Решение по адм. дело №191/2025 на Административен съд - Добрич

Производството е по чл. 203, ал. 1 от Административно-процесуалния кодекс (АПК), във вр. с чл. 82, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (наричан по-нататък Общ регламент относно защитата на данните или OPЗД) и чл. 39, ал. 2 от Закона за защита на личните данни (ЗЗЛД).

Образувано е по искова молба на М. Р. Г.-Г., [ЕГН], от гр. Добрич, ул. „Аврора” № 13, с която на основание чл. 39, ал. 2, ЗЗЛД, претендира от „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД с [ЕИК], адрес на управление гр. София, Р-н „Младост”, „Бизнес парк”, сграда 6 вреди, които понесла за периода от 25.01.2023 г. до 21.08.2023 г. от злоупотребата с личните ѝ данни от служител на ответното дружество, в качеството му на оператор на лични данни, които вреди претендира в размер на общо 10 000 лева.

В исковата молба се твърди, че в периода от 25 до 27.01.2023г. служител на ответника „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД с имена З. Н. е предоставил на непознато за ищцата лице, личните ѝ данни в резултат на което, ищцата и семейството ѝ били подложени на психически тормоз по телефона, на заплахи за здравето и живота им. Същото лице подавало множество жалби в полиция, Отдел закрила на детето към ДСП Добрич, ГД БОП София и други институции.

Подала жалба до администратора на лични данни „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД, от където била уведомена, че след извършена вътрешна проверка, въпросният техен служител бил уволнен, като ѝ предложили за обезщетение мобилен телефонен апарат на стойност до 1500.00лв. Ищцата не приела това предложение. Опитала да уреди извънсъдебно спора като отправила предложение до администратора на лични данни за разумно обезщетение, но последния не се съгласил, с което мотивира наличие на правен интерес от предявяване на иска.

Твърди, че с Решение № ППН-01-244/2023 г. от 05.03.2025 г. на КЗЛД - гр. София жалбата ѝ срещу процесния ответник е обявена за основателна за нарушение на чл. 32 §4 от Регламент ЕС 2016/679, като в хода на производството пред КЗЛД - гр. София е представена като доказателство екранна разпечатка, от която е видно, че са разпространени личните ѝ данни в обем от три имена, единен граждански номер и постоянен адрес, които безспорно представляват лични данни по смисъла на Регламента. В хода на производството пред КЗЛД - гр. София безспорно се установило, че личните ѝ данни в обем от три имена, единен граждански номер и постоянен адрес са неправомерно предоставени на трето лице, различно от администратора, обработване в хипотезата на неправомерно разпространяване от служител на ответното дружество - З. И. Н..

Налага доводи, че в следствие на неправомерното предоставяне на нейните лични данни на трето лице са ѝ били нанесени множество неимуществени вреди, изразяващи се в страх, безпокойство, психически тормоз по телефона, пускане на множество жалби срещу нея и семейството ѝ и образуване на преписки. По подаден сигнал от третото лице на НТЛД 116111, разполагащо с личните ѝ данни в обем от три имена, единен граждански номер и постоянен адрес, предоставени му от лице, обработващо лични данни - служител на администратора „ЕЙЕТТЕЛ БЪЛГАРИЯ“ ЕАД Дирекция Социално подпомагане с вх. № 357000-2133/09.03.2023 г. сезира РП Добрич и срещу нея и съпруга ѝ е образувана пр. пр. №1269/2023 г. по описа на РП Добрич. В хода на образуваната проверка тя и съпруга ѝ били разпитвани в ОД на МВР - гр. Добрич. Социален работник от Социално подпомагане Добрич, отдел „Закрила на детето“ ги посещавал в дома им, провеждани били беседи с тях и детето им. Образуваната прокурорска преписка била прекратена поради липса на извършено престъпление от тяхна страна, но самото разследване продължило повече от половин година. През този период ищцата и съпруга ѝ живеели в страх и притеснение да не им бъде отнето детето. В следствие на целия този ужас, потърсила помощ от психиатър и ѝ били изписани антидепресанти.

Ответникът „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД, гр. София, чрез процесуалния си представител, оспорва допустимостта на иска, без да излага конкретни съображения в тази насока. Оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни на своите клиенти, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от неправомерно поведение на техния служител, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за наличие на причинна връзка между изтеклите лични данни на ищцата и твърдените неимуществени вреди. Оспорва наличието на настъпили неимуществени вреди по размер и интензитет. Поддържа доводи за полагане на достатъчно грижа и прилагане на ефективни мерки за защита на сигурността на личните данни. В тази връзка налага твърдения за липса на акт, в който да е описано и доказано, че е налице организационна и техническа уязвимост в структурите на оператора и че тази уязвимост е предпоставила и улеснила извършването на неоторизирания достъп в условията на причинно – следствена връзка. Сочи, че не са налице доказателства, че с разкритата информация е използвана злонамерено спрямо личността на засегнатите лица, поради което не е имало причини за основателни съмнения и страхове у ищцата.

Представителят на ОП - Добрич изразява становище за основателност и доказаност на исковата претенция и пледира съдът да присъди обезщетение за претърпените от ищеца неимуществени вреди в размер, определен по справедливост.

Добричкият административен съд, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено следното от фактическа страна:

С Решение № ППН-01-244/2023 г. от 05.03.2025 г. на КЗЛД - гр. София (л. 7-15) е обявена жалба с рег. № ППН-01-244/28.03.2023 г., подадена от М. Р. Г. - Г. срещу „Йеттел България“ ЕАД за основателна за нарушение на чл. 32, §4 от Регламент ЕС 2016/67. В мотивите си КЗЛД е приела, за установено, че служителят на дружеството З. И. Н., с телефона си прави снимка на вътрешна система за обслужване на клиенти „Ретеншъл“, която снимка съдържа лични данни на ищцата, клиент на дружеството, с което последният нарушава вътрешните правила на дружеството, етичния кодекс на „Йеттел България“ ЕАД и правилата за боравене с лични данни, което представлява и нарушение на Регламент (ЕС) 679/2016. Тази информация е била установена и от администратора чрез проведено вътрешно разследване. Предвид характера и вида на нарушението, обстоятелството, че от „Йеттел България“ ЕАД са предприели последващи действия Комисията е счела, че е целесъобразно да бъде отправено официално предупреждение до администратора по смисъла на чл. 58 §2, б. „б“ от Регламента, а не да бъде налагана имуществена санкция. Поради това, предвид основателността на жалбата на основание чл. 58 §2. б. „б“ от Регламента, КЗЛД е отправила официално предупреждение на „Йеттел България“ ЕАД.

От приложената на л. 41 от делото Заповед № 8040/14.02.2023 г. за прекратяване на трудов договор № 9435/13.10.2022 г. е видно, че е прекратено трудовото правоотношение между ответника и З. Н..

Видно е от приложените на л. 42 – 51 от делото електронно подписана от служителя Длъжностна характеристика за позиция „Продавач – консултант“ към трудов договор № 9435/13.10.2022 г. и Електронно подписана от служителя Декларация за обработване на лични данни и Разпечатка от вътрешната електронна система за проведено на служителя З. Н. обучение за защита на личните данни на потребителите от 19.10.2022 г, че Н. е преминал успешно обучението и теста на администратора за работа с лични данни на 19.10.2022 г.

От приложените по делото Становище от „Йеттел България“ ЕАД по писмо на КЗЛД изх. № ППН-01-244/2 от 17.07.2023 г. ведно с 6 броя снимки, снети от записите от осъществявано видеонаблюдение в обект и Екранна снимка от записите от осъществявано видеонаблюдение на заснетите с телефон лични данни на ищцата от вътрешната електронна система (л. 52 – 58) се установява, че на 24.01.2023 г. ищцата се е обадила на центъра за обслужване на клиенти на Дружеството и се е оплакала, че служител на ответното дружество на име З. Н. е направил и е дал екранна снимка, на която се съдържат нейни лични данни, с която същата е заплашвана в социални мрежи, както и че въпросната снимка й е била изпратена в „месинджър“. В последващ разговор между ищцата и служителя на ответника тя му е свела, че екранната снимка е получена от фалшив профил в социалната мрежа и е била придружена от съобщението „още не смятам да ти дойда на гости“, целта на съобщението към екранната снимка е неизвестна и неясна. Уведомила го е, че тя се намира в град Добрич, но се съмнява, че човекът, който й е изпратил съобщението е от Стара Загора. По повод оплакването на ищцата е образувано вътрешно разследване 020/2023, съгласно Местно ръководство „Провеждане на вътрешни разследвания относно инциденти по сигурността“, в рамките на което се установило, че на 22.12.2022 г. в диапазона от 13.17-13.25 часа, потребител zinaydenov, който принадлежи на служителя на дружеството - З. И. Н., е достъпил данни за номер +359*********, принадлежащ на клиент М. Р. Г.. Търсенето е било изпълнено в системата за подновяване на клиентски договори по критерий мобилен номер (+359*********). В интервала от 13.19-13.20 ч. служителят Н. получава съобщение по приложение за незабавна комуникация, прочита го, след което въвежда цифри в Customer Retention System, снима с телефона получения резултат и изпраща снимката отново чрез приложение за незабавна комуникация. Установено е още, че по време на извършване на посочените действия пред служителя Н. няма клиент от женски пол. При прегледа на изпратената от ищцата екранна снимка ясно се вижда профила й, както и името на потребителя, който е бил вписан в системата (З. Н.). Също така се вижда, че търсенето на клиента в Customer Retention System е направено по мобилен номер, което кореспондира с информацията, съдържаща се в системните записи.

При така установеното от служителите на ответното дружество е направено заключение, че с действията си служителят З. И. Н. е извършил грубо нарушение на вътрешните правила, етичният кодекс на Дружеството и правилата за боравене с лични данни. В тази връзка, на 31.01.2023 година служител от отдел „Обслужване на клиенти“ е провел разговор с ищцата, с който е уведомил ищцата, че от проведената вътрешна проверка действително е установено нарушение на правилата отстрана на служител на Дружеството, както и че са предприети са действия по наказване на отговорния служител, като са взети мерки, с които да се предотврати повтаряне на нарушението. Предложил е безплатно устройство по избор на ищцата, като знак на извинение. Първоначално на ищцата е предложено същото да бъде на стойност до 1 000 лева, но в рамките на разговора ограничението на стойността е отпаднало, предвид казаното от ищцата, че устройство на такава стойност няма да я успокои. Направена е уговорка за последващ разговор през следващия ден. Съгласно уговорката, на 01.02.2023 година служителят от отдел „Обслужване на клиенти" се е обадил на ищцата, за да разбере дали е взела решение по отправеното предложение, като в рамките на този разговор, тя е изразила готовност за сключване на споразумение, за да не подава жалби до комисиите за защита на потребителите и на личните данни, но е споделила, че не иска телефон, а обезщетение от 10 000 лева, предвид размера на санкциите.

Към отговора на ответника са приложени местно ръководство Вътрешни правила за обработване на лични данни на „Йеттел България“ ЕАД, Сертификат Система за управление на сигурността на информацията съгласно ISO/IEC 27001:2013 и Сертификат Система за управление на неприкосновеността на личните данни съгласно ISO/IEC 27701:2019 (л. 59 – 130). От същите се установява, че дружеството -ответник поддържа системи, свързани със сигурността на информацията, а именно: Система за управление на сигурността на информацията съгласно ISOIEC 27001:2013 и система за управление на неприкосновеността наличните данни ISO/IEC 27001:2019. Системите са сертифицирани със сертификат № 44 121 15 32 0104, валиден от 05.11.2018 г. до 04.11.2021 г, сертификат № 44 121 15 32 0104, валиден от 25.04.2022 г. до 04.1 1.2024 г. и сертификат № 34 277 22 0008N, валиден от 25.04.2022 г. до 04.11.2024 г.

По делото е изискана и представена ПП № 1269/2023 г. по описа на РП Добрич (л. 147 – 241). От съдържанието на същата се установява, че на 09.02.2023 год. на НТЛД 116 111 в бил получен сигнал за дете в риск от психическо и нравствено развитие, вследствие на разпространение на незаконно и вредно съдържание в интернет от страна на родителите (л. 208 – 210). Подател на сигнала била Д. С., която съобщила, че родителите на детето З. Г. - М. Г. Г. и Р. Г. от гр. Добрич, администрирали социални групи в приложение „Телеграм“, където разпространявали порнографски материали, сред които имало и изображения, за създаването на които били използвани лица, изглеждащи на възраст под 18 години. В групите снимковият материал се публикувал открито или се изпращал на лично съобщение. С. посочила, че в резултат на подаден сигнал към компетентните органи преди около 2 месеца снимковото съдържание било отстранено от интернет пространството, но в последните няколко дни забелязала нови публикации във връзка с което се обърнала към ГДБОП. Изказала съмнения, че М. Г. се занимавала с проституция, извършва на в собственото им жилище.

Било извършено проучване на сигнала от социален работник което бил проведен разговор с подателя му, извършено било посещение на адреса и разговор с родителите на детето, като подадената информация не била потвърдена и сигналът бил приключен без да бъде отворен случай по него (л. 200 -204 и 163-167). Писмо, ведно с препис на сигнала и изготвения доклад във връзка с проучване на сигнала бил изпратен в ОД на МВР-Добрич за извършване на проверка по компетентност, по повод на което била образувана ПП № 1269/2023 г. по описа на РП Добрич. Писмо, ведно с препис на сигнала било изпратено от Държавна агенция за закрила на детето до ГДБОП, МВР, където била заведена преписка вх.№ 26600-3357/20.02.2023 год.

В хода на извършената проверка по ПП били снети подробни сведения на М. Р. Г.-Г., съпругът й М. С. Г. и Д. С., приложена била информация от ОД на МВР-Добрич, PC-Добрич, РС-Стара Загора, ГДБОП, МВР. От събраната информация се установило следното: Д. С. и М. Г.-Г. се запознали в социална мрежа „Фейсбук“ преди около 5 години и започнали да комуникират там, както и по телефон. Срещнали се веднъж, когато Д. С., заедно с приятеля си Б. А. и сина ѝ С. С. посетили гр. Добрич за един ден. В сведенията си Д. С. посочила, че М. Г.- Г. била създала групи в приложение за комуникация „Телеграм“ – „BG AMATEURS“, „БГ КУЧКИ“ и била администратор на същите, в които публикувала порнографски материали. Посочила, че били публикувани и снимки на лица, които видимо нямали навършени 18 години. Посочила, че по повод тези публикации, С. написала съобщение в групите, че възнамерява да сигнализира компетентните органи, след което била блокирана. Посочила, че подала сигнал до „Киберпрестъпност“, както и до АСП, ДСП, отдел Закрила на детето - гр. Добрич, тъй като предполагала, че детето на М. Гълчавова-Г. може да попадне на тези материали (да ги види на телефон или компютър, ползван от М.Гълчавова-Г.). Посочила още, че М. Гълчавова-Г. работела като компаньонка и имала публикувани обяви в интернет платформа alo.bg. С. посочила, че не разполагала с публикуваните снимки и клипове с порнографско съдържание, тъй като те били изтрити, а в последствие и тя била блокирана и нямала достъп до групите, в които били публикувани (л. 206). В сведенията си М. Г.-Г. (л. 168, 169) и М. Г. (л. 171,172) категорично отрекли да ползват приложение за комуникация Телеграм както и да са създавали и публикували свои или на други неприлично съдържание в някое приложение или интернет платформа. Посочили, че известно време след като се срещнали със С., тя започнала да отправя обидни и нецензурни спрямо М. Г.-Г., да й отправя закани за причиняване на телесни повреди, както и срещу физическата неприкосновеност на сина й, който към настоящия момент бил на 9 години, (че „социалните ще ѝ го отнемат“, че тя и приятелят ѝ „ще ѝ го вземат“), да им иска парични суми. Заявили, че сменили телефонните си номера, но С. ги узнала и продължила да им звъни. Посочили, че от С. били информирани, че тя имала няколко деца от различни мъже и имала проблеми с тези мъже. Споделила, че имала проблеми със социалните служби в Стара Загора и предполагала, че това било в резултат на сигнал на М. Г.- Г.. М. Г.-Г. заявила, че не се притеснявала за себе си, а за детето си. М. Г. посочил, че няколко пъти през годините се случвало приятелят на С. - Б. А. да му звъни, като му говорел неприлични и нецензурни неща. Притеснявал се за съпругата си и детето си. И двамата заявили, че желаели С. и А. да престанат да се занимават със семейството им. В снети сведения Д. С. отрекла тя или Б. А. да са отправяли каквито и да било заплахи към сем. Господинови, вкл. към детето им, както и да е искала парични суми от тях (л. 178,179).

За установяване на спорните по делото обстоятелства по делото бе разпитан свидетеля М. С. Г., съпруг на ищцата. С показанията си същият установява, че от ответното дружество са изтекли личните данни на жена му. Последвали множество проверки от институции, от МВР, от „Закрила на детето“, защото тези данни служител на „Йеттел“ ги бил предоставил на трето лице Д., което се е възползвало от това и после подавало сигнали към МВР и към други институции. Жена му се запознала с това трето лице в социалните мрежи. Не знае точно какви пререкания са имали. Виждали се веднъж с тях. По късно Д. започнала да я заплашва – „ще ти отнема детето“ и т.н., но до изтичането на данните нямала данни за това къде живеят и за ЕГН на жена му. Единствено знаела първото ѝ име. Според свидетеля Д. е използвала служителя на „Йеттел“, тъй като нямало другаде от къде Д. да има личните данни на жена му. В резултат жена му изпаднала в нервни кризи. Звънял им служител от „Закрила на детето“ и им казал, че е подаден сигнал, че жена му използвала нецензурни клипове с детето. После последвали проверки от „Закрила на детето“, следствие на това те подали сигнал в МВР. МВР били длъжни да ги разследват. Установило се, че това не е вярно. Не само жена му, но и той и детето им били засегнати Не можели да му обяснят защо социалния работник идва и го разпитва защо мама не го гледа. Не знаели как да му обяснят. На всичко отгоре, когато се обадила жената от „Закрила на детето“, те пътували за Варна. Жена му била с абсцес. На 06.02.2023 г. ѝ била направена операция в клиника Т. във Варна. Точно на този ден се обадили от „Закрила на детето“. Прибрала се с шевовете, не можела да ходи, била разстроена и щяло да припадне. Последвали лечения при лекари, антидепресанти, какво и други лекарства. Все още не можела да се съвземе. Било ужасно. Бяха пуснати проверки и от НАП, защото Д. разполагала с личните данни на жена му, благодарение на „Йеттел“. Жена му коренно се променила. Тръгнали по психолози, психиатри, защото я изкарали, че е некадърна майка. Тя не излизала никъде. Затворила се. Спряла да общува с много хора. Трудно им било да обяснят на дете трети клас защо му се задават такива въпроси.

Въз основа на така установените факти и обстоятелства съдът достигна до следните правни изводи:

Процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ "Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК. Затова съдът приема, че предявеният иск е процесуално допустим. Същият черпи правното си основание от разпоредбите на чл. 79, ал. 1, чл. 82, § 1 от ОРЗД във връзка с чл. 39, ал. 2 ЗЗЛД. ЗЗЛД не създава специални процесуални правила за защитата пред съд и по своите характеристики чл. 39 ЗЗЛД представлява препращаща правна норма, с която се установява процесуален ред за отговорността на всички администратори на лични данни независимо от тяхната правосубектност и притежавани качества, съответно дали те са публични органи или са частноправни субекти. Тази разпоредба не се различава от общите правила, съдържащи се в АПК относно защитата срещу актове, действия или бездействия на административни органи, включително и тези по Глава единадесета на АПК "Производства за обезщетение".

Исковата молба е подадена от лице с активна процесуална легитимация и съдържа твърдения за вреди, причинени от незаконосъобразни действия, представляващи неправомерно обработване на лични данни от страна на администратор на лични данни, какъвто безспорно е „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД, обуславящи допустимостта на иска и компетентността на нас­тоящия Съд да го разгледа, съгласно специалната разпоредба на чл. 39, ал. 1 и, ал. 2 ЗЗЛД. Предвид липсата на спор, а и предвид приложените по делото Решение на КЗЛД (л. 7-15) и писмо от КЗЛД (л. 16), следва да се отбележи, че е изпълнена и другата предпоставка за допустимост на иска по чл. 39, ал. 4 ЗЗЛД, а именно липсата на висящо производство пред КЗЛД за същото нарушение, респ. нейното решение относно това нарушение да е обжалвано и да няма влязло в сила решение на съда.

Предявеният иск е доказан по основание и частично основателен по размер.

Между страните по делото няма спор, че вследствие нерегламентиран достъп до информационните масиви на ответното дружество, осъществен от неговия служител З. И. Н. на 22.12.2022 г., неправомерно са разкрити и предадени на трето лице личните данни на ищцата - ЕГН и адрес.

В изпълнение на указанията на съда, ответникът е представил множество писмени доказателства, с които да докаже, че е предприел всички мерки за защита на личните данни на неговите клиенти и че в качеството си на администратор, обработващ лични данни, по никакъв начин не е отговорен за събитието, причинило вреди, както и че приложените от него мерки за сигурност по чл. 32 ОРЗД (Общия регламент за защита на данните) са подходящи.

Разпоредбата на чл. 82, § 2 ОРЗД определя, че администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях. Разпоредбата ясно сочи, че фактическият състав на отговорността по чл. 82, § 2 ОРЗД е идентичен с фактическия състав на отговорността по чл. 1, ал. 1 ЗОДОВ и включва доказване на: нарушение на правата на субекта на данни в резултат на обработване на личните му данни, което не е в съответствие с регламента; причинена материална или нематериална вреда; причинна връзка между нарушението на правата по регламента и причинената вреда.

При решаването на спора следва да се има предвид, че чл. 5, § 2 ОРЗД въвежда принцип на отчетност, по силата на който администраторът носи отговорност за спазването на принципите, свързани с обработването на лични данни, закрепени в параграф 1 от чл. 5, и предвижда, че посоченият администратор трябва е в състояние да докаже, че тези принципи са спазени.

В случая исковата претенция се основава на незаконосъобразно поведение на служител на ответното дружество, при което е допуснато предоставяне на личните данни на ищцата към трето лица. По този начин са нарушени разпоредбите на чл. 24 и чл. 32 ОРЗД и чл. 59, ал. 1 ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 ЗЗЛД. Следователно предпоставка за ангажиране на отговорността на ответника е установяване на незаконосъобразността на твърдяното от ищеца бездействие, т. е. че предвидените мерки за защита на данните не са били достатъчни.

В случая е безспорно, че „Йеттел България” ЕАД осъществява дейности по обработване на лични данни, необходими за осъществяване на търговската му дейност и обслужване на клиентите му.

В качеството си на администратор на лични данни „Йеттел България” ЕАД следва да прилага подходящи технически и организационни мерки и съгласно чл. 59, ал. 1 ЗЗЛД, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. При необходимост тези мерки се преразглеждат и актуализират.

Същото задължение се съдържа и в чл. 24, като и в чл. 32 ОРЗД където са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. "е" ОРЗД – цялостност и поверителност на данните.

Следователно отговорността на ответника произтича от специфичния характер на дейността му по обработване на лични данни, включваща създаване, поддържане и актуализация на базата данни, както и архивиране и съхраняване на съдържащата се в тях информация и контролирания достъп до нея. Като юридическо лице, което е администратор на лични данни и е длъжно да следи тази дейност да бъде изпълнявана в съответствие с нормативно установените изисквания, то носи отговорност за вредите от незаконните действия и/или бездействия на включените в състава му органи и служители при извършване на дейността по чл. 1, ал. 1 ЗОДОВ във вр. с чл. 82, § 1 от ОРЗД.

В случая е безспорно, че вследствие на незаконосъобразното поведение на служител на ответника, е осъществено неправомерното разкриване на лични данни на ищеца и предоставянето им на трето лице. Изтичането на информация от базите данни на „Йеттел България” ЕАД в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1, т. 4 ДР на ЗЗЛД, вр. чл. 4, т. 2 ОРЗД, в т. ч. правото на защита на личните им данни.

По делото е безспорно установено неправомерно изтичане от информационната система на дружеството в следствие на неправомерен достъп на личните данни на ищцата. Следователно е доказано твърдението ѝ за наличието на нарушено нейно право – на защита на личните ѝ данни от администратора на тези лични данни, което право е накърнено от неправомерния достъп до тези данни и предоставянето им на трето лице.

С оглед чл. 82, параграф 3 ОРЗД, предвиждащ че администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда.

В т. 3 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС изрично е посочено, че принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи.

Настоящият съдебен състав приема, че отговорните служители на „Йеттел България” ЕАД не са приложили подходящи технологии и мерки за защита, затова системата не е била достатъчно защитена и нейната уязвимост е довела до нерегламентирания достъп до личните данни на ищцата.

Ответникът не ангажира доказателства, за да докаже, че е приложил подходящи организационни и технически мерки за осигуряване на нивото на риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Представените доказателства за предприети действия макар да установяват наличието на предприети адекватни действия за предотвратяване изтичането на данни – система за управление на сигурността на информацията съгласно ISOIEC 27001:2013 и система за управление на неприкосновеността наличните данни ISO/IEC 27001:2019, не са били достатъчни да предотвратят изтичането на данните на ищцата. Безспорно и безсъмнено се установи че изтичането на данните е в резултат от поведението на служителя на „Йеттел България” ЕАД. Освен това част от мерките касаят времето след "изтичането" на данните и не доказват, че взетите преди то да се случи мерки са били ефективни и подходящи. Ако информационната системата на дружеството беше ефективно и надеждно защитена, респ. методите за подбор на надежден персонал бяха достатъчни, то не би се стигнало до изтичането на данните на ищцата.

Затова съдът приема за недоказано твърдението на ответника, че той по никакъв начин не е отговорен са събитието, довело до неправомерно разкриване на лични данни.

Обстоятелството, че с решението на КЗЛД не е предвидена административнонаказателна отговорност за ответника не може да се разглежда като факт изключващ отговорността на „Йеттел България” ЕАД за събитието. Липсата на ангажирана административнонаказателна отговорност е поради наличие на множество смекчаващи обстоятелства, предприетите последващи мерки и инцидентния характер на изтичането, а не поради доказана в производството пред КЗЛД липса на отговорност за неправомерно поведение.

Неоснователни са доводите на ответника, че вредите са причинени от неправомерното поведение на З. И. Н.. Правно ирелевантно е обстоятелството, че изтичането на лични данни е в резултат от правонарушение или престъпление, извършено от трето лице, след като дружеството е отговорно за събитието. Това е установено изрично при тълкуванието на член 82, § 3 от ОРЗД дадено в т. 74 от решението на СЕС по дело С-340/21, а именно: "С оглед на всички гореизложени съображения на четвъртия въпрос трябва да се отговори, че член 82, параграф 3 ОРЗД следва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от "трета страна" по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.". Още повече, че лицето е причинило изтичането на данните З. И. Н. не е трета страна, а е служител на администратора, който действа под ръководството му. Съгласно разпоредбата на чл. 29 §1 от Регламент (ЕС) 2016/679, същият се явява лице, действащо под ръководството на администратора или обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора. С Решение на Съда (трети състав) от 11 април 2024 г. по дело C-741/21 (преюдициално запитване от Landgericht Saarbrücken — Германия) —GP/juris GmbH е прието, че Член 82 от Регламент 2016/679 трябва да се тълкува в смисъл, че за да бъде освободен от отговорност съгласно член 82, параграф 3 от същия регламент, не е достатъчно администраторът да посочи, че процесните вреди са причинени от неизпълнение от страна на лице, което действа под негово ръководство, по смисъла на член 29 от този регламент.

Правно значимо в случая е обстоятелството, че „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД като субект, обработващ лични данни, е задълженото лице, носещо отговорност за тяхната защита. Наличието на одобрени процедури, правила, политики, инструкции, указания и методики не опровергава извода, че е била нарушена сигурността на обработваните данни, след като те са били разкрити и предоставени на трети лица.

С оглед на изложеното съдът приема, че е налице първата предпоставка за ангажиране на отговорността на „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД, представляваща незаконосъобразно бездействие по предприемане на необходимите мерки и ефективни средства за защита, произтичащи от задълженията по чл. 59, ал. 1 ЗЗЛД, чл. 24 и чл. 32 ОРЗД, вследствие на което е възникнал противоправният резултат, изразяващ се в нерегламентиран достъп и неразрешено разкриване на лични данни на ищцата.

Наличието на втората предпоставка от състава на чл. 82, § 1 ОРЗД, а именно – наличие на претърпени неимуществени вреди също бе установено от ищцата. Посредством пълно и главно доказване същата съумя да установи както вида и тежестта на вредите, така и техния интензитет и отражението им върху нейното здравословно и душевно състояние.

От доказателствата по делото и показанията на разпитания по делото свидетел се установява безспорно, че действително М. Р. Г. е имала опасения и притеснения, тъй като е получила съобщение от анонимно лице с екранна снимка на личните ѝ данни. Съобщението с екранната снимка е получено от фалшив профил в социалните мрежи и е била придружена от съобщение „още не смятам да ти дойда на гости“, което безсъмнено е в състояние да породи достатъчно силни опасения в ищцата, свързани със заплахи за здравето и телесната цялост на нея и близките ѝ.

Установи се, че разкриването на лични данни е предизвикало тревоги и притеснения у ищцата, които представляват неимуществени вреди, без оглед на това дали реално е последвала злоупотреба с разкритите данни. Видът и степента на засягане на личната сфера на лицето имат значение само за размера на обезщетението. Съдът приема, че е налице причинна връзка между преживяванията на ищцата и бездействието на ответника (неизпълнение на задължения), довело до разкриване на лични данни. Притесненията и тревогите са следствие на това, че данните на ищеца са на разположение на трето лице. Което чрез социалните мрежи отправя заплахи към ищцата и нейното семейство. Причиняването на усещане за тревога от нарушената сигурност на защитимите блага е достатъчно, за да се ангажира отговорност на лицето, което има задължение да я гарантира. Негативните емоции и психически дискомфорт, който изпитвал всеки средностатистически на емоционално ниво човек от подобни заплахи, а и дори само поради опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство.

По делото не бе установено кое е лицето оправило заплахите към ищцата. Съобщението от социалните мрежи е било анонимно, поради което тезата на ищцата, че това е била Д. С. е недоказана. По делото липсват каквито и да е доказателства, че именно на С. са били предоставени личните данни на ищцата от служителя на дружеството З. И. Н.. Показанията на разпитания по делото свидетел – съпруг на ищцата в тази насока също се изградени на базата на неговите лични предположения, предвид развилите се техни отношенията със С., но не и на конкретни данни и преки впечатления.

Поради това съдът намира, че по делото не се установи причинна връзка между изтичането на данните от оператора – ответник и образуваните по сигналите на Д. С. проверки от Отдел „Закрила на детето“ при ДСП Добрич, РП Добрич и ГДБОП. В случая С. очевидно е знаела имената и адреса на ищцата, но не е доказано, че ги е узнала от З. Н., съответно твърденията че произтичащите от тези проверки вреди - страх и притеснение да не ѝ отнемат детето, нужда от психиатрична помощ и от употреба на антидепресанти не може да бъдат окачествени, като пряка и непосредствена последица от изтичането на данните от „Йеттел България" ЕАД.

С оглед изложеното съдът приема, че ищцата е претърпяла вреди от неимуществен характер вследствие изтичането на личните ѝ данни, които се изразяват в чувство на тревожност и безпокойство, притеснение, несигурност и страх от злоупотреби с тези данни, включително и страх за живота и телесната цялост на нея и нейните близки, при получаване на анонимното съобщение. Претърпените от ищцата психически и емоционални неудобства са в резултат от неизпълнение на вмененото от закона задължение на „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД по осигуряване на защита на обработваните от него данни на задължените лица, проявено под формата на бездействие, поради което то следва да понесе неблагоприятните последици от това неизпълнение.

Съгласно чл. 82, § 1 ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

В съответствие на това съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 ОРЗД във вр. с чл. 1, ал. 1 ЗОДОВ, поради което за ищцата е възникнало субективното право по чл. 82, § 1 ОРЗД да претендира обезщетение за причинените му неимуществени вреди, а за ответника е възникнало задължението за тяхното репариране.

Разпоредбите на чл. 39, ал. 2 ЗЗЛД и на чл. 82, § 1 ОРЗД не установяват критериите за определяне на паричния еквивалент на моралните вреди (болки и страдания), поради което следва да се приложи общата разпоредба на чл. 52 ЗЗД, която постановява, че обезщетението за неимуществени вреди се определя от съда по справедливост.

Изискването за справедливо определяне на обезщетението за неимуществени вреди е свързано с преценката на конкретни обективно настъпили обстоятелства, включително характер и степен на увреждане, трайност и степен на интензитет, възраст на увредения, обществено и социално положение и др. Според гласните доказателства, негативните изживявания на ищцата били особено интензивни след узнаването за нерегламентираното оповестяване на личните ѝ данни, посредством полученото съобщение от анонимен потребител в социалните мрежи със заплашително съдържание. Следва да се има предвид и обстоятелството, че с изтеклите данни са възможни и последващи злоупотреби, поради което притесненията на ищцата ще са налице и занапред във времето. Като се има предвид възрастта на ищцата, продължителността и интензитета на преживения страх и притеснения, от които няма данни за трайни последици за психическото и физическото ѝ състояние и не надхвърлят рамките на обичайното негативно човешко изживяване в ситуация на неправомерно разкриване на лични данни и произтекли от това заплахи съдът приема, че справедливият размер на обезщетението за претърпени в претендирания период 25.01.2023 г. до 21.08.2023 г. неимуществени вреди се равнява на сумата от 1500 лева. До този размер искът за неимуществени вреди е основателен и доказан и следва да бъдат уважен, като за горницата до 10000 лева подлежи на отхвърляне като неоснователен и недоказан.

Върху сумата за обезщетение следва да бъде присъдена и лихва за забава, но не от датата на изтичане на данните, нито от датата на завеждане на исковата молба, както се претендира в исковата молба.

Съдът намира, че делото спрямо З. И. Н., конституиран като трето лице помагач на ответника „Йеттел България" ЕАД следва да бъде прекратено, тъй като в исковете за обезщетения по чл. 203 и сл. АПК трето лице по чл. 209 ГПК не може да бъде конституирано. Такова конституиране се явява недопустимо предвид нормата на чл. 205, ал. 1 АПК, съгласно която искът за обезщетение се предявява срещу юридическото лице, представлявано от органа, от чийто незаконосъобразен акт, действие или бездействие са причинени вредите. Законодателят с чл. 128, т. 5 АПК е възложил на административните съдилища само разглеждането на дела по искове на увредени лица от незаконосъобразни актове, действие и бездействия на администрацията насочени срещу юридическо лице, но не и регресните искове на юридическото лице срещу виновното длъжностно лице.

Съобразно изхода от делото и на основание чл. 78, ал. 1 ГПК, ответникът следва да бъде осъден да заплати на ищеца внесената държавна такса в размер на 10 лева и разноски за адвокат в размер на 1300 лева. Общата сума на разноските направени от ищеца възлиза на 1310 лева, като съразмерно с уважената част от иска, дължимите от ответника разноски възлизат на 196,50 лева. На основание чл. 78, ал. 3 ГПК и чл. 37, ал. 1 ЗПП и чл. 25, ал. 1 НЗПП, ответникът също има право на разноски за юрисконсултско възнаграждение в размер на 350 лева, съразмерно с отхвърлената част от иска дължимата от ищеца сума възлиза на 297,50 лева.

Водим от изложеното, съдът

Р Е Ш И :

ОСЪЖДА „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД с [ЕИК], адрес на управление гр. София, Р-н „Младост”, „Бизнес парк”, сграда 6 да заплати на М. Р. Г.-Г., [ЕГН], от гр. Добрич, ул. „Аврора” № 13, обезщетение за неимуществени вреди в размер на 1500 лева, представляващи претърпени от ищцата в периода 25.01.2023 г. до 21.08.2023 г. стрес, психическо напрежение, страх, безпокойство, притеснение, негативни преживявания и емоции вследствие от незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му по чл. 59, ал. 1 ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016, довело до неправомерното разкриване и разпространение на лични данни на ищцата, ведно със законната лихва, считано от датата на влизане в сила на решението по настоящото дело до окончателното изплащане на сумата, КАТО ОТХВЪРЛЯ иска за горницата му до 10 000 лева.

ОСЪЖДА „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД с [ЕИК], адрес на управление гр. София, Р-н „Младост”, „Бизнес парк”, сграда 6 да заплати на М. Р. Г.-Г., [ЕГН], от гр. Добрич, ул. „Аврора” № 13, сумата от 196,50 лева, представляващи сторени разноски по делото.

ОСЪЖДА М. Р. Г.-Г., [ЕГН], от гр. Добрич, ул. „Аврора” № 13 да заплати на „ЙЕТТЕЛ БЪЛГАРИЯ” ЕАД с [ЕИК], адрес на управление гр. София, Р-н „Младост”, „Бизнес парк”, сграда 6, сумата от 297,50 лева, представляващи сторени разноски по делото.

ПРЕКРАТЯВА производството по делото по отношение на З. И. Н., [ЕГН], от гр. София, Р. Н., ул. „Осми март” № 6.

РЕШЕНИЕТО може да се оспорва с касационна жалба пред Върховния административен съд на Република България в четиринадесетдневен срок от съобщаването му на страните.