Ето текстовете на още две решения на ВАС за теча на лични данни от НАП

„ … евентуалните вреди са причинени не от бездействие на НАП, а „от публичното оповестяване в интернет пространство на достъпените по неправомерен начин нейни данни, което е действие, опосредяващо нестъпването на крайния резултат“. Верно ли ли? Защо тогава не съдите тези, които публично оповестиха пътечката до данните?

На сайта на ВАС има още две решения по обжалваните от НАП дела:

РЕШЕНИЕ

№ 5646

София, 11.05.2021

В ИМЕТО НА НАРОДА

Върховният административен съд на Република България – Пето отделение, в съдебно заседание на седемнадесети февруари две хиляди и двадесет и първа година в състав:

ПРЕДСЕДАТЕЛ: З Ш                               ЧЛЕНОВЕ:   Д Ч                 Е Д

при секретар           М Д    и с участието на прокурора        Ч С

изслуша докладваното от съдията        Д Ч

по адм. дело № 12915/2020.

 

Производството е по чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба на Националната агенция за приходите (НАП) срещу част от решение №4978/25.09.2020 г., постановено по адм. д. 11174/2019 г. по описа на Административен съд-София-град (АССГ).

Касаторът обжалва съдебното решение като твърди, че е неправилно поради нарушение на материалния закон, съществени нарушения на съдопроизводствените правила и необоснованост – касационни основания за отмяна по смисъла на чл. 209, т. 2 и т. 3 от АПК. Изрично са наведени доводи за неправилно разпределение на доказателствената тежест, породено от липса на описание на твърдяното бездействието на НАП, което е трябвало да бъде определено от ищцата чрез описание на твърдяно като дължимо, но неизпълнено фактическо или правно действие; от НАП са ангажирани и са събрани по делото достатъчно писмени доказателства (които са анализирани подробно в касационната жалба) за всички относими към спора факти, поради което не е необходимо изслушването на съдебна експертиза относно състоянието на сигурност на информационната система на НАП; не е доказано противоправно поведение на НАП, респективно не е доказана причината за нерегламентирания достъп до личните данни на ищцата; не са доказани причинени преки вреди доколкото преживените неприятни емоции на ищцата не съставляват неимуществени вреди. Допълнително са изложени съображения, че липсва пряка причинно-следствена връзка между евентуалните вреди на ищцата и твърдяното бездействие на НАП, защото евентуалните вреди са причинени не от бездействие на НАП, а „от публичното оповестяване в интернет пространство на достъпените по неправомерен начин нейни данни, което е действие, опосредяващо нестъпването на крайния резултат“. С касационната жалба иска да бъде отменено съдебно решение в обжалваната му част и да бъде постановено друго, с което да бъде отхвърлен иска на Д. М. против НАП като неоснователен и недоказан. Изключително подробни съображения в подкрепа на твърденията и исканията са изложени в касационната жалба. Претендира разноски.

Ответната страна Д. М., редовно призована за съдебно заседание, не се е явила и не е изпратила представител, но е изразила становище за неоснователност на касационната жалба по подробни съображения в писмен отговор. Претендира разноски.

Прокурорът от Върховна административна прокуратура заявява становище за основателност на касационната жалба.

Върховният административен съд, пето отделение, намира, че касационната жалба като подадена от страна по делото, в срок е процесуално допустима, а разгледана по същество е неоснователна по следните съображения:

С решение №4978/25.09.2020 г., постановено по адм. д. 11174/2019 г. по описа на АССГ на основание чл. 79, §1 и чл. 82, §1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) е осъдена НАП да заплати на Д. М. сума в размер на 500 лв., представляваща обезщетение за неимуществени вреди, настъпили от неправомерното бездействие на ответника да изпълни задължението си да защити по сигурен начин данните на ищцата като физическо лице, позволило неоторизиран достъп и разкриване на личните данни на ищцата, оповестено публично на 15.07.2019 г., заедно със законната лихва върху тази сума, считано от 16.09.2019 г. (датата на подаване на исковата молба) до окончателното й изплащане като е отхвърлен иска до пълния предявен размер за разликата до 1000 лв., присъдени са разноски съобразно уважената и отхвърлената част от иска.

Предмет на касационен контрол е само частта от съдебното решение, с която е уважен иска. Административният съд е приел за установено, че НАП като администратор на лични данни по смисъла на чл. 4, т. 7 от Общия регламент относно защитата на личните данни, при изпълнение на функциите си да установява, обезпечава и събира публични вземания, събира и обработва лични данни на физически лица, включително и на ищцата Д. М.. За дейността като администратор на лични данни в НАП има утвърдена Политика по защита на личните данни в НАП, Политика по информационна сигурност на НАП, версия 3.0 от м. май 2016 г., Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри, наредено е да се внедри СУСИ по стандарт БДС ISO/IEC 27001:2006 в НАП и е изработена Методика за оценка на риска, версия 1.1, към м. ноември 2015 г. Решаващият съд е приел за установено, че въпреки тези мерки, лични данни на Д. М. (ЕГН и имена; данни от годишна данъчна декларация (чл. 41 от ЗОДФЛ) за 2006г. идентификационни данни като участник в административно-наказателно производство) са неправомерно разкрити поради нерегламентиран достъп на неизвестно лице, за което тя изрично е уведомена от НАП чрез SMS на неизвестна дата и чрез писмена справка, изходяща от НАП от 02.07.2020 г. Логически е обоснован извод, че уведомлението за неправомерно разкриване на личните данни на Д. М. е свързано с общоизвестния публично оповестен на 15.07.2019 г. факт за изтичане на информация от информационните масиви на НАП, съдържаща лични данни на общо 6 074 140 физически лица, от които 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица.

При тези писмени доказателства и липса на други (съдебна експертиза) АССГ е обосновал фактически извод, че предприетите от НАП в изпълнение на задълженията му като администратор на лични данни, мерки не са били достатъчни и подходящи за осигуряване на ниво на сигурност, съобразена с риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на гражданите. От това бездействие за ищцата са настъпили като пряка и непосредствена последица неимуществени вреди, изразяващи се в неудобство, притеснение и несигурност от накърняване на легитимните й очаквания спрямо държавата да осигури нейната лична и имуществена сигурност, което се установява от показанията на разпитаната по делото свидетелка. При определяне на размера на обезщетението първоинстанционният съд се е съобразил с практиката на Върховния касационен съд относно определянето на обезщетение за неимуществени вреди по справедливост с оглед обичайните вреди от изпитвани болки и страдания като е приел, че в конкретния случай Д. М. е претърпяла обичайните вреди в сходни ситуации на безпокойство, доколкото доказаният по-голям интензитет на притеснения е причинен и от друго лично травматично преживяване в същия период от време, поради което е уважен искът само за половината от претендираното обезщетение.

Съдът е възпроизвел съдържанието на писмо от 15.11.2019 г. на Комисията за защита на личните данни (КЗЛД/Комисията), според което Д. М. не е участник във висящо или приключило производство пред КЗЛД, но Комисията като национален надзорен орган по защита на личните данни е извършила проверка за изтеклата информация от информационните масиви на НАП, която е приключила с издаване на решение с разпореждане за прилагане на подходящи технически и организационни мерки и издаване на наказателно постановление за нарушение на чл. 32, § 1, б. „б“ от Общия регламент относно защитата на личните данни, но не е формирал изрични фактически и правни изводи от това доказателство.

Така постановеното съдебно решение е валидно, допустимо и правилно.

Касационната жалба не съдържа оплакване за нищожност и недопустимост на съдебното решение, но на основание чл. 218, ал. 2 от АПК касационната инстанция дължи служебна проверка, при която констатира, че не са налице основанията по чл. 209, т. 1 и т. 2 от АПК. Доводите в касационната жалба за неточно описание на фактите, от които се твърди, че са претърпени вреди не са свързват с аргументи за постановяване на решение по нередовна искова молба като основание за недопустимост, но и не се споделят от настоящата инстанция. Първоинстанционният съд е осъществил служебна проверка относно редовността на исковата молба и след направеното от ищцата уточнение на фактическите обстоятелства правилно е приел, че е сезиран с иск за обезщетение за неимуществени вреди, причинени от незаконосъобразно бездействие на администратор на лични данни, което е довело до неправомерно разпространяване на личните данни на физическо лице, причинило му неимуществени вреди. При тези факти, описани от ищцата, АССГ правилно определя правната квалификация на предявения процесуално допустим осъдителен иск.

Съдебното решение е постановено в законен състав след сезиране от заинтересовано лице с претенция за заплащане на парична сума, а искът е подсъден на административните съдилища с оглед произхода на твърдяното за съществуващо вземане на ищеца. Решението на КЗЛД и наказателното постановление на председателя на КЗЛД, за които е установено, че са предмет на контрол в други висящи съдебни производства без участието на ищцата, не представляват процесуална пречка по смисъла на чл. 39, ал. 4 от Закона за защита на личните данни (ЗЗЛД) за разглеждане на спора, с който е сезиран административния съд. В подкрепа на този правен извод са и разпоредбите на чл. 79, § 1 и чл. 82, § 1 от Общия регламент относно защитата на данни, практиката на Съда на Европейския съюз в сходни ситуации (Решение на Съда от 5 юни 2014 г. по дело Kone и др., С-557/12, ECLI:EU:C:2014:1317, Решение от 13 юли 2006 г. по дело Manfredi и др., C-295/04 до C-298/04, ECLI:EU:C:2006:461 и Решение от 20 септември 200 г. по дело Courage Ltd, С-453/99, ECLI:EU:C:2001:465 и др.) и на Върховния административен съд в идентични ситуации (определение № 3759/11.03.2020 г., постановено по адм. д. 2801/20 г., определение № 2492/17.02.2020 г., постановено по адм. д. 1796/2020 г. и мн. др.).

При правилно установена фактическа обстановка АССГ е обосновал законосъобразни правни изводи. В съответствие със събраните по делото доказателства административният съд е приел, че НАП като администратор на лични данни е осъществен фактическия състав на предявения иск с правно основание на чл. 79, § 1 и чл. 82, § 1 от Общия регламент относно защитата на данни, а именно бездействие за точно изпълнение на задълженията му по чл. 24 и чл. 32 от Общия регламент относно защита на данните, от което за физическото лице Д. М. са настъпили неимуществени вреди, изразяващи се в притеснения и безпокойство по повод неправомерното разкриване на нейни лични данни. Настоящият съдебен състав при условията на чл. 221, ал. 2, изр. второ от АПК изцяло споделя мотивите на първоинстанционния съд, които са в съответствие със събраните по делото доказателствата и приложимите правни норми.

Неоснователно е оплакването в касационната жалба за неправилно разпределение на доказателствената тежест в процеса, в резултат на което спорът е разрешен при неизяснена фактическа обстановка и неяснота относно обстоятелствата, в които се изразява бездействието на НАП без индивидуализирането му чрез конкретно фактическо или правно дължимо действие, което не е извършено. Според чл. 154 от ГПК всяка страна е длъжна да установи фактите, на които основава своите искания или възражения, като на основание чл. 153 и чл. 155 от ГПК на доказване подлежат спорните факти от значение за решаване на делото и връзките между тях, но не общоизвестните и служебно известните на съда факти, за които съдът е длъжен да съобщи на страните. Въз основа на тези доказателствени правила АССГ дава указания на НАП, че в негова тежест е да бъде установено, че мерките, които са предприети са в съответствие със задълженията на администратор на лични данни, произтичащи от Общия регламент за защита на данните и ЗЗЛД. Изрично, въпреки липсата на задължение за нарочни указания относно вида на допустимите доказателствени средства, в указанията пъровинстанционният съд посочва, че спецификата на подлежащите на доказване обстоятелства изискват специални знания, с които съдът не разполага, но процесуалният представител на НАП отказва да ангажира съдебна експертиза. По принцип съдът не дължи указания на страните при разпределение на доказателствената тежест в процеса, че ангажираните от тях доказателства не са достатъчни за установяване на фактите, за които тя се носи от тях. Въпреки това, в случая АССГ, с извършените процесуални действия, на практика насочва НАП, че писмените доказателства, които са представени по делото за установяване на предприетите от администратора на лични данни действия по законосъобразното им събиране, обработване и съхраняване не са достатъчни, за да се приеме изпълнение на законовите изисквания към тази дейност.

Независимо от положените усилия от решаващият съд за изясняване на делото от фактическа страна, по делото не са събрани доказателства, от които да се установява, че предприетите от НАП мерки са подходящите технически и организационни мерки с оглед естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, които чл. 24, §1 от Общия регламент за защита на данните задължава всеки администратор на лични данни да въведе, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента. Изрично следва да бъде посочено, че допълнително представените с касационната жалба писмени доказателства относно предприетите от НАП мерки не обуславят по смисъла на чл. 219, ал. 1 от АПК наличието на касационни основания за отмяна на съдебното решение, а само съществуването на още документи, които не са представени своевременно пред първата инстанция. Доколко техническите и организационни мерки, използвани от НАП в изпълнение на задълженията му на администратор на лични данни, са подходящи, т.е. извършено е законосъобразно действие по изпълнение на законово задължение, тежестта на доказване е на НАП и в този смисъл ответната страна в исковото производство трябва да опровергае твърдението на ищеца, че е налице незаконосъобразно бездействие. Освен изричното противопоставяне на НАП за събиране на различни от писмените доказателства относно адекватността на мерките за защита на обработваните лични данни, не е за пренебрегване и общоизвестния факт за изтичане на информация от информационните масиви на НАП, съдържаща лични данни на общо 6 074 140 физически лица, от които 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица, който е съобщен от НАП на компетентните органи (КЗЛД и Прокуратурата на Република България) като неправомерен. Действително извършването на нерегламентиран достъп като резултат не е еднозначно следствие и не доказва причината (извършител, използвани средства и техники), но отразява обективен факт, че подобно действие е допуснато т.е. не е предотвратено от взетите мерки и в известна степен разколебава твърдението, че са подходящи. Изрично трябва да бъде посочено, че съгласно чл. 24, § 1 от Общия регламент за защита на данните администраторът на лични данни трябва да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и взетите от него технически и организационни мерки с оглед естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. При необходимост от съпоставяне и оценка на множество специфични обстоятелства обосновано АССГ приема, че за доказването са необходими специални знания и умения, а на основание чл. 195, ал. 1 от ГПК в тези случаи се назначава вещо лице, защото не е възможно да се очаква от съдът да разполага и ползва свободно всички достижения на науката, изкуството, занаятите и други (особено в толкова високотехнологична дейност като информационната сигурност). Следователно при условията на пълно насрещно доказване НАП не е установила факта, който е в нейна тежест на доказване, а именно, че взетите от нея мерки са подходящите и по този начин обосновано АССГ приема за доказано твърдението на ищцата за бездействие от страна на НАП. Следователно администраторът не е възможно да се освободи от отговорност по смисъла на чл. 82, § 3 от Общия регламент за защита на данните, защото не доказва, че по никакъв начин не е отговорен за събитието, причинило вредата.

По изложените съображения са неоснователни и съображенията в касационната жалба за липса на доказателства за причината за нерегламентирания достъп до личните данни на ищцата доколкото този факт е извън фактите, които са в тежест на доказване на ищцата. Установяването на причината за нерегламентирания достъп представлява обстоятелство, на което администраторът на лични данни има възможност да се позове, за да се освободи от имуществена отговорност спрямо физическото лице като докаже, че взетите подходящи мерки не са били в състояния да я предотвратят, или да потърси регресна отговорност спрямо лицето, което е осъществило нерегламентирания достъп. В този смисъл неустановяването на причината за нерегламентирания достъп до личните данни на Д. М. не представлява неизясняване на спора от фактическа страна поради допуснато процесуално нарушение, респективно основание за отмяна на съдебното решение, а неустановяване на факт, освобождаващи от отговорност администратора на личните й данни.

В съответствие със събраните по делото доказателства и логическите връзки между тях е приетото за установено от АССГ наличие на пряка причинна връзка между невземането на подходящи мерки от страна НАП за защита на личните данни на Д. М. и изпитаните от нея притеснение и безпокойство. Медийното оповестяване на изтичането на информация от базите данни на НАП, съдържаща и лични данни на физически лица, не прекъсва причинната връзка между бездействието и настъпилите неимуществени вреди, доколкото на практика представлява средството за разбиране, че е извършено непозволено увреждане. Изрично следва да бъде посочено, че освен разпространяването на тази информация в публичното пространство на 15.07.2019 г. ищцата е уведомена лично чрез SМS и писмена справка за това точно кои нейни лични данни са неправомерно са разпространени като част от базата данни на НАП.

Обосновано и в съответствие с трайната съдебна практика в областта на непозволеното увреждане, АССГ приема, че изпитването на притеснения, тревога и безпокойство представляват неимуществени вреди, които подлежат на обезщетение. Не е възможно да бъде споделено обратното становище, че изпитването само на неприятни емоции от описания вид не е достатъчно, за да бъдат определени като неимуществени вреди, ако не са свързани с реален страх от реална заплаха от увреждане на имущество или не са довели до продължително психично разстройство (дълбока депресия). Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз (Хартата/ХОПЕС) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му данни. Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от тяхното гражданство или местопребиваване, да са съобразени с техните основни права и свободи, и по-конкретно — с правото на защита на личните им данни. В този смисъл всяко нарушение спрямо основно право трябва да се разглежда като особено съществено. Причиняването на усещане за тревога от нарушената сигурността на защитимото благо (личните данни) е достатъчно, за да се ангажира отговорност на лицето, което има задължение да я гарантира и да не позволи нарушения на гарантирани от европейското право основани права.

Настоящият съдебен състав намира за справедлив определения размер на дължимото обезщетение, който е съобразен с обстоятелството, че ищцата не е изпитала изключителна степен на неприятни душевни преживявания, поради което за нея е възникнало право на обезщетение в обичайния размер за подобни случаи, определен съобразно жизнения стандарт в страната.

По изложените съображения и на основание чл. 221, ал. 2, изречение второ от АПК, настоящият съдебен състав приема, че обжалваното решение на АССГ е валидно, допустимо и правилно като не са налице наведените в касационната жалба основания, поради което следва да бъде оставено в сила.

По водене на делото пред касационната инстанция Д. М. не е направила разноски, но е представлявана от адвокат при условията на чл. 38, ал. 2 във връзка с ал. 1, т. 3 от Закона за адвокатурата, поради което с оглед изхода на спора в полза на процесуалния представител трябва да бъдат определени разноски в размер на 100 лв. Другите разноски, описани в списъка по чл. 80 от ГПК, приложен към писмения отговор на касационната жалба, са присъдени от първата инстанция, поради което искането на адв. С. Ю. за присъждане на още едно адвокатско възнаграждение и държавна такса се явява неоснователно.

По тези съображения, Върховният административен съд, пето отделение,

РЕШИ:

ОСТАВЯ В СИЛА решение №4978/25.09.2020 г., постановено по адм. д. 11174/2019 г. по описа на Административен съд-София-град в обжалваната му част.

ОСЪЖДА Националната агенция за приходите, гр. София, бул. „Княз Дондуков“ № 52 да заплати на адв. С. Ю., гр. София, [адрес] сумата 100 (сто) лева, адвокатско възнаграждение за пред касационната инстанция.

РЕШЕНИЕТО не подлежи на обжалване.

 

РЕШЕНИЕ

№ 5635

София, 11.05.2021

В ИМЕТО НА НАРОДА

Върховният административен съд на Република България – Пето отделение, в съдебно заседание на осемнадесети февруари две хиляди и двадесет и първа година в състав:

ПРЕДСЕДАТЕЛ: А Д        ЧЛЕНОВЕ:   И С     Т К

при секретар           Николина Аврамова       и с участието на прокурора В Й

изслуша докладваното от съдията        И С      по адм. дело № 12799/2020.

 

Производството е по реда на чл. 208 – 228 от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба, подадена от С. Г. чрез процесуален представител срещу решение № 5037 от 29.09.2020 г., постановено по административно дело № 11312/2019 г. от Административен съд София-град (АССг), с което е отхвърлен предявеният от него иск в размер на 1000 лв. за нанесени му неимуществени вреди в периода 15.07.2019 г. до 16.09.2019 г. (датата на предявяване на иска) от незаконосъобразно бездействие на Националната агенция за приходите. По наведени доводи за неправилност на решението, като неправилно на всички основания по чл. 209, т. 3 АПК се иска отмяната му и постановяване на ново по съществото на спора, с което предявеният от него иск бъде уважен. Претендира присъждане на деловодни разноски по приложен списък.

Ответникът по касационната жалба – Национална агенция за приходите (НАП), чрез процесуален представител и в представен от последния писмен отговор оспорва същата и моли съда да постанови решение, с което да я отхвърли като неоснователна.

Прокурорът от Върховната административна прокуратура дава мотивирано заключение за неоснователност на касационната жалба.

Върховният административен съд (ВАС), състав на Пето отделение при извършената служебно проверка на атакуваното решение по реда на чл. 218, ал. 2 АПК и предвид наведените в касационната жалба доводи, приема за установено следното:

Обжалваното решение е валидно и допустимо – постановено е от компетентен съд след предявен иск по реда на чл. 203, ал. 2 във вр. с ал. 1 АПК от лице, имащо право на защита по чл. 79, §. 1 от Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (Регламента), като съгласно § 2 на цитирания текст производствата се образуват пред съдилищата в държавата – членка, в която администраторът или обработващият лични данни има място на установяване. В тази насока е и разпоредбата на чл. 39 ЗЗЛД, предвиждаща, че при нарушаване на правата му по Регламента и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс, като в това производство субектът на данни (какъвто е ищеца) може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни.

Неоснователен е наведеният довод за постановяване на решението при допуснати нарушения на съдопроизводствените правила.

С разпореждания от 18.11.2019 г. и от 20.05.2020 г. първоинстанционният съд е указал на страните доказателствената тежест, която имат в това производство, същите са били надлежно представлявани в хода му и са имали възможност да защитят правата си в пълен обем.

Съдът е изяснил спора по същество, като в хода на развилото се пред него исково производство е събрал и обсъдил представените от страните писмени и гласни доказателства, въз основа на които е установил правилно установената по делото фактическа обстановка, а именно, че ответника – НАП е администратор на лични данни, който в това му качество е обработвал лични данни на ищеца. Установено е и обстоятелството, че на 15.07.2019 г. е огласена по общодостъпен начин информация за това, че от електронните масиви на НАП неправомерно е била изтеглена информация с голям обем, съдържаща лични данни за множество български граждани, при осъществен неоторозиран достъп до базата данни на НАП и неразрешено разкриване, за което няма спор между страните.

По отношение на жалбодателя е установено със справка от НАП, че е осъществен неоторозиран достъп и разкриване на неговите имена, ЕГН, данни от данъчна декларация за облагане с патентен данък (по чл. 43 ЗОДФЛ) за 2003 г., идентификационни данни за лице от подадена декларация за дължими данъци по чл. 55, ал. 1 от ЗДДФЛ и чл. 201, ал. 1 от ЗКПО за 2013 г., които попадат в категорията лични данни по определението на чл. 4, т. 1 от Регламента, за което също няма спор между страните.

По делото са представени доказателства за предприетите от НАП организационни мерки в изпълнение на задълженията си в качеството си на администратор на лични данни по смисъла на § 1, т. 2 от ДР ЗЗЛД във вр. с чл. 4, т. 7 от Регламента по чл. 59, ал. 1 от Закона за защита на личните данни (ЗЗЛД) и аналогичните такива, предвидени в чл. 24 от Регламента , като са представени утвърдени Политика по информационната сигурност на НАП от 2016 г. и Политика по защита на личните данни в НАП, утвърдени от Изпълнителния директор на НАП. Представена е и заповед на Изпълнителния директор на НАП от 15.10.2018 г., с която в изпълнение на изисквания на Наредбата за общите изисквания за мрежова и информационна сигурност са утвърдени указания за разработване, попълвани и/|или зареждане с данни на образци на документи и приложения, утвърдени въз основа на ЗНАП и други указания във връзка с обозначаване и работа с информацията, попълване на образи и др.

Липсват обаче доказателства относно предприетите от НАП технически мерки, предвидени в цитираните по –горе разпоредби на ЗЗЛД и Регламента, предвиждащи – при отчитане естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, респективно на Регламента, като и в двата случая е предвидено е предвидено, че при необходимост тези мерки се преразглеждат и актуализират.

По делото е разпитан един свидетел, който е установил, че ищецът след установяване на факта, че личните му данни обработвани от НАП са огласени, въз основа на получено от НАП кратко текстово съобщение е имал притеснения относно възможни измами при използване на тези данни с оглед характера на работата, макар да не е имал притеснения, че ще бъде отвлечен в следствие на това.

В решението си първоинстанционният съд е изложил подробно установената с доказателства фактическа обстановка, въз основа на която е формирал изводите си, като същите са изложени подробно и аргументирано.

Решението е неправилно като постановено при неправилно приложение на материалния закон.

От доказателствата по делото безспорно е установено, че правата на субекта на лични данни – ищеца по делото са били нарушени при обработката им от администратора НАП, който при неосигуряване на технически мерки, гарантиращи защитата на личните му данни е допуснал широкото им огласяване, при което Г. е изпитал притеснения свързани с евентуалното им неправомерно използване – възможни измами.

Изложеното обосновава извод за настъпило непозволено от ЗЗЛД и Регламента увреждане на ищеца, в качеството му на субект на лични данни от администратора на същите – неизпълнение на задълженията му посочени по-горе по чл. 24 от Регламента и чл. 59, ал. 1 ЗЗЛД да предприеме подходящи технически мерки за защитата им, съобразени с отчитане естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, а още по-малко предвидените допълнителни такива в чл. 32 от Регламента, в случая настъпилите в правната сфера на ищеца неимуществени вреди произтичат от бездействието на администратора в тази насока. Като администратор на лични данни по смисъла на чл. 4, § 7 от Регламента при обработването на тези данни НАП е следвало да спазва принципите за законосъобразност и добросъвестност по чл. 5, § 1, б. „а“ и б. „е“ – същите да бъдат обработвани по начин, гарантиращ подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически и организационни мерки. В случая безспорно установения факт на изтекла информация от сървърите на НАП на 15.07.2019 г. в следствие на неоторизиран достъп безспорно обуславя извод за наличие на бездействие на НАП да осигури надеждност и сигурност на личните данни, при което в случая е осъществено нарушение на сигурността им по смисъла на чл. 4, §12 от Регламента. Обстоятелството, че е извършена хакерска атака – осъществен неправомерен достъп до информационната система на НАП обуславя еднозначен извод, че не са предприети необходимите технически мерки за защитата на личните данни на ищцата, тъй като ответникът в качеството му на администратор на лични данни има задължението периодично да преценява техническата надеждност и да осигури високо ниво на сигурност, а неизпълнението на това задължение води до извод, че противоправното му бездействие е довело до увреждане на лицата, чийто лични данни са обработвани от него.

Ето защо, макар правилно в обжалваното решение да е прието, че в случая е налице бездействие от страна на администратора на лични данни по отношение на осигуряване на подходящи и адекватни технически мерки за защитата на обработваните от него лични данни, неправилно искът е приет за неоснователен, предвид нормативно установеното правило, че всеки и длъжен да поправи вредите, които е причинил.

Настоящият състав намира, че в случая предявеният иск е такъв по чл. 82, § 1 от Регламента, който предвижда, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди и с оглед на установеното по-горе е основателен.

Неимуществените вреди са неизмерими с пари и затова следващото се за тях обезщетение, се определят на принципа на справедливостта.

Неоснователен е наведеният довод, че установените по делото като вид и интензитет неимуществени вреди, не следва да бъдат обезщетява, тъй като не е установено по делото ищецът да е преживял силен стрес и не е установен размера на имуществото, което притежава. Неотносими към предмета на спора са наведените доводи, че за злоупотреба с лични данни е необходимо трети недобросъвестни лица да разполагат освен с тях и със съответните идентифициращи документи, доколкото в случая искът е с правно основание чл. 82, § 1 от Регламента и твърдените вреди са в пряка причинна връзка с бездействие на органа да осигури технически защитата на личните данни, обработвани от него и подлежат на обезщетяване.

В конкретния случай, предвид установените като вид и интензитет претърпени неимуществени вреди от ищеца, които следва да бъдат обезщетени, настоящият състав намира, че справедливият размер на дължимото обезщетение е в размер на 200 лв.

Така изложеното обосновава извод, че обжалваното решение е неправилно и следва да бъде отменено, вместо което следва да бъде постановено ново, с което НАП в качеството й на администратор на лични данни следва да бъде осъдена да заплати на С. Г. обезщетение за нанесени неимуществени вреди в размер на 200 лв. на основание чл. 82, ал. 1 и ал. 2 от Регламента, а предявеният иск за разликата над 200 лв. до пълния му предявен размер от 1000 лв. следва да бъде отхвърлен като неоснователен и недоказан.

При този изход на делото и при своевременно направено искане за присъждане на деловодни разноски администрацията на ответника следва да бъде осъдена да заплати на ищеца, съобразно уважената част на иска деловодни разноски в размер на 3 лева, представляващи съответната част на заплатената от него държавна такса общо в размер на 15 лв. – 10 лв. за първа инстанция и 5 лева за касационната инстанция, а на адвокат С. Ю. – възнаграждение в размер на 60 лв., представляваща съответната част, съобразно уважената част от иска от възнаграждението, определено по реда на чл. 8, ал. 1, т. 2 от Наредба №1 от 09.07.2004 за минималните размери на адвокатските възнаграждения.

По изложените съображения и на основание чл. 221, ал. 2 АПК, Върховният административен съд, Пето отделение

РЕШИ:

ОТМЕНЯ решение № 5037 от 29.09.2020г., постановено по административно дело № 11312/2019 г. от Административен съд София-град, вместо което ПОСТАНОВЯВА:

ОСЪЖДА Националната агенция за приходите да заплати на С. Г., с ЕГН [ЕГН] на основание чл. 82, ал. 1 от Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) обезщетение в размер на 200 (двеста) лева.

ОТХВЪРЛЯ предявения от С. Г. иск за разликата над уважения до пълния му предявен размер от 1000 лв. като неоснователен.

ОСЪЖДА Националната агенция за приходите да заплати на С. Г., с ЕГН [ЕГН] деловодни разноски в размер на 3 (три) лева.

ОСЪЖДА Националната агенция за приходите да заплати на адвокат С. С. – Ю., гр.София, [адрес] хонорар в размер на 60 (шестдесет) лева.

Решението е окончателно.

Можете да споделите: