РЕШЕНИЕ
№ 948
Добрич, 08.05.2024 г.
В ИМЕТО НА НАРОДА
Административният съд - Добрич - III състав, в съдебно заседание на двадесет и втори април две хиляди двадесет и четвърта година в състав:
Съдия: | КРАСИМИРА ИВАНОВА |
При секретар ВЕСЕЛИНА САНДЕВА и с участието на прокурора ВЕСЕЛИН ВИЧЕВ като разгледа докладваното от съдия КРАСИМИРА ИВАНОВА административно дело № 250 / 2021 г., за да се произнесе взе предвид следното:
Производството е по чл. 203 от АПК, във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).
Образуването на делото е след връщането му за ново разглеждане от друг състав с Решение № 6509/ 31.05.2021 г. по адм. дело № 10792/ 2020 г. по описа на Върховен административен съд, Трето отделение, с което е отменено постановеното при първоначалното разглеждане на делото Решение № 238 от 03.08.2020 г. по адм. дело № 31/ 2020 г. по описа на Административен съд – Добрич.
Образувано е по искова молба на Мартин Гошев Гочев, от гр. Добрич, срещу Национална агенция по приходите – София, с която е предявен иск за присъждане на обезщетение за неимуществени вреди в размер на 1000 лева, представляващи претърпени от ищеца стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции вследствие на незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), ведно със законната лихва, считано от датата на завеждане на исковата молба или алтернативно от датата на изтичане на личните данни - 15.07.2019 г., до окончателното изплащане на сумата.
В исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало известно, че при т. нар. „хакерска атака" от електронните масиви на НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. При справка от интернет портала на НАП, извършена чрез ПИК, ищецът бил уведомен, че попада сред лицата, чиито лични данни са били разкрити, което изключително много го притеснило. Навеждат се доводи, че за ищеца са възникнали неимуществени вреди, изразяващи се във възмущение от допуснатия пробив в Информационната система на НАП, а от друга страна, че след узнаване на факта на изтичане на данните, започнал да живее в страх и притеснение, почувствал се незащитен от Държавата, тъй като на показ се оказали неговите имена, ЕГН, документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му. Перманентно бил напрегнат, стресиран, уплашен. Притеснявал се от злоупотреби, вкл. физически нападения, заплахи, изнудвания, отвличания.
Излага се становище, че НАП в качеството си на администратор на лични данни, чрез бездействие е допуснала нарушения на разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД, нарушила е разпоредбите на чл. 45, ал.1 т. 6 от ЗЗЛД, като не е обработила личните данни по начин, по който да гарантира подходящо ниво на сигурност, като се приложат подходящи технологии и организационни мерки, чл. 64 от ЗЗЛД. Ищецът счита, че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и 68 от ЗЗЛД в периода от влизане на сила на Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR/ОРЗД) до 15.07.2019 г., когато е настъпило публичното оповестяване на данните. Настоява, че НАП чрез своите действия и бездействия е допуснала неазконосъобразни действия от трети недобросъвестни лица.
Според ищеца всички тези нарушения са в пряка причинна връзка с претърпените от него неимуществени вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал. 1 от GDPR, във връзка с чл. 1, ал. 1 от ЗОДОВ.
Ответникът – НАП - София, чрез процесуалния си представител, оспорва допустимостта на иска с твърдения, основани на разпоредбата на чл. 39, ал. 2 от ЗЗЛД. В условията на евентуалност оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от престъпно деяние по смисъла на НК, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на личните данни. Претендира юрисконсултско възнаграждение.
Представителят на ОП - Добрич изразява становище за неоснователност и недоказаност на исковата претенция, като изтъква, че във връзка с теча на данни е образувано досъдебно производство, касае се за престъпление и ответникът не може да носи отговорност за това.
Административен съд - Добрич, III състав, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено от фактическа и правна страна следното:
По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и неоспорена от ответника справка от 17.01.2020 г. (л. 6 от АД № 31/ 2020 г.) се установява, че разкритите данни за ищеца включват ЕГН и имена.
Видно от доказателствата по делото, описани в придружително писмо с вх,. № 1491/ 29.06.2020 г., със Заповед № ЗЦУ-586/ 30.04.2014 г. на Изпълнителния директор на НАП (л. 81 от АД № 31/ 2020 г.) е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП.
Със Заповед № ЗЦУ-1436/ 15.10.2018 г. на Изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др.
Със Заповед № ЗЦУ-733/ 17.06.2016 г. на Изпълнителния директор на НАП са утвърдени процедура и Вътрешни правила за мрежовата и информационната сигурност.
Със Заповед № ЗЦУ-1236/ 21.08.2019 г. на Изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В.
Със Заповед № ЗЦУ-482/ 01.04.2019 г. на Изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП, като със Заповед № ЗЦУ-83/ 23.01.2013 г. на Изпълнителния директор на НАП са определени видът, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно–осигурителната сметка и сроковете за съхранение на архивираната информация. "Указания за унищожаване на информация и информационни системи в НАП" са утвърдени със Заповед № ЗЦУ-1596/ 29.11.2017 г. на Изпълнителния директор на НАП, а със Заповед № ЗЦУ-535/ 11.05.2016 г. на Изпълнителния директор на НАП са утвърдени Вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП.
В Агенцията по приходите е изработена и Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г., утвърдена е политика по информационна сигурност на НАП и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.
С писмо вх. № 458/ 14.02.2020 г., Комисията за защита на личните данни (КЗЛД) уведомява съда, че след направена служебна справка е установила, че Мартин Гошев Гочев няма образувано и висящо по издаденото Решение с рег. № ППН-02-399 от 22.08.2019 г. от КЗЛД. Посочено е, че на НАП е връчено Наказателно постановление № 004 от 28.08.2019 г., издадено от Председателя на КЗЛД, което е обжалвано пред СРС. С писмо вх. № 1215 от 28.03.2024 г. е уведомен съдът от КЗЛД, че с Решение № 1247 по адм. дело № 12334/ 2023 г. на АССГ е отменено решение на СРС от 26.10.2023 г. (л. 38 – 41), с което е потвърдено НП, като е приложено самото Решение на АССГ, от което се установява, че НП е отменено и е прекратено административнонаказателното производство поради изтекла давност.
Настоящото производство е спряно до произнасяне на СЕС по преюдициално запитване по идентичен спор. На 14.12.2023 г. по дело С-340/ 21 г. на СЕС е постановено Решение на Съда (трети състав) от 14 декември 2023 г. (преюдициално запитване от Върховен административен съд — България) — VB/Национална агенция за приходите) (л. 9 – 15), с което СЕС приема, че чл. 24 и 32 от Регламента трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32; чл. 32 от Регламент 2016/679 трябва да се тълкува в смисъл, че преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове; принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи; чл. 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно; чл. 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по чл. 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен; чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. С оглед произнасянето на СЕС е възобновено производството по делото.
С вх. № 580/ 12.02.2024 г. и вх. № 1536/ 19.04.2024 г. (л. 21 и л. 42) ответникът представя Становище, чрез процесуалния си представител, с което оспорва исковата молба като неоснователна и недоказана.
За доказване на претърпените от ищеца неимуществени вреди по делото са събрани гласни доказателства. При първоначалното разглеждане на делото са разпитани двама свидетели, колеги на ищеца, а пред настоящия състав за разпит е доведен един свидетел – жената, с която ищецът живее на съпружески начала.
При така установената фактическа обстановка съдът намира от правна страна следното:
Предявеният иск е процесуално допустим и черпи правното си основание от разпоредбите на чл. 203, ал. 1 и чл. 204, ал. 4 от АПК, във връзка с чл. 82 от GDPR.
По отношение първоначалните възражения на ответника за недопустимост на иска следва да се подчертае, че съгласно съдебната практика на ВАС по идентични казуси процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ „Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК.
По отношение основателността на иска съдът намира, че същият е частично основателен, като съобрази следното:
В исковата молба г-н Гочев претендира незаконосъобразно бездействие от страна на ответника – неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което счита, че са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR, като се позовава и на чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 от ЗЗЛД. Правното основание, както беше посочено по – горе, на иска е чл. 82, §. 1 и 2 от Регламент № 2016/679. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. От съображение 146 от ОРЗД става ясно, че чл. 82 от него въвежда собствен режим на отговорност в областта на защитата на личните данни. В чл. 82, §. 2 от ОРЗД са посочени именно трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. ОРЗД не препраща към правото на държавите-членки относно смисъла и понятията на термините, съдържащи се в чл. 82 от ОРЗД, по-специално по отношение на понятията „материални и нематериални вреди", „обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави-членки (Решение от 4 май 2023 г. по С-300/21 на СЕС).
Вярно е, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се приеме, че приложените технически и организационни мерки не са подходящи по смисъла на членове 24 и 32 и да бъде присъдено право на обезщетение. Това означава, че изтичането на лични данни в публичното пространство в резултат на неправомерно поведение на трети лица не презумира, че приложените технически и организационни мерки за защита на лични данни по членове 24 и 32 от ОРЗД са неподходящи. Третите лица са различни от тези, които имат право да обработват лични данни под прякото ръководство на администратора или обработващия лични данни. Администраторът обаче не се освобождава от отговорност само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна" по смисъла на чл. 4, т. 10 от ОРЗД. Принципът на отчетност на администратора, закрепен в чл. 5, §. 2 и конкретизиран в чл. 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент администраторът на лични данни носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурността по чл. 32 от посочения регламент са подходящи, като в този смисъл е именно цитираното Решение от 14.12.2023 г. по дело С-340/21 на СЕС.
След връщането на делото за ново разглеждане на ответника беше указана изрично тежестта да установи, че избраните и приложени от него организационни и технически мерки са подходящи, за да препятстват неоторизиран достъп до лични данни и тяхното незаконно обработване. В тази връзка към Становището от 19.04.2024 г. ответникът представя писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-12375 от 12.12.2018 г. относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление", Протокол относно „Извършена проверка в Национална агензия за приходите, съгласно изисьсванията на чл. 60 от Закона за електронното управление" от Държавна агенция „Електронно управление, Писмо с изх. № ЕП-2339/19.12.2018 г. от НАП до Председателя на Държавна агенция „Електронно управление" относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление" и Писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-393 от 04.01.2019 г. относно „Писмо на ИД на НАП във връзка с резултатите от извършена проверка по чл. 60 от Закона за електронното управление". Сочи, че освен тези доказателства и представените при първоначалното разглеждане на делото с други не разполага. В Становището се настоява същевременно, че няма доказателство по делото, че данните на ищеца са станали достояние на трети недобросъвестни лица и че ако недобросъвестността била факт, то тогава щяло да има основание за претендиране на имуществени вреди, след изрично доказване, че данните са известни именно вследствие на неоторизирания достъп от системата на НАП, а не от друг източник. Ответникът счита, че от представените доказателства е видно, че НАП е предприела множество мерки с цел да не се допусне възникването на неоснователен страх. По разбирането на настоящия състав събраните по делото доказателства установяват предприемането на мерки, но не се доказва по безспорен и категоричен начин, че тези мерки са били подходящи за овладяване на съответния риск. В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Задължението се съдържа в чл. 24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. „е" от GDPR – цялостност и поверителност на данните. В случая ангажирането на многобройни писмени доказателства, без доказателства, че предвидените в тях мерки са ефективни, не доказва че ответникът е взел подходящите организационни и технически мерки, които да обезпечат защитата на личните данни, които администраторът обработва. Липсват доказателства, че предприетите организационни мерки са били в такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. Липсват и доказателства за това какви конкретно технически мерки е взел ответникът, за да защити личните данни, които обработва, от неправомерен достъп, като този от който се претендират вредите. В съображение 74 от ОРЗД е предвидено, че администраторът следва да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. В съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни, т.е. мерките не са били в такава степен подходящи и достатъчни, след като системата е била технически уязвима и е дала възможност за нерегламентиран достъп на информация, съответно не са приложени подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива ѝ, предизвикал разкриването на личните данни на ищеца. В случая липсата на доказване на приложени подходящи мерки установява наличието на първата предпоставка, тъй като ответникът не е доказал, че по никакъв начин не е отговорен за събитието, причинило вредата. Отмяната на издаденото от председателя на КЗЛД Наказателно постановление не може да се разглежда като факт, доказващ, че НАП не е отговорна за събитието, като се има предвид, че Наказателното постановление е отменено поради изтекла абсолютна давност.
Втората и третата предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна от ищеца вреда в резултат от това незаконосъобразно бездействие и причинна връзка между тях. Според СЕС чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. Понятието „вреди" се тълкува в по-широк смисъл в контекста на съдебната практика на СЕС по начин, който отразява напълно целите на Регламента, поради което обезщетението за нематериални вреди не се поставя в зависимост от определен праг на значимост на вредите. Пълното и действително обезщетение по съображение 146 от Регламента е цел на този правен институт, без да е необходимо изплащане на наказателно обезщетение, като тежестта на доказване на вредите е на ищеца, съгласно чл. 154, ал. 1 от ГПК, във връзка с чл. 144 от АПК. В случая ищецът установи по безспорен начин вредата, свързана с разкриване на личните му данни за ЕГН и имена, респ. възникналите опасения от това. В исковата молба ищецът посочва и впоследствие доказва със справка от НАП (л. 21) кои негови лични данни са изтекли в публичното пространство, а именно имена и ЕГН. За да може да се приложи принципът на равностойност и ефективност (Решение по дело С-300/21) ищецът следва да посочи и докаже неимуществените вреди. С исковата молба той твърди, че в резултат на изтичането на данните, респ. бездействието на ответника по осигуряване на тяхната защита, той е изпитал стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции. Целта на доказването на претърпените вреди е да се ангажира отговорността на администратора на лични данни и да се определи адекватно парично обезщетение.
За установяване на посочените претърпени неимуществени вреди при първоначалното разглеждане на делото са събрани гласни доказателства с разпита на св. Георги Колев Маринов и Богомил Генов Бонев, чиито показания се основават на лични възприятия, непосредствени впечатления, базират се на системни и трайни наблюдения за осъществени в правната действителност факти от процесния период, тъй като свидетелите са колеги на ищеца в КАТ и редовно контактуват с него. Св. Маринов потвърждава, че през един период от време колегата Гочев се е променил много. По принцип бил майтапчия, но тогава започнал да ходи умислен и не споделял нищо. Впоследствие споделил, че личните му данни са изтекли и се е притеснил, че с неговите данни могат да се случат различни неща, които той не е извършил. Този период е продължил около месец и според свидетеля е било нормално да се притеснява, че някой може да злоупотреби със собствеността му.
Според свидетеля Бонев колегата му Гочев, след като разбрал за теча на личните данни, се е притеснил много. Започнал да звъни на познати адвокати, за да ги разпитва. Страхувал се, че някой може да му изтегли кредит на негово име или да се разпореди с имотите, които имал, тъй като е бил с малко дете и това допълнително го е стресирало. Това притеснение е продължило месец, докато са се изяснили нещата, че няма с него проблеми.
И двамата свидетели заявяват, че не знаят дали техните лични данни са изтекли и не водят производства срещу НАП.
При новото разглеждане на делото беше разпитан един свидетел – жената, с която живее ищецът на съпружески начала, св. Инна Иванова Иванова. Независимо от изминалия продължителен период след събитието тя споделя своите впечатления за състоянието на ищеца след узнаване на процесните факти, като сочи, че след като проверил ищецът, че са му изтекли личните данни, не се чувствал добре, бил тревожен и притеснен, защото все пак това били лични данни. Като цяло доста често мислел за това, да не би от изтичането на тези лични данни да последва нещо, което да не е добре за него, тъй като разполагал с имоти и автомобил. Това притеснение продължило доста дълго време, за около месец конкретно, но ищецът все още се притеснявал, бил тревожен, като свидетелят излага становище, че по принцип няма как да не се притеснява човек, като му изтекат личните данни и не знае във всеки един момент какво може да се случи, тъй като някой може да ги ползва по грешен начин. Така събраните гласни доказателства установяват, че фактът, че имената и ЕГН на ищеца са станали известни на трети лица, му се е отразил негативно, той е изпитвал безпокойство и тревожност, които следва да бъдат обезщетени. Съдът кредитира дадените показания, първите като дадени от колеги, а вторите, като дадени от лице, което в най-близка степен е могло да установи състоянието на ищеца, а показанията му в същността си установяват настъпилите неимуществени вреди и то независимо от изминалото време от увреждането, като съдът ги преценява с оглед всички други данни по делото, в съответствие с чл. 172 ГПК, във връзка с чл. 144 АПК. Следва да се има предвид, че св. Иванова сочи, че и сега продължава притеснението и тревожността на ищеца. В тази връзка съдът съобразява, че дори без допълнителни доказателства, негативните емоции и психически дискомфорт, които изпитва човек, както сочи и свидетелят, породени от опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство. В този смисъл е доказана и втората предпоставка относно настъпили неимуществени вреди от изтеклите данни за ЕГН и имена на ищеца.
Не се доказаха вреди от изтекли данни за документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му.
Неоснователно е изложеното от ответника в Становището му, че свидетелските показания съдържали твърдения, които водят единствено до извода за липсата на информираност в ищеца, че не е констатиран случай на злоупотреба с лични данни, свързан с неоторизирания достъп до данни на НАП, както и че няма рискове за злоупотреби и кражба на самоличност, както било многократно оповестено от Агенцията чрез медиите, съответно, че били налични защитни механизми, които предотвратявали злоупотребата с лични данни с позоваването, че не било възможно тегленето на пари от чужди банкови сметки, прехвърлителни сделки, злоупотреби относно вписване на обстоятелства в TP и т.н. без представяне на документ за самоличност или нотариално заверено пълномощно в оригинал, изтъквайки, че незнанието на тези обстоятелства у ищеца не е основание за обезщетяване на вреди. Неоснователно е и посоченото, че всички институции и лицата, работещи с лични данни, били известени за ситуацията и предупредени да работят с повишено внимание, като били представени доказателства за множеството мерки, предприети от НАП с цел недопускане на неоснователни притеснения и успокояване на обществеността. Тези факти и обстоятелства не променят извода, че в случая ищецът е преживял психически стрес и емоционално напрежение, които са отражение на неговото вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на всяка човешка личност и зависят от нейните индивидуални възможности за справяне с конкретното положение. Предприетите мерки за гарантиране на сигурността и безопасността на гражданите и тяхното имущество, за успокояване на обществеността след неправомерното разкриване на личните данни не могат да игнорират настъпилите у ищеца негативни емоции и преживявания, които безспорно са се отразили на поведението и начина му на живот, като го съпътстват в известна степен и до днес според показанията на свидетеля.
Изложеното налага извода, че претърпените от ищеца болки и страдания са резултат от бездействието на ответника да изпълни своето задължение за прилагане на такива подходящи мерки, които да препятстват възможността за достъп до личните му данни, а разкриването в случая на ЕГН и имена само по себе си създава опасения за евентуални злоупотреби с права на ищеца.
Съгласно чл. 82, § 1 от ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 от ОРЗД, във връзка с с чл. 1, ал. 1 от ЗОДОВ, поради което за ищеца е възникнало субективното право по чл. 82, § 1 от ОРЗД да претендира обезщетение за причинените му неимуществени вреди, което ответникът да заплати.
Събраните доказателства установяват факта на вредите и пряката причинно - следствена връзка между настъпването им и незаконосъобразното бездействие на ответника. За да прецени основателността на претенцията, съдът съобрази събраните доказателства за душевното състояние на ищеца след установяването, че и негови лични данни са изтекли в публичното пространство. Справедливостта налага неимуществените вреди да бъдат овъзмездени. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни, обективно съществуващи обстоятелства и практиката на съдилищата. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост" не е абстрактно понятие, а е свързано именно с преценката на тези конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл. 52 от ЗЗД в зависимост от степента и характера на преживените болки и страдания от ищеца. В тази връзка съдът приема, че претендираната от ищеца сума от 1 000 лв. (хиляда лева) е прекомерно завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен на претърпените вреди. Обезщетението трябва да е съразмерно с вредите и да отговаря, както на конкретните данни по делото, така и на обществените представи за справедливост. С оглед характера на претърпените вреди, възраст на ищеца, продължителността на търпенето на вредите, доказаните душевни страдания и общото психическо състояние на същия като резултат от противоправното бездействие на ответника, съдът намира, че справедливият размер на дължимото обезщетение за неимуществени вреди следва да бъде определен на 300 лв. (триста лева) по смисъла на чл. 52 от ЗЗД, във връзка с чл. 4 от ЗОДОВ за причиненото състояние на безпокойство и притеснение. Над този размер претенцията следва да бъде отхвърлена.
Уважаването на основния иск изисква уважаване и на акцесорния. Претенцията на ищеца е да му бъде присъдена законна лихва върху присъдената сума, считано или от подаване на исковата молба, или алтернативно от 15.07.2019 г. - датата на увреждането, до окончателното изплащане на сумата. Относно началната дата на присъждане на законната лихва съдът съобрази следното:
ЗОДОВ определя специален ред и условия за обезщетяване на пострадалите лица. За неуредените в закона случаи се прилагат общите разпоредби на ЗЗД. Съгласно ТР № 3/ 2004 г. по тълк. дело № 3/ 2004 г. на ОСГК на ВКС в практиката съществуват две становища относно началния момент на забавата, съответно дължимостта на законната лихва и началния момент на погасителната давност на иска за обезщетение:
Според първото становище вземането на пострадалото лице за обезщетяване на вреди възниква от момента на издаване на акта, от извършване на действието или бездействието на държавния орган, без да е установена тяхната незаконност. Приложима е разпоредбата на чл. 84, ал. 3 ЗЗД, според която длъжникът се смята в забава и без покана от деня на увреждането, а според второто становище, вземането за обезщетяване на вреди възниква след признаване по законен ред незаконността на акта, действието или бездействието на държавния орган. При постановяване на ТР е прието, че е правилно второто становище, т.е. когато вредите произтичат от фактически действия или бездействия на администрацията, обезщетението за тях може да се иска след признаването им за незаконни, което се установява в производството по обезщетяването. От така определените моменти на изискуемост, започва да тече погасителната давност и се дължи мораторна лихва. С оглед на това претенцията за законна лихва следва да бъде уважена, считано от влизане на съдебното решение в сила.
Предвид изложеното фактическият състав на отговорността по чл. 203 АПК, във връзка с чл. 1 ЗОДОВ по отношение вреди от изтеклите данни за ЕГН и имена на ищеца е осъществен. Налице е незаконосъобразно бездействие, реално увреждане на ищеца и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените вреди на ищеца.
При този изход на спора и съобразно нормата на чл. 10, ал. 3 ЗОДОВ, съгласно която, ако искът бъде уважен изцяло или частично, съдът осъжда ответника да заплати разноските по производството, както и да заплати на ищеца внесената държавна такса, съответно да заплати на ищеца и възнаграждение за един адвокат или юрисконсулт, ако е имал такъв, съразмерно с уважената част от иска, то на ищеца следва да бъдат присъдени съдебно – деловодни разноски, както следва: държавна такса, която е в размер на 10 лв. и с оглед горецитираната разпоредба се дължи на ищеца в пълен размер дори и при частично уважаване на исковата претенция. На основание чл. 226 от АПК съдът следва да отчете разноските, както при настоящото производство, така и при първоначалното разглеждане на делото. Видно от договора за правна помощ и съдействие, ищецът е заплатил адвокатско възнаграждение в размер на 300 лв. (триста лева) за първоначалното разглеждане на делото (л. 8 от адм. дело № 31/ 2020 г.) и 300.00 лв. (триста лева) за настоящото производство (л. 53). С оглед изхода на спора основателна е претенцията на ищеца за разноски в размер на 10.00 лв. (десет лева) за внесена държавна такса. На основание чл. 10, ал. 3 от ЗОДОВ заплатеното адвокатско възнаграждение следва да се определи съразмерно с уважената част на иска съгласно чл. 8, във връзка с чл. 7, ал. 2, т. 1 от Наредба № 1/ 09.07.2004 г. за минималните адвокатски възнаграждения, а именно в размер на 90.00 лв. (деветдесет лева) за всяко едно от двете производства.
Ответникът също е претендирал присъждане на разноски. На основание чл. 10, ал. 4 от ЗОДОВ, на ответника се дължи възнаграждение за осъществената юрисконсултска защита, което изчислено съгласно правилото на чл. 24 от Наредбата за заплащането на правната помощ, при съобразяване на фактическата и правна сложност на делото, съразмерно с отхвърлената част от предявения иск следва да бъде определено в размер на 70.00 лв. за всяко едно от производствата.
Така мотивиран, Административен съд – Добрич, III състав,
РЕШИ:
ОСЪЖДА Националната агенция за приходите по иск, с правно основание чл. 82, § 1 от Общия регламент относно защитата на данните да заплати на Мартин Гошев Гочев, ЕГН **********, от гр. Добрич, сума в размер на 300.00 лева, представляваща обезщетение за неимуществени вреди, настъпили в резултат на незаконосъобразно бездействие от страна на Национална агенция за приходите, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 24 и чл. 32 от Общия регламент относно защитата на данните за гарантиране достатъчно ниво на сигурност на обработваните от него лични данни на Мартин Гошев Гочев, от гр. Добрич, ведно със законната лихва върху тази сума, считано от датата на влизане в сила на решението до окончателното й изплащане, като за разликата над 300.00 лв. (триста лева) до пълния предявен размер от 1000.00 лв. (хиляда лева), ведно със законната лихва върху разликата, отхвърля предявените искове като неоснователни.
ОСЪЖДА Национална агенция за приходите да заплати Мартин Гошев Гочев, ЕГН **********, от гр. Добрич сума в размер на 10.00 лв. (десет лева) разноски по делото за държавна такса.
ОСЪЖДА Мартин Гошев Гочев, ЕГН **********, от гр. Добрич, да заплати на Националната агенция за приходите сумата от 140.00 лв. (сто и четиридесет лева) общо разноски по делото за първоначално и последващо разглеждане във вид на юрисконсултско възнаграждение съобразно отхвърлената част от иска.
ОСЪЖДА Национална агенция за приходите да заплати на Мартин Гошев Гочев, ЕГН **********, от гр. Добрич сума в размер на 180.00 лв. (сто и осемдесет лева), общо разноски по делото за първоначално и последващо разглеждане във вид на адвокатско възнаграждение съобразно уважената част от иска.
Решението може да се обжалва с касационна жалба чрез Административен съд – Добрич пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.
РЕШЕНИЕ
№ 948
Добрич, 08.05.2024 г.
В И. Н. Н.
Административният съд - Добрич - III състав, в съдебно заседание на двадесет и втори април две хиляди двадесет и четвърта година в състав:
Съдия: | К. И. |
При секретар В. С. и с участието на прокурора В. В. като разгледа докладваното от съдия К. И. административно дело № 250 / 2021 г., за да се произнесе взе предвид следното:
Производството е по чл. 203 от АПК, във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).
Образуването на делото е след връщането му за ново разглеждане от друг състав с Решение № 6509/ 31.05.2021 г. по адм. дело № 10792/ 2020 г. по описа на Върховен административен съд, Трето отделение, с което е отменено постановеното при първоначалното разглеждане на делото Решение № 238 от 03.08.2020 г. по адм. дело № 31/ 2020 г. по описа на А. съд – Добрич.
Образувано е по искова молба на М. Г. Г., от [населено място], срещу Национална агенция по приходите – София, с която е предявен иск за присъждане на обезщетение за неимуществени вреди в размер на 1000 лева, представляващи претърпени от ищеца стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции вследствие на незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), ведно със законната лихва, считано от датата на завеждане на исковата молба или алтернативно от датата на изтичане на личните данни - 15.07.2019 г., до окончателното изплащане на сумата.
В исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало известно, че при т. нар. „хакерска атака" от електронните масиви на НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. При справка от интернет портала на НАП, извършена чрез ПИК, ищецът бил уведомен, че попада сред лицата, чиито лични данни са били разкрити, което изключително много го притеснило. Навеждат се доводи, че за ищеца са възникнали неимуществени вреди, изразяващи се във възмущение от допуснатия пробив в Информационната система на НАП, а от друга страна, че след узнаване на факта на изтичане на данните, започнал да живее в страх и притеснение, почувствал се незащитен от Държавата, тъй като на показ се оказали неговите имена, ЕГН, документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му. Перманентно бил напрегнат, стресиран, уплашен. Притеснявал се от злоупотреби, вкл. физически нападения, заплахи, изнудвания, отвличания.
Излага се становище, че НАП в качеството си на администратор на лични данни, чрез бездействие е допуснала нарушения на разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД, нарушила е разпоредбите на чл. 45, ал.1 т. 6 от ЗЗЛД, като не е обработила личните данни по начин, по който да гарантира подходящо ниво на сигурност, като се приложат подходящи технологии и организационни мерки, чл. 64 от ЗЗЛД. Ищецът счита, че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и 68 от ЗЗЛД в периода от влизане на сила на Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR/ОРЗД) до 15.07.2019 г., когато е настъпило публичното оповестяване на данните. Настоява, че НАП чрез своите действия и бездействия е допуснала неазконосъобразни действия от трети недобросъвестни лица.
Според ищеца всички тези нарушения са в пряка причинна връзка с претърпените от него неимуществени вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал. 1 от GDPR, във връзка с чл. 1, ал. 1 от ЗОДОВ.
Ответникът – НАП - София, чрез процесуалния си представител, оспорва допустимостта на иска с твърдения, основани на разпоредбата на чл. 39, ал. 2 от ЗЗЛД. В условията на евентуалност оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от престъпно деяние по смисъла на НК, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на личните данни. Претендира юрисконсултско възнаграждение.
Представителят на ОП - Добрич изразява становище за неоснователност и недоказаност на исковата претенция, като изтъква, че във връзка с теча на данни е образувано досъдебно производство, касае се за престъпление и ответникът не може да носи отговорност за това.
А. съд - Добрич, III състав, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено от фактическа и правна страна следното:
По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и неоспорена от ответника справка от 17.01.2020 г. (л. 6 от АД № 31/ 2020 г.) се установява, че разкритите данни за ищеца включват ЕГН и имена.
Видно от доказателствата по делото, описани в придружително писмо с вх,. № 1491/ 29.06.2020 г., със Заповед № ЗЦУ-586/ 30.04.2014 г. на Изпълнителния директор на НАП (л. 81 от АД № 31/ 2020 г.) е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП.
Със Заповед № ЗЦУ-1436/ 15.10.2018 г. на Изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др.
Със Заповед № ЗЦУ-733/ 17.06.2016 г. на Изпълнителния директор на НАП са утвърдени процедура и Вътрешни правила за мрежовата и информационната сигурност.
Със Заповед № ЗЦУ-1236/ 21.08.2019 г. на Изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В.
Със Заповед № ЗЦУ-482/ 01.04.2019 г. на Изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП, като със Заповед № ЗЦУ-83/ 23.01.2013 г. на Изпълнителния директор на НАП са определени видът, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно–осигурителната сметка и сроковете за съхранение на архивираната информация. "Указания за унищожаване на информация и информационни системи в НАП" са утвърдени със Заповед № ЗЦУ-1596/ 29.11.2017 г. на Изпълнителния директор на НАП, а със Заповед № ЗЦУ-535/ 11.05.2016 г. на Изпълнителния директор на НАП са утвърдени Вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП.
В Агенцията по приходите е изработена и Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г., утвърдена е политика по информационна сигурност на НАП и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.
С писмо вх. № 458/ 14.02.2020 г., Комисията за защита на личните данни (КЗЛД) уведомява съда, че след направена служебна справка е установила, че М. Г. Г. няма образувано и висящо по издаденото Решение с рег. № ППН-02-399 от 22.08.2019 г. от КЗЛД. Посочено е, че на НАП е връчено Наказателно постановление № 004 от 28.08.2019 г., издадено от П. на КЗЛД, което е обжалвано пред СРС. С писмо вх. № 1215 от 28.03.2024 г. е уведомен съдът от КЗЛД, че с Решение № 1247 по адм. дело № 12334/ 2023 г. на А. е отменено решение на СРС от 26.10.2023 г. (л. 38 – 41), с което е потвърдено НП, като е приложено самото Решение на А., от което се установява, че НП е отменено и е прекратено административнонаказателното производство поради изтекла давност.
Настоящото производство е спряно до произнасяне на СЕС по преюдициално запитване по идентичен спор. На 14.12.2023 г. по дело С-340/ 21 г. на СЕС е постановено Решение на Съда (трети състав) от 14 декември 2023 г. (преюдициално запитване от Върховен административен съд — България) — VB/Национална агенция за приходите) (л. 9 – 15), с което СЕС приема, че чл. 24 и 32 от Регламента трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32; чл. 32 от Регламент 2016/679 трябва да се тълкува в смисъл, че преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове; принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи; чл. 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно; чл. 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по чл. 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен; чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. С оглед произнасянето на СЕС е възобновено производството по делото.
С вх. № 580/ 12.02.2024 г. и вх. № 1536/ 19.04.2024 г. (л. 21 и л. 42) ответникът представя Становище, чрез процесуалния си представител, с което оспорва исковата молба като неоснователна и недоказана.
За доказване на претърпените от ищеца неимуществени вреди по делото са събрани гласни доказателства. При първоначалното разглеждане на делото са разпитани двама свидетели, колеги на ищеца, а пред настоящия състав за разпит е доведен един свидетел – жената, с която ищецът живее на съпружески начала.
При така установената фактическа обстановка съдът намира от правна страна следното:
Предявеният иск е процесуално допустим и черпи правното си основание от разпоредбите на чл. 203, ал. 1 и чл. 204, ал. 4 от АПК, във връзка с чл. 82 от GDPR.
По отношение първоначалните възражения на ответника за недопустимост на иска следва да се подчертае, че съгласно съдебната практика на ВАС по идентични казуси процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ „Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК.
По отношение основателността на иска съдът намира, че същият е частично основателен, като съобрази следното:
В исковата молба г-н Г. претендира незаконосъобразно бездействие от страна на ответника – неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което счита, че са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR, като се позовава и на чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 от ЗЗЛД. Правното основание, както беше посочено по – горе, на иска е чл. 82, §. 1 и 2 от Регламент № 2016/679. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. От съображение 146 от ОРЗД става ясно, че чл. 82 от него въвежда собствен режим на отговорност в областта на защитата на личните данни. В чл. 82, §. 2 от ОРЗД са посочени именно трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. ОРЗД не препраща към правото на държавите-членки относно смисъла и понятията на термините, съдържащи се в чл. 82 от ОРЗД, по-специално по отношение на понятията „материални и нематериални вреди", „обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави-членки (Решение от 4 май 2023 г. по С-300/21 на СЕС).
Вярно е, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се приеме, че приложените технически и организационни мерки не са подходящи по смисъла на членове 24 и 32 и да бъде присъдено право на обезщетение. Това означава, че изтичането на лични данни в публичното пространство в резултат на неправомерно поведение на трети лица не презумира, че приложените технически и организационни мерки за защита на лични данни по членове 24 и 32 от ОРЗД са неподходящи. Третите лица са различни от тези, които имат право да обработват лични данни под прякото ръководство на администратора или обработващия лични данни. Администраторът обаче не се освобождава от отговорност само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна" по смисъла на чл. 4, т. 10 от ОРЗД. Принципът на отчетност на администратора, закрепен в чл. 5, §. 2 и конкретизиран в чл. 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент администраторът на лични данни носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурността по чл. 32 от посочения регламент са подходящи, като в този смисъл е именно цитираното Решение от 14.12.2023 г. по дело С-340/21 на СЕС.
След връщането на делото за ново разглеждане на ответника беше указана изрично тежестта да установи, че избраните и приложени от него организационни и технически мерки са подходящи, за да препятстват неоторизиран достъп до лични данни и тяхното незаконно обработване. В тази връзка към Становището от 19.04.2024 г. ответникът представя писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-12375 от 12.12.2018 г. относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление", Протокол относно „Извършена проверка в Национална агензия за приходите, съгласно изисьсванията на чл. 60 от Закона за електронното управление" от Държавна агенция „Електронно управление, Писмо с изх. № ЕП-2339/19.12.2018 г. от НАП до П. на Държавна агенция „Електронно управление" относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление" и Писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-393 от 04.01.2019 г. относно „Писмо на ИД на НАП във връзка с резултатите от извършена проверка по чл. 60 от Закона за електронното управление". Сочи, че освен тези доказателства и представените при първоначалното разглеждане на делото с други не разполага. В Становището се настоява същевременно, че няма доказателство по делото, че данните на ищеца са станали достояние на трети недобросъвестни лица и че ако недобросъвестността била факт, то тогава щяло да има основание за претендиране на имуществени вреди, след изрично доказване, че данните са известни именно вследствие на неоторизирания достъп от системата на НАП, а не от друг източник. Ответникът счита, че от представените доказателства е видно, че НАП е предприела множество мерки с цел да не се допусне възникването на неоснователен страх. По разбирането на настоящия състав събраните по делото доказателства установяват предприемането на мерки, но не се доказва по безспорен и категоричен начин, че тези мерки са били подходящи за овладяване на съответния риск. В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Задължението се съдържа в чл. 24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. „е" от GDPR – цялостност и поверителност на данните. В случая ангажирането на многобройни писмени доказателства, без доказателства, че предвидените в тях мерки са ефективни, не доказва че ответникът е взел подходящите организационни и технически мерки, които да обезпечат защитата на личните данни, които администраторът обработва. Липсват доказателства, че предприетите организационни мерки са били в такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. Липсват и доказателства за това какви конкретно технически мерки е взел ответникът, за да защити личните данни, които обработва, от неправомерен достъп, като този от който се претендират вредите. В съображение 74 от ОРЗД е предвидено, че администраторът следва да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. В съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни, т.е. мерките не са били в такава степен подходящи и достатъчни, след като системата е била технически уязвима и е дала възможност за нерегламентиран достъп на информация, съответно не са приложени подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива ѝ, предизвикал разкриването на личните данни на ищеца. В случая липсата на доказване на приложени подходящи мерки установява наличието на първата предпоставка, тъй като ответникът не е доказал, че по никакъв начин не е отговорен за събитието, причинило вредата. Отмяната на издаденото от председателя на КЗЛД Наказателно постановление не може да се разглежда като факт, доказващ, че НАП не е отговорна за събитието, като се има предвид, че Наказателното постановление е отменено поради изтекла абсолютна давност.
Втората и третата предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна от ищеца вреда в резултат от това незаконосъобразно бездействие и причинна връзка между тях. Според СЕС чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. Понятието „вреди" се тълкува в по-широк смисъл в контекста на съдебната практика на СЕС по начин, който отразява напълно целите на Регламента, поради което обезщетението за нематериални вреди не се поставя в зависимост от определен праг на значимост на вредите. Пълното и действително обезщетение по съображение 146 от Регламента е цел на този правен институт, без да е необходимо изплащане на наказателно обезщетение, като тежестта на доказване на вредите е на ищеца, съгласно чл. 154, ал. 1 от ГПК, във връзка с чл. 144 от АПК. В случая ищецът установи по безспорен начин вредата, свързана с разкриване на личните му данни за ЕГН и имена, респ. възникналите опасения от това. В исковата молба ищецът посочва и впоследствие доказва със справка от НАП (л. 21) кои негови лични данни са изтекли в публичното пространство, а именно имена и ЕГН. За да може да се приложи принципът на равностойност и ефективност (Решение по дело С-300/21) ищецът следва да посочи и докаже неимуществените вреди. С исковата молба той твърди, че в резултат на изтичането на данните, респ. бездействието на ответника по осигуряване на тяхната защита, той е изпитал стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции. Целта на доказването на претърпените вреди е да се ангажира отговорността на администратора на лични данни и да се определи адекватно парично обезщетение.
За установяване на посочените претърпени неимуществени вреди при първоначалното разглеждане на делото са събрани гласни доказателства с разпита на св. Г. К. М. и Б. Г. Б., чиито показания се основават на лични възприятия, непосредствени впечатления, базират се на системни и трайни наблюдения за осъществени в правната действителност факти от процесния период, тъй като свидетелите са колеги на ищеца в КАТ и редовно контактуват с него. Св. М. потвърждава, че през един период от време колегата Г. се е променил много. По принцип бил майтапчия, но тогава започнал да ходи умислен и не споделял нищо. Впоследствие споделил, че личните му данни са изтекли и се е притеснил, че с неговите данни могат да се случат различни неща, които той не е извършил. Този период е продължил около месец и според свидетеля е било нормално да се притеснява, че някой може да злоупотреби със собствеността му.
Според свидетеля Б. колегата му Г., след като разбрал за теча на личните данни, се е притеснил много. Започнал да звъни на познати адвокати, за да ги разпитва. Страхувал се, че някой може да му изтегли кредит на негово име или да се разпореди с имотите, които имал, тъй като е бил с малко дете и това допълнително го е стресирало. Това притеснение е продължило месец, докато са се изяснили нещата, че няма с него проблеми.
И двамата свидетели заявяват, че не знаят дали техните лични данни са изтекли и не водят производства срещу НАП.
При новото разглеждане на делото беше разпитан един свидетел – жената, с която живее ищецът на съпружески начала, св. И. И. И.. Независимо от изминалия продължителен период след събитието тя споделя своите впечатления за състоянието на ищеца след узнаване на процесните факти, като сочи, че след като проверил ищецът, че са му изтекли личните данни, не се чувствал добре, бил тревожен и притеснен, защото все пак това били лични данни. Като цяло доста често мислел за това, да не би от изтичането на тези лични данни да последва нещо, което да не е добре за него, тъй като разполагал с имоти и автомобил. Това притеснение продължило доста дълго време, за около месец конкретно, но ищецът все още се притеснявал, бил тревожен, като свидетелят излага становище, че по принцип няма как да не се притеснява човек, като му изтекат личните данни и не знае във всеки един момент какво може да се случи, тъй като някой може да ги ползва по грешен начин. Така събраните гласни доказателства установяват, че фактът, че имената и ЕГН на ищеца са станали известни на трети лица, му се е отразил негативно, той е изпитвал безпокойство и тревожност, които следва да бъдат обезщетени. Съдът кредитира дадените показания, първите като дадени от колеги, а вторите, като дадени от лице, което в най-близка степен е могло да установи състоянието на ищеца, а показанията му в същността си установяват настъпилите неимуществени вреди и то независимо от изминалото време от увреждането, като съдът ги преценява с оглед всички други данни по делото, в съответствие с чл. 172 ГПК, във връзка с чл. 144 АПК. Следва да се има предвид, че св. И. сочи, че и сега продължава притеснението и тревожността на ищеца. В тази връзка съдът съобразява, че дори без допълнителни доказателства, негативните емоции и психически дискомфорт, които изпитва човек, както сочи и свидетелят, породени от опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство. В този смисъл е доказана и втората предпоставка относно настъпили неимуществени вреди от изтеклите данни за ЕГН и имена на ищеца.
Не се доказаха вреди от изтекли данни за документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му.
Неоснователно е изложеното от ответника в Становището му, че свидетелските показания съдържали твърдения, които водят единствено до извода за липсата на информираност в ищеца, че не е констатиран случай на злоупотреба с лични данни, свързан с неоторизирания достъп до данни на НАП, както и че няма рискове за злоупотреби и кражба на самоличност, както било многократно оповестено от Агенцията чрез медиите, съответно, че били налични защитни механизми, които предотвратявали злоупотребата с лични данни с позоваването, че не било възможно тегленето на пари от чужди банкови сметки, прехвърлителни сделки, злоупотреби относно вписване на обстоятелства в TP и т.н. без представяне на документ за самоличност или нотариално заверено пълномощно в оригинал, изтъквайки, че незнанието на тези обстоятелства у ищеца не е основание за обезщетяване на вреди. Неоснователно е и посоченото, че всички институции и лицата, работещи с лични данни, били известени за ситуацията и предупредени да работят с повишено внимание, като били представени доказателства за множеството мерки, предприети от НАП с цел недопускане на неоснователни притеснения и успокояване на обществеността. Тези факти и обстоятелства не променят извода, че в случая ищецът е преживял психически стрес и емоционално напрежение, които са отражение на неговото вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на всяка човешка личност и зависят от нейните индивидуални възможности за справяне с конкретното положение. Предприетите мерки за гарантиране на сигурността и безопасността на гражданите и тяхното имущество, за успокояване на обществеността след неправомерното разкриване на личните данни не могат да игнорират настъпилите у ищеца негативни емоции и преживявания, които безспорно са се отразили на поведението и начина му на живот, като го съпътстват в известна степен и до днес според показанията на свидетеля.
Изложеното налага извода, че претърпените от ищеца болки и страдания са резултат от бездействието на ответника да изпълни своето задължение за прилагане на такива подходящи мерки, които да препятстват възможността за достъп до личните му данни, а разкриването в случая на ЕГН и имена само по себе си създава опасения за евентуални злоупотреби с права на ищеца.
Съгласно чл. 82, § 1 от ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 от ОРЗД, във връзка с с чл. 1, ал. 1 от ЗОДОВ, поради което за ищеца е възникнало субективното право по чл. 82, § 1 от ОРЗД да претендира обезщетение за причинените му неимуществени вреди, което ответникът да заплати.
Събраните доказателства установяват факта на вредите и пряката причинно - следствена връзка между настъпването им и незаконосъобразното бездействие на ответника. За да прецени основателността на претенцията, съдът съобрази събраните доказателства за душевното състояние на ищеца след установяването, че и негови лични данни са изтекли в публичното пространство. Справедливостта налага неимуществените вреди да бъдат овъзмездени. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни, обективно съществуващи обстоятелства и практиката на съдилищата. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост" не е абстрактно понятие, а е свързано именно с преценката на тези конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл. 52 от ЗЗД в зависимост от степента и характера на преживените болки и страдания от ищеца. В тази връзка съдът приема, че претендираната от ищеца сума от 1 000 лв. (хиляда лева) е прекомерно завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен на претърпените вреди. Обезщетението трябва да е съразмерно с вредите и да отговаря, както на конкретните данни по делото, така и на обществените представи за справедливост. С оглед характера на претърпените вреди, възраст на ищеца, продължителността на търпенето на вредите, доказаните душевни страдания и общото психическо състояние на същия като резултат от противоправното бездействие на ответника, съдът намира, че справедливият размер на дължимото обезщетение за неимуществени вреди следва да бъде определен на 300 лв. (триста лева) по смисъла на чл. 52 от ЗЗД, във връзка с чл. 4 от ЗОДОВ за причиненото състояние на безпокойство и притеснение. Над този размер претенцията следва да бъде отхвърлена.
Уважаването на основния иск изисква уважаване и на акцесорния. Претенцията на ищеца е да му бъде присъдена законна лихва върху присъдената сума, считано или от подаване на исковата молба, или алтернативно от 15.07.2019 г. - датата на увреждането, до окончателното изплащане на сумата. Относно началната дата на присъждане на законната лихва съдът съобрази следното:
ЗОДОВ определя специален ред и условия за обезщетяване на пострадалите лица. За неуредените в закона случаи се прилагат общите разпоредби на ЗЗД. Съгласно ТР № 3/ 2004 г. по тълк. дело № 3/ 2004 г. на ОСГК на ВКС в практиката съществуват две становища относно началния момент на забавата, съответно дължимостта на законната лихва и началния момент на погасителната давност на иска за обезщетение:
Според първото становище вземането на пострадалото лице за обезщетяване на вреди възниква от момента на издаване на акта, от извършване на действието или бездействието на държавния орган, без да е установена тяхната незаконност. Приложима е разпоредбата на чл. 84, ал. 3 ЗЗД, според която длъжникът се смята в забава и без покана от деня на увреждането, а според второто становище, вземането за обезщетяване на вреди възниква след признаване по законен ред незаконността на акта, действието или бездействието на държавния орган. При постановяване на ТР е прието, че е правилно второто становище, т.е. когато вредите произтичат от фактически действия или бездействия на администрацията, обезщетението за тях може да се иска след признаването им за незаконни, което се установява в производството по обезщетяването. От така определените моменти на изискуемост, започва да тече погасителната давност и се дължи мораторна лихва. С оглед на това претенцията за законна лихва следва да бъде уважена, считано от влизане на съдебното решение в сила.
Предвид изложеното фактическият състав на отговорността по чл. 203 АПК, във връзка с чл. 1 ЗОДОВ по отношение вреди от изтеклите данни за ЕГН и имена на ищеца е осъществен. Налице е незаконосъобразно бездействие, реално увреждане на ищеца и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените вреди на ищеца.
При този изход на спора и съобразно нормата на чл. 10, ал. 3 ЗОДОВ, съгласно която, ако искът бъде уважен изцяло или частично, съдът осъжда ответника да заплати разноските по производството, както и да заплати на ищеца внесената държавна такса, съответно да заплати на ищеца и възнаграждение за един адвокат или юрисконсулт, ако е имал такъв, съразмерно с уважената част от иска, то на ищеца следва да бъдат присъдени съдебно – деловодни разноски, както следва: държавна такса, която е в размер на 10 лв. и с оглед горецитираната разпоредба се дължи на ищеца в пълен размер дори и при частично уважаване на исковата претенция. На основание чл. 226 от АПК съдът следва да отчете разноските, както при настоящото производство, така и при първоначалното разглеждане на делото. Видно от договора за правна помощ и съдействие, ищецът е заплатил адвокатско възнаграждение в размер на 300 лв. (триста лева) за първоначалното разглеждане на делото (л. 8 от адм. дело № 31/ 2020 г.) и 300.00 лв. (триста лева) за настоящото производство (л. 53). С оглед изхода на спора основателна е претенцията на ищеца за разноски в размер на 10.00 лв. (десет лева) за внесена държавна такса. На основание чл. 10, ал. 3 от ЗОДОВ заплатеното адвокатско възнаграждение следва да се определи съразмерно с уважената част на иска съгласно чл. 8, във връзка с чл. 7, ал. 2, т. 1 от Наредба № 1/ 09.07.2004 г. за минималните адвокатски възнаграждения, а именно в размер на 90.00 лв. (деветдесет лева) за всяко едно от двете производства.
Ответникът също е претендирал присъждане на разноски. На основание чл. 10, ал. 4 от ЗОДОВ, на ответника се дължи възнаграждение за осъществената юрисконсултска защита, което изчислено съгласно правилото на чл. 24 от Наредбата за заплащането на правната помощ, при съобразяване на фактическата и правна сложност на делото, съразмерно с отхвърлената част от предявения иск следва да бъде определено в размер на 70.00 лв. за всяко едно от производствата.
Така мотивиран, А. съд – Добрич, III състав,
РЕШИ:
ОСЪЖДА Националната агенция за приходите по иск, с правно основание чл. 82, § 1 от Общия регламент относно защитата на данните да заплати на М. Г. Г., [ЕГН], от [населено място], сума в размер на 300.00 лева, представляваща обезщетение за неимуществени вреди, настъпили в резултат на незаконосъобразно бездействие от страна на Национална агенция за приходите, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 24 и чл. 32 от Общия регламент относно защитата на данните за гарантиране достатъчно ниво на сигурност на обработваните от него лични данни на М. Г. Г., от [населено място], ведно със законната лихва върху тази сума, считано от датата на влизане в сила на решението до окончателното й изплащане, като за разликата над 300.00 лв. (триста лева) до пълния предявен размер от 1000.00 лв. (хиляда лева), ведно със законната лихва върху разликата, отхвърля предявените искове като неоснователни.
ОСЪЖДА Национална агенция за приходите да заплати М. Г. Г., [ЕГН], от [населено място] сума в размер на 10.00 лв. (десет лева) разноски по делото за държавна такса.
ОСЪЖДА М. Г. Г., [ЕГН], от [населено място], да заплати на Националната агенция за приходите сумата от 140.00 лв. (сто и четиридесет лева) общо разноски по делото за първоначално и последващо разглеждане във вид на юрисконсултско възнаграждение съобразно отхвърлената част от иска.
ОСЪЖДА Национална агенция за приходите да заплати на М. Г. Г., [ЕГН], от [населено място] сума в размер на 180.00 лв. (сто и осемдесет лева), общо разноски по делото за първоначално и последващо разглеждане във вид на адвокатско възнаграждение съобразно уважената част от иска.
Решението може да се обжалва с касационна жалба чрез А. съд – Добрич пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.
РЕШЕНИЕ
№ 948
Добрич, 08.05.2024 г.
В ИМЕТО НА НАРОДА
Административният съд - Добрич - III състав, в съдебно заседание на двадесет и втори април две хиляди двадесет и четвърта година в състав:
Съдия: | КРАСИМИРА ИВАНОВА |
При секретар ВЕСЕЛИНА САНДЕВА и с участието на прокурора ВЕСЕЛИН ВИЧЕВ като разгледа докладваното от съдия КРАСИМИРА ИВАНОВА административно дело № 250 / 2021 г., за да се произнесе взе предвид следното:
Производството е по чл. 203 от АПК, във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).
Образуването на делото е след връщането му за ново разглеждане от друг състав с Решение № 6509/ 31.05.2021 г. по адм. дело № 10792/ 2020 г. по описа на Върховен административен съд, Трето отделение, с което е отменено постановеното при първоначалното разглеждане на делото Решение № 238 от 03.08.2020 г. по адм. дело № 31/ 2020 г. по описа на Административен съд – Добрич.
Образувано е по искова молба на Мартин Гошев Гочев, от гр. Добрич, срещу Национална агенция по приходите – София, с която е предявен иск за присъждане на обезщетение за неимуществени вреди в размер на 1000 лева, представляващи претърпени от ищеца стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции вследствие на незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), ведно със законната лихва, считано от датата на завеждане на исковата молба или алтернативно от датата на изтичане на личните данни - 15.07.2019 г., до окончателното изплащане на сумата.
В исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало известно, че при т. нар. „хакерска атака" от електронните масиви на НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. При справка от интернет портала на НАП, извършена чрез ПИК, ищецът бил уведомен, че попада сред лицата, чиито лични данни са били разкрити, което изключително много го притеснило. Навеждат се доводи, че за ищеца са възникнали неимуществени вреди, изразяващи се във възмущение от допуснатия пробив в Информационната система на НАП, а от друга страна, че след узнаване на факта на изтичане на данните, започнал да живее в страх и притеснение, почувствал се незащитен от Държавата, тъй като на показ се оказали неговите имена, ЕГН, документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му. Перманентно бил напрегнат, стресиран, уплашен. Притеснявал се от злоупотреби, вкл. физически нападения, заплахи, изнудвания, отвличания.
Излага се становище, че НАП в качеството си на администратор на лични данни, чрез бездействие е допуснала нарушения на разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД, нарушила е разпоредбите на чл. 45, ал.1 т. 6 от ЗЗЛД, като не е обработила личните данни по начин, по който да гарантира подходящо ниво на сигурност, като се приложат подходящи технологии и организационни мерки, чл. 64 от ЗЗЛД. Ищецът счита, че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и 68 от ЗЗЛД в периода от влизане на сила на Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR/ОРЗД) до 15.07.2019 г., когато е настъпило публичното оповестяване на данните. Настоява, че НАП чрез своите действия и бездействия е допуснала неазконосъобразни действия от трети недобросъвестни лица.
Според ищеца всички тези нарушения са в пряка причинна връзка с претърпените от него неимуществени вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал. 1 от GDPR, във връзка с чл. 1, ал. 1 от ЗОДОВ.
Ответникът – НАП - София, чрез процесуалния си представител, оспорва допустимостта на иска с твърдения, основани на разпоредбата на чл. 39, ал. 2 от ЗЗЛД. В условията на евентуалност оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от престъпно деяние по смисъла на НК, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на личните данни. Претендира юрисконсултско възнаграждение.
Представителят на ОП - Добрич изразява становище за неоснователност и недоказаност на исковата претенция, като изтъква, че във връзка с теча на данни е образувано досъдебно производство, касае се за престъпление и ответникът не може да носи отговорност за това.
Административен съд - Добрич, III състав, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено от фактическа и правна страна следното:
По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и неоспорена от ответника справка от 17.01.2020 г. (л. 6 от АД № 31/ 2020 г.) се установява, че разкритите данни за ищеца включват ЕГН и имена.
Видно от доказателствата по делото, описани в придружително писмо с вх,. № 1491/ 29.06.2020 г., със Заповед № ЗЦУ-586/ 30.04.2014 г. на Изпълнителния директор на НАП (л. 81 от АД № 31/ 2020 г.) е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП.
Със Заповед № ЗЦУ-1436/ 15.10.2018 г. на Изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др.
Със Заповед № ЗЦУ-733/ 17.06.2016 г. на Изпълнителния директор на НАП са утвърдени процедура и Вътрешни правила за мрежовата и информационната сигурност.
Със Заповед № ЗЦУ-1236/ 21.08.2019 г. на Изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В.
Със Заповед № ЗЦУ-482/ 01.04.2019 г. на Изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП, като със Заповед № ЗЦУ-83/ 23.01.2013 г. на Изпълнителния директор на НАП са определени видът, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно–осигурителната сметка и сроковете за съхранение на архивираната информация. "Указания за унищожаване на информация и информационни системи в НАП" са утвърдени със Заповед № ЗЦУ-1596/ 29.11.2017 г. на Изпълнителния директор на НАП, а със Заповед № ЗЦУ-535/ 11.05.2016 г. на Изпълнителния директор на НАП са утвърдени Вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП.
В Агенцията по приходите е изработена и Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г., утвърдена е политика по информационна сигурност на НАП и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.
С писмо вх. № 458/ 14.02.2020 г., Комисията за защита на личните данни (КЗЛД) уведомява съда, че след направена служебна справка е установила, че Мартин Гошев Гочев няма образувано и висящо по издаденото Решение с рег. № ППН-02-399 от 22.08.2019 г. от КЗЛД. Посочено е, че на НАП е връчено Наказателно постановление № 004 от 28.08.2019 г., издадено от Председателя на КЗЛД, което е обжалвано пред СРС. С писмо вх. № 1215 от 28.03.2024 г. е уведомен съдът от КЗЛД, че с Решение № 1247 по адм. дело № 12334/ 2023 г. на АССГ е отменено решение на СРС от 26.10.2023 г. (л. 38 – 41), с което е потвърдено НП, като е приложено самото Решение на АССГ, от което се установява, че НП е отменено и е прекратено административнонаказателното производство поради изтекла давност.
Настоящото производство е спряно до произнасяне на СЕС по преюдициално запитване по идентичен спор. На 14.12.2023 г. по дело С-340/ 21 г. на СЕС е постановено Решение на Съда (трети състав) от 14 декември 2023 г. (преюдициално запитване от Върховен административен съд — България) — VB/Национална агенция за приходите) (л. 9 – 15), с което СЕС приема, че чл. 24 и 32 от Регламента трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32; чл. 32 от Регламент 2016/679 трябва да се тълкува в смисъл, че преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове; принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи; чл. 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно; чл. 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по чл. 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен; чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. С оглед произнасянето на СЕС е възобновено производството по делото.
С вх. № 580/ 12.02.2024 г. и вх. № 1536/ 19.04.2024 г. (л. 21 и л. 42) ответникът представя Становище, чрез процесуалния си представител, с което оспорва исковата молба като неоснователна и недоказана.
За доказване на претърпените от ищеца неимуществени вреди по делото са събрани гласни доказателства. При първоначалното разглеждане на делото са разпитани двама свидетели, колеги на ищеца, а пред настоящия състав за разпит е доведен един свидетел – жената, с която ищецът живее на съпружески начала.
При така установената фактическа обстановка съдът намира от правна страна следното:
Предявеният иск е процесуално допустим и черпи правното си основание от разпоредбите на чл. 203, ал. 1 и чл. 204, ал. 4 от АПК, във връзка с чл. 82 от GDPR.
По отношение първоначалните възражения на ответника за недопустимост на иска следва да се подчертае, че съгласно съдебната практика на ВАС по идентични казуси процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ „Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК.
По отношение основателността на иска съдът намира, че същият е частично основателен, като съобрази следното:
В исковата молба г-н Гочев претендира незаконосъобразно бездействие от страна на ответника – неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което счита, че са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR, като се позовава и на чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 от ЗЗЛД. Правното основание, както беше посочено по – горе, на иска е чл. 82, §. 1 и 2 от Регламент № 2016/679. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. От съображение 146 от ОРЗД става ясно, че чл. 82 от него въвежда собствен режим на отговорност в областта на защитата на личните данни. В чл. 82, §. 2 от ОРЗД са посочени именно трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. ОРЗД не препраща към правото на държавите-членки относно смисъла и понятията на термините, съдържащи се в чл. 82 от ОРЗД, по-специално по отношение на понятията „материални и нематериални вреди", „обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави-членки (Решение от 4 май 2023 г. по С-300/21 на СЕС).
Вярно е, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се приеме, че приложените технически и организационни мерки не са подходящи по смисъла на членове 24 и 32 и да бъде присъдено право на обезщетение. Това означава, че изтичането на лични данни в публичното пространство в резултат на неправомерно поведение на трети лица не презумира, че приложените технически и организационни мерки за защита на лични данни по членове 24 и 32 от ОРЗД са неподходящи. Третите лица са различни от тези, които имат право да обработват лични данни под прякото ръководство на администратора или обработващия лични данни. Администраторът обаче не се освобождава от отговорност само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна" по смисъла на чл. 4, т. 10 от ОРЗД. Принципът на отчетност на администратора, закрепен в чл. 5, §. 2 и конкретизиран в чл. 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент администраторът на лични данни носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурността по чл. 32 от посочения регламент са подходящи, като в този смисъл е именно цитираното Решение от 14.12.2023 г. по дело С-340/21 на СЕС.
След връщането на делото за ново разглеждане на ответника беше указана изрично тежестта да установи, че избраните и приложени от него организационни и технически мерки са подходящи, за да препятстват неоторизиран достъп до лични данни и тяхното незаконно обработване. В тази връзка към Становището от 19.04.2024 г. ответникът представя писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-12375 от 12.12.2018 г. относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление", Протокол относно „Извършена проверка в Национална агензия за приходите, съгласно изисьсванията на чл. 60 от Закона за електронното управление" от Държавна агенция „Електронно управление, Писмо с изх. № ЕП-2339/19.12.2018 г. от НАП до Председателя на Държавна агенция „Електронно управление" относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление" и Писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-393 от 04.01.2019 г. относно „Писмо на ИД на НАП във връзка с резултатите от извършена проверка по чл. 60 от Закона за електронното управление". Сочи, че освен тези доказателства и представените при първоначалното разглеждане на делото с други не разполага. В Становището се настоява същевременно, че няма доказателство по делото, че данните на ищеца са станали достояние на трети недобросъвестни лица и че ако недобросъвестността била факт, то тогава щяло да има основание за претендиране на имуществени вреди, след изрично доказване, че данните са известни именно вследствие на неоторизирания достъп от системата на НАП, а не от друг източник. Ответникът счита, че от представените доказателства е видно, че НАП е предприела множество мерки с цел да не се допусне възникването на неоснователен страх. По разбирането на настоящия състав събраните по делото доказателства установяват предприемането на мерки, но не се доказва по безспорен и категоричен начин, че тези мерки са били подходящи за овладяване на съответния риск. В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Задължението се съдържа в чл. 24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. „е" от GDPR – цялостност и поверителност на данните. В случая ангажирането на многобройни писмени доказателства, без доказателства, че предвидените в тях мерки са ефективни, не доказва че ответникът е взел подходящите организационни и технически мерки, които да обезпечат защитата на личните данни, които администраторът обработва. Липсват доказателства, че предприетите организационни мерки са били в такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. Липсват и доказателства за това какви конкретно технически мерки е взел ответникът, за да защити личните данни, които обработва, от неправомерен достъп, като този от който се претендират вредите. В съображение 74 от ОРЗД е предвидено, че администраторът следва да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. В съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни, т.е. мерките не са били в такава степен подходящи и достатъчни, след като системата е била технически уязвима и е дала възможност за нерегламентиран достъп на информация, съответно не са приложени подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива ѝ, предизвикал разкриването на личните данни на ищеца. В случая липсата на доказване на приложени подходящи мерки установява наличието на първата предпоставка, тъй като ответникът не е доказал, че по никакъв начин не е отговорен за събитието, причинило вредата. Отмяната на издаденото от председателя на КЗЛД Наказателно постановление не може да се разглежда като факт, доказващ, че НАП не е отговорна за събитието, като се има предвид, че Наказателното постановление е отменено поради изтекла абсолютна давност.
Втората и третата предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна от ищеца вреда в резултат от това незаконосъобразно бездействие и причинна връзка между тях. Според СЕС чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. Понятието „вреди" се тълкува в по-широк смисъл в контекста на съдебната практика на СЕС по начин, който отразява напълно целите на Регламента, поради което обезщетението за нематериални вреди не се поставя в зависимост от определен праг на значимост на вредите. Пълното и действително обезщетение по съображение 146 от Регламента е цел на този правен институт, без да е необходимо изплащане на наказателно обезщетение, като тежестта на доказване на вредите е на ищеца, съгласно чл. 154, ал. 1 от ГПК, във връзка с чл. 144 от АПК. В случая ищецът установи по безспорен начин вредата, свързана с разкриване на личните му данни за ЕГН и имена, респ. възникналите опасения от това. В исковата молба ищецът посочва и впоследствие доказва със справка от НАП (л. 21) кои негови лични данни са изтекли в публичното пространство, а именно имена и ЕГН. За да може да се приложи принципът на равностойност и ефективност (Решение по дело С-300/21) ищецът следва да посочи и докаже неимуществените вреди. С исковата молба той твърди, че в резултат на изтичането на данните, респ. бездействието на ответника по осигуряване на тяхната защита, той е изпитал стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции. Целта на доказването на претърпените вреди е да се ангажира отговорността на администратора на лични данни и да се определи адекватно парично обезщетение.
За установяване на посочените претърпени неимуществени вреди при първоначалното разглеждане на делото са събрани гласни доказателства с разпита на св. Георги Колев Маринов и Богомил Генов Бонев, чиито показания се основават на лични възприятия, непосредствени впечатления, базират се на системни и трайни наблюдения за осъществени в правната действителност факти от процесния период, тъй като свидетелите са колеги на ищеца в КАТ и редовно контактуват с него. Св. Маринов потвърждава, че през един период от време колегата Гочев се е променил много. По принцип бил майтапчия, но тогава започнал да ходи умислен и не споделял нищо. Впоследствие споделил, че личните му данни са изтекли и се е притеснил, че с неговите данни могат да се случат различни неща, които той не е извършил. Този период е продължил около месец и според свидетеля е било нормално да се притеснява, че някой може да злоупотреби със собствеността му.
Според свидетеля Бонев колегата му Гочев, след като разбрал за теча на личните данни, се е притеснил много. Започнал да звъни на познати адвокати, за да ги разпитва. Страхувал се, че някой може да му изтегли кредит на негово име или да се разпореди с имотите, които имал, тъй като е бил с малко дете и това допълнително го е стресирало. Това притеснение е продължило месец, докато са се изяснили нещата, че няма с него проблеми.
И двамата свидетели заявяват, че не знаят дали техните лични данни са изтекли и не водят производства срещу НАП.
При новото разглеждане на делото беше разпитан един свидетел – жената, с която живее ищецът на съпружески начала, св. Инна Иванова Иванова. Независимо от изминалия продължителен период след събитието тя споделя своите впечатления за състоянието на ищеца след узнаване на процесните факти, като сочи, че след като проверил ищецът, че са му изтекли личните данни, не се чувствал добре, бил тревожен и притеснен, защото все пак това били лични данни. Като цяло доста често мислел за това, да не би от изтичането на тези лични данни да последва нещо, което да не е добре за него, тъй като разполагал с имоти и автомобил. Това притеснение продължило доста дълго време, за около месец конкретно, но ищецът все още се притеснявал, бил тревожен, като свидетелят излага становище, че по принцип няма как да не се притеснява човек, като му изтекат личните данни и не знае във всеки един момент какво може да се случи, тъй като някой може да ги ползва по грешен начин. Така събраните гласни доказателства установяват, че фактът, че имената и ЕГН на ищеца са станали известни на трети лица, му се е отразил негативно, той е изпитвал безпокойство и тревожност, които следва да бъдат обезщетени. Съдът кредитира дадените показания, първите като дадени от колеги, а вторите, като дадени от лице, което в най-близка степен е могло да установи състоянието на ищеца, а показанията му в същността си установяват настъпилите неимуществени вреди и то независимо от изминалото време от увреждането, като съдът ги преценява с оглед всички други данни по делото, в съответствие с чл. 172 ГПК, във връзка с чл. 144 АПК. Следва да се има предвид, че св. Иванова сочи, че и сега продължава притеснението и тревожността на ищеца. В тази връзка съдът съобразява, че дори без допълнителни доказателства, негативните емоции и психически дискомфорт, които изпитва човек, както сочи и свидетелят, породени от опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство. В този смисъл е доказана и втората предпоставка относно настъпили неимуществени вреди от изтеклите данни за ЕГН и имена на ищеца.
Не се доказаха вреди от изтекли данни за документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му.
Неоснователно е изложеното от ответника в Становището му, че свидетелските показания съдържали твърдения, които водят единствено до извода за липсата на информираност в ищеца, че не е констатиран случай на злоупотреба с лични данни, свързан с неоторизирания достъп до данни на НАП, както и че няма рискове за злоупотреби и кражба на самоличност, както било многократно оповестено от Агенцията чрез медиите, съответно, че били налични защитни механизми, които предотвратявали злоупотребата с лични данни с позоваването, че не било възможно тегленето на пари от чужди банкови сметки, прехвърлителни сделки, злоупотреби относно вписване на обстоятелства в TP и т.н. без представяне на документ за самоличност или нотариално заверено пълномощно в оригинал, изтъквайки, че незнанието на тези обстоятелства у ищеца не е основание за обезщетяване на вреди. Неоснователно е и посоченото, че всички институции и лицата, работещи с лични данни, били известени за ситуацията и предупредени да работят с повишено внимание, като били представени доказателства за множеството мерки, предприети от НАП с цел недопускане на неоснователни притеснения и успокояване на обществеността. Тези факти и обстоятелства не променят извода, че в случая ищецът е преживял психически стрес и емоционално напрежение, които са отражение на неговото вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на всяка човешка личност и зависят от нейните индивидуални възможности за справяне с конкретното положение. Предприетите мерки за гарантиране на сигурността и безопасността на гражданите и тяхното имущество, за успокояване на обществеността след неправомерното разкриване на личните данни не могат да игнорират настъпилите у ищеца негативни емоции и преживявания, които безспорно са се отразили на поведението и начина му на живот, като го съпътстват в известна степен и до днес според показанията на свидетеля.
Изложеното налага извода, че претърпените от ищеца болки и страдания са резултат от бездействието на ответника да изпълни своето задължение за прилагане на такива подходящи мерки, които да препятстват възможността за достъп до личните му данни, а разкриването в случая на ЕГН и имена само по себе си създава опасения за евентуални злоупотреби с права на ищеца.
Съгласно чл. 82, § 1 от ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 от ОРЗД, във връзка с с чл. 1, ал. 1 от ЗОДОВ, поради което за ищеца е възникнало субективното право по чл. 82, § 1 от ОРЗД да претендира обезщетение за причинените му неимуществени вреди, което ответникът да заплати.
Събраните доказателства установяват факта на вредите и пряката причинно - следствена връзка между настъпването им и незаконосъобразното бездействие на ответника. За да прецени основателността на претенцията, съдът съобрази събраните доказателства за душевното състояние на ищеца след установяването, че и негови лични данни са изтекли в публичното пространство. Справедливостта налага неимуществените вреди да бъдат овъзмездени. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни, обективно съществуващи обстоятелства и практиката на съдилищата. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост" не е абстрактно понятие, а е свързано именно с преценката на тези конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл. 52 от ЗЗД в зависимост от степента и характера на преживените болки и страдания от ищеца. В тази връзка съдът приема, че претендираната от ищеца сума от 1 000 лв. (хиляда лева) е прекомерно завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен на претърпените вреди. Обезщетението трябва да е съразмерно с вредите и да отговаря, както на конкретните данни по делото, така и на обществените представи за справедливост. С оглед характера на претърпените вреди, възраст на ищеца, продължителността на търпенето на вредите, доказаните душевни страдания и общото психическо състояние на същия като резултат от противоправното бездействие на ответника, съдът намира, че справедливият размер на дължимото обезщетение за неимуществени вреди следва да бъде определен на 300 лв. (триста лева) по смисъла на чл. 52 от ЗЗД, във връзка с чл. 4 от ЗОДОВ за причиненото състояние на безпокойство и притеснение. Над този размер претенцията следва да бъде отхвърлена.
Уважаването на основния иск изисква уважаване и на акцесорния. Претенцията на ищеца е да му бъде присъдена законна лихва върху присъдената сума, считано или от подаване на исковата молба, или алтернативно от 15.07.2019 г. - датата на увреждането, до окончателното изплащане на сумата. Относно началната дата на присъждане на законната лихва съдът съобрази следното:
ЗОДОВ определя специален ред и условия за обезщетяване на пострадалите лица. За неуредените в закона случаи се прилагат общите разпоредби на ЗЗД. Съгласно ТР № 3/ 2004 г. по тълк. дело № 3/ 2004 г. на ОСГК на ВКС в практиката съществуват две становища относно началния момент на забавата, съответно дължимостта на законната лихва и началния момент на погасителната давност на иска за обезщетение:
Според първото становище вземането на пострадалото лице за обезщетяване на вреди възниква от момента на издаване на акта, от извършване на действието или бездействието на държавния орган, без да е установена тяхната незаконност. Приложима е разпоредбата на чл. 84, ал. 3 ЗЗД, според която длъжникът се смята в забава и без покана от деня на увреждането, а според второто становище, вземането за обезщетяване на вреди възниква след признаване по законен ред незаконността на акта, действието или бездействието на държавния орган. При постановяване на ТР е прието, че е правилно второто становище, т.е. когато вредите произтичат от фактически действия или бездействия на администрацията, обезщетението за тях може да се иска след признаването им за незаконни, което се установява в производството по обезщетяването. От така определените моменти на изискуемост, започва да тече погасителната давност и се дължи мораторна лихва. С оглед на това претенцията за законна лихва следва да бъде уважена, считано от влизане на съдебното решение в сила.
Предвид изложеното фактическият състав на отговорността по чл. 203 АПК, във връзка с чл. 1 ЗОДОВ по отношение вреди от изтеклите данни за ЕГН и имена на ищеца е осъществен. Налице е незаконосъобразно бездействие, реално увреждане на ищеца и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените вреди на ищеца.
При този изход на спора и съобразно нормата на чл. 10, ал. 3 ЗОДОВ, съгласно която, ако искът бъде уважен изцяло или частично, съдът осъжда ответника да заплати разноските по производството, както и да заплати на ищеца внесената държавна такса, съответно да заплати на ищеца и възнаграждение за един адвокат или юрисконсулт, ако е имал такъв, съразмерно с уважената част от иска, то на ищеца следва да бъдат присъдени съдебно – деловодни разноски, както следва: държавна такса, която е в размер на 10 лв. и с оглед горецитираната разпоредба се дължи на ищеца в пълен размер дори и при частично уважаване на исковата претенция. На основание чл. 226 от АПК съдът следва да отчете разноските, както при настоящото производство, така и при първоначалното разглеждане на делото. Видно от договора за правна помощ и съдействие, ищецът е заплатил адвокатско възнаграждение в размер на 300 лв. (триста лева) за първоначалното разглеждане на делото (л. 8 от адм. дело № 31/ 2020 г.) и 300.00 лв. (триста лева) за настоящото производство (л. 53). С оглед изхода на спора основателна е претенцията на ищеца за разноски в размер на 10.00 лв. (десет лева) за внесена държавна такса. На основание чл. 10, ал. 3 от ЗОДОВ заплатеното адвокатско възнаграждение следва да се определи съразмерно с уважената част на иска съгласно чл. 8, във връзка с чл. 7, ал. 2, т. 1 от Наредба № 1/ 09.07.2004 г. за минималните адвокатски възнаграждения, а именно в размер на 90.00 лв. (деветдесет лева) за всяко едно от двете производства.
Ответникът също е претендирал присъждане на разноски. На основание чл. 10, ал. 4 от ЗОДОВ, на ответника се дължи възнаграждение за осъществената юрисконсултска защита, което изчислено съгласно правилото на чл. 24 от Наредбата за заплащането на правната помощ, при съобразяване на фактическата и правна сложност на делото, съразмерно с отхвърлената част от предявения иск следва да бъде определено в размер на 70.00 лв. за всяко едно от производствата.
Така мотивиран, Административен съд – Добрич, III състав,
РЕШИ:
ОСЪЖДА Националната агенция за приходите по иск, с правно основание чл. 82, § 1 от Общия регламент относно защитата на данните да заплати на Мартин Гошев Гочев, ЕГН **********, от гр. Добрич, сума в размер на 300.00 лева, представляваща обезщетение за неимуществени вреди, настъпили в резултат на незаконосъобразно бездействие от страна на Национална агенция за приходите, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 24 и чл. 32 от Общия регламент относно защитата на данните за гарантиране достатъчно ниво на сигурност на обработваните от него лични данни на Мартин Гошев Гочев, от гр. Добрич, ведно със законната лихва върху тази сума, считано от датата на влизане в сила на решението до окончателното й изплащане, като за разликата над 300.00 лв. (триста лева) до пълния предявен размер от 1000.00 лв. (хиляда лева), ведно със законната лихва върху разликата, отхвърля предявените искове като неоснователни.
ОСЪЖДА Национална агенция за приходите да заплати Мартин Гошев Гочев, ЕГН **********, от гр. Добрич сума в размер на 10.00 лв. (десет лева) разноски по делото за държавна такса.
ОСЪЖДА Мартин Гошев Гочев, ЕГН **********, от гр. Добрич, да заплати на Националната агенция за приходите сумата от 140.00 лв. (сто и четиридесет лева) общо разноски по делото за първоначално и последващо разглеждане във вид на юрисконсултско възнаграждение съобразно отхвърлената част от иска.
ОСЪЖДА Национална агенция за приходите да заплати на Мартин Гошев Гочев, ЕГН **********, от гр. Добрич сума в размер на 180.00 лв. (сто и осемдесет лева), общо разноски по делото за първоначално и последващо разглеждане във вид на адвокатско възнаграждение съобразно уважената част от иска.
Решението може да се обжалва с касационна жалба чрез Административен съд – Добрич пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.
Съдия: | |