Още едно съдебно решение по повод теча на лични данни от НАП

В този случай Административен съд – София-град отхвърля иска като неоснователен

Делото е образувано по искова молба на М. К. С., подадена чрез пълномощник, с която срещу Националната агенция за приходите /НАП/ е предявен иск, заявен с правно основание чл.203 АПК, вр. чл.82, ал.1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Общ регламент относно защитата на данните/ /GDPR/, вр. чл.39, ал.2 ЗЗЛД, вр. чл.1, ал.1 ЗОДОВ, за присъждане на сумата в размер на 1000 лева, представляваща обезщетение на ищцата за причинените й неимуществени вреди, изразяващи се в притеснения, страх и опасения за възможна злоупотреба с личните й данни, станали достъпни вследствие т.нар. „хакерска атака“, при която от електронните масиви на НАП неправомерно е била изтеглена информация в голям обем, съдържаща множество лични данни на български граждани, съобщение, за която е било публикувано от медиите на 15.07.2019г. Отговорността на НАП е ангажирана в качеството й на администратор на лични данни, с твърдение, че е допуснала нарушения на чл.24 и чл.32 GDPR и чл.59, ал.1 ЗЗЛД, нарушила е и разпоредбите на чл.45, ал.1, т.6 ЗЗЛД като не е обработила личните данни по начин, който да гарантира подходящо ниво на сигурност като се приложат подходящи технологии и организационни мерки; чл.64 ЗЗЛД, като намира,
че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита; чл.66, ал.1 и, ал.2 ЗЗЛД; чл.67 и чл.68 ЗЗЛД. Претендира се и законната лихва върху сумата на обезщетението, считано от 15.07.2019г. до окончателното й изплащане.
Исковата претенция се поддържа чрез пълномощник, който намира, че с представените от ответника писмени доказателства не се установява фактическото изпълнение на предписаните мерки за защита на обработваните и съхранявани лични данни. Претендира разноски по представен списък, които да бъдат присъдени по реда на чл. 38, ал. 2 от ЗАдв.
Ответникът, чрез представител по пълномощие поддържа становище, че НАП като администратор на лични данни е предприел всички технически и организационни мерки за обработването на лични данни. До настоящия момент – вече 12 месеца, не бил констатиран нито един случай на изтичане на лични данни и нито един случай на измамен или нападнат гражданин, поради което моли за отхвърляне на исковата претенция. В писмен отговор на исковата молба мотивира, че до момента няма доказателства, потвърждаващи твърденията, че извършеният неоторизиран достъп до информационната система на НАП и разпространението на лични данни е в резултат на действия или актове на агенцията или нейни служители. Всички информационни системи на НАП, вкл. и услугите, които предоставя агенцията на клиентите си, били тествани за уязвимости, извършен бил одит на информационната и комуникационна инфраструктура на НАП от независима външна организация. В края на 2018г. била извършена проверка и от ДАЕУ, с обхват изпълнение на изискванията, предвидени в Закона за електронното управление, Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги и Наредбата за общите изисквания за мрежова информационна сигурност /отм.26.07.2019г./ като проверката не е констатирала нарушения и/или неизпълнение на нормативни изисквания. Пертендира присъждане на юрисконсултско възнаграждение.
Предсавител на Софийска градска прокуратура дава заключение, че исковата претенция не е доказана и неоснователна.
Съдът, като обсъди доводите на страните във връзка с доказателствата, приема следното.
Въпросът за допустимостта на иска е разрешен с Определение № 3018/26.02.2020 г., постановено по адм.д.№ 1718/2020 г. по описа на ВАС, задължително за настоящия състав – чл.235, ал.2 АПК.
Разгледан по същество, искът е неоснователен.
Разпоредбата на чл.1, ал.1 ЗОДОВ предвижда, че държавата и общините отговарят за вреди, причинени от незаконосъобразни актове, действия или бездействия на техни органи и длъжностни лица при или по повод изпълнение на административна дейност. Отговорността на държавата по ЗОДОВ е специална деликтна отговорност спрямо общата деликтна отговорност, уредена в чл.45 и сл. от Закона за задълженията и договорите /ЗЗД/. Тази отговорност произтича от общото задължение на държавата/общините при осъществяване на правомощията им техните органи и длъжностни лица да спазват правата и не накърняват законните интереси на гражданите, респ. юридическите лица. За разлика от тази отговорност, деликтната отговорност, уредена в ЗЗД произтича от общото задължение да не се вреди другиму. В този смисъл отговорността по ЗОДОВ има обективен характер – възниква при
наличие на изрично предвидените в закона предпоставки и не е обусловена от наличието на виновно поведение от страна на конкретно длъжностно лице, причинило с поведението си вредата – чл.4 ЗОДОВ, докато деликтната отговорност по чл.45 и сл. ЗЗД е обусловена от виновно поведение на причинителя на вредата, вкл. в хипотезата на обезпечителната отговорност по чл.49 ЗЗД, като вината се предполага до доказване на противното.
Предпоставките, които следва да са кумулативно налице, за да се реализира отговорността по чл.1, ал.1 ЗОДОВ са: незаконосъобразен административен акт, действие или бездействие на административен орган или длъжностно лице поо повод осъществяваната от него административна дейност; вреда – имуществена или неимуществена; пряка причинно-следствена връзка между незаконосъобразния акт/действие/бездействие.
В конкретния случай исковата претенция се основава на незаконосъобразно бездействие – нарушение на разпоредбите на чл.24 и чл.32 GDPR и чл.59, ал.1 ЗЗЛД, чл.45, ал.1, т.6 ЗЗЛД, чл.64 ЗЗЛД, чл.66, ал.1 и ал.2 ЗЗЛД; чл.67 и чл.68 ЗЗЛД – неизпълнение на задължението за обработване на личните данни по начин, който да гарантира подходящо ниво на сигурност като се приложат подходящи технологии и организационни мерки и неизвършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита. Следва да се отбележи, че когато визира незаконосъобразно бездействие, разпоредбата на чл.1, ал.1 ЗОДОВ има предвид незаконосъобразно фактическо бездействие по см. на чл.256 АПК, т.е. бездействието на административен орган по задължение, произтичащо пряко от нормативен акт или което той е длъжен да извърши по силата на закона.
Безспорно цитираните от ищеца разпоредби въвеждат задължение за администратора на лични данни да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с разпоредбите на Общия регламент за защита на данните – чл.24, параграф 1 и чл.32 от него. Същият подход е възприет и в цитираните разпоредби от ЗЗЛД.
Общоизвестен е фактът, че на 15.07.2019 г. билра извършена „хакерска атака“, при която от електронните масиви на НАП неправомерно е била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. Безспорно е, че в изпълнение на законови задължения е образувано наказателно производство за ангажиране наказателната отговорност на физически лица, без да има доказателства, че тези лица са осъдени с влязла в сила присъда. Съдът прие за общоизвестен факт, че е осъществен неоторизиран достъп до базата данни на НАП, неразрешено разкриване и разпространение на следните категории лични данни на физически лица: имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителните декларации, данни за здравноосигурителни вноски, данни за издадени актове за административни нарушения и пр. В неправомерно достъпената и разпространена в интернет пространството информация, се съдържат лични данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица.
Следователно е налице противоправно деяние, но не е доказано да е извъшено престъпление. Това противоправно деяние, определяемо като административно нарушение в развило се срещу НАП административно наказателно производство, без
данни да е приключило с окончателен акт, само по себе си не обосновава извод, че е следствие от незаконосъобразното бездействие на ответника да изпълни произтичащи от посочените по-горе разпоредби на регламента и закона задължения да осигури достатъчна надеждност и сигурност на информационната си система и да защити физическите лица във връзка с обработването на личните им данни. Може да се предполага противоправно поведение от страна на трети лица, довело до негативния резултат – неоторизиран достъп до базата данни на НАП. Обратно на възприетата от ищцовата страна теза, този негативен резултат не презюмира противоправно поведение на администратора на лични данни, изразяващо се в бездействие на последния да приложи подходящи технически и организационни мерки за осигуряване защитата на базата данни така, че срещу нея по никакъв начин, от никого и с никакви средства да не може да бъде достъпено. Възприемането на тази теза би означавало, че всеки, който е станал обект на каквото и да било посегателство, следва да понесе отговорност, че е допуснал извършването на същото, тъй като не е положил достатъчно грижи за предотвратяването му.
За доказване изпълнение на задълженията си, произтичащи от регламента и закона, ответникът е представил по делото Политика по информационна сигурност на НАП, Версия 3.0, май 2016г., Методика за оценка на риска – Приложение № 3 към процедура ПФИС 7, Версия 1.1, ноември 2015 г., Инструкция № 2/08.05.2019г. за мерките и средствата за защита на лични данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри, Заповед № З-ЦУ-1436/15.10.2018г. на изпълнителния директор на НАП, с която са утвърдени указания за обработване и съхраняване на данни, Заповед № ЗЦУ-746/25.05.2018г. на изпълнителния директор на НАП, с която е утвърдена политика за защита на личните данни в НАП /приложена към заповедта/, Процедура „Оценка на риска за информационната сигурност“, номер ПФИС 7, версия В, Заповед № ЗЦУ-586/30.04.2014г. на изпълнителния директор на НАП за внедряване считано от 01.05.2014г. на Система за управление на сигурността на информацията в НАП. Посочените документи са приети като доказателства по делото и не са оспорени от ищцовата страна. Предвид това съдът приема, че не е налице първият елемент от фактическия състав на отговорността по чл.1, ал.1 ЗОДОВ. Отсъствието на който и да е от елементите на фактическия състав обуславя извод за неоснователност на исковата претенция.
За пълнота на изложението следва да се посочи, че за установяване на причинените й неимуществени вреди, изразяващи се в притеснения, страх и опасения за възможна злоупотреба с личните й данни, станали достъпни вследствие т.нар. „хакерска атака“, и причинно-следствената връзка между тях, ищцата е приложила към исковата молба скрийншот на кратко текстово съобщение от 26.07.2019г., 16,37 часа /л.16 по делото/, със следното съдържание: „НАП: По заявка номер 4038 ИМА неправомерно разкрити лични данни“. Това обстоятелство е безспорно. За съда е без значение за кого се отнасят личните данни и в какъв обем са разкрити от приложеното доказателство. Съдът го кредитира, до степен, че това е правопораждащ факт за предявения иск, но е необходимо да е обвързан и от другите факти, относими към основателността на иска.
От показанията на свидетеля М., сестра на ищцата се установи, че притесненията й са били свързани с това, че може да бъде извършена измама като се злоупотреби с личните данни, с престъпно посегателство съм собствеността на ищцата и нейния бизнес. Притеснението и говоренето и обсъждане на бъдещи опасности било 2-3 месеца. Съдът цени показанията в житейски смисъл, като предмет на разговори, обсъждане на хипотетични възможности от настъпване на несигурно посегателство в сферата на правата и неприкосновеността на ищцата. Тези показания не установяват правен факт от реално настъпила вреда, подлежаща на репариране.
Според съда „изтичането“ на лични данни в публичното пространство е нормално да предизвика емоционален дискомфорт у всеки човек. Възприето е в съдебната практика обаче, че настъпилите неимуществени вреди следва да не са хипотетични и евентуални, а реални. А именно доколко факта на неправомерен достъп до базата съхранявани от НАП лични данни и публичното им оповестяване се е отразил върху живота на ищцата – дали и как това е довело до влошаване на самочувствие, самооценката, работата, отношенията в семейството, с близките и приятелите, здравословно състояние и др. В тежест на ищцовата страна е да докаже тяхното настъпване и в какво конкретно се изразяват. От показанията на свидетеля и другите доказателства по делото не се установи реално настъпване на конкретни неимуществени вреди. Нормално е да се изпитва чувство за нарушена неприкосновеност на личността на ищеца, следствие от социалния дискомфорт и наложената от медии психоза, но в частност съдът не приема, че този дискомфорт е причинен от бездействито на ответника. По скоро, това се свързва с престъпно посегателство, но такова не е доказано.
Доколкото в настоящото производство по реда на чл.204, ал.4 АПК не бе установено незаконосъобразно бездействие на ответника, както и настъпили вреди, причинна връзка е безпредметно да бъде обсъждана и следва да се приеме, че също не е налице. Следва да бъде отбелязано, че съгласно чл.4 ЗОДОВ, държавата дължи обезщетение за всички имуществени и неимуществени вреди, които са пряка и непосредствена последица от увреждането. В случая евентуалните вреди за ищцата са причинени по-скоро не от твърдяното бездействие на НАП, а от публичното оповестяване в интернет пространството на достъпените по неправомерен начин нейни лични данни, което представлява действие опосредяващо настъпването на крайния резултат. Доказателствената тежест за установяване наличието на предпоставките по чл.1, ал.1 ЗОДОВ се носи от ищеца, търсещ присъждане на обезщетение за понесени вреди. В тежест на ищеца е доказването на всеки елемент от фактическия състав на отговорността по чл.1 ЗОДОВ. В конкретния случай не се установи по делото незаконосъобразно фактическо бездействие на ответника, настъпването на вредоносен резултат и пряка причинна връзка между тях.
Неоснователността на главния иск обуславя неоснователност и на свързания с него акцесорен иск за присъждане на лихва върху сумата на обезщетението.
По направеното искане за присъждане на юрисконсултско възнаграждение в полза на ответника, съдът приема, че искането е законово съобразено и се уважава в размер на 100 лева.
Предвид горното исковете следва да се отхвърлят като неоснователни.
Съдът

РЕШИ:

ОТХВЪРЛЯ иска с правно основание чл.1, ал.1 ЗОДОВ, предявен от М. К. С. срещу Национална агенция по приходите за осъждане на ответника да заплати на ищеца сумата от 1 000 лв., представляваща обезщетение за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие от страна на ответника, за периода от 15.07.2019 г. до настоящия момент, изразяващо се в неизпълнение в достатъчна степен на задължение по чл. 59, ал.1 ЗЗЛД и по чл. 24 и чл. 32 от Общия регламент относно защитата на лични данни ЕС 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. /GDPR/, а именно да гарантира достатъчно ниво на сигурност на обработваните от него лични данни на ищеца, довело до неразрешено разкриване или достъп до личните данни на ищеца, ведно със законната лихва върху тази сума, считано от 15.07.2019 г., алтернативно от датата на подаване на исковата молба, до окончателното изплащане на сумата.
ОСЪЖДА М. К. С. да заплати на Национална агенция по приходите разноски в размер на сто лева, за юрисконсултско възнаграждение.
Решението може да бъде обжалвано в 14 дневен срок от съобщението пред ВАС.

Можете да споделите: