Административният съд в Добрич се произнесе по 9 дела срещу НАП за изтеклите лични данни

Какво пише в едно от решенията

В Административен съд – Добрич са образувани 14 дела по искови молби срещу НАП във връзка с изтеклите на 15.07.2019 г. лични данни от информационните масиви на НАП на 6 074 140 физически лица, стана известно вчера.

Решения са постановени по 9 от делата: 21/2020г.; 23/2020г.; 30/2020г.; 31/2020г.; 32/2020г.; 33/2020г.; 35/2020г.; 118/2020г.  и 139/2020г., като претенциите са приети за основателни и уважени с определяне на различен размер обезщетение за неимуществени вреди в зависимост от доказаните такива.

Едно от делата е изпратено по спор за подсъдност във ВАС, а 4 дела са все още висящи, отложени за събиране на доказателства.

Ето какво пише накратко в едно от решенията: исковата претенция се основава на незаконосъобразно бездействие –неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което са нарушени разпоредбите на чл.24 и чл.32 от GDPR и чл.59, ал.1 от ЗЗЛД, чл.45, ал.1, т.6, чл.64, чл. 66, ал.1 и ал.2, чл.67 и чл.68 от ЗЗЛД. Следователно предпоставка за ангажиране на отговорността на ответника е установяване на незаконосъобразността на твърдяното от ищеца бездействие по аргумент от чл.204, ал.4 от АПК. Бездействието е по смисъла на чл.256 от АПК, т.е. бездействие на административен орган по задължение, произтичащо пряко от нормативен акт или което е длъжен да извърши по силата на закона.

„В случая е безспорно, че ответникът осъществява дейност по обработване на лични данни, необходими за изпълнение на нормативно установените му задължения. Създаването и поддържането на регистър и бази данни на задължените лица по чл.80, ал.1 от ДОПК е именно такава дейност, свързана с упражняване на правомощията на НАП като специален държавен орган към министъра на финансите за установяване, обезпечаване и събиране на публични вземания по смисъла на чл.2, ал.1, във вр. чл.3, ал.1 от ЗНАП. Регистърът на НАП служи за идентифициране на задължените лица и извършваната от тях дейност, подлежаща на контрол, като агенцията създава и поддържа множество специални регистри по чл.83 от ДОПК, които са неразделна част от регистъра, поддържа и съхранява архив на лицата с прекратена регистрация по чл.83, ал.3 от ДОПК, открива и поддържа данъчно – осигурителни сметки на задължените лица по чл.87, ал.1 от ДОПК, които съдържат данъчна и осигурителна информация, както и поддържа и съхранява архив на данъчно-осигурителните сметки по чл.87, ал.4.

В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки съгласно чл.59, ал.1 от ЗЗЛД, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. При необходимост тези мерки се преразглеждат и актуализират. Същото задължение се съдържа и в чл.24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл.5, §1, б. “е” от GDPR – цялостност и поверителност на данните. Неговият смисъл и съдържание са възпроизведени и в заповед № ЗЦУ-83 от 23.01.2013 г. на изпълнителния директор на НАП, в т.24 и т.25 от която изрично е предвидено, че регистърът, базите данни, данъчно-осигурителната сметка, архивът за лицата с прекратена регистрация и архивът на данъчно-осигурителната сметка се поддържат и съхраняват по начин, който гарантира целостта на информацията и защитата на информацията в системата срещу разрушение и неправомерно изменение и ползване, като достъпът до нея се осъществява в съответствие с изискванията за регламентиран достъп при спазване на разпоредбите на ЗЗКИ и ЗЗЛД.

Следователно отговорността на ответника произтича от специфичния характер на дейността му по обработване на лични данни, включваща създаване, поддържане и актуализация на регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в тях информация и контролирания достъп до нея. Като административен орган със статут на юридическо лице, който следи тази дейност да бъде изпълнявана в съответствие с нормативно установените изисквания, той носи отговорност за вредите от незаконните действия и/или бездействия на включените в състава му органи и служители при извършване на дейността по чл.1 от ЗОДОВ.

В случая е безспорно, че вследствие на хакерска атака е осъществен пробив в системата на ответника, който е станал причина за неправомерното разкриване и разпространение на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1 т.4 от ДР на ЗЗЛД, вр. чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни. Настоящият съдебен състав приема, че именно техническата уязвимост на системата на НАП е довела до нерегламентирания достъп на информация, а тя е резултат от неприлагането на подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива й, предизвикал разкриването на личните данни на ищеца. Предотвратяване на престъплението е немислимо без използването на съответни технически и организационни мерки, защото връзката между двете дейности е пряка и логична – бъде ли премахнат рискът от изтичане на лични данни, то не би следвало да е възможно злоумишлено деяние или престъпно посегателство по смисъла на НК и обратно, след като като е налице деяние по смисъла на НК, това означава, че задължението по предотвратяване на неправомерен достъп до базата данни на НАП не е било изпълнено в необходимата степен.

Неоснователни са доводите на ответника, че престъпното деяние само по себе си не поставя под съмнение мерките за сигурност. Именно НАП е следвало да извърши анализ на тези обективни факти, да съобрази поведението си с тях, за да гарантира запазване и предотвратяване изтичането на личните данни на ищеца. Наличието на одобрени процедури, правила, политики, инструкции, указания и методики не опровергава извода, че е нарушена сигурността на обработваните данни, след като те са публично разкрити. Без правно значение е възражението на ответника, че липсва акт, в който да е описано и доказано в какво се състои техническата уязвимост на информационната система на НАП и как тази уязвимост е предпоставила и улеснила извършването на неоторизирания достъп в условията на причинно – следствена връзка. Техническата уязвимост очевидно е налице независимо от нейния произход, естество и обхват, а съществуването й като обективен факт в действителността само по себе си е предпоставка за извършения неоторизиран достъп. Обработването на значителен обем лични данни на регионално, национално и надционално равнище, които биха могли да засегнат голям брой субекти на данни, изисква по-сериозна оценка на въздействието върху защитата на данните, за да се оценят конкретната вероятност и тежестта на високия риск, като администраторът на лични данни следва да предостави гаранции по отношение на експертни познания, надежност и ресурси, позволяващи да се извърши адекватна оценка на риска за сигурността на данните в съответствие с нормативните изисквания. Съгласно чл.32, т.2 от Регламент (ЕС) 2016/679 при оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни. Обстоятелството, че е допусната хакерска атака, с която е пробита информационната система на НАП по отношение на повече от 6 000 000 субекти на данни, е безспорно доказателство, че не е извършена оценка на подходящото ниво на сигурност и не са взети необходимите технически и организационни мерки за защита при обработването на личните данни на засегнатите лица, в т.ч. и на ищеца, което е достатъчно, за да се направи извод, че е налице незаконосъобразно бездействие от страна на НАП. Ответникът в качеството си на администратор на лични данни по смисъла на чл.4, т.7 от Регламент ЕС 2016/679 при осъществяване на дейността си е следвало да предприеме ефективни мерки за предотвратяване на злоумишлен достъп до личните данни на ищеца без значение на вида и характера на този достъп (неправомерно, случайно или др.) и неговото авторство. В случая това не е постигнато. Ответникът не е изпълнил задължението си по предотвратяване на престъпление и опазване на личните данни на ищеца, като от незаконосъобразното му бездействие е последвало и публичното им разкриване и разпространение. Бездействието на НАП е в противоречие с нормативните изисквания на чл.59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR). Ирелевантни са доводите на ответника, че след осъществяване на нерегламентирания достъп НАП е предприела всички необходими мерки за защита на личните данни, както и че са засегнати частични данни, които са във формат, изискващ допълнително обработване, за да могат да бъдат използвани, защото това не променя обстоятелството, че е изтекла информация от нейните масиви, засягаща лични данни на ищеца, т.е. че е налице нарушение на сигурността на данните като последица от неправилагането на ефективни механизми и средства за защита. Частичният характер на информацията не изключва противоправното поведение (бездействие) на ответника, защото съгласно съображение 26 от преамбюла на Регламент (ЕС) 2016/679 принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко. Личните данни, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. Няма спор, че ЕГН на ищеца и данните в декларациите му по чл.41 от ЗОДФЛ са достатъчни за идентифицирането му, поради което правилата на закона и регламента и произтичащите от тях задължения за НАП се отнасят за обработването и на тази информация независимо от нейния частичен обем.

Съгласно §3 от чл.82 от GDPR администраторът на лични данни се освобождава от отговорност за вреди, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, което в случая не е така. По делото липсват категорични доказателства, че ответникът е гарантирал последователно и адекватно ниво на защита на данните, за да се приеме, че нормативните изисквания за сигурността на обработването са приложени в тяхната цялост.

С оглед на изложеното съдът приема, че е налице първата предпоставка за ангажиране на отговорността на НАП, представляваща незаконосъобразно бездействие по предприемане на необходимите мерки и ефективна средства за защита, произтичащи от задълженията на администратора по чл. 59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), вследствие на което е възникнал противоправният резултат, изразяващ се в нерегламентиран достъп и неразрешено разкриване на лични данни на ищеца.

Втората и третата предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна от ищеца вреда в резултат от това незаконосъобразно бездействие.

Основен елемент от състава на чл.1 от ЗОДОВ е вредата. Тя се схваща като промяна чрез смущаване, накърняване и унищожаване на имуществото на едно лице, субективните му права, телесна цялост, душевност или психическо състояние. В исковата си молба ищецът твърди, че е преживял стрес, безпокойство, притеснение, почувствал се е застрашен от физическо посегателство, изнудвания, злоупотреби. От обясненията на ищеца и съответстващите им показания на разпитаните свидетели се установява безспорно, че Д. силно се притеснил и обезпокоил, когато узнал, че били разкрити личните му данни. Страхувал се да не се злоупотреби с тях. Непрекъснато споделял притесненията си. Постоянно изпитвал чувство на трежовност и напрежение. Веднага изтеглял пенсията си от банкомата и често проверявал дали някой не се е разпоредил с имота му. Променил се много и досега се чувствал заплашен и несигурен. Изброените негативни емоции и психически дискомфорт безспорно представляват вид неимуществени вреди, като съдът намира, че те са пряка и непосредствена последица от разкриването на личните данни на ищеца. Ирелевантни са доводите на ответника, че веднага след изтичането на данните било публично оповестено от компетентните органи и институции, че няма непосредствена опасност за възможни злоупотреби с личните данни и имуществото на гражданите, защото това не променя извода, че ищецът е преживял психически неудобства и емоционално напрежение, които са отражение на неговото вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на лицето и зависят от неговите индивидуални възможности за възприемане и справяне с конкретната ситуация, в която е станало обект на вредоносно посегателство и нарушаване на основното му право на защита на личните данни. Усещането за липса на заплаха за личността, имуществото и близките е много субективно и не е пряко обусловено от реално съществуващия риск за злоупотреби с изтеклата информация от НАП. Предприетите мерки за гарантиране на сигурността и безопасността на гражданите и тяхното имущество след неправомерното разкриване на личните данни не изключват настъпилите у ищеца негативни емоции и преживявания, които безспорно са повлияли на поведението и качеството му на живот за по-дълъг период от време.

С оглед на изложеното съдът приема, че Д. е претърпял вреди от неимуществен характер вследствие изтичането на личните му данни, които се изразяват в чувство на тревожност и безпокойство, силно притеснение, несигурност, страх от злоупотреби. Претърпените от ищеца психически и емоционални неудобства са в резултат от неизпълнение на вмененото от закона задължение на НАП по осигуряване на защита на обработваните от нея данни на задължените лица, проявено под формата на бездействие, поради което тя следва да понесе неблагоприятните последици от това неизпълнение.

В съответствие на това съдът намира, че е осъществен фактическият състав на чл.1, ал.1 от ЗОДОВ, поради което за ищеца е възникнало субективното право да претендира обезщетение за причинените му неимуществени вреди, а за ответника е възникнало задължението за тяхното репариране. Съгласно чл.4 от ЗОДОВ държавата и общините дължат обезщетение за всички имуществени и неимуществени вреди, които са пряка и непосредствена последица от увреждането. Законът не установява критериите за определяне на паричния еквивалент на моралните вреди, поради което и по аргумент от препращащата норма на §1 от ЗОДОВ следва да се приложи разпоредбата на чл.52 от ЗЗД, която постановява, че обезщетението за неимуществени вреди се определя от съда по справедливост. Изискването за справедливо определяне на обезщетението за неимуществени вреди е свързано с преценката на конкретни обективно настъпили обстоятелства, включително характер и степен на увреждане, трайност и степен на интензитет, възраст на увредения, обществено и социално положение и др. Като се има предвид естеството, продължителността и интензитета на преживените неудобства и притеснения, които не са довели до някакво сериозно увреждане на психическото и емоционалното здраве на ищеца и не надхвърлят рамките на обичайното негативно човешко изживяване в случай на неправомерно разкриване на лични данни съдът приема, че справедливият размер на обезщетението за неимуществени вреди се равнява на сумата от 350 лева. До този размер искът за неимуществени вреди е основателен и доказан и следва да бъдат уважен, като за горницата до 1000 лева подлежи на отхвърляне като неоснователен и недоказан.

Върху сумата за обезщетение следва да бъде присъдена и лихва за забава, но не от датата на изтичане на данните, нито от датата на завеждане на исковата молба, както се претендира в исковата молба. Действията или бездействията на държавните органи по смисъла на чл.1, ал.1 от ЗОДОВ са презумптивно правилни и следва да бъде установено по предвидения в закона ред, че са неправилни, от който момент ще следва да се начислява и обезщетението за вреди от забавата в размер на законната лихва. Вземането за обезщетение за вреди възниква след признаване на незаконността на акта, действието или бездействието на държавния орган. В този случай вредите произтичат от бездействиe на администрацията и обезщетяването им следва да се иска след признаването му за незаконно от съда. Ето защо, с влизане в сила на решението вземането за обезщетение става изискуемо и от този момент се дължи и законна лихва върху него ( в тази насока е и т.4 от ТР №3 от 2004 г. на ВКС). С оглед на изложеното върху уважената част от иска следва да бъде присъдена лихва за забава, считано от датата на влизане в сила на решението.

Съобразно изхода от делото и на основание чл.10, ал.3 от ЗОДОВ ответникът следва да бъде осъден да заплати на ищеца внесената държавна такса в размер на 10, 00 лева. Ищецът има право и на разноски за адвокатско възнаграждение съразмерно с уважената част от иска, което възлиза на 105 лева. На основание чл.10, ал.4 от ЗОДОВ, във вр. чл.37, ал.1 от ЗПП и чл.25, ал.1 от НЗПП, ответникът също има право на разноски за юрисконсултско възнаграждение в размер на 65 лева съразмерно с отхвърлената част от иска. След прихващане на дължимите суми на ищеца следва да се присъдят разноски в размер на 50 лева.

Водим от изложеното, съдът

Р Е Ш И:

ОСЪЖДА НАП – София да заплати на Д.И.Д. с ЕГН …, обезщетение за неимуществени вреди в размер на 350 лева, представляващи претърпени от ищеца стрес, психическо напрежение, страх, безпокойство, притеснение, негативни преживявания и емоции вследствие от незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му по чл.59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), довело до неправомерното разкриване и разпространение на лични данни на ищеца, ведно със законната лихва, считано от датата на влизане в сила на решението по настоящото дело до окончателното изплащане на сумата, КАТО ОТХВЪРЛЯ иска за горницата му до 1000 лева.

ОСЪЖДА НАП – София да заплати на Д.И.Д. с ЕГН ********** ***, сумата от 50 лева, представляващи сторени разноски по делото.

РЕШЕНИЕТО може да се оспорва с касационна жалба пред Върховния административен съд на Република България в четиринадесетдневен срок от съобщаването му на страните.

Можете да споделите: