Ето текста на поредното произнасяне на ВАС за теча на лични данни от НАП

Според съда първоинстанционното решение остава в сила, защото е „обосновано, постановено в съответствие с материалния закон и при липса на съществени нарушения на съдопроизводствените правила“

На сайта на ВАС беше публикувано решение по едно от обжалваните от НАП дела:

РЕШЕНИЕ

№ 5587

София, 10.05.2021

В ИМЕТО НА НАРОДА

Върховният административен съд на Република България – Пето отделение, в съдебно заседание на седемнадесети февруари две хиляди и двадесет и първа година в състав:

ПРЕДСЕДАТЕЛ: М М                  ЧЛЕНОВЕ: З Ш  Д Ч

при секретар З Б и с участието на прокурора Т М изслуша докладваното от председателя М М по адм. дело № 12911/2020.

Производството по делото е образувано на основание чл. 208 и сл. от Административнопроцесуалния кодекс/АПК/ по касационна жалба на Национална агенция по приходите /НАП/, със седалище град София, чрез изпълнителния си директор Галя Димитрова, против решение № 4981/25.09.2020 година, постановено по адм. дело № 11258/2019 г. на Административен съд София-град /АССГ/.

Оплакванията в касационната жалба са за неправилност на решението, като постановено при съществено нарушение на съдопроизводствените правила, нарушение на материалния закон и необоснованост – отменителни основания по чл. 209, т.2 АПК.

Ответната страна- К. С., чрез пълномощника си адв. С. Ю. е депозирала писмен отговор на касационната жалба, със становище за нейната неоснователност.

Представителят на Върховната административна прокуратура дава мотивирано заключение за основателност на касационната жалба и неправилност на оспореното решение.

Касационната жалба е подадена в срока по чл. 211, ал.1 АПК, и от страна с правен интерес от оспорването, поради което е процесуално допустима.

Разгледана по същество, същата е НЕОСНОВАТЕЛНА, по следните съображения:

Предмет на разглеждане пред АССГ е предявен иск с правно основание чл. 82, ал.1 от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета, разгледан по реда на чл. 203 от АПК във вр. чл. 39, ал.2 Закона за защита на личните данни /ЗЗЛД/ и чл. 1, ал.1 от Закона за отговорността на държавата за вреди /ЗОДОВ/, като се претендира обезщетение за неимуществени вреди в размер на 1000 лева, настъпили от неправомерното бездействие на НАП да изпълни задължението си да защити по сигурен начин данните на ищцата като гражданин, станало причина да бъде допуснат пробив в информационната система на НАП, довело до публичното разкриване на личните данни на ищцата.

АССГ е приел за установено от фактическа страна, че поради нерегламентиран достъп на неизвестно лице, публично оповестен на 15.07.2019 г., е изтекла информация от информационните масиви на НАП, съдържаща лични данни на общо 6 074 140 физически лица, от които 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица. Съгласно представена по делото извадка от получен SMS, от дата 05.08.2019 г., до ищцата К. С., тя е уведомена, че: „НАП: По заявка номер 6394 ИМА неправомерно разкрити лични данни“. Не е посочен телефонният номер, на който е получен SMS. От справка на НАП от 02.07.2020 г. е видно, че са разкрити лични данни, които включват ЕГН и имена. По делото са приети писмени доказателства, от които се установява, че след изтичането на лични данни от информационните масиви на НАП, последната е информирала за това Софийска градска прокуратура и Комисията за защита на личните данни. Със заповед № ЗЦУ-746/25.05.2018 г. на изпълнителния директор на НАП е утвърдена политика по защита на личните данни в НАП. Утвърдена е Политика по информационна сигурност на НАП, версия 3.0 от м. май 2016 г. Утвърдена е Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1, към чл. 24, ал.2 от Инструкцията, служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения. Със заповед № ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС I./I. 27001:2006 в НАП. НАП е изработила Методика за оценка на риска, версия 1, към 17.06.2016г., като със заповед № ЗЦУ1436/15.10.2018г. на изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл.10, ал.1, т.5 и т.7 от ЗНАП“, „Указания за обозначаване и работа с информация“, „Указания за попълване на образци на процедура“, „Указания за попълване на образеца на инструкция“ и други.

Първоинстанционният съд е установил, че в Комисията за защита на личните данни /КЗЛД/ не е налице висящо или приключило производство, инициирано от ищцата. Установено е също така, че в хода на извършена от страна на КЗЛД проверка за изтеклата информация от информационните масиви на НАП, е прието, че при осъществяване на дейността си, НАП в качеството си на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица, в различен обем.

За така установеното, председателят на КЗЛД е издал НП против НАП за нарушение на чл. 32, § 1, б. „б“ от Общия регламент относно защитата на личните данни. НП не е влязло в сила, предвид оспорването му пред СРС.

Отделно от това, предвид констатирани нарушения, с решение № ППН-02-399/22.08.2019 г. по описа на КЗЛД, на НАП е издадено и разпореждане за предприемане на подходящи технически и организационни мерки. Решението е оспорено пред АССГ, като е образувано адм. дело №10477/2019 г., което е висящо и не е приключило с окончателен съдебен акт.

При така обсъдените доказателства, АССГ от правна страна е приел иска за допустим и частично основателен, като е присъдил на ищцата обезщетение за неимуществени вреди в размер на 500 лева.

Касационната инстанция приема за безспорна установената от първоинстанционния съд фактическа обстановка, както и изложените правни изводи.

По допустимостта на иска.

Обосновани са правните изводи на АССГ относно допустимостта на предявения иск. Съдът се е съобразил с непротиворечивата практика на ВАС, /например определение, постановено по адм.дело № 1796/20 година, а много други в същия смисъл/. Съгласно чл. 79, параграф 1 и чл. 82, параграф 1 от Общия регламент относно защитата на данни без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент като ако е претърпял материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Процесуалният ред за реализирането на това право на защита се определя от националното законодателство на всяка държава-членка. В българското законодателство обезщетението за вреди, причинени от органи на държавата и общините при или по повод изпълнение на административна дейност се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на АПК с препращане за неуредените въпроси към ЗОДОВ и ГПК.

По отношение на предявения иск пред АССГ, следва да са налице следните предпоставки за разглеждането му от АССГ, които той правилно е приел за установени:

  1. Право на иск – което представлява правомощие на определени лица / надлежни страни/ да възбудят чрез иск производство по разрешаване на конкретен правен спор със сила на присъдено нещо и отговарящо на това право задължение на съда да разреши този конкретен спор, посочен в иска /виж проф. Ж. Сталев – Българско гражданско процесуално право -издателство на СУ „Св. Климент Охридски“-1994 г.- стр 172/. Аналогично в административното право се има предвид производство по решаване на конкретен административноправен спор от съд, със сила на присъдено нещо. Конкретно в производствата по обезщетения по реда на Глава единадесета от АПК- Производства за обезщетения /чл. 203 и сл./, в които се разглеждат исковете за обезщетения за вреди, причинени на граждани или юридически лица от незаконосъобразни актове, действия или бездействия на административни органи и длъжностни лица, предпоставките за допустимост на иска са: наличие на незаконосъобразен акт, действие или бездействие, вреда и причинна връзка между тях. С предявения иск се претендира обезщетяване на вреди, нанесени от национален административен орган по повод прилагане на Общностното право, който е допустим с оглед приоритета на ЕС /виж Административен процес – проф. Кино Лазаров и проф. Иван Тодоров, издателство Сиела, 2016 г., стр.376/.
  2. Втората предпоставка, която е отрицателна, е регламентирана като изискване в чл. 39, ал.4 ЗЗЛД, която предвижда, че субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По делото този факт е установен по безспорен начин и по него страните не спорят, че ищцата не е упражнила правото си на защита по друг процесуален ред. Следва да се отбележи, че наличието на други административни/съдебни производства без нейно участие не могат да обусловят процесуална пречка за ефективно упражняване на нейното лично право на достъп до съд, гарантирано от Общия регламент за защита на личните данни.

Също така за прецизност ВАС счита, че ЗЗЛД не създава специални процесуални правила за защитата пред съд. По своите характеристики чл. 39, ал. 1 от ЗЗЛД представлява препращаща правна норма, с която се установява един единствен процесуален ред за отговорността на всички администратори на лични данни независимо от тяхната правосубектност и притежавани качества (публични органи или частноправни субекти).

  1. Третата предпоставка е съществуващ процесуален ред за реализиране 13.05.2021 г. Решение №5587 на гарантираното право, който е определен от разпоредбите на Глава единадесета от АПК и чл. 1, ал.1 от ЗОДОВ.

В тази връзка следва да се посочи, че СЕС, в решение по дело С-536/11 г. е посочил следното: „Съдът вече е уточнил, че тъй като член 101, параграф 1 ДФЕС има непосредствено действие в отношенията между частноправните субекти и поражда права за страните в процеса (Решение от 13 юли 2006 г. по дело Manfredi и др., C-295/04—C-298/04, Recueil, стр. I-6619, точка 39 и цитираната съдебна практика), би било поставено под въпрос полезното действие на забраната, установена в тази разпоредба, ако не е възможно всеки да иска да бъдат поправени вредите, които евентуално е претърпял от договор или поведение, който/което може да ограничи или наруши конкуренцията (Решение по дело Courage et Crehan, посочено по-горе, точка 26); Както обаче следва от постоянната съдебна практика, националните юрисдикции, натоварени с прилагането в рамките на своята компетентност на разпоредбите на правото на Съюза, следва не само да гарантират пълното действие на тези норми, но и да защитават правата, които те предоставят на частноправните субекти (вж. в този смисъл Решение от 9 март 1978 г. по дело Simmenthal, 106/77, Recueil, стр. 629, точка 16, Решение от 19 юни 1990 г. по дело Factortame и др., C-213/89, Recueil, стр. I-2433, точка 19, Решение по дело Courage и Crehan, посочено по-горе, точка 25 и Решение по дело Manfredi и др., посочено по-горе, точка 89); Така, от една страна, правото на всяко лице да иска поправяне на вредата, която евентуално е претърпяло от договор или поведение, който/което може да ограничи или наруши конкуренцията в нарушение по-специално на член 101, параграф 1 ДФЕС, укрепва действието на правилата на Съюза в областта на конкуренцията, доколкото може да възпре сключването на споразумения и следването на практики, най-често скрити, които могат да ограничат или нарушат конкуренцията, като по този начин се допринася за поддържането на ефективно равнище на конкуренция в Европейския съюз (вж. в този смисъл Решение по дело Courage и Crehan, посочено по-горе, точки 26 и 27, Решение по дело Manfredi и др., посочено по-горе, точка 91 и Решение по дело Pfleiderer, посочено по-горе, точка 28); От друга страна, това право представлява ефикасна защита срещу вредоносните последици, които всяко нарушение на посочения член 101, параграф 1 може да произведе спрямо частноправните субекти, доколкото позволява на лицата, претърпели вреда поради посоченото нарушение, да искат пълна компенсация не само на действително претърпяната вреда вреда (damnum emergens), но и на пропуснатите ползи (lucrum cessans), както и плащането на лихви (вж. в този смисъл Решение по дело Manfredi и др., посочено по-горе, точка 95); При липсата на правна уредба на Съюза по този въпрос във вътрешния правен ред на всяка държава членка трябва да се определят процесуалните правила относно съдебните производства, предназначени да гарантират защитата на правата, които страните в процеса черпят от непосредственото действие на правото на Съюза“.

В решение на СЕС от 29 юли 2019 година по дело С-40/17 година, с предмет преюдициално запитване по тълкуване на разпоредби от Директива 95/46/Е № на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободно движение на тези данни/, която е отменена и заменена, считано от 25 май 2018 г. с Регламент / ЕС/2016/679, изрично се посочва, че: “ една от заложените в Директива 95/46 цели е да се осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни (вж. в този смисъл решения от 13 май 2014 г., Google Spain и Google, C-131/12, EU:C:2014:317, т. 53 и от 27 септември 2017 г., Puskar, C-73/16, EU:C:2017:725, т. 38). В съображение 10 от нея се уточнява, че сближаването на приложимите в тази област национални законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Съюза (решения от 6 ноември 2003 г., Lindqvist, C-101/01, EU:C:2003:596, т. 95, от 16 декември 2008 г., Huber, C-524/06, т. 50, от 24 ноември 2011 г., Asociacion Nacional de Establecimientos Financieros de Credito (ASNEF) и Federacion de Comercio Electronico y Marketing Directo (FECEMD), C-468/10 и C-469/10, т. 28).;

Същевременно Съдът е уточнил, че Директива 95/46 съдържа правила, които са относително общи, тъй като трябва да се прилага за голям брой много различни случаи. Тези правила се характеризират с известна гъвкавост и в много случаи оставят на държавите членки грижата за приемане на подробна уредба или за избор на някоя от възможностите, така че държавите членки в много отношения имат свобода на действие при транспонирането на посочената директива (вж. в този смисъл решения от 6 ноември 2003 г., Lindqvist, C-101/01, EU:C:2003:596, т. 83, 84 и 97 и от 24 ноември 2011 г., Asociacion Nacional de Establecimientos Financieros de Credito, C-468/10 и C-469/10, EU:C:2011:777, т. 35). ; Това важи за членове 22—24 от Директива 95/46, които, както отбелязва генералният адвокат в точка 42 от заключението си, са формулирани общо и не извършват изчерпателна хармонизация на националните разпоредби, отнасящи се до възможната съдебна защита срещу предполагаемия извършител на посегателство срещу защитата на личните данни (вж. по аналогия решение от 26 октомври 2017 г., I, C195/16, EU:C:2017:815, т. 57 и 58); По-специално, член 22 от тази директива действително изисква държавите членки да предвидят правото на всяко лице на съдебна защита за всяко нарушение на правата, гарантирани му от националното право, приложимо към въпросното обработване на лични данни, но посочената директива не съдържа никаква разпоредба, уреждаща конкретните условия за упражняване на това право на съдебна защита (вж. в този смисъл решение от 27 септември 2017 г., Puskar, C-73/16, EU:C:2017:725, т. 54 и 55).“

По основателността на иска:

Касационната инстанция споделя изложените правни изводи на АССГ за частична основателност на предявения пред него иск.

Правилно първоинстанционният съд е приел, че материалноправното основание на предявения по делото иск се съдържа в разпоредбите на чл. 79, ал.1. Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент. и чл. 82, ал.1 и 2: 1. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. 2. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.“ от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

Неправилно първоинстанционният съд е обсъждал разпоредбите на чл. 45, чл. 59, чл.64, чл. 66, чл.67 и чл. 68 от ЗЗЛД, тъй като тези норми се намират в Глава осма от закона, която регламентира правилата за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, и поради това са неотносими към настоящия правен спор. Това обаче не рефлектира върху правилността на решението, предвид правилно определеното правно основание на иска с относимите разпоредби от Европейското право.

Предметът на доказване по чл.82 от Общия регламент изисква следните задължителни елементи:

  1. Наличие на материална или нематериална вреда ;
  2. Доказано нарушение на Регламент /ЕС/ 2016/679.
  3. Причинна връзка между претърпяната вреда и нарушението на Регламента.

Първоинстанционният съд е обосновал наличието и на трите елемента за доказаване на предявения иск. Касационният състав изцяло споделя разпределението на доказателствената тежест на страните, извършено от АССГ, който е приложил разпоредбите на чл.154, ал.1 ГПК, вр. чл.204, ал.5 АПК, всяка страна е длъжна да установи фактите, на които основава своите искания или възражения. Обосновано е прието, че по отношение на първия елемент от фактическия състав на предявения иск /бездействие на орган или длъжностно лице на НАП да защити по сигурен начин данните на ищеца, изразяващи се в неизпълнение на задълженията му по чл.24и чл.32 от Общия регламент/, което ищецът оспорва преюдициално в исковото производство, той е в положението на ищец по отрицателен установителен иск.

Ищецът следва да установи наличието на свое защитимо право, засегнато от правния спор, като докаже фактите, от които то произтича. Единствено ответникът ще е длъжен да доказва изпълнението на действията, дължими от ответника по силата на посочените от ищеца законови норми, обезпечаващи защитимото право на ищеца. Ищецът ще се задоволи само с възраженията си, че такова изпълнение не е осъществено /Тълкувателно решение № 8 от 27.11.2013 г. на ВКС по тълк. д. № 8/2012 г., ОСГТК/. Съдът е е разпределил доказателствената тежест между страните, като по отношение установяването на първия елемент от фактическия състав на предявения иск е указал на ответника, че за установяване изпълнението на задълженията му са необходими специални знания от специалност „киберсигурност“, с които съдът не разполага, и му е дал възможност да формулира задачи за вещото лице по допусната служебно СТЕ.

Ответникът /касатор в настоящето производство/ обаче с молба от 06.07.2020 г. изрично е отказал да формулира задачи към вещо лице. Поради това с определение от 09.07.2020 г. АССГ е отменил определението си за допускане извършването на СТЕ от вещо лице със специалност „киберсигурност“. Като се е позовал на изричния отказ на касационния жалбоподател /ответник в първоинстанционното производство/, АССГ е изложил съображения в насока, че „администраторът на лични данни“ не е установил, че извършените от него действия /за които са представени само писмени доказателства/, са били подходящи технически за осигуряване на съобразено с риска ниво на сигурност на личните данни на ищцата. Процесуалното поведение на администратора е основание да се приеме от АССГ, че е установен първият елемент от фактическия състав на предявения иск – бездействие за точно изпълнение на задължението по чл.59 ЗЗЛД и чл.32 от Общия регламент относно защита на данните, а именно приложени от администратора на лични данни подходящи технически мерки за осигуряване на ниво на сигурност, съобразено с риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица.

Касационната инстанция намира разпределението на доказателствената тежест на страните за правилно определена от съда. Неговите изводи следват от разпоредбата на чл.82, ал.3 от Общия регламент, съгласно която „Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“. Нормата е ясна и не се нуждае от тълкуване, а именно тежестта на доказване, при възражение за освобождаване от отговорност за причинени вреди в резултат на нарушаване на регламента, което има за последица неосигуряване на неприлагане на подходящи технически и организационни мерки, за да докаже че обработването на личните данни се извършва в сътоветствие с настоящия регламент, е на администраторът и обработващия лични данни.

Процесуалният способ за доказване правилно е определен от съда като доказване при отрицателен установителен иск в гражданското съдопроизводство. Понеже са насочени към разрешаване на един и същ правен спор, делата по двата иска са тъждествени. И при двата иска разпределението на доказателствената тежест е едно и също. То обаче зависи от не от ролята на ищец или ответник, която страната има по делото, а от нейното отношение към спорното право: дали я твърди, че то съществува, или отрича неговото съществуване./виж проф. Ж. Сталев – Българско гражданско процесуално право -издателство на СУ „Св. Климент Охридски“-1994 г. – стр. 184/.

Обосновани са мотивите и по отношение на втория и третия елемент от фактическия състав на предявения иск /неимуществена вреда и пряка причинно-следствена връзка между бездействието и вредата/. Прието е, че след като е накърнено основно право на ищцата, като физическо лице при обработването на личните й данни от ответника като администратор-неприложени от администратора на лични данни подходящи технически мерки за осигуряване на ниво на сигурност, съобразено с риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, което е направило възможно пробива в информационните масиви на НАП, ищцата е изпитала неудобства, чувствала се е притеснена и несигурна. Накърнени са легитимните й очаквания спрямо държавата за сигурност в личната и имуществената й сфера, предвид общодостъпната информация за възможни злоупотреби с личните й данни в момента на разкриването им и за в бъдеще. По делото е разпитана свидетелката И. М., която е установила, че когато ищцата е получила SMS-са от НАП за нерегламентиран достъп до личните й данни, без да са конкретизирани, тя се е притеснила за собствения си имот, който са закупили миналото лято с кредит.

Притеснението е продължило във времето, като тя била по-угрижена от обичайното. Като е обсъдил доказателствата по делото, включително и сведетелските показания ,АССГ правилно е приел, че при установяване на този вид обичайни неимуществени вреди не бива да се изхожда само от формалните, външни доказателства и да се приеме обратното и да се изисква формално пълно доказване на причинените неимуществени вреди, изразяващи се притеснението от всевъзможни бъдещи евентуални злоупотреби с личните данни на ищцата, означава да се отрече необходимостта от защитата на обществените отношения, свързани с обработването на лични данни, дадена с Общия регламент и ЗЗЛД.

Съдът се е позовал и за приложима по аналогия практиката по чл. 2 ЗОДОВ /Решение №63/18.03.16 г. на ВКС, ГК, ІІІ о. и решения, към които то препраща: № 480 от 23.04.2013 г. по гр. д. № 85/2012 г. на ІV Г.О. на ВКС и № 165 от 16.06.2015 г. по гр.д. № 288/2015 г. на Трето ГО на ВКС./, като е посочил, че възприетото в т. ІІ от ППВС № 4 от 23.12.1968 г. разрешение по въпроса за определянето на неимуществените вреди по справедливост не може да означава преценка по усмотрение на съда, която почива само на абстрактните представи на решаващия орган, тъй като тогава мотивите не биха могли да бъдат контролирани от по-горестоящата инстанция. Затова съдът трябва да посочи конкретни факти, които според него са установени по делото и обосновават размера на неимуществените вреди. Това не означава, че при спецификата на непозволеното увреждане по чл.1 от ЗОДОВ е необходимо ищецът да докаже всички факти и обстоятелства, отразяващи се на неимуществените вреди. Когато се твърди причиняване на болки и страдания над обичайните за такъв случай, то тогава тези болки и страдания трябва изрично да бъдат посочени в исковата молба и да бъдат доказани. Такива по делото не са доказани и с оглед на това са изложени мотиви, че с ненадлежното изпълнение, представляващо бездействие да се изпълнят точно задълженията за защита на личните данни, довело „нарушение на сигурността на лични данни“- нарушение на сигурността, което води до „неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин“, неизменно се причиняват вреди, които се изразяват в емоционални и психически терзания на личността.

Правилни са и изводите, че въпросът дали това неразрешено разкриване е станало възможно от успешно проведената хакерска атака и дали тя осъществява състав на престъпление е ирелевантен по делото. Изложени са съображения, че не може да се приравнява априори настъпилия противоправен резултат на противоправно бездействие на ответника, а следва да бъдат съобразени процесуалните последици от непроведеното от него успешно пълно доказване на надлежно изпълнение на задължението му за сигурност на обработването. Ирелевантен за спора и е доводът за наличие на висящо производство пред АССГ срещу решение на КЗЛЛ, предвид липсата на идентичност на предмета на двете производства, както на преюдициалност на прозиводството пред регулаторния орган и претенцията за обезщетение, предявена пред съда.

Законосъобразен е изводът на първонистанционния съд за основателност на претенцията за обезщетение за обичайните неимуществени вреди от бездействието на ответника да изпълни задължението си да защити по сигурен начин данните й като физическо лице, без да са нужни формални, външни доказателства за установяване на тези обичайни вреди, тъй като те настъпват винаги в резултат от нарушаването сигурността на данните. Размерът на обезщетението е определен съобразно стандарта на живот, при недоказаност на вреди над обичайните. При съобразяване с естеството на увреждането и стандарта на живот / вкл.минимално установената работна заплата за страната за 2019 г.-560 лева/, съдът е приел за справедливото обезщетение за причинените обичайни 500 лева и е уважил иска иска до този размер, а в останалата му част- до пълния му предявен размер от 1000 лева-искът е отхвърлен.

Тези изводи се споделят от касационната инстанция по изложените от АССГ правни изводи.

Предвид на изложеното, решението като обосновано, постановено в съответствие с материалния закон и при липса на съществени нарушения на съдопроизводствените правила, следва да бъде оставено в сила.

Съобразно изхода на спора и направеното искане за присъждане на разноски от пълномощника на касационната ответница, на същата следва да бъдат присъдени разноски за касационната инстанция, представляващи адвокатско възнаграждение. В договора за правна помощ е посочено, че договореното възнаграждение е безплатно на основание чл. 38, ал.1, т.3 , предложение второ от Закона за адвокатурата – защита на близки или на друг юрист и на това основание са поискани от съда. Съдът определя възнаграждението в размер не по-нисък от предвидения в наредбата по чл. 36, ал. 2 и осъжда другата страна да го заплати. Минималният размер на адвокатското възнаграждение е регламентиран в Наредба 1/2004 година за минималните размери на адвокатските възнаграждения, като приложимата разпоредба е тази на чл.8, ал.1, т.1 (Нова – ДВ, бр. 84 от 2016 г.), съгласно която за процесуално представителство, защита и съдействие по административни дела с определен материален интерес до 100 лева е 300 лв. Съобразно уважената част от иска в размер на 500 лева, дължимото се адвокатско минимално възнаграждение е 150 лева. С оглед на това касаторът следва да бъде осъден да заплати на ответницата разноски в размер на 150 лева.

Воден от горното и на основание чл. 221, ал.2 АПК, Върховният административен съд, пето отделение,

Р Е Ш И:

ОСТАВЯ В СИЛА решение №4981/25.09.2020 година, постановено по адм.дело №11258/2019 г. на Административен съд София-град.

ОСЪЖДА Национална агенция по приходите, със седалище град София, да заплати на К. С., чрез пълномощника й адв. С. Ю. от САК, разноски по делото в размер на 150 /сто и петдесет/ лева.

РЕШЕНИЕТО не подлежи на обжалване.

Можете да споделите: