЗЛД администраторът на лични данни, случая НАП, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон. При необходимост тези мерки се преразглеждат и актуализират.

Същото задължение се съдържа и в чл. 24 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/, а в чл. 32 са предвидени конкретните мерки които следва да се предприемат.

Фактът, че е изтекла информация от сървърите на НАП, който факт е безспорен по делото, вследствие на неоторизиран достъп, безспорно, според настоящият състав на съда сочи на противоправно бездействие на ответника да изпълни произтичащи от посочените разпоредби задължения да осигури достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по см. на § 1 т.4 от ДР на ЗЗЛД, вр. чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни.

Настоящият съдебен състав приема, че именно техническата уязвимост и липсата на адекватна защита на информационната система на НАП е довела до нерегламентирано разкриване и разпространение на личните данни на ищеца, а тя е вследствие от неприлагането на подходящи мерки за защита.

При условие, че системата беше ефективно и надеждно защитена, то не би се стигнало до пробива й, довел до разкриване на личните данни на ищеца.

НАП е следвало да гарантира запазване и предотвратяване на изтичането на личните данни на ищеца.

Фактът, че е извършен нерегламентиран достъп в информационната система на НАП, безспорно доказва, че не са предприети подходящи технически, софтуерни, както и организационни мерки, чрез които да се осигури защитата на обработването на личните данни на ищеца, което е достатъчно, за да бъде направен извод за незаконосъобразно бездействието на НАП.

НАП, в качеството си на администратор на лични данни по смисъла на чл.4, т.7 от Регламент ЕС 2016/679, при осъществяване на дейността си, е следвало да предприеме ефективни мерки за предотвратяване на нерегламентиран достъп до личните данни на ищеца и последващото им разпространение. В процесният случай това не е постигнато. Ответникът не е изпълнил задължението си по предотвратяване на нерегламентиран достъп и опазване изтичането на лични данни, като от незаконосъобразното му бездействие следва твърдения от ищеца увреждащ резултат.

Бездействието на НАП е незаконосъобразно, противоречи на нормативните изисквания на чл.59, ал.1 ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.

В случая са ирелевантни доводите на ответника, че след 15.07.2019 г., когато е осъществен нерегламентирания достъп, НАП е предприела мерки за защита личните данни.

Предвид изложеното, настоящият съдебен състав приема, че е налице първата предпоставка за ангажиране на отговорността на НАП, представляваща незаконосъобразното бездействие по предприемане на необходимите и ефективни действия, произтичащи от чл. 59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/ задължения.

Втората предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна вреда от страна на ищеца от това незаконосъобразно бездействие.

Ищецът твърди, че е преживял унижение, срам, стрес, безпокойство, притеснение, почувствал се е застрашен.

От съвкупната преценка на свидетелските показания и заключението на в.л. по съдебно психологичната експертиза, се разкриват обстоятелства, които  обосновават неправомерна интервенция в сферата на ищеца, различна от тази, заложена при всяко едно узнаване за неправомерно разпространени лични данни.

На следващо място, съдът намира, че всяко едно такова узнаване за неправомерно разпространяване на лични данни на даден субект, създава негативни емоции у последния, стига, разбира се, лицето адекватно да възприема социалната действителност. Тези негативни последици в личен план са напълно очаквани, предвидими, случващи се нормално, когато дадено лице счита, че необосновано е засегната правната му сфера.

Съдът приема, че е доказано наличието на претърпени от ищеца неимуществени вреди в резултат на неправомерно разпространение на личните му данни, изразяващи се в стрес, безпокойство, притеснение, страх от възможността на злоупотреба с изтеклите му лични данни, почувствал се е застрашен.

Настоящият съдебен състав намира за доказан и следващия елемент от фактическия състав на отговорността по чл. 1, ал. 1 от ЗОДОВ, а именно наличието на причинно-следствена връзка между незаконосъобразното бездействие и настъпилите неимуществени вреди.

По изложените съображения, съдът

РЕШИ:

ОСЪЖДА Национална агенция за приходите, със седалище град София, да заплати на С.Р.М., с ЕГН **********,***, сумата от 1.00 лв. /един лева/, представляваща обезщетение за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие от страна на Националната агенция за приходите, изразяващо се в неизпълнение в достатъчна степен на задължение по чл. 59, ал.1 ЗЗЛД и по чл. 24 и чл. 32 от Общия регламент относно защитата на лични данни ЕС 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. /GDPR/, а именно да гарантира достатъчно ниво на сигурност на обработваните от него лични данни, довело до неразрешено разкриване и достъп до личните данни на С.Р.М., ведно със законната лихва върху тази сума, считано от 14.02.2020г. до окончателното изплащане на сумата, както и сумата от 840.00лв., представляваща разноски по делото.

РЕШЕНИЕТО подлежи на обжалване, с касационна жалба, пред Върховния административен съд, в 14-дневен срок от съобщаването му.

 

Можете да споделите: