Определение по дело №809/2024 на Административен съд - Пазарджик

Производството е образувано по искова молба на А. С. К., [ЕГН], чрез адв. А. Г. П. – АК Пазарджик против Национална агенция за приходите (НАП), с правно основание чл. 82 § 1 от ОРЗД във вр. с чл. 39, ал. 1 и ал. 2 от ЗЗЗЛД, с която се иска да бъде установено по отношение на ответника НАП противоправно и виновно поведение в периода до 16.07.2019 г., от което ищецът като физическо лице от определяем кръг лица – всички субекти на данни – граждани на Република България, чиито лични данни се намират в останалите общодостъпни файлове – изтекли от НАП, е претърпял неимуществени вреди, съставляващи публично оповестяване на личните му данни – три имена, ЕГН и др., както и да бъде осъден ответникът НАП да обезщети вредите причинени на ищеца в качеството му на субект, чиито данни са станали общодостъпни и публични, в следствие на пробива на сигурността на електронната система на НАП със сумата от 2000 лева представляващи обезщетение за претърпени неимуществени вреди в следствие на неправомерно обработване на лични данни от страна на администратора или обработващия лични данни, съгласно чл. 39, ал. 2 от ЗЗЛД и допуснати от администратора на лични данни нарушения на задълженията, които произтичат от чл. 24 и чл. 32 от ЗЗЛД и от ОРЗД – Общ регламент за защита на личните данни (ЕС) 2016/697 на Европейския парламент и Съвета от 27.04.2016 г. във вр. с чл. 82 § 1 от същия регламент.

Съдът е констатирал, че исковата молба страда от нередовности, поради което, с Разпореждане № 2860/18.07.2024 г. е дал задължителни указания на ищеца. В тази връзка от страна на ищеца е постъпила молба – уточнение вх. № 6876/05.08.2024 г. и молба с представено редовно пълномощно вх. № 8530/07.10.2024 г.

Съгласно направените уточнение от страна ищеца, се установява, че същият е предявил иск, с който се претендират неимуществените вреди, които А. С. К., в качеството му на физическо лице, чиито лични данни са станали известни и публично достъпни, вследствие от пробив в електронната система на НАП, в следствие от пробива в електронната система на НАП от 16.07.2019 г., до момента на подаване на исковата молба в съда - 15.07.2024 г. Обезщетение се претендира за претърпени неимуществени вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни съгласно чл. 39, ал. 2 ЗЗЛД, и допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от ОРЗД - Общия регламент относно защита на личните данни /ЕС/ 2016/697 на Европейския парламент и на Съвета от 27.04.2016г./, във връзка с чл. 82, § I от същия Регламент, и Съгласно решение на Съда на европейския съюз (СЕС) по дело С- 340/21 г., издадено на 14.12.2023 г., чл. 24 и чл. 32 ОРЗД, които според ищеца трябва да се тълкуват в смисъл, че неоторизираното разкриване на лични данни или страхът, изпитван от субект на данни по отношение на възможна злоупотреба с неговите лични данни от трети страни в резултат на нарушение на ОРЗД, може да се квалифицира като неимуществена вреда. По повод указанията на съда за уточняване от кой момент ищецът е субект на обработване на лични данни от страна на ответника, ищецът посочва, че ответникът е този, който би могъл да посочи моментът. Твърди, че е логично това да е момента на придобиване на качество на данъчно задължено лице по отношение на ищеца. Ищецът е уточнил, че искът е заведен срещу ответника Национална агенция за приходите (НАП), с ЕИК по БУЛСТАТ *********, е адрес: [населено място]. [улица]. Иска се ответникът да бъде осъден да заплати на ищеца А. С. К. сумата от 2 000 (две хиляди) лева, представляваща обезщетение за претърпени неимуществени вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни съгласно чл. 39, ал. 2 ЗЗЛД, и допуснати от администратора на лични данни нарушения на задължения, които произтичат от чл. 24 и чл. 32 от ОРЗД - Общия регламент относно защита на личните данни /ЕС/ 2016/697 на Европейския парламент и на Съвета от 27.04.2016г./, във връзка с чл. 82, § 1 от същия Регламент.

Твърди се, че правото на иск за А. С. К., в качеството му на физическо лице, чиито лични данни са станали известни и публично достъпни, вследствие от пробив в електронната система на НАП от 16.07.2019 г., възниква следствие от недостатъчна грижа и мерки за защита на сигурността на обработваните лични данни от ответника НАП, в качеството й на администратор на лични данни или нарушение на чл. 32 от Регламент / ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. Претърпените неимуществените вреди се изразяват в страх и притеснение от евентуална злоупотреба с тези данни, както и от физически нападения, заплахи, изнудвания, отвличания, притеснения, че неограничен и неизвестен брой трети лица имат достъп до негови лични данни, в това число адрес и финансова информация и други, които вреди са пряка и непосредствена последица от увреждането. Моли претендираната сума да бъде преведена по адвокатска сметка на адвокат А. Г. П..

С Определение № 3971/21.10.2024 г., съдът е конституирал страните по делото и е изпратил препис от исковата молба и уточнението заедно с приложенията на ответника и Окръжна прокуратура - Пазарджик, на които е указано, че могат да подадат писмен отговор в едномесечен срок, след което съдът ще следва да се произнесе с подробен доклад по делото, да отдели спорните от безспорните факти и да разпредели доказателствената тежест в процеса. (В този смисъл и Решение № 7775 от 24.06.2024 г. по адм. д. № 5521 / 2021 г. на Върховен административен съд.).

Ответникът е депозирал писмен отговор, в който е оспорил исковата молба. Излага становище, чрез процесуален представител, че искът е допустим, но неоснователен. Оспорва твърдението на ищеца, че Национална агенция за приходите (НАП) е обработвала неправомерно лични данни, тъй като НАП осъществява дейност по обработване на лични данни, необходими за изпълнение на нормативно установените й задължения. Създаването и поддържането на регистър и бази данни на задължените лица по чл. 80, ал. 1 от ДОПК е именно такава дейност. Излага становище, че в качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки съгласно чл. 59, ал. 1 от ЗЗЛД, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. В тази връзка счита, че твърдението на ищеца, че НАП е нарушила задълженията си, произтичащи пряко от чл. 24 и чл. 32 от Регламент (ЕС) 2016/679, изразяващи се в неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на данните, е неоснователно. Излага подробни съображения за това, че НАП е привела в съответствие операциите по обработване на лични данни с Регламент (ЕС) 2016/679 и със Закона за защита на личните данни (ЗЗЛД). Представя писмени доказателства. Освен това посочва, че е постановено окончателно съдебно решение на АССГ, XVI Касационен състав № 1247 от 26.02.2024 г., с което е отменено наказателно постановление, издадено от Председателя на Комисията за защита на личните данни, с което на НАП е наложена санкция за извършения неоторизиран достъп.

Предвид горните, настоящият съдебен състав намира предявените искове за допустими и след осъществяване на процедурата по чл. 131 от ГПК, както и с оглед на направените от страните доказателствени искания, и на основание чл. 140 от ГПК, съдът

О П Р Е Д Е Л И:

СЪОБЩАВА на страните проекто-доклад по делото:

Производството е образувано по исковата молба на А. С. К. срещу Националната агенция за приходи (НАП). Предявен е осъдителен иск за присъждане на обезщетение в размер на 2000 лева, за периода от 16.07.2019 г. до 15.07.2024 г., за претърпени неимуществени вреди от неизпълнение от страна на НАП в достатъчна степен на задължението й по чл. 59, ал. 1 от Закона за защита на личните данни (ЗЗЛД) и чл. 24 и чл. 32 от Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR),

В исковата молба и уточнението й са изложени съображения за това, че ищецът е бил субект на обработка на лични данни от страна на ответника. Твърди се, че правото на иск за А. С. К., в качеството му на физическо лице, чиито лични данни са станали известни и публично достъпни, вследствие от пробив в електронната система на НАП от 16.07.2019 г., възниква следствие от недостатъчна грижа и мерки за защита на сигурността на обработваните лични данни от ответника НАП, в качеството й на администратор на лични данни или нарушение на чл. 32 от Регламент / ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. Претърпените неимуществените вреди се изразяват в страх и притеснение от евентуална злоупотреба с тези данни, както и от физически нападения, заплахи, изнудвания, отвличания, притеснения, че неограничен и неизвестен брой трети лица имат достъп до негови лични данни, в това число адрес и финансова информация и други, които вреди са пряка и непосредствена последица от увреждането. Представено е извлечение от електронна база данни за разпространение на данни по ЕГН – л. 9 от делото, без от същото да е видно, че касае ищецът.

Правното основание на предявения иск, посочено в исковата молба, е чл. 39, ал. 1 и ал. 2 от ЗЗЛД и чл. 82, § 1 от ОЗРД. С главния иск е съединен иск за заплащане на законната лихва върху претендираното обезщетението, считано от 15.07.2019 г. – посочена като дата на увреждането, до окончателното й изплащане. Моли за постановяване на осъдително решение. Претендира разноски.

Ответникът е депозирал писмен отговор, в който е оспорил исковата молба като неоснователна. Счита, че са предприети адекватни мерки за защита на личните данни на субектите. Излага съображения, че не са представени доказателства за претърпени вреди от страна на ищеца. Твърди, че е постановено окончателно съдебно решение на АССГ, XVI Касационен състав № 1247 от 26.02.2024 г., с което е отменено наказателно постановление, издадено от Председателя на Комисията за защита на личните данни, с което на НАП е наложена санкция за извършения неоторизиран достъп. Счита за неоснователно възражението за неполагане на достатъчна грижа от страна на НАП за защита сигурността на данните. Твърди, че нерегламентираният достъп до информационната система на НАП е в резултат от злоумишлени действия, обявени за престъпни. Веднага след узнаването за този нерегламентиран достъп, НАП е предприела незабавни мерки за сигурност и преустановяването му. Счита, че не са налице данни да се приеме, че този неоторизиран достъп е резултат от действия или бездействия на НАП или нейни органи/служители. Прилага писмени доказателства. Няма доказателствени искания. Моли за отхвърляне на исковите претенции.

С оглед изложените твърдения в исковата молба и отговора на искова, молба, съдът намира, че е сезиран с иск с правно основание чл.79, параграф 1 и чл. 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).

Права и обстоятелства, които се признават и които не се нуждаят от доказване – няма такива.

Релевантните факти по предявения иск: а/ Дали ищецът е бил субект на обработка на лични данни от ответника и за какъв период. б/ дали на ищеца са изтекли лични данни, обработвани от ответника, в общественото пространство и ако да-кога, в/ налично ли е нарушение на задълженията, визирани в чл. 24 и чл. 32 от Общия регламент чрез бездействие на ответника да изпълни задълженията си по чл.59, ал.1, чл.45, ал.1, т.6, чл.64, чл.66, ал.1 и ал.2, чл.67, чл.68 ЗЗЛД, чл.24 и чл.32 от Общия регламент; г/ настъпването на заявените с исковата молба и уточняващата молба към нея неимуществени вреди; д/ пряка причинно-следствена връзка между заявеното фактическо основание на предявения иск и неимуществените вреди;

Съдът РАЗПРЕДЕЛЯ доказателствената тежест за подлежащите на доказване факти, съобразно чл. 82, § 3 от ОРЗД, както следва:

• В тежест на ищеца по иск с правно основание чл. 82, § 1, вр. § 2 от Регламента е да докаже настъпването на вредите, които твърди да е претърпял, както и да установи по категоричен начин в какво конкретно се изразява нарушението на ответника да изпълни задължения, произтичащи от Общия регламент /чл. 24 и чл. 32/ относно защитата на личните данни да осигури достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни, както и обема на данните, които неправомерно са разкрити. УКАЗВА също така на ищеца, че в негова доказателствена тежест е да установи онези факти и обстоятелства, от които претендира за него да настъпят благоприятни правни последици, а именно: че ищецът е бил субект на обработка на лични данни от НАП и за кои периоди; че в публичното пространство са изтекли лични данни на ищеца, обработвани от ответника и кога; причинени на ищеца неимуществени вреди от конкретни действия или бездействието на ответника, причинно-следствената връзка между незаконосъобразността на действието, респ. бездействието и вредата.

• В тежест на ответника е да докаже липсата на два от елементите от фактическия състав на отговорността за вреди, произтичаща пряко от чл. 82, § 1 от ОРЗД, а именно - да установи липсата на нарушение по смисъла на регламента и липсата на причинна връзка с твърдените вреди. В тежест на ответника е да установи, че не е отговорен за събитието, причинило вредата, т.е. че липсва нарушение, в причинна връзка с което са претърпени вредите. В тежест на ответника, съгласно чл. 24, § 2 и § 3 и чл. 32 от ОРЗД, е да докаже наличието на подходящи политики за защита на данните и придържането към одобрени кодекси за поведение или одобрени механизми за сертифициране, както и прилагането на конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове. УКАЗВА също така на ответника, че в негова доказателствена тежест е да установи в съдебния процес фактическите основания, които е посочил в отговора на исковата молба, представен в процеса. В тази връзка съдът УКАЗВА на ответника и, че следва да докаже при какви конкретни обстоятелства е допуснато изтичането на данни; има ли нерегламентиран достъп; по какъв технически начин е осъществен и до какви конкретно устройства или системи, съхраняващи данни; изцяло на външна намеса ли се дължи достъпът и възможно ли е той да се дължи изцяло на външна намеса; какви технически мерки са предприети, за да се предотврати достъпа; достатъчни ли са те, предвид достиженията на техническия прогрес и различните рискове; технически възможно ли е било предотвратяването на изтичането на данни.

НАСРОЧВА делото в открито съдебно заседание на 30.01.2025 ч., 11:40 часа. Препис от определението и призовки за откритото съдебно заседание да се изпратят на страните.

УКАЗВА на страните, че разполагат с възможност най-късно в първото по делото заседание да вземат становище по дадените указания и проекто - доклада по делото.

Призовките, съобщенията и съдебните книжа, ведно с приложенията към тях, да бъдат изпращани на страните преимуществено чрез Единния портал за електронно правосъдие или чрез Системата за сигурно електронно връчване, в случай че същите са регистрирани в нея.