Р Е Ш Е Н И Е
№1021/16.12.2020г.
гр.
Пазарджик, 16.12.2020 г.
В И М Е Т О
Н А Н А Р О Д А
АДМИНИСТРАТИВЕН
СЪД ПАЗАРДЖИК, VІІ състав, в открито съдебно заседание на двадесети ноември две
хиляди и двадесета година в състав:
ПРЕДСЕДАТЕЛ:
КРАСИМИР ЛЕСЕНСКИ
при
секретаря Димитрина Георгиева и с участието на прокурора Станка Димитрова, като
разгледа докладваното от съдия Лесенски адм. дело № 558 по описа на съда за
2020 г., за да се произнесе взе предвид следното:
Производството
е по чл. 203 и сл. от АПК, във връзка с чл. 1 от ЗОДОВ, вр. чл.39, ал.1 и ал.2
ЗЗЛД и е образувано по искова молба, подадена от Р.И.И. с ЕГН: ********** ***,
чрез адвокат А.П. ***, със съдебен адрес ***, против Национална Агенция за
приходите София с ЕИК *********, с адрес: гр. София, бул. „Княз Ал. Д.“ № .. с
искане за заплащане на обезщетение в размер на 1200 лв. за това, че в периода
до 16.07.2019 г. е претърпяла неимуществени вреди от публично оповестяване на
личните ѝ данни – три имена, ЕГН и др., станали общодостъпни и публични
вследствие на пробив в сигурността на електронната система на НАП, поради
неизпълнение на задължението по чл.59, ал.1 ЗЗЛД и чл.32 от Общия регламент
относно защита на личните данни /ЕС/2016/697 на Европейския парламент и Съвета
от 27.04.2016 г. /GDPR/,
ведно със законната лихва, считано от датата на увреждането – 15.07.2019 г. до
окончателното изплащане на сумата.
Ищецът Р.И.И. сочи, че вследствие на неправомерно
изтичане на лични данни, сред които и нейни такива, за нея са възникнали
неимуществени вреди, изразяващи се в психическо натоварване, притеснения и
опасения от всевъзможни злоупотреби с
личните ѝ данни, загубено време за промени на пароли и т.н, станали
достъпни вследствие на т.нар. хакерска атака, при която от масивите на НАП
неправомерно е била изтеглена информация в голям обем, съдържаща данни на
български граждани, публично оповестени на 16.07.2019 г. Иска да се установи,
че НАП в качеството си на администратор
на лични данни, чрез бездействие е
допуснала нарушения на разпоредбите на
чл. 24 и чл.32 от GDPR и чл. 59 ал.1 от ЗЗЛД, нарушила е разпоредбите на чл. 45
ал.1 т.6 от ЗЗЛД, като не е обработила личните данни по начин по който да
гарантира подходящо ниво на сигурност като се приложат подходящи технологии и
организационни мерки, чл. 64 от ЗЗЛД, като намира, че не е изпълнено
задължението за извършване на оценка на въздействието на предвидените операции
по обработване на личните данни върху тяхната защита, чл. 66 ал.1 и ал.2 ЗЗЛД,
чл. 67 и 68 от ЗЗЛД в периода от влизане на сила на Общия регламент относно
защитата на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета
/GDPR/ до 16.07.2019 г., датата на публичното оповестяване на данните.
В
исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало
известно, че при т. нар. "хакерска атака" от електронните масиви на
НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни
на множество български граждани. При справка от интернет портала на НАП ищецът Р.И.И.
била уведомена, че попада сред лицата, чиито лични данни са били разкрити,
което изключително много я притеснило. Опасявала се, че с нейните лични данни
може да бъде злоупотребено, да бъде отчуждено имуществото ѝ, да бъдат
изтеглени влоговете ѝ или да бъдат изтеглени кредити от нейно име, да
бъде открадната самоличността ѝ и да бъде използвана по всевъзможни
начини, които биха ѝ навредили. Притеснявала се и от физически нападения,
заплахи, изнудвания, отвличания и т. н. Всичко това изключително много я
натоварило психически, живеела в постоянен страх, стрес и напрежение, което
повлияло негативно на нормалния ритъм на живота ѝ, на отношенията ѝ
с хората, на ежедневието ѝ. Твърди се, че НАП не е изпълнила задълженията
си по чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД да осигури ефективни
мерки за защита на личните данни, с което е допуснала пробив в информационната
си система, причинил публичното разкриване и разпространение на лични данни на
много лица, в т. ч. и на ищеца. С неправомерното си бездействие тя е нарушила и
разпоредбите на чл. 45, ал. 1, т. 6, чл. 64, чл. 66, чл. 67 и чл. 68 от ЗЗЛД,
което е довело до т. нар. "нарушение на сигурността на лични данни",
регламентирано в § 1, т. 10 от ДР на ЗЗЛД, във вр. чл. 4, т. 12 от GDPR. Всички
тези нарушения са в пряка причинна връзка с претърпените от ищеца неимуществени
вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал.
1 от GDPR, във вр. чл. 1, ал. 1 от ЗОДОВ.
В
съдебно заседание процесуалният представител на ищеца поддържа исковата молба.
Ангажира гласни и писмени доказателства. Претендира разноски съгласно
представен списък.
Ответникът
– НАП София, чрез процесуалния си представител, оспорва допустимостта на иска с
твърдения, основани на разпоредбата на чл. 39, ал. 2 от ЗЗЛД. В условията на
евентуалност оспорва основателността на иска по съображения, че е изпълнил в
най-добра степен задължението си да защити по сигурен начин личните данни, като
е предприел необходимите технически и организационни мерки за това. Сочи, че
неправомерното разкриване на лични данни е резултат от престъпно деяние по
смисъла на НК, а не неправомерно бездействие на негови органи или служители,
поради което не следва да носи отговорност за вреди. Възразява срещу
твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на
ефективни мерки за защита на сигурността на личните данни. Счита, че
претенцията за обезщетение е останала и недоказана, като не са ангажирани
доказателства от ищеца за претърпени неимуществени вреди. Претендира
юрисконсултско възнаграждение.
Представителят
на Окръжна прокуратура Пазарджик изразява становище за неоснователност и
недоказаност на исковата претенция и счита, че следва да бъде отхвърлена.
Административен съд Пазарджик, като
прецени събраните по делото доказателства в
тяхната съвкупност и обсъди доводите на страните, прие за установено следното
от фактическа и правна страна:
По
делото е безспорно, че вследствие нерегламентиран достъп до информационните
масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и
разпространени лични данни на множество физически лица, български и чужди
граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и
неоспорена от ответника справка се установява, че разкритите данни за ищеца
включват ЕГН и данни от справка за изплатени доходи на физически лица по чл. 73
от ЗОДФЛ за 2018 г. и Идентификационни данни за лице, в качеството на представляващ
лице в административно-наказателно производство.
Съгласно
представените по делото доказателства със заповед № ЗЦУ-586/30.04.2014 г. на
изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС
ISO/IEC 27001: 2006 в НАП. Със заповед № ЗЦУ-1436/15.10.2018 г. на
изпълнителния директор на НАП са утвърдени "Указания за разработване,
попълване и/или зареждане с данни на образци на документи и приложения,
утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП", "Указания за
обозначаване и работа с информация", "Указания за попълване на
образци на процедура", "Указания за попълване на образеца на
инструкция" и др. Със заповед № ЗЦУ-733/17.06.2016 г. на изпълнителния
директор на НАП са утвърдени процедура и вътрешни правила за мрежовата и информационната
сигурност. Със заповед № ЗЦУ-1236/21.08.2019 г. на изпълнителния директор на
НАП е утвърдена процедура ИС17 "Администриране на информационна система в
НАП", версия В. Със заповед №ЗЦУ-482/01.04.2019 г. на изпълнителния
директор на НАП са определени служители от НАП с администраторски достъп до
информационните активи и услуги на НАП. Със заповед № ЗЦУ-83/23.01.2013 г. на
изпълнителния директор на НАП са определени вида, съдържанието, реда за
създаване, поддържане и достъп до регистъра на НАП и базите данни за
задължените лица, формата и елементите на данъчно–осигурителната сметка и
сроковете за съхранение на архивираната информация. Със заповед №
ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени
"Указания за унищожаване на информация и информационни системи в
НАП". Със заповед № ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП
са утвърдени вътрешни правила за оборот на електронни документи и документи на
хартиен носител в НАП. В НАП е изработена Методика за анонимизиране на
индивидуални данни, версия 1, към м. януари 2017 г. Утвърдена е политика по
информационна сигурност на НАП. Утвърдена е и Инструкция № 2/08.05.2019 г. за
мерките и средствата за защита на личните данни, обработвани в НАП и реда за
движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24,
ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще
пазят в тайна личните данни на трети лица, станали им известни при изпълнение
на служебните им задължения, няма да ги разпространяват и да ги използват за
други цели, освен за прякото изпълнение на служебните им задължения. Не са
представени доказателства да е налице висящо дело между ищеца и НАП пред КЗЛД.
В хода
на делото е разпитан като свидетел И. Й. Х. – служител в търговското дружество
на ищцата. Свидетелят твърди, че след като научила за изтеклите данни, ищцата
била смутена и силно притеснена да не би да бъдат използвани, да навредят на
бизнеса ѝ и да не ѝ изтеглят парите. Според свидетеля дори ходила на
лекар от притеснение, отсъствала от работа.
С оглед
твърденията на свидетеля за посещения при лекар бяха изискани данни от РЗОК
Пазарджик за извършена медицинска и дентална дейност по отношение на ищцата за
периода 16.07.2019 г. до 31.12.2019 г. От справката е видно, че са извършени
прегледи при ортопед във връзка с травма на коляното, консултация и прием в
болнично заведение за три дни във връзка с травма на главата и изследване преди
постъпване на работа на 10.10.2019 г.
Въз основа на тези факти, съдът счита
предявения иск за допустим.
Искът е с правно основание чл. 203
и сл. от АПК, във връзка с чл. 1 от ЗОДОВ, вр. чл.39, ал.1 и ал.2 ЗЗЛД и чл. 82
от GDPR, предвид изложените фактически
обстоятелства в исковата молба, че ищецът е неблагоприятно засегнат и е
претърпял неимуществени вреди, пряка и непосредствена последица от бездействието
на ответника. Искът е предявен е срещу надлежен ответник и е допустим за
разглеждане в производството пред Административен съд Пазарджик по реда на
глава ХІ от АПК, като предявен пред съда по постоянния адрес на ищеца.
По
отношение на възраженията на ответника за недопустимост на иска следва да се
подчертае, че съгласно актуалната съдебна практика на ВАС по идентични казуси,
процесуалният ред, по който засегнатият субект може да търси обезщетение за
вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ
„Производство за обезщетения“ на АПК. В зависимост от правната характеристика
на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени
различни процесуални възможности за реализиране на правото на обезщетение. В
случаите, в които се търси обезщетение за вреди от бездействие на
администратора на лични данни, незаконосъобразността на бездействието се
установява от съда, пред който е предявен искът за обезщетение, на основание
чл. 204, ал. 4 АПК.
Разгледан по същество искът е частично основателен.
Съгласно разпоредбата на чл. 203 АПК гражданите и
юридическите лица могат да предявят искове за обезщетение за вреди, причинени
им от незаконосъобразни актове, действия или бездействия на административни
органи и длъжностни лица. Основателността на иск с правно основание чл. 1 от ЗОДОВ и чл. 203 от АПК, предполага установяването на кумулативното наличие на
следните предпоставки: незаконосъобразен акт, действие или бездействие на орган
или длъжностно лице на държавата, при или по повод изпълнение на
административна дейност, отменени по съответния ред; вреда от такъв
административен акт; причинна връзка между постановения незаконосъобразен акт,
действие или бездействие и настъпилия вредоносен резултат. Доказателствената
тежест за установяване наличието на всичките предпоставки се носи от ищеца,
търсещ присъждане на обезщетение за претърпени вреди.
В конкретния случай от събраните по делото
доказателства се доказа наличието на всички предвидени в закона материално-правни
предпоставки. Исковата
претенция се основава на незаконосъобразно бездействие – неполагане на
достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на
данните, с което са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59,
ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл.
68 от ЗЗЛД. Следователно предпоставка за ангажиране на отговорността на
ответника е установяване на незаконосъобразността на твърдяното от ищеца
бездействие по аргумент от чл. 204, ал. 4 от АПК.
Под
увреждащо деяние, проявено под формата на бездействие, следва да се разбира
незаконосъобразно фактическо бездействие по смисъла на чл. 256 от АПК, т. е.
бездействие на административен орган по задължение, произтичащо пряко от
нормативен акт или което е длъжен да извърши по силата на закона. В случая е
безспорно, че ответникът осъществява дейност по обработване на лични данни,
необходими за изпълнение на нормативно установените му задължения. Създаването
и поддържането на регистър и бази данни на задължените лица по чл. 80, ал. 1 от ДОПК е именно такава дейност, свързана с упражняване на правомощията на НАП
като специален държавен орган към министъра на финансите за установяване,
обезпечаване и събиране на публични вземания по смисъла на чл. 2, ал. 1, във
вр. чл. 3, ал. 1 от ЗНАП. Регистърът на НАП служи за идентифициране на
задължените лица и извършваната от тях дейност, подлежаща на контрол, като
агенцията създава и поддържа множество специални регистри по чл. 83 от ДОПК,
които са неразделна част от регистъра, поддържа и съхранява архив на лицата с
прекратена регистрация по чл. 83, ал. 3 от ДОПК, открива и поддържа данъчно –
осигурителни сметки на задължените лица по чл. 87, ал. 1 от ДОПК, които
съдържат данъчна и осигурителна информация, както и поддържа и съхранява архив
на данъчно-осигурителните сметки по чл. 87, ал. 4 ДОПК.
В
качеството си на администратор на лични данни НАП следва да прилага подходящи
технически и организационни мерки съгласно чл. 59, ал. 1 от ЗЗЛД, за да
гарантира и да е в състояние да докаже, че обработването се извършва в
съответствие с този закон, като отчита естеството, обхвата, контекста и целите
на обработването, както и рисковете за правата и свободите на физическите лица.
При необходимост тези мерки се преразглеждат и актуализират. Същото задължение
се съдържа и в чл. 24 от Общия регламент относно защита на личните данни (ЕС)
2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл.
32 са предвидени конкретните мерки, които следва да се предприемат при
администрирането и обработването на лични данни. Тези задължения са въведени,
за да се гарантира един от основните принципи на обработване на лични данни, прогласен
в чл. 5, § 1, б. "е" от GDPR – цялостност и поверителност на данните.
Неговият смисъл и съдържание са възпроизведени и в заповед № ЗЦУ-83 от
23.01.2013 г. на изпълнителния директор на НАП, в т. 24 и т. 25 от която
изрично е предвидено, че регистърът, базите данни, данъчно-осигурителната
сметка, архивът за лицата с прекратена регистрация и архивът на
данъчно-осигурителната сметка се поддържат и съхраняват по начин, който
гарантира целостта на информацията и защитата на информацията в системата срещу
разрушение и неправомерно изменение и ползване, като достъпът до нея се
осъществява в съответствие с изискванията за регламентиран достъп при спазване
на разпоредбите на ЗЗКИ и ЗЗЛД. Следователно отговорността на ответника
произтича от специфичния характер на дейността му по обработване на лични
данни, включваща създаване, поддържане и актуализация на регистъра и базата
данни, както и архивиране и съхраняване на съдържащата се в тях информация и
контролирания достъп до нея. Като административен орган със статут на
юридическо лице, който следи тази дейност да бъде изпълнявана в съответствие с
нормативно установените изисквания, той носи отговорност за вредите от
незаконните действия и/или бездействия на включените в състава му органи и
служители при извършване на дейността по чл. 1 от ЗОДОВ.
В
случая е безспорно, че вследствие на хакерска атака е осъществен пробив в
системата на ответника, който е станал причина за неправомерното разкриване и
разпространение на лични данни на ищеца. Изтичането на информация от сървърите
на НАП в резултат на извършен неоторизиран достъп категорично сочи на
противоправно бездействие (пропуски) на ответника да изпълни произтичащи от
закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на
информационната си система, да защити физическите лица във връзка с
обработването на личните им данни по смисъла на § 1, т. 4 от ДР на ЗЗЛД, вр.
чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т. ч. правото на защита на личните им
данни. Настоящият съдебен състав приема, че именно техническата уязвимост на
системата на НАП е довела до нерегламентирания достъп на информация, а тя е резултат
от неприлагането на подходящи технологии и мерки за защита. Ако системата беше
ефективно и надеждно защитена, то не би се стигнало до пробива ѝ,
предизвикал разкриването на личните данни на ищцата.
Наличието
на одобрени процедури, правила, политики, инструкции, указания и методики не
опровергава извода, че е нарушена сигурността на обработваните данни, след като
те са публично разкрити. В случая е ясно, че следва не само да са предприети
някакви (каквито и да е) мерки за защита на личните данни, но те да бъдат и
ефективни и да не доведат до пробив в сигурността на системата. След като
данните са изтекли, то няма как системата да е била в достатъчна степен
защитена. Без правно значение е, че липсва акт, в който да е описано и доказано
в какво се състои техническата уязвимост на информационната система на НАП и
как тази уязвимост е предпоставила и улеснила извършването на неоторизирания
достъп в условията на причинно – следствена връзка. Техническата уязвимост
очевидно е налице, независимо от нейния произход, естество и обхват, а съществуването
ѝ като обективен факт в действителността само по себе си е предпоставка
за извършения неоторизиран достъп. Обработването на значителен обем лични данни
на регионално, национално и надционално равнище, които биха могли да засегнат
голям брой субекти на данни, изисква по-сериозна оценка на въздействието върху
защитата на данните, за да се оценят конкретната вероятност и тежестта на
високия риск, като администраторът на лични данни следва да предостави гаранции
по отношение на експертни познания, надежност и ресурси, позволяващи да се
извърши адекватна оценка на риска за сигурността на данните в съответствие с
нормативните изисквания. Съгласно чл. 32, т. 2 от Регламент (ЕС) 2016/679 при
оценката на подходящото ниво на сигурност се вземат предвид по-специално
рисковете от случайно или неправомерно унищожаване, загуба, промяна,
неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по
друг начин лични данни. Обстоятелството, че е допусната хакерска атака, с която
е пробита информационната система на НАП по отношение на повече от 6 000 000
субекти на данни, е безспорно доказателство, че не е извършена оценка на
подходящото ниво на сигурност и не са взети необходимите технически и
организационни мерки за защита при обработването на личните данни на засегнатите
лица, в т. ч. и на ищцата, което е достатъчно, за да се направи извод, че е
налице незаконосъобразно бездействие от страна на НАП. Ответникът в качеството
си на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент ЕС
2016/679 при осъществяване на дейността си е следвало да предприеме ефективни
мерки за предотвратяване на злоумишлен достъп до личните данни на ищцата без
значение на вида и характера на този достъп (неправомерно, случайно или др.) и
неговото авторство. В случая това не е постигнато. Ответникът не е изпълнил
задължението си по предотвратяване на престъпление и опазване на личните данни
на ищцата, като от незаконосъобразното му бездействие е последвало и публичното
им разкриване и разпространение. Бездействието на НАП е в противоречие с
нормативните изисквания на чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия
регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския
парламент и на Съвета от 27.04.2016 (GDPR). Частичният характер на информацията
не изключва противоправното поведение (бездействие) на ответника, защото
съгласно съображение 26 от преамбюла на Регламент (ЕС) 2016/679 принципите за
защита на данните следва да се прилагат по отношение на всяка информация,
отнасяща се до физическо лице, което е идентифицирано или може да бъде
идентифицирано пряко или непряко. Личните данни, които могат да бъдат свързани
с дадено физическо лице чрез използването на допълнителна информация, следва да
се считат за информация, отнасяща се до физическо лице, което може да бъде
идентифицирано. За да се установи дали има достатъчна вероятност дадени
средства да бъдат използвани за идентифициране на физическото лице, следва да
се вземат предвид всички обективни фактори, като се отчитат наличните към
момента на обработване на данните технологии и технологичните развития. Няма
спор, че трите имена и ЕГН на ищцата, както и справка за изплатени доходи на
физически лица по чл. 73 от ЗОДФЛ за 2018 г. и Идентификационни данни за лице,
в качеството на представляващ лице в административно-наказателно производство
са достатъчни за идентифицирането ѝ, поради което правилата на закона и
регламента и произтичащите от тях задължения за НАП се отнасят за обработването
и на тази информация независимо от нейния частичен обем.
Съгласно
§ 3 от чл. 82 от GDPR администраторът на лични данни се освобождава от
отговорност за вреди, ако докаже, че по никакъв начин не е отговорен за
събитието, причинило вредата, което в случая не е така. По делото липсват
категорични доказателства за изграден ефективен начин на защита на личните
данни, т.е. ответникът не е гарантирал последователно и адекватно ниво на
защита на данните, за да се приеме, че нормативните изисквания за сигурността
на обработването са приложени в тяхната цялост.
С оглед
на изложеното съдът приема, че е налице първата предпоставка за ангажиране на
отговорността на НАП, представляваща незаконосъобразно бездействие по
предприемане на необходимите мерки и ефективна средства за защита, произтичащи от
задълженията на администратора по чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от
Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския
парламент и на Съвета от 27.04.2016 (GDPR), вследствие на което е възникнал
противоправният резултат, изразяващ се в нерегламентиран достъп и неразрешено
разкриване на лични данни на ищеца.
На следващо място от показанията
на свидетеля И.
Й. Х. – служител в търговското дружество на ищцата се установи, че след като
научила за изтеклите данни ищцата била смутена и силно притеснена да не би да
бъдат използвани, за да навредят на бизнеса ѝ и да не ѝ изтеглят
парите от сметките. Според свидетеля дори ходила на лекар от притеснение,
отсъствала от работа. Показанията му съдът
цени в тяхната взаимовръзка и обусловеност с ангажирания по делото
доказателствен материал и с оглед разпоредбата на чл.172 ГПК, във връзка с
чл.144 АПК, доколкото показанията му се основават на лични възприятия,
непосредствени впечатления, базират се на системни и трайни наблюдения за
осъществени в правната действителност факти от процесния период. Следва да се
отбележи, че твърденията за посещения на лекар в периода, заради притеснения не
се доказаха от събраните писмени доказателства – справка от РЗОК Пазарджик, но
съдът няма причина да не кредитира показанията на свидетеля в останалата им
част. Вярно е, че свидетелят е служител в търговското дружество на
ищцата, но това първо не го прави заинтересован от изхода на делото, на
следващо място няма и конкретни данни в тази насока по делото, а на последно
място свидетелят преди
да даде показания е и предупреден за наказателната отговорност при
лъжесвидетелстване. Свидетелят е категоричен, че изтичането на личните данни се
е отразило негативно на психоемоционалното състояние на ищцата и дори самият
свидетел се е налагало да я успокоява. Периодът от време на преживяване на тези
негативни емоции от ищцата е безспорно в логическа причинно-следствена връзка с
изтичането на личните ѝ данни, което дава основание да се приеме, че за нея
са настъпили морални вреди и негативни емоционални проблеми. От значение,
доколкото твърдените вреди са неимуществени и са свързани със субективното
възприятие на ищцата, е дали у нея се е породило твърдяното състояние на
сериозно безпокойство и тревожност. От ангажираните гласни доказателства
безспорно се установи, че тя е изживяла притеснения, смущения и стрес и
свързаните с това негативни изживявания. Ето защо, съдът намира за установен
факта на тези вреди и пряката причинно-следствена връзка между настъпването им
и незаконосъобразното бездействие.
Обезщетенията за неимуществени
вреди се присъждат за конкретно претърпени физически и психически болки,
страдания и неудобства, които са пряка и непосредствена последица в случая от
незаконосъобразното бездействие на ответника. На обезщетяване подлежат и
вътрешните, душевни състояния тогава, когато справедливостта налага същите да
бъдат възмездени, какъвто е настоящия случай. В правната теория е прието, че
обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е
възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като
няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за
неимуществени вреди се определя от съда по справедливост при съобразяване на
всички конкретни обективно съществуващи обстоятелства и практиката на
съдилищата. Вътрешните душевни страдания и чувството за тревожност и
несигурност следва да бъдат овъзмездени. Съгласно чл.52 ЗЗД, обезщетение за
неимуществени вреди се определя от съда по справедливост. Понятието
“справедливост” не е абстрактно понятие, а е свързано с преценка на редица
конкретни, обективно съществуващи обстоятелства, имащи значение за правилното
определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението
за неимуществени вреди се формира по справедливост по реда на чл.52 от ЗЗД
единствено от степента и характера на преживените болки и страдания от ищеца.
Макар посочените вреди да нямат паричен еквивалент, съдът приема, че претендираната
от ищеца сума от 1200 лв. е завишена. Справедливият размер на обезвредата
следва да почива на обективни критерии и да бъде адекватен от претърпените
вреди. Обезщетението трябва е съразмерно с вредите и да отговаря както на
конкретните данни по делото, така и на обществените представи за справедливост.
В съдебното производство по присъждане на обезщетение посочените неимуществени
вреди следва да намерят материален израз, който законът в нормата на чл.52 ЗЗД
определя „по справедливост”, макар неимуществените вреди да нямат стойностно
изражение и да не подлежат на аритметично изчисляване. Изхождайки от характера
на претърпените вреди, интензитета на породените страдания и негативни преживявания,
без налице да бъде конкретно увреждане на физическото здраве на ищцата, доказаните
душевни страдания и общото ѝ психическо състояние, като следствие от
търпени морални вреди и тяхната дълготрайност, съдът намира, че справедливия
размер на дължимото обезщетение за неимуществени вреди възлиза на 500 лв. по
смисъла на чл. 52 от ЗЗД, вр. чл. 4 от ЗОДОВ за причиненото състояние на
безпокойство и притеснение. Исковата претенция до пълния предявен размер от
1200 лв. следва да се отхвърли. При тази установеност на фактите, съдът прави
извод за осъществен фактическия състав на отговорността по чл. 203 АПК, във
връзка с чл. 1 ЗОДОВ, като приема, че е налице незаконосъобразно бездействие,
реално увреждане на ищцата и пряка причинна връзка между увреждането и
бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да
овъзмезди по справедливост неимуществените вреди, причинени на ищцата.
Предвид уважаване на основния иск
в размер на 500 лв., следва да бъде уважен и акцесорния такъв, във връзка със
законната лихва върху присъдената сума, считано от датата на
увреждането – 15.07.2019 г. до окончателното изплащане на сумата.
По разноските:
Съгласно чл. 10, ал. 3 (Нова -
ДВ, бр. 43 от 2008 г., доп., бр. 94 от 2019 г. ) от ЗОДОВ, ако искът бъде
уважен изцяло или частично, съдът осъжда ответника да заплати разноските по
производството, както и да заплати на ищеца внесената държавна такса. В случая
разноските са в общ размер на 360 лв., от които 10 лв. държавна такса и 350 лв.
адвокатско възнаграждение, които с оглед посочената разпоредба се дължат на
ищеца в пълен размер, дори и при частично уважаване на исковата претенция и за
които има доказателства по делото за извършването им – вносна бележка и договор
за правна защита и съдействие.
По направеното искане на
процесуалния представител на ответника за присъждане на юрисконсултско възнаграждение,
съдът намира следното: Според чл.10 ал.4 от ЗОДОВ съдът осъжда ищеца да заплати
на ответника възнаграждение за един адвокат, ако е имал такъв, съразмерно с
отхвърлената част от иска, а в полза на юридическите лица се присъжда
възнаграждение, ако те са били защитавани от юрисконсулт, чийто размер не може
да надхвърля максималния размер за съответния вид дело, определен по реда на
чл. 37 от Закона за правната помощ. С оглед изхода на спора и направеното от
процесуалния представител на ответната страна искане за присъждане на разноски,
на същата се дължат разноски за юрисконсултско възнаграждение в минимален
размер от 100 лв., определен съгласно чл. 37, ал.1 от Закона за правната помощ
и чл. 25, ал.1 от Наредбата за заплащането на правната помощ.
Воден
от горното, Административен съд Пазарджик, VІІ състав
Р Е Ш И:
ОСЪЖДА Национална
Агенция за приходите София с ЕИК *********, с адрес: гр. София, бул. „К. Ал.
Д..“ № .. да заплати
на Р.И.И.
с ЕГН: ********** ***
обезщетение
в размер на 500 (петстотин) лв. за това, че в периода до 16.07.2019 г. е
претърпяла неимуществени вреди от публично оповестяване на личните ѝ
данни – три имена, ЕГН и др., станали общодостъпни и публични вследствие на
пробив в сигурността на електронната система на НАП, поради неизпълнение на
задължението по чл.59, ал.1 ЗЗЛД и чл.32 от Общия регламент относно защита на
личните данни /ЕС/2016/697 на Европейския парламент и Съвета от 27.04.2016 г. /GDPR/, ведно със законната лихва върху
главницата от 500 лв., считано от датата на увреждането – 15.07.2019 г. до
окончателното изплащане на сумата,
като
ОТХВЪРЛЯ иска до пълния му предявен
размер над 500 лв. до 1200 лв.
ОСЪЖДА Национална
Агенция за приходите София с ЕИК *********, с адрес: гр. София, бул. „К. Ал.
Д.“ № .. да заплати
на Р.И.И.
с ЕГН: ********** ***
сумата в размер на 360 (триста и шестдесет) лв., представляваща сторените по
делото разноски.
ОСЪЖДА Р.И.И.
с ЕГН: ********** *** да
заплати на Национална
Агенция за приходите София с ЕИК *********, с адрес: гр. С.., бул. „К. Ал. “ №
. юрисконсултско
възнаграждение в размер на 100 лв. съобразно отхвърлената част на иска.
Решението подлежи на обжалване с касационна жалба
пред Върховен административен съд на Република България в 14-дневен срок от
съобщението на страните, че е изготвено.
СЪДИЯ: /п/