От решение на Софийския административен съд стана известно за скандалния случай
Комисията за защита на личните данни публикува на сайта си интересното решение на Административен съд – София-град. Съдът потвърждава решение на КЗЛД, в което тя е обосновала извод, че е осъществено неправомерно обработване на лични данни:
Р Е Ш Е Н И Е
№ 837
гр. София, 12.02.2021 г.
В ИМЕТО НА НАРОДА
АДМИНИСТРАТИВЕН СЪД – СОФИЯ-ГРАД, Второ отделение 23 състав, в публично заседание на 18.01.2021 г. в следния състав:
СЪДИЯ: АА
при участието на секретаря Е М, като разгледа дело номер 9546 по описа за 2020 година докладвано от съдията, и за да се произнесе взе предвид следното: Производството е по реда на чл.145 и сл. АПК Административно-процесуалния кодекс /АПК/, вр.чл.38, а л. 7 от Закона за защита на личните данни /ЗЗЛД/. Образувано е по Жалба вх.№ППН-02-507#27(19)/01.09.2020 г. по описа на Комисията за защита на личните данни (КЗЛД), подадена от Националната агенция за приходите (НАП), срещу Решение №ППН-02-507/2019 от 18.08.2020 г. на КЗЛД, в частта му по т.2 и т.3, с която е приета за основателна Жалба с рег. № ППН-02-507 от 19.09.2019 г. подадена от Д. В. Ф. Ж. Б., за извършено нарушение от НАП-администратор на лични данни, на разпоредбата на чл. 32, § 4 от ОРЗД и на основание чл. 58, § 2, б.“г“ от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016г. (ОРЗД) е разпоредено на агенцията да въведе допълнителни контроли за установяване на неправомерен достъп и незаконосъобразно обработване на лични данни, особено в случаите на поставена задача или проект, който контрол да бъде системен и да възпрепятства незаконосъобразни действия. Наведените основания за оспорване са за допуснати съществени нарушения на административно-производствените правила, противоречие с материалноправните норми и несъответствие с целта на закона-чл.146, т.3, т.4 и т.5 от АПК. Тяхното осъществяване е аргументирано с фактически твърдения и правни доводи за неанализиране от КЗЛД на цялата доказателствена съвкупност. Твърди се, че КЗЛД не е взела предвид доводите за наличие на редица предприети от НАП технически и организационни мерки за защита на данните, в това число и от неправомерен достъп и други незаконни форми на обработване. Сочи се, че по отношение на НАП като администратор на лични данни са налице правни основания за обработване на личните данни, съгласно чл. 6 от ОРЗД, като агенцията е взела всички необходими технически и организационни мерки за защита на данните, предвид наличието на редица вътрешноведомствени актове, регламентиращи утвърдени вътрешни правила за работа със защитена информация и правила за достъп до ИТ ресурсите на Агенцията. Тези актове регламентирали конкретни задължения на служителите на НАП, които са в съответствие със стандартите и добрите практики, за постигане на сигурност на информацията, обработвана в НАП. Относно осигуряването на надлежен контрол за спазването на въведените специални изисквания и правила за достъп и работа със защитена информация, се излага, че при констатиране на злоупотреби и/или нерегламентиран достъп до лични данни се предприемат действия за реализиране на отговорност, съгласно действащата нормативна уредба, каквито действия са предприети и по отношение на служителя Б. Н.. Освен това, в агенцията били определени служители – лица по защита на данните, които извършват вътрешни проверки при постъпили сигнали за извършени нарушения от служители на НАП, в резултат на което се санкционира всяка констатирана проява на недобросъвестно и/или незаконосъобразно обработване на защитена от закона информация. Твърди се, че установеното незаконосъобразно обработване на лични данни от длъжностно лице на НАП е в резултат на неспазване на разпоредите на ОРЗД, Закона за защита на личните данни и вътрешните правила и указания на НАП, поради което отговорността е изцяло на физическото лице – служител на НАП. Констатираното неправомерно поведение от страна на служителя не следвало да е основание да се счита, че в НАП не са налице мерки за защита на информацията при обработването й. В о.с.з. пред АССГ жалбоподателят се представлява от юрк. Т., която поддържа жалбата и моли за уважаването й. Излага съображения, че достъпът до данните на Б. е в резултат от действията на служител на НАП, които са извършени въпреки взетите от агенцията мерки. Прави възражение за прекомерност на заплатеното от заинтересованата страна (ЗС) адвокатско възнаграждение. Ответникът –КЗЛД, в о.с.з. не се явява и не се представлява. В Писмени бележки от 15.01.2021г. излага подробни съображенията за неоснователност на подадената жалбата и моли за отхвърлянето й. ЗС Д. В. Ф. Ж. Б., оспорва жалбата. В о.с.з. чрез процесуалния си представител адв. Д. излага доводи за неоснователност на жалбата, като сочи, че вътрешноорганизационните актове не са в състояние да възпрат реално осъществяване на неправомерна обработка, тъй като с тях не се осигурява техническа пречка за служителите със съответното ниво на достъп да извършват обработка на данни, извън поставените им задачи. В допълнение излага, че установяването на неправомерната обработка не се извършва автоматично от администратора на данните, а нарушението е възможно да се открие едва след сезиране от заинтересованото засегнато лице. Подробни съображение излага в представения по делото писмен отговор на жалбата. Заявява искане за присъждане на разноските за съдебното производство, в съотв със списъка по чл.80 ГПК, вр.чл.144 АПК. Прокурор от Софийската градска прокуратура не взема участие в производството по делото и не дава заключение за законосъобразността на оспорения акт. Административен съд-София град, след като обсъди релевираните с жалбата основания, доводите на страните в съдебно заседание, прецени събраните по делото доказателства по реда на чл.235 от ГПК, вр.чл.144 от АПК и служебно, на основание чл.168, ал.1, вр.чл.146 от АПК, провери изцяло законосъобразността на обжалвания акт, намира следното: Производството пред Комисията е образувано по постъпил Сигнал с рег. № ППН-02-570 от 19.09.2019 г., подаден от Д. В. Ф. Ж. Б., холандски гражданин, със статут на постоянно пребиваващ в Р. България, с който информира, че повече от пет години живее и работи в България, регистриран е за данъчни цели и плаща редовно данъци, има участия в търговски дружества и е член на борда на директорите на голямо холдингово дружество. Посочил е, че има образувано бракоразводно дело №66853/2018г. по описа на Софийския районен съд, като е заявил искане за прекратяване на брака със съпругата му Ф. Х., поради фактическа раздяла. От разговор със съпругата си Б. разбрал, че лицето В. М. Н. е предложило на Х. да й предостави информация и документи, касаещи Б. от базата данни на НАП, като гарантирал, че информацията е автентична, тъй като съпругата му – Г. Н. и майка му Б. Н. работят в Централно управление на НАП С. – град и имат възможност да осъществят достъп до партиди и безпрепятствено да изтеглят данни. С оглед на гореизложеното, подателят на сигнала, моли за извършване на проверка, при която да се установи дали в масивите на НАП са извършвани нерегламентирани справки и извлечения от негови лични партиди и от партиди на дружествата, в които участва. С Писмо изх. № ППН-02-507#2/14.11.2019 г. по описа на КЗЛД, Б. е уведомен, че по подадената жалба е образувано административно производство, като са изискани допълнителни доказателства от администратора, срещу когото е подадена жалбата. С Писмо изх. № ППН-02-570#1/14.11.2019 г. по описа на КЗЛД, на НАП е предоставен срок за изразяване на становище и представяне на относими доказателства. В отговор е постъпило Становище с вх. № ППН-01-337#4/05.12.2019 г., в което е посочено, че на 16.09.2019г. е подадена жалба, заведена в деловодния регистър на ЦУ на НАП с вх. № 94-Д-434/16.09.2019г., с изложени идентични твърдения. В тази връзка, със заповед на изпълнителния директор на НАП е възложено на Инспектората извършване на проверка, при която е установено, че до данни на жалбоподателя в информационната система (ИС) на НАП са осъществявани достъпи от Б. Й. Н.- главен експерт по приходите (Г.) в отдел „Разследване на особени случаи“ в дирекция „Контрол“ при ЦУ на НАП, без в тези случаи на служителя да са поставяни задачи, свързани с лицето. Предвид установеното от служителя са изискани писмени обяснения. В предоставените отговори било посочено, че Н. е достъпвала данните на лицето с цел „лична информация“ и във връзка с „преглед на данни за регистрирани фирми“. С електронно съобщение от 01.11.2019г., подписано в електронен подпис, Н. е заявила, че не е правила разпечатки и не е предоставяла данните на трети лица. В становището се сочи също, че не са събрани данни за осъществен достъп до данните на жалбоподателя в информационните системи на НАП, от страна на експерт Г. Н. в отдел „Изходящи комуникации“, дирекция „Информационен център“ при ЦУ на НАП. Със становището са изпратени и Справка за осъществените достъпи до данни на Б. от Г. Б. Н. в „Софтуер и управление на приходите“, Справка за осъществените достъпи до данни на Б. от Г. Б. Н. във ВАТ, Справка за осъществените достъпи до данни на Б. от Г. Б. Н. в ИС „Контрол“, Справка за осъществените достъпи до данни на Б. от Г. Б. Н. в „Управленска информационна система“, Извадка от писмените обяснения от 18.10.2019г. на Б. И., имаща отношение към визираните в писмото на КЗЛД данни. Писмени обяснения от Б. Н. от 21.10.2019г., 01.11.2019г. и длъжностна характеристика на Г. Б. И. /л.22-л.29 по делото/.
На заседание, проведено на 22.01.2020 г. КЗЛД е приела подадената жалба за допустима, в частта отнасяща се до НАП и е насрочена за разглеждане в открито заседание на 04.03.2020 г. Като страни в производството са конституирани жалбоподател Д. В. Ф. Ж. Б. и ответна страна- Национална агенция за приходите. С Писма изх. № ППН-02-507(19)#7/28.01.2020г. и изх. № ППН-02-507(19)#8/28.01.2020г., страните в производството пред КЗЛД са уведомени, че Жалба рег. №ППН-02-507/19.09.2019г. ще бъде разгледана по същество на открито заседание, което ще се проведе на 04.03.2020 г. от 13:00ч. (л.40- л.42 по делото). На 02.03.2020г. в деловодството на КЗЛД е постъпило Становище рег. № ППН-02-507#16(19) от НАП. На проведеното на 04.03.2020 г. от 13:00ч. открито заседание, комисията е взела решение да отложи разглеждането на Жалба рег. №ППН-02-507/19.09.2019г. по същество в открито заседание на 01.04.2020 г. от 13:00ч. Страните в производството пред КЗЛД са уведомени с Писма изх. № ППН-02-507(19)#13/09.03.2020г. и изх. № ППН-02-507(19)#4/09.03.2020г. (л.47- л.49 по делото).
С оглед създалата се епидемиологична обстановка, заседанието е пренасрочено за 19.05.20г., за което страните са били уведомени. На 19.05.2020 г. е проведено заседанието, на което производството е приключило и е постановено оспорваното Решение №ППН-02-507/2019 от 18.08.2020 г. Въз основа на данните по преписката, с оспореното пред съда решение КЗЛД приела за установено, че в рамките на три месеца- от 20.02.2019 г. до 10.05.2019 г. е осъществяван достъп от служители на НАП чрез информационната система на НАП до данните на жалбоподателя, без в конкретния случай на служителите да са поставяни задачи, свързани с Б. По отношение на физическото лице Б. Н. е установено, че последната е достьпила данните на Б. на дати 20.02.2019 г., 03.04.2019 г, 10.05.2019 г.
От предоставеното, като доказателство Постановление от № 18391/2019г. 10.02.2019 г. на Софийска градска прокуратура е установено, че достъп до данните на жалбоподателя, без правно основание за това е имала и служителката Г. Н. Комисията е приела за безспорно установено, че администраторът на лични данни, след като е установил, че има нарушение е предприел действия чрез извършена вътрешна проверка по подаден сигнал. Образувани са дисциплинарни производства срещу двете служителки, като на служителката Г. Н. е наложено дисциплинарно наказание „отлагане на повишаването в ранг с една годна година“, а на служителката Б. Н. предстои насрочване на дисциплинарното дело за изслушването й.
Установено е, че служителките са имали компетентност да извършват такъв тип проверки, но такава задача в този период не им е възлагана. В решението си КЗЛД е обосновала извод, че е осъществено неправомерно обработване на личните данни на Д. В. Ф. Ж. Б., посредством достъпването им от служители на НАП. По тези съображения КЗЛД приела, че администраторът на лични данни не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателя от неправомерен достъп или предприетите такива са явно недостатъчни, предвид обстоятелството, че съдържащите се в регистрите на НАП личните данни на жалбоподателя са достъпвани без доказана служебна необходимост от служители на НАП, в нарушение на разпоредбата на чл. 32, §4 от ОРЗД. Прието е още, че най-подходяща корективна мярка по см. на чл. 58, § 2 от Регламента е налагането на принудителна административна мярка, тъй като по този начин ще се постигне целения ефект за преустановяване на подобни нарушения в бъдеще.
Комисията е обосновала извод, че в методиката на риска трябва да бъдат предвидени контроли за неоторизиран достъп, които да показват, ако един служител неколкократно достъпи лични данни без да има съответната оторизация и задача от прекия си ръководител, като в такива случаи на прекия ръководител или на вътрешния контрол да се подава информация, че съответният служител не обработва законосъобразно информация, която представлява лични данни. Контролът следва да е системен и да възпрепятства незаконосъобразни действия.
По тези съображения КЗЛД е приела жалбата за основателна и на основание чл. 58, § 2, буква „г“ от Регламент ЕС 2016/6779 с оспореното пред съда решение, в частта по т.2 и т.3 е дала разпореждане на НАП да въведе допълнителни контроли за неправомерен достъп и незаконосъобразно обработване на лични данни, свързано с непоставена задача или проект, който контрол да бъде системен и да възпрепятства незаконосъобразни действия.
Решението е подписано с особено мнение от член на КЗЛД – Ц.Ц.. Особеното мнение е мотивирано с това, че няма доказан теч на данни от НАП на Д. В. Ф. Ж. Б.; не са ангажирани доказателства в подкрепа на твърдението на Б., че личните му данни са станали известни на трето лице; вътрешната проверка в НАП установила, че личните данни да Б. са достъпени от лице имащо права за такъв тип операции, но неработещо конкретно по документите на Б.; не са налични доказателства, че данните са разпространени, както и че извършеното нарушение е административно Решението е съобщено на жалбоподателя в настоящето производство с Писмо изх.№ППН-02-507(19)/#25 от 18.08.2020г. (л.66 по делото) на 18.08.2020г., видно от разпечатка от системата за електронен обмен на документи (л. 67 по делото). Жалбата е подадена чрез КЗЛД до АССГ на 01.09.2020г.
При така приетото за установено от фактическа страна, съдът обуславя следните правни изводи:
Жалбата е допустима.
Подадена е срещу акт, който може да бъде оспорен по съдебен ред и от надлежна страна – чл.147, ал.1 от АПК, вр.чл.38, ал.6 от ЗЗЛД. Спазен е и преклузивният 14-дневен срок по чл.149, ал.1 от АПК.
Разгледана по същество, жалбата е неоснователна, по следните съображения:
Оспореният административен акт е издаден от компетентен орган – КЗЛД. Комисията е заседавала в законен състав и решението е взето с изискуемото мнозинство. КЗЛД е колегиален административен орган, който се състои от председател и четирима членове, съгласно чл. 7 ЗЗЛД. Съгласно чл. 9, ал.3 ЗЗЛД, решенията на комисията се вземат с мнозинство от общия брой на членовете й. Разпоредбата на чл. 8, ал.6 от Правилника за дейността на КЗЛД и нейната администрацията предвижда, че заседанията на комисията се провеждат, ако на тях присъстват най-малко трима от нейния състав. В случая, видно от Протокол №19/19.05.2020 г. на заседанието са присъствали 4-ма от членовете. Член от състава е подписал решенето с особено мнение относно основателността на подадената пред КЗЛД жалба и е изложил мотивите си за това. Особеното мнение заедно с мотивите на мнозинството е приложено към решението, съобразно разпоредбите на чл.11, ал.4 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация.
Спазена е установената писмена форма като оспореното решение съдържа изискуемите по силата на чл. 59, ал. 2 АПК реквизити, доколкото приложимият специален закон – ЗЗЛД не съдържа специални изисквания към формата и съдържанието на акта. Не се доказва наличие на порок във формата на акта, представляващ самостоятелно основание за неговата отмяна по смисъла на чл. 146, т. 2, вр. чл. 59, ал. 2, т. 4 АПК. По твърдението за наличие на съществени нарушения на административно-производствените правила, предпоставка за отмяна на решението на основание чл. 168, ал. 1 във връзка с чл. 146, т. 3 от АПК, съдът взе предвид следното:
Производството е образувано законосъобразно в съответствие с разпоредбата на чл. 38, ал. 1 от ЗЗЛД, във връзка с чл. 28, ал. 1, т. 1, чл. 29, ал. 1, чл. 30, ал. 1 и чл. 36 и следващите от Правилника. С решение от проведено заседание, обективирано в Протокол № 3/22.01.2020г. /л. 71-74/, се обявява жалбата за допустима /чл. 27 АПК/, конституирани са страните в производството и е предвидено разглеждането на спора по същество /чл. 38, ал. 3 ПДКЗЛДНА/. Законодателят не е въвел конкретни изисквания, на които следва да отговаря лицето, подател на жалбата, напротив – в чл. 38, ал. 1 ЗЗЛД е използван изразът „всяко физическо лице“.
Спазена е разпоредбата на чл. 40 от ПДКЗЛДНА, съгласно която КЗЛД събира доказателства, назначава експерти и призовава, както и извършва други действия в производството по раздел ІІ „Разглеждане на жалби от физически лица“ по реда на АПК. В хода на протеклото административно производство не са допуснати нарушения на процедурните правила от категорията на съществените, които да са ограничили правото на защита на оспорващия и да са го препятствали да я упражни в пълен обем. Административният орган е изяснил релевантните за случая факти и обстоятелства и е извършил проверка на приетите доказателства. Не се констатират нарушения по см. на чл. 34, чл.35 и чл.36 от АПК. На страните в производството е представена възможност да се запознаят с приложените по преписката доказателства и да изразят становище. При произнасяне по съществото на спора са обсъдени събраните по преписката писмени доказателства, както и изразените становища по отправените в жалбата твърдения. Правото на защита на жалбоподателя, редовно уведомен за откритото заседание пред КЗЛД не е ограничено, тъй като е гарантирано неговото участие в административното производство, а последното е проведено в съответствие със специалните разпоредби на ЗЗЛД и принципите на процеса – принципите истинност, равенство, достъпност, публичност и прозрачност /чл. 7, чл. 8 и чл. 12 от АПК/. Приложените по делото преписи-извлечения на протоколи от проведени заседания на КЗЛД на 22.01.2020 г., 04-06.02.2020 г. и 19.05.2020г. съответстват на разпоредбата на чл. 11, ал. 2 от Правилника. Решение № ППН-02-507/2019 от 18.08.2020 г., като взето с изискуемото мнозинство и подписано от лицата, участващи в гласуването на 19.05.2020г., не е постановено при допуснати съществени нарушения на административно-производствените правила.
Възражението за допуснато процесуално нарушение, мотивирано с твърдение, че Комисията не е взела предвид доводите за наличие на редица предприети от НАП технически и организационни мерки за защита на данните е неоснователно. Видно от решението на КЗЛД е, че същата е събрала всички необходими доказателства и е изследвала обективно всички факти, за което е изложила и съответните мотиви.
Оспореното решение е постановено в съответствие с приложимите материалноправни разпоредби, а наведените в обратния смисъл доводи на жалбоподателя са неоснователни. Приложимият материален закон е този, действал към датата нарушението-20.02.2019г. до момента на преустановяването му, т.е. приложими са разпоредбите на Регламент ЕС 2016/679.
Определение на понятието „лични данни“, към времето на обработването им е дадено в чл. 4, § 1, т. 1 от Регламент ЕС 2016/679. Според чл.4, §2 от Регламент ЕС 2016/679 „обработване на лични данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Съдържащите се в базата данни на НАП данни, представляват лични данни по смисъла на по чл. 4, § 1, т. 1 от Регламент /ЕС/ 2016/679, като информация, отнасяща се до физическо лице, която дава възможност то да бъде идентифицирано с тези специфични признаци.
Достъпът до базата данни на НАП представлява действие по „обработване на лични данни“ по смисъла на чл. 4, т. 2 от Регламента. В процесния случай е безспорно установено, че личните данни на ЗС Д. В. Ф. Ж. Б. са били обработени – достъпени, от служители на НАП, в качеството му на „администратор на лични данни” по смисъла на чл. 4, § 7 от Регламент ЕС 2016/679. За да е законосъобразно това обработване, следва да е налице поне едно от основанията за допустимост на обработване.
Условията за допустимост при обработване на личните данни са изрично и изчерпателно посочени в чл. 6, § 1 от Регламент ЕС 2016/679, /приложим към датата на осъществяване на нарушението/. Според цитираната разпоредба обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия: a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели; б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора; г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице; д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора; е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете. Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.
В административното производство, а и в съдебното производство не е спорно, че обработването на личните данни на ЗС е извършено без служителите на НАП да са имали поставени задачи, свързани с лицето. Не може да се възприеме твърдението на жалбоподателя, че по отношение на НАП, като администратор на лични данни са налице основания по чл. 6, §1 от Регламент 2016/679 за обработване на личните данни на ЗС Д. В. Ф. Ж. Б.. В хода на двете производства-административното и съдебното, НАП не ангажира доказателства, от които да се обоснове извод, че личните данни на ЗС, са достъпени многократно от служителите Г. Н. и Б. Н. във връзка с изпълнението на задача, която се осъществява в обществен интерес. Напротив, администраторът на лични данни признава, че негов служител е обработвал личните данни на ЗС без да има поставена задача, без да са били налице основания за тази обработка и без да съществува легитимен правен интерес от обработката, т.е. не е съществувала необходимост от обработването на данните на Б., нито пък той е дал съгласието си за него. Предвид изложеното, единственият възможен извод е, че случая е налице неправомерна обработка от страна на служители на НАП на личните данни на Д. Ф. Ж. Б.
В чл. 32, §4 от Регламента е предвидено задължение, администраторът и обработващият лични данни да предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.
В конкретния случай, по делото не е спорно, че в рамките на три месеца – от 20.02.2019 г. до 10.05.2019 г. е осъществяван достъп от служител на НАП (Б. Н.), чрез информационната система на НАП, до данните на ЗС, без в конкретния случай на служителя да са поставяни задачи, свързани с него. По административната преписка не е спорно, че администраторът, след като е установил, че има нарушение е предприел действия чрез извършена вътрешна проверка по подаден сигнал. Образувани са дисциплинарни производства срещу двете служителки, като на служителката Г. Н. е наложено дисциплинарно наказание „отлагане на повишаването в ранг с една годна година“, а по отношение на служителката Б. Н. дисциплинарното производство не е било приключило към момента на постановяване на оспореното решение на КЗЛД. Установено е, че служителките са имали компетентност да извършват такъв тип проверки, но подобна задача в този период не им е възлагана. Освен това следва да се посочи изрично, че неправомерният достъп не е установен служебно от НАП като администратор на лични данни, защото липсва установен от самата НАП механизъм за това. Установяването е станало само и единствено по причина на засегнатото лице-ЗС в съдебното производство, което е подало сигнал.
Правилен е изводът на КЗЛД, че администраторът на лични данни-НАП не е предприел необходимите технически и организационни мерки за защита на личните данни на жалбоподателя от неправомерен достъп или предприетите такива са явно недостатъчни, предвид обстоятелството, че съдържащите се в регистрите на НАП личните данни на жалбоподателя са достъпвани при липса на законова необходимост от самите служители на НАП (и всъщност при неизследвани и неустановени в административното производство подбуди и цели на извършителите, доколкото всяко човешко действие е волево действие, т.е. насочено е към постигането на определена цел) . В този смисъл възражението на жалбоподателя, че агенцията е предприела всички необходими технически и организационни мерки за защита на личните данни, предвид наличието на редица вътрешноведомствени актове, регламентиращи утвърдени вътрешни правила за работа със защитена информация и правила за достъп до ИТ ресурсите на НАП, е неоснователно. В жалбата не е посочена нито една техническа мярка, която да е в състояние действително да предотврати неправомерното обработване на лични данни от страна на служители на НАП или своевременно да сигнализира при осъществяването на неправомерно обработване. Достъпът до лични данни не е ограничен само до конкретна задача и само до необходимото за изпълнение на служебните задължения. Напротив, данните са постоянно достъпни за всеки служител на НАП със съответното ниво на достъп. Поради тази причина, служители на НАП са осъществявали достъп до личните данни на ЗС Б. в случая многократно и в продължение на месеци, без да им е поставена задача за обработката на тези лични данни.
На второ място, подписването на декларации от служителите на НАП по никакъв начин не създава реални гаранции срещу незаконосъобразната обработка на личните данни на субектите на данните. Тези декларации могат да имат отношение към реализирането на дисциплинарната отговорност на служителите при установено тяхно неправомерно поведение при или по повод изпълнение на служебните им задължения, но тази отговорност се явява последваща по отношение на нарушението. Тя не е в състояние да го предотврати, поради което не може да се счита за ефективна мярка за защита на личните данни.
Относно осигуряването на надлежен контрол на въведените специални изисквания и правила за достъп и работа със защитена информация, по делото не се доказа да са налице механизми за установяване на неправомерната обработка на личните данни от страна на служители в НАП, когато липсва подаден сигнал от засегнатото лице, чиито данни са били обработени неправомерно, както съдът вече посочи. След като служителите на администратора могат да обработват данните без да имат задача, свързана с тях, след като могат да извършват това по всяко време и след като няма механизъм неправомерната обработка да бъде автоматично или служебно установена (което в крайна сметка способства неправомерната обработка), то НАП не е изпълнила задължението си по чл. 32, т. 1 ОРЗД. Липсата на реален ефективен контрол е позволила незаконосъобразното обработване на личните данни на Д. В. Ф. Ж. Б. многократно в продължение на месеци, без това поведение да е било установено от администратора на лични данни, а още по-малко да е било санкционирано. В този смисъл приетите вътрешноведомствени актове очевидно не представляват достатъчна гаранция за правомерно обработване на личните данни от самите служители на НАП. От съдържанието на жалбата до АССГ е видно, че НАП е предприела мерки за контрол едва след сезирането й от засегнатото лице и след като нарушението е било вече извършвано, при това многократно във времето. Не може да се очаква обаче всяко едно засегнато лице да е наясно по какъв начин и чрез кой конкретно администратор личните му данни са обработени неправомерно, съотв ще станат или са станали достояние на трето лице, за да е в състояние то да упражни правото си на защита срещу съответния администратор. Единствено стечението на обстоятелствата е позволило на ЗС да узнае за неправомерното обработване на данните му в случая от служители на НАП.
С оглед на изложеното, правилно административният орган е квалифицирал извършеното като нарушение на чл. 32, § 4 от Регламент 2016/679- неизпълнение на задължение за предприемане на стъпки, всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка. Неоснователен е и развития в жалбата довод, че за действията извън законосъобразните мерки и политики на администратора на лични данни (в случая НАП), отговорността е на физическото лице, достъпило данните неправомерно. С Регламента са предвидени изрично задълженията на администраторите или обработващите лични данни, като за неизпълнението на същите отговарят именно последните.
КЗЛД разполага с оперативна самостоятелност, като в съответствие с предоставените й функции преценява кое от корективните правомощия по чл. 58, § 2 от регламента да упражни. Преценката следва да се основава на съображенията за целесъобразност и ефективност на решението при отчитане особеностите на всеки отделен случай и степента на засягане на интересите на конкретното физическо лице -субект на данни, както и на обществения интерес. Правомощията по чл. 58, § 2 от регламента, без това по б. „и“, имат характера на принудителни административни мерки, чиято цел е да предотвратят, респ. да преустановят извършването на нарушение, като по този начин се постигне целеното от него поведение в областта на защитата на личните данни. Административното наказание „глоба“ или „имуществена санкция“, предвидено в б. „и“ на чл. 58, § 2 от регламента има санкционен характер и се прилага в допълнение към мерките по б. „а“ – „з“ и „й“ или вместо тях, т. е. изцяло от преценката на надзорния орган зависи дали да приложи спрямо конкретния случай някоя от посочените в б. „а“ – „з“ и „й“ принудителни административни мерки или да наложи глоба или имуществена санкция или да приложи и някоя от мерките по б. „а“ – „з“ и „й“ съвместно с налагането на административно наказание по б. „и“. При определяне на корективната мярка следва да бъде съобразена целта, която се преследва с налагането й и дали с изпълнението й тази цел ще бъде постигната. В конкретния случай КЗЛД е избрала да издаде само ПАМ, без да налага административно наказание на НАП като администратор на лични данни. Тази нейна преценка и извън обхвата на дължимия съдебен контрол-чл.169 АПК, а и съдът не може да изземе и да упражни за първи път правомощие, което КЗЛД не е упражнила с оспореното решение.
С оглед изложеното съдът счита, че оспореното решение е законосъобразен административен акт на всички изследвани основания по чл.146 от АПК, поради което неоснователната жалба се отхвърля.
Предвид изхода на спора и на основание чл.143, ал.4 АПК, ответникът има право на разноски, но не могат да му бъдат присъдени, поради липса на искане за това (чл.143, ал.4 и чл.81 ГПК, вр.чл.144 АПК).
Право на разноски има и ЗС Д. В. Ф. Ж. Б.-чл.143, ал.3 АПК, което е надлежно упражнено, като в о.с.з. на 18.01.2020. г. е поискано от съда присъждането им. Доказаните разноски са в размер на 500 лева-заплатено възнаграждение за защита, осъществена от един адвокат (чл.78, ал.1 ГПК, вр.чл.144 АПК) . При съобразяване с чл.78, ал.5 ГПК, вр.чл.144 АПК и чл. 8, ал. 3 от Наредба № 1 от 9.07.2004 г. за минималните размери на адвокатските възнаграждения, релевираното възражение на жалбоподателя за прекомерност на заплатеното от ЗС адвокатско възнаграждение е неоснователно. Така мотивиран, Административен съд София-град, ІІ-ро отделение, 23-ти състав:
Р Е Ш И:
ОТХВЪРЛЯ Жалба рег. индекс №ППН-02-507#27(19)/01.09.2020 г. на КЗЛД, подадена от Националната агенция по приходите срещу Решение № ППН-02-507/2019 от 18.08.2020 г. на Комисията за защита на личните данни, като неоснователна.
ОСЪЖДА Националната агенция по приходите, представлявано от Г. Д.- изпълнителен директор да заплати на Д. В. Ф. Ж. Б., ЛНЧ [ЕГН] сумата в размер на 500.00 /петстотин/ лева, разноски за първоинстанционното съдебно производство.
Решението може да бъде обжалвано с касационна жалба пред Върховния административен съд в 14-дневен срок от съобщаването му.
Решението да се съобщи на страните чрез изпращане на преписи от него по реда на чл.137 АПК.
СЪДИЯ: