РЕШЕНИЕ
№ 1959
Пазарджик, 05.05.2025 г.
В ИМЕТО НА НАРОДА
Административният съд - Пазарджик - VIII състав, в съдебно заседание на седми април две хиляди двадесет и пета година в състав:
| Съдия: | ВЕСЕЛКА ЗЛАТЕВА |
При секретар ЯНКА ВУКЕВА и с участието на прокурора ДАНИЕЛА ГЕОРГИЕВА ПЕТЪРНЕЙЧЕВА-БАРАКОВА като разгледа докладваното от съдия ВЕСЕЛКА ЗЛАТЕВА административно дело № 20247150700693 / 2024 г., за да се произнесе взе предвид следното:
Производството е по чл. 203, ал. 1 от Административно-процесуалния кодекс (АПК), във вр. с чл. 82, § 1, във вр. с § 2 от Регламент (ЕС) 2016/679 във вр. с чл. 39, ал. 2 от Закона за защита на личните данни (ЗЗЛД).
Образувано е във връзка с решение №7258 от 12.06.2024г., постановено по адм.д. №4931/21г. по описа на Върховен административен съд, с което е отменено решение №73 от 05.02.2021г., постановено по адм.д. №565/20г. по описа на Административен съд – Пазарджик и делото е върнато за ново разглеждане от друг състав на съда, като ВАС с решението е определил правната квалификация на иска.
Предявен е от С. П. С., [ЕГН] от с.Динката, обл.Пазарджик против Национална агенция за приходите иск за присъждане на обезщетение в размер на 1200 лева за претърпени неимуществени вреди, настъпили в резултат на неизпълнение от НАП на задължението й по чл.59, ал. 1 от Закона за защита на личните данни (ЗЗЛД) и чл.24 и чл. 32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679), довело до неразрешено разкриване на нейните лични данни, ведно със законната лихва, считано от 15.07.2019г. до окончателното изплащане.
В исковата молба се твърди, че на 16.07.2019 г. на официалната интернет страница на НАП било публикувано съобщение, че е осъществен неоторизиран достъп до около 3% от личните данни, обработвани от агенцията. Тези данни станали публично достояние в резултат на незаконосъобразно бездействие на служители на НАП, състоящо се в неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на данните.
Затова иска от съда да установи, че НАП - в качеството си на администратор на лични данни - чрез бездействие е допуснала нарушения на разпоредбите на чл.32 от Регламент (ЕС) 2016/679 и чл. 59 ал.1 от ЗЗЛД, от което за ищцата са възникнали неимуществени вреди, както и да осъди НАП да й заплати претендираната в настоящото производство сума, ведно със законната лихва, считано от 15.07.2019г. до окончателното изплащане, както и сторените съдебно-деловодни разноски.
Ответникът НАП чрез процесуалния си представител поддържа, че исковата претенция е неоснователна и недоказана и моли да бъде отхвърлена. Претендира присъждане на юрисконсултско възнаграждение.
Представителят на Окръжна прокуратура – Пазарджик поддържа, че искът е неоснователен и следва да се отхвърли.
Съдът след преценка на събраните по делото доказателства поотделно и в съвкупност приема от фактическа следното:
Безспорно е установено по делото с оглед приетото като писмено доказателства удостоверение изх.№ 94 – А – 1174#5 от 27.10.2020г. на Изпълнителния директор на НАП (л. 183) , че е осъществен неоторизиран достъп до данни от информационните масиви на НАП на 15.07.2019г., като за ищцата такъв е достъпът до следните нейни лични данни:
- ЕГН и имена
справка за изплатени доходи на физически лица за 2008г.
Във връзка с предприетите действия относно защита на личните данни от страна на ответния административен орган са ангажирани писмени доказателства както следва: заповед на Изпълнителния директор на НАП №ЗЦУ-586 от 30.04.2014 г. за внедряване на СУСИ по стандарт БДС/ ISO*IEC 27001; заповед на Изпълнителния директор на НАП №3-ЦУ-1436 от 15.10.2018 г. за утвърждаване на Указания за обозначаване и работа с информацията, версия 3.1; заповед на Изпълнителния директор на НАП №ЗЦУ-733 от 17.06.2016 г. за утвърждаване на процедури към отдел „Превенция на финансовата и информационната система“ в Инспекторат относно информационната сигурност, Вътрешни правила за мрежовата и информационната сигурност и Политика по информационната сигурност на НАП, версия 3.0: Утвърдени процедури към отдел „Превенция на финансовата и информационната система“ в Инспекторат: извършване на действия при съмнение за инцидент, касаещ информационната сигурност; извършване на проверка за спазване изискванията на системата за управление на информационната сигурност; извършване на преглед от ръководството за ефикасността на системата за управление на информационната сигурност; оценка на риска за информационната сигурност с четири ; приложения; извършване на наблюдение и отчитане на резултатността на внедрените механизми за контрол на информационната сигурност в НАП; извършване на коригиращи действия по СУ ИС; Правила за ползване на електронната поща и Интернет в Националната агенция за приходите, версия 3.0; Правила за ползване на мрежови файлови ресурси в Националната агенция за приходите, версия 2.0; Правила за правата и задълженията на потребителите, ползващи информационните активи в Националната агенция за приходите, версия 2.0; Правила за работа от разстояние в Националната агенция за приходите, версия 2.0; Правила за работа с преносими информационни активи в Националната агенция за приходите, версия 2.0; Правила за управление на достъпа до информационни активи и услуги в Националната агенция за приходите, версия 2.0; заповед на Изпълнителния директор на НАП №3-ЦУ-1236 от 21.08.2019 г. за утвърждаване на процедура ИС 17 Администриране на информационна система в НАП, версия В, ведно с процедурата; заповед на Изпълнителния директор на НАП №3-ЦУ-482 от 01.04.2019г. за определяне на служители с администраторски достъп до информационните активи и услуги на НАП; заповед на Изпълнителния директор на НАП №ЗЦУ-83 от 23.01.2013 г. за определяне на вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно-осигурителната сметка и сроковете за съхранение на архивираната информация; списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните съгласно чл. 35, § 4 от Регламент (ЕС) 2016/679 ; заповед №ЗЦУ - 1596 от 29.11.2017 г., с която са утвърдени Указания за унищожаване на информация и информационни носители в НАП, заедно с приложенията към него, както следва: Препоръчителен софтуер за изтриване на информация и верификационна проверка (приложение №1); Описание на методите и минимални препоръки за санитарна обработка (саниране) на данни и софтуер (приложение .№2); образец на протокол за унищожаване на информация и/или информационен носител (приложение №3); Вътрешните правила за оборот на електронни документи и документи на хартиен носител в НАП(л. 95), утвърдени със заповед ЖЩУ-535 от 11.05.2016 г. на Изпълнителния директор на НАП; Инструкция №2 от 08.05.2019 г. за мерките и средствата за защита на лични данни, обработвани в Националната агенция за приходите и реда за движение на преписки и заявяване на регистри(л. 125); Политика по информационна сигурност на НАП(л. 135); предложение на Изпълнителния директор на НАП до управителния съвет на НАП относно одобряване на организационно – управленска структура на Централното управление на НАП; решение на управителния съвет на НАП № РМФ-56 от 28.09.2010 г. за създаване на дирекция „Превенция на финансовата и информационна сигурност” на пряко подчинение на изпълнителния директор на НАП.
Представено е и удостоверение на изпълняващ функцията Изпълнителен директор на НАП (л. 150) за това, че във връзка с извършения неоторизиран достъп до база данни на агенцията и последвалото неправомерно разпространение на лични данни, от НАП е разработено специално приложение, активно от 25.07.2019г., налично на електронен адрес https://check.nra.bg, чрез което всеки български гражданин може да провери дали негови лични данни са станали обект на неоторизиран достъп.
При така установената фактическа обстановка съдът намира от правна страна следното:
Искът е допустим, като разгледан по същество е неоснователен.
Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на Регламент № 2016/679, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. В чл.82 от Регламента е въведен собствен режим на отговорност в областта на защитата на личните данни, като в пар. 2 са посочени трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. Регламент №2016/679 не препраща към правото на държавите членки относно смисъла и понятията на термините, съдържащи се в чл. 82, по-специално до понятията "материални и нематериални вреди", "обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент, тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави членки (Решение от 4 май 2023г. по С-300/21 на СЕС).
В случая безспорно е установено по делото, че лични данни на ищцата са обработени в нарушение на разпоредбите на Регламент №2016/679. Този факт обуславя и правния й интерес от предявяване на иска.
Предвид чл. 82 от Регламент (ЕС) 2016/679 предметът на доказване изисква установяване на: 1. нарушение на правата на субекта на данни по Регламент (ЕС) 2016/679 в резултат на обработване на личните му данни, което не е в съответствие с регламента; 2. причинена материална или нематериална вреда; 3. причинна връзка между нарушението на правата по регламента и причинената вреда.
В съображение 36 на решение от 14 декември 2023 г. по дело С-340/2021 на СЕС, VB, ECLI: EU: C: 2023: 986, е посочено че от текста на член 82, § 1 от ОРЗД ясно следва, че наличието на "вреди", които са били "нанесени", е едно от условията за правото на обезщетение, предвидено в посочената разпоредба, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни.
В изпълнение на нормативно уредени задължения, НАП осъществява дейности по обработване на лични данни и в качеството си на администратор на лични данни следва да прилага подходящи технически и организационни мерки и съгласно чл. 59, ал. 1 ЗЗЛД да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Същото задължение се съдържа и в чл. 24 и чл. 32 от Регламент (ЕС) 2016/679, където са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни, като с тях се гарантира един от основните принципи на обработване на лични данни съгласно чл. 5, § 1, б. „е“ от Регламента - цялостност и поверителност на данните.
Видно е от събраните писмени доказателства, че НАП е въвела вътрешни правила, процедури, технически и организационни мерки за осигуряване на сигурността на информацията, която се събира и обработва от агенцията. Доколко тези документално оповестени мерки са приложени и осъществени фактически в дейността на администрацията, по делото не се представиха конкретни доказателства, като същевременно е несъмнено установено, че е налице осъществен достъп от трето, неоторизирано лице, до личните данни на данъчните субекти, събирани и обработвани от ответната администрация, както и публичното обявяване на част от тези данни в интернет.
С оглед на очертаната в решението на СЕС по дело С-340/21 г. тежест на доказване, която следва пряко и от приложението на чл. 82, пар. 3 ОРЗД, НАП не доказа в хода на производството да е предприела всички подходящи мерки за сигурна обработка на личните данни, с което да бъде минимизиран риска от нерегламентиран достъп на трети лица. Приходната агенция в качеството й на администратор на лични данни по смисъла на пар. 1, т. 2 от ДР на ЗЗЛД, вр. чл. 4, т. 7 от ОРЗД не установи, че техническите мерки, взети преди нерегламентирания достъп до личните данни на ищцата, са били достатъчни съобразно рисковете предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица; че е изградила ниво на сигурност, което свежда до минимум риска от неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни; че по никакъв начин не е отговорна за събитието, причинило вредата.
Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1, т. 4 ДР на ЗЗЛД, вр. чл. 4, т. 2 ОРЗД, в т. ч. правото на защита на личните им данни.
В чл. 82, пар. 3 от Регламента е предвидено администраторът или обработващият лични данни да се освобождава от отговорност съгласно пар. 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. В т. 3 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС е прието, че принципът на отчетност на администратора, закрепен в чл.5, пар. 2 и конкретизиран в чл.24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 са подходящи.
Както е посочено по-горе в мотивите на настоящото решение, ответникът не доказа липсата на виновно поведение от страна на служители на НАП. Правно ирелевантно е обстоятелството, че изтичането на лични данни е в резултат от правонарушение или престъпление, извършено от трето лице, след като НАП е отговорна за събитието. Това е установено изрично при тълкуванието на чл. 82, § 3 от ОРЗД дадено в т. 74 от решението на СЕС по дело С-340/21, а именно: „С оглед на всички гореизложени съображения на четвъртия въпрос трябва да се отговори, че чл. 82, пар. 3 от Регламента следва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по чл. 82, пар. 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл.4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен“.
Затова съдът приема, че е налице първата предпоставка за ангажиране отговорността на НАП, представляваща незаконосъобразно бездействие по предприемане на необходимите мерки и ефективни средства за защита, произтичащи от задълженията по чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Регламент № 2016/679, вследствие на което е възникнал противоправният резултат, изразяващ се в нерегламентиран достъп и неразрешено разкриване на лични данни на ищцата.
Не е налице, обаче, втората предпоставка за уважаване на иска –претърпени от ищцата неимуществени вреди.
Както е посочено по-горе в мотивите на настоящото решение, производството по делото е образувано във връзка с решение №7258 от 12.06.2024г., постановено по адм.д. №4931/21г. по описа на Върховен административен съд, с което е отменено решение №73 от 05.02.2021г., постановено по адм.д. №565/20г. по описа на Административен съд – Пазарджик и делото е върнато за ново разглеждане от друг състав на съда.
В изпълнение указанията на ВАС настоящият съдебен състав е разпределил доказателствената тежест на страните и изрично им е указал тежестта на доказване, съответно подлежащите на доказване факти и обстоятелства, в т.ч. в тежест на ищцата е вменено с определение №3158 от 12.08.2024г. доказването на претърпени неимуществени вреди – отново с оглед указанията на ВАС. В тази връзка в проведеното на 25.11.2024г. с.з. са допуснати гласни доказателства. В следващите две о.с.з. не са доведени от ищцата свидетелите за разпит, като съдът повторно й е указал, че следва да ангажира доказателства във връзка с твърдените претърпени неимуществени вреди, което не е сторено.
Видно от мотивите на решение №7258 от 12.06.2024г., постановено по адм.д. №4931/21г. по описа на Върховен административен съд, връщането на делото за ново разглеждане от друг състав на Административен съд – Пазарджик е в резултат на съществено процесуално нарушение при разглеждане и решаване на спора по адм.д. №565/20г. по описа на същия, поради което процесуалните действия, извършвани пред съда при първото разглеждане, включително и разпита на свидетеля, се считат за опорочени. Практиката на ВАС по този въпрос е категорична, като в този смисъл напр. решение № 1765 от 20.02.2025 г. на ВАС по адм. д. № 9834/2024 г., V о. решение № 3765 от 9.04.2025 г. на ВАС по адм. д. № 1523/2025 г., V о. и др.
Съгласно чл. 226, ал. 1 и ал. 2 АПК при новото разглеждане производството се провежда по общия ред и започва от първото незаконосъобразно процесуално действие, послужило като основание за връщане на делото, като се допускат само писмени доказателства, които не са могли да бъдат известни на страната, както и доказателства за новооткрити или новонастъпили обстоятелства. В случая такова незаконосъобразно процесуално действие е било неправилното разпределение на доказателствената тежест, поради което събраните във връзка с него гласни доказателства не могат да бъдат ценени. Ищецът не е ангажирал нито писмени, нито гласни доказателства за претърпени неимуществени вреди.
Трите елемента са кумулативно предвидени в чл. 82 от ОРЗД от Регламента и липсата на доказаност на който и да е от тях има за правна последица неоснователност на иска и не следва да се обсъжда дали е налице и третата предпоставка, а именно причинно-следствена връзка.
По изложените съображения искът като неоснователен следва да бъде отхвърлен.
Предвид изхода на спора основателна е претенцията на процесуалния представител на НАП за присъждане на разноски. На основание чл. 78, ал.8, вр. с чл. 37 от Закона за правната помощ и чл. 24 от Наредбата за заплащане на правната помощ и предвид фактическата и правна сложност на делото, съдът определя общ размер от 300 лв. за юрисконсултско възнаграждение (по 100 лв. за всяка една от съдебните инстанции).
По изложените съображения Административен съд – Пазарджик
Р Е Ш И :
ОТХВЪРЛЯ предявения от С. П. С., [ЕГН], от с.Динката, обл.Пазарджик против Национална агенция за приходите иск за приемане за установено, че НАП - в качеството си на администратор на лични данни - чрез бездействие е допуснала нарушения на разпоредбите на чл.32 от Регламент (ЕС) 2016/679 и чл. 59 ал.1 от ЗЗЛД, от което за ищцата са възникнали неимуществени вреди и за присъждане на обезщетение в размер на 1200 лева за претърпени неимуществени вреди, настъпили в резултат на неизпълнение от НАП на задължението й по чл.59, ал. 1 от Закона за защита на личните данни (ЗЗЛД) и чл. 24 и чл.32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679), довело до неразрешено разкриване на нейните лични данни, ведно със законната лихва, считано от 15.07.2019г. до окончателното изплащане
ОСЪЖДА С. П. С., [ЕГН], от с.Динката, обл.Пазарджик да заплати на Национална агенция за приходите сумата от 300лв, представляващи сторени съдено-деловодни разноски.
Решението подлежи на обжалване с касационна жалба пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.
| Съдия: | |