Р Е Ш Е Н И Е
№ 209/12.10.2020 г., гр.Добрич
В И М Е Т О Н А Н А Р О
Д А
АДМИНИСТРАТИВЕН СЪД - ДОБРИЧ, в открито съдебно заседание
на двадесет и първи септември, две хиляди и двадесета година в състав:
ПРЕДСЕДАТЕЛ: Нели Каменска
При секретаря Стойка Колева и участието на прокурора Веселин
Вичев, разгледа докладваното от председателя адм.д. № 109/2020 г. по описа на
Административен съд - Добрич и за да се произнесе, взе предвид следното:
Производството е по чл.203, ал.1 от АПК, във вр. чл.1, ал.1
от ЗОДОВ и е образувано по искова молба на Р.И.В. с ЕГН ********** ***,
подадена чрез адв.Хр.Х. –ДАК, срещу Национална агенция по приходите (НАП) –
София, с която е предявен иск за присъждане на обезщетение за неимуществени
вреди в размер на 1000 лева, представляващи претърпени от ищеца стрес, постоянен
страх и безпокойство, психическо напрежение, притеснение и свързаните с тях
негативни преживявания и емоции вследствие от незаконосъобразното бездействие
на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от
чл.59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните
данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR),
ведно със законната лихва, считано от датата на завеждане на исковата молба или
алтернативно от датата на изтичане на личните данни - 15.07.2019 г., до
окончателното изплащане на сумата. Налице е и искане за присъждане на сторените
разноски по делото, в т.ч. и платено адвокатско възнаграждение.
В исковата молба и уточнението към нея се излагат твърдения,
че на 15.07.2019 г. ищцата узнала от медиите, че при т.нар. “хакерска атака” от
електронните масиви на НАП неправомерно била изтеглена информация с голям обем,
съдържаща лични данни на множество български граждани. При справка от интернет
портала на НАП ищцата била уведомена, че попада сред лицата, чиито лични данни
са били неправомерно разкрити- факт, който самата НАП признава и не оспорва.
Този факт изключително много я притеснил и породил опасения, че с нейните лични
данни може да бъде злоупотребено чрез отчуждаване на имущество, теглене от
влоговете или ползване на кредити, промяна в гражданското състояние, кражба на
самоличност. Всичко това изключително много натоварило ищцата и тя изпитала изключително възмущение, а от
момента, в който узнала, че нейни лични данни също са неправомерно разкрити,
живее в постоянен страх и притеснение, чувства се незащитена от държавата, тъй
като на показ били изложени имената й, ЕГН, документи за самоличност, телефонни
номера, информация за доходите му, адреса, на който живее със семейството си.
Това повлияло в негативен аспект на нормалния й живот. Особено обезпокоителен
бил фактът, че изтеклата информация може да се ползва за злоупотреби по всевъзможен начин. Ищцата
твърди, че се притеснява и от физически нападения, заплахи, изнудване,
отвличания, заради изтекли данни за нейните доходи и адрес. Ищцата счита, че до
изтичането на личните данни на множество български данни се е стигнало, понеже НАП
не е изпълнила задълженията си по чл. 24 и чл.32 от GDPR и чл.59, ал.1 от ЗЗЛД
да осигури ефективни мерки за защита на личните данни, с което е допуснала
пробив в информационната си система, причинил публичното разкриване и
разпространение на лични данни на много лица, в т.ч. и на ищеца. С
неправомерното си бездействие тя е нарушила и разпоредбите на чл.45, ал.1, т.6,
чл.64, чл.66, чл.67 и чл.68 от ЗЗЛД, което е довело до т. нар. „нарушение на
сигурността на лични данни“, регламентирано в §1, т.10 от ДР на ЗЗЛД, във вр.
чл.4, т.12 от GDPR. Всички тези нарушения са в пряка причинна връзка с
претърпените от ищцата неимуществени вреди, което е основание за обезщетяването
им от ответника съгласно чл.82, ал.1 от GDPR, във вр. чл.1, ал.1 от ЗОДОВ.
Ответникът – НАП - София, чрез процесуалния си
представител, главен юрисконсулт Ст.Стойчева, редовно упълномощена, в отговор
на исковата молба от 19.02.2020 г.(л.22 и сл.) оспорва допустимостта на иска с
твърдения, основани на разпоредбата на чл.39, ал.2 от ЗЗЛД. В условията на
евентуалност оспорва основателността на иска и по основание и по размер. В
исковата молба не било посочено от кой точно акт на служител на НАП са
настъпили твърдяните вреди и каква е причинно-следствената връзка между тях и
съответния акт. Посочва, че в НАП се обработва огромен обем данни, които,
според вида си, попадали в обхвата на информацията, защита от закон. По отношение
на тези данни се прилагали всички мерки за защита според действащата и относима
нормативна уредба. Твърди, че изпълнителният директор на НАП бил утвърдил
множество политики, правила, процедури, инструкции, указания и методики за
защита и управление на сигурността на информацията в НАП. Въпреки предприетите
мерки данните били изтекли, но това неправомерното разкриване на лични данни било
в резултат на престъпно деяние по смисъла на Наказателния кодекс, а не
неправомерно бездействие на органи или
служители на НАП, поради което не следва да носи отговорност за вреди.
Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа
и неприлагане на ефективни мерки за защита на сигурността на личните данни. И към
настоящия момент липсвал акт, в който да е описано и доказано в какво се състои
техническата уязвимост на информационната система на НАП и каква е причинно –
следствена връзка. Сочи, че разкритата информация е частична и не може да се
използва злонамерено без допълнителна обработка, като НАП е оповестила
публично, че няма непосредствена опасност за възможни злоупотреби с личните
данни и имуществото на засегнатите лица, поради което не е имало причини за
основателни съмнения и страхове у ищеца. Претендира юрисконсултско
възнаграждение.
Представителят на Окръжна прокуратура - Добрич изразява
становище за неоснователност и недоказаност на исковата претенция и моли тя да се
отхвърли.
Административен съд - Добрич, като взе предвид доводите на
страните и прецени доказателствата по делото, приема за установено от
фактическа и правна страна следното:
По делото е безспорно, че вследствие нерегламентиран достъп
до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са
разкрити и разпространени лични данни на множество физически лица, български и
чужди граждани (над 6 000 000 субекти на данни). От приложената от НАП справка
(л.62) се установява, че разкритите данни за Р.В. включват ЕГН и имена и данни за
декларации, подадени от работодатели/осигурители за периода на 2008 г.
Съгласно представените по делото доказателства със Заповед
№ ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП (л.64) е наредено да
се внедрят Системи за управление на сигурността на информацията по стандарт БДС
ISO/IEC 27001:2006 в НАП. Със Заповед № ЗЦУ-1436/15.10.2018 г. на изпълнителния
директор на НАП са утвърдени „Указания за разработване, попълване и/или
зареждане с данни на образци на документи и приложения, утвърдени на основание
чл. 10, ал.1, т.5 и т.7 ЗНАП“, „Указания за обозначаване и работа с
информация“, „Указания за попълване на образци на процедура“, „Указания за
попълване на образеца на инструкция“ и др. Със Заповед № ЗЦУ-733/17.06.2016 г.
на изпълнителния директор на НАП (л.71) са утвърдени процедура и вътрешни
правила за мрежовата и информационната сигурност. Със Заповед №
ЗЦУ-83/23.01.2013 г. (л.101) на изпълнителния директор на НАП са определени
вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП
и базите данни за задължените лица, формата и елементите на
данъчно–осигурителната сметка и сроковете за съхранение на архивираната
информация. Със Заповед №
ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП (л.105) са утвърдени
„Указания за унищожаване на информация и информационни системи в НАП“. Със Заповед № ЗЦУ-535/11.05.2016 г. на
изпълнителния директор на НАП са утвърдени Вътрешни правила за оборот на
електронни документи и документи на хартиен носител в НАП.
В НАП е изработена Методика за анонимизиране на
индивидуални данни, версия 1, към м. януари 2017 г. Утвърдена е политика по
информационна сигурност на НАП. Утвърдена е и Инструкция № 2/08.05.2019 г. за
мерките и средствата за защита на личните данни, обработвани в НАП и реда за
движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24,
ал.2 от Инструкцията служителите на НАП попълват декларация за това, че ще
пазят в тайна личните данни на трети лица, станали им известни при изпълнение
на служебните им задължения, няма да ги разпространяват и да ги използват за
други цели, освен за прякото изпълнение на служебните им задължения.
По делото е представено Писмо с изх. № ПНП-02—47/2020-1 от
18.02.2020 г. на Комисията за защита на личните данни (л.19 и сл.), в уверение,
че в хода на извършена проверка от страна на КЗЛД е установено, че при
осъществяване на дейността си НАП, в качеството си на администратор на лични
данни, не е приложила подходящи технически и организационни мерки, в резултат
на което е осъществен неоторизиран достъп, неразрешено разкриване и
разпространение на лични данни на физически лица в различен обем. Въз основа на
тези констатации председателят на КЗЛД е издал наказателно постановление срещу
НАП за нарушение на чл. 32, §1, б. „б“ от регламент (ЕС) 2016/679. С решение №
ППН-02-399/22.08.2019 г. по описа на КЗЛД на НАП е издадено и разпореждане за
предприемане на подходящи технически и организационни мерки за целта. Наказателното
постановление и решението са обжалвани пред съда и не са влезли в сила.
Посочено е също, че пред КЗЛД няма висящо или приключило производство,
инициирано от ищеца, Р.И.В. срещу НАП.
За доказване на претърпените от ищеца неимуществени вреди
по делото са събрани гласни доказателства. Разпитани са свидетелите Румен
Димитгров Р.- семеен приятел на ищцата и С.С.С.- познат на Р.В. чрез общия им
приятел, свидетелят, Румен Радев.
От показания на свидетелите се установява се установява, че
изтичането на лични данни от информационните масиви на НАП е било повод за
няколкократни разговори. Според свидетеля Радев, понеже работата на ищцата била
свързана с документи, същата осъзнавала до какви последици може да доведе
изтичането на нейните лични данни и се притеснила да не се злоупотреби с
информация, касаеща нея и семейството й.
Съдът възприема показанията им като логични и дадени
добросъвестно и ги кредитира като обективни и достоверни.
При така
установената фактическа обстановка съдът намира от правна страна следното :
Относно възраженията на ответника за недопустимост на иска
Възраженията са неоснователни.
Процесуалният ред, по който засегнатият субект може да
търси обезщетение за вреди от неправомерно обработване на личните му данни, е
уреден в Глава ХІ “Производство за обезщетения” на АПК. В зависимост от
правната характеристика на източника, от който се претендират вредите, в чл.
204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за
реализиране на правото на обезщетение. В случаите, в които се търси обезщетение
за вреди от бездействие на администратора на лични данни, незаконосъобразността
на бездействието се установява от съда, пред който е предявен искът за
обезщетение, на основание чл. 204, ал. 4 АПК.
Затова съдът приема, че предявеният иск е процесуално допустим. Същият черпи правното си основание от разпоредбите на чл.203, ал.1 и чл.204, ал.4 от АПК, във вр. чл.1, ал.1 от ЗОДОВ и чл.82 от GDPR.
Относно основателността на иска
Предявеният иск е и частично основателен по размер.
Във фактическия състав на отговорността за вреди по чл.1,
ал.1 от ЗОДОВ се включват следните елементи – незаконосъобразен акт, действие
или бездействие на орган или длъжностно лице на държавата или общината при или
по повод изпълнение на административна дейност, отменени по съответния ред,
вреда от такъв административен акт, действие или бездействие и причинна връзка
между постановения незаконосъобразен акт, действие или бездействие и настъпилия
вредоносен резултат. При липсата на който и да е от елементите на този
фактически състав не може да се реализира отговорността на държавата или
общината по реда на чл.1, ал.1 от ЗОДОВ.
Относно наличието на незаконосъобразно бездействие
В случая исковата претенция се основава на
незаконосъобразно бездействие – неполагане на достатъчно грижа и неприлагане на
ефективни мерки за защитата на сигурността на данните, с което са нарушени
разпоредбите на чл.24 и чл.32 от GDPR и чл.59, ал.1 от ЗЗЛД, чл.45, ал.1, т.6,
чл.64, чл. 66, ал.1 и ал.2, чл.67 и чл.68 от ЗЗЛД. Следователно предпоставка за
ангажиране на отговорността на ответника е установяване на незаконосъобразността
на твърдяното от ищеца бездействие по аргумент от чл.204, ал.4 от АПК.
Под увреждащо
деяние, проявено под формата на бездействие, следва да се разбира
незаконосъобразно фактическо бездействие по смисъла на чл.256 от АПК, т.е.
бездействие на административен орган по задължение, произтичащо пряко от
нормативен акт или което е длъжен да извърши по силата на закона.
В случая е безспорно, че ответникът осъществява дейности по
обработване на лични данни, необходими за изпълнение на нормативно установените
му задължения. Създаването и поддържането на регистър и бази данни на
задължените лица по чл.80, ал.1 от ДОПК е именно такава дейност, свързана с
упражняване на правомощията на НАП като специален държавен орган към министъра
на финансите за установяване, обезпечаване и събиране на публични вземания по
смисъла на чл.2, ал.1, във вр. чл.3, ал.1 от ЗНАП. Регистърът на НАП служи за
идентифициране на задължените лица и извършваната от тях дейност, подлежаща на
контрол, като агенцията създава и поддържа множество специални регистри по
чл.83 от ДОПК, които са неразделна част от регистъра, поддържа и съхранява
архив на лицата с прекратена регистрация по чл.83, ал.3 от ДОПК, открива и
поддържа данъчно – осигурителни сметки на задължените лица по чл.87, ал.1 от ДОПК,
които съдържат данъчна и осигурителна информация, както и поддържа и съхранява
архив на данъчно-осигурителните сметки по чл.87, ал.4.
В качеството си на администратор на лични данни НАП следва
да прилага подходящи технически и организационни мерки съгласно чл.59, ал.1 от
ЗЗЛД, за да гарантира и да е в състояние да докаже, че обработването се
извършва в съответствие с този закон, като отчита естеството, обхвата,
контекста и целите на обработването, както и рисковете за правата и свободите
на физическите лица. При необходимост тези мерки се преразглеждат и
актуализират. Същото задължение се съдържа и в чл.24 от Общия регламент относно
защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от
27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва
да се предприемат при администрирането и обработването на лични данни. Тези
задължения са въведени, за да се гарантира един от основните принципи на
обработване на лични данни, прогласен в чл.5, §1, б. “е” от GDPR – цялостност и
поверителност на данните. Неговият смисъл и съдържание са възпроизведени и в Заповед
№ ЗЦУ-83 от 23.01.2013 г. на изпълнителния директор на НАП, в т.24 и т.25 от
която изрично е предвидено, че регистърът, базите данни, данъчно-осигурителната
сметка, архивът за лицата с прекратена регистрация и архивът на
данъчно-осигурителната сметка се поддържат и съхраняват по начин, който
гарантира целостта на информацията и защитата на информацията в системата срещу
разрушение и неправомерно изменение и ползване, като достъпът до нея се
осъществява в съответствие с изискванията за регламентиран достъп при спазване
на разпоредбите на ЗЗКИ и ЗЗЛД.
Следователно отговорността на ответника произтича от
специфичния характер на дейността му по обработване на лични данни, включваща
създаване, поддържане и актуализация на регистъра и базата данни, както и
архивиране и съхраняване на съдържащата се в тях информация и контролирания
достъп до нея. Като административен орган със статут на юридическо лице, който
следи тази дейност да бъде изпълнявана в съответствие с нормативно установените
изисквания, той носи отговорност за вредите от незаконните действия и/или
бездействия на включените в състава му органи и служители при извършване на
дейността по чл.1 от ЗОДОВ.
В случая е безспорно, че вследствие на безпрепятствено
проникване в информационната система на НАП, т.нар. хакерска атака, е осъществено
неправомерното разкриване и
разпространение на лични данни на ищцата. Изтичането на информация от сървърите
на НАП в резултат на извършен неоторизиран достъп категорично сочи на
противоправно бездействие (пропуски) на ответника да изпълни произтичащи от
закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на
информационната си система, да защити физическите лица във връзка с
обработването на личните им данни по смисъла на § 1 т.4 от ДР на ЗЗЛД, вр. чл.
4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им
данни.
Настоящият съдебен състав приема, че отговорните служители
на НАП не са приложили подходящи
технологии и мерки за защита, затова системата не е била достатъчно защитена и
нейната техническата уязвимост е довела до нерегламентирания достъп до личните
данни на ищцата.
Ако системата беше ефективно и надеждно защитена, то не би
се стигнало до пробива й, причинил разкриването на личните данни на Р.В..
Предотвратяване на престъплението е немислимо без използването на съответните
технически и организационни мерки, защото връзката между двете дейности е пряка
и логична – бъде ли премахнат рискът от изтичане на лични данни, то не би
следвало да е възможно злоумишлено деяние или престъпно посегателство по
смисъла на НК и обратно, след като като е налице деяние по смисъла на НК, това
означава, че задължението по предотвратяване на неправомерен достъп до базата
данни на НАП не е било изпълнено в необходимата степен.
Неоснователни са доводите на ответника, че вредите са
причинени от престъпното деяние, а не от виновно поведение на служители на НАП.
Съгласно §3 от чл.82 от GDPR администраторът на лични данни
се освобождава от отговорност за вреди, ако докаже, че по никакъв начин не е
отговорен за събитието, причинило вредата, което в случая не е така. Правно
ирелевантно е обстоятелството, че изтичането на лични данни е в резултат от
правонарушение или престъпление, извършено от трето лице, след като НАП е
отговорна за събитието.
По делото липсват категорични доказателства, че ответникът
е гарантирал последователно и адекватно ниво на защита на данните, за да се
приеме, че нормативните изисквания за сигурността на обработването са приложени
в тяхната цялост. Правно значимо е
обстоятелството, че НАП като субект, обработващ лични данни, е задълженото
лице, носещо отговорност за тяхната защита. НАП не е изпълнила свое нормативно
задължение да защити в пълна степен електронните системи, така че да не позволи
лесен неправомерен достъп до тях. НАП не е гарантирала запазване и
предотвратяване изтичането на личните данни на българските граждани, вкл. и на ищеца.
Именно това неизпълнение е довело до успешен пробив в информационната система
на НАП. Наличието на одобрени процедури, правила, политики, инструкции,
указания и методики не опровергава извода, че е била нарушена сигурността на
обработваните данни, след като те са били публично разкрити.
Без правно значение е и възражението на ответника, че
липсва акт, в който да е описано и доказано в какво се състои техническата
уязвимост на информационната система на НАП и как тази уязвимост е
предпоставила и улеснила извършването на неоторизирания достъп в условията на
причинно – следствена връзка. Техническата уязвимост очевидно е налице
независимо от нейния произход, естество и обхват, а съществуването й като
обективен факт в действителността само по себе си е предпоставка за извършения
неоторизиран достъп. Обстоятелството, че е допусната хакерска атака, с която е
пробита информационната система на НАП по отношение на повече от 6 000 000
субекти на данни, е безспорно доказателство, че не е извършена оценка на
подходящото ниво на сигурност и не са взети необходимите технически и
организационни мерки за защита при обработването на личните данни на
засегнатите лица, в т.ч. и на ищеца, което е достатъчно, за да се направи
извод, че е налице неправомерно бездействие от страна на НАП. Ответникът в качеството
си на администратор на лични данни по смисъла на чл.4, т.7 от Регламент ЕС
2016/679 при осъществяване на дейността си е следвало да предприеме ефективни
мерки за предотвратяване на злоумишлен достъп до личните данни на ищеца без
значение на вида и характера на този достъп (неправомерно, случайно или др.) и
неговото авторство. В случая това не е постигнато.
Бездействието на НАП е в противоречие с нормативните
изисквания на чл.59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно
защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от
27.04.2016 (GDPR).
Ирелевантни са доводите на ответника, че след осъществяване
на нерегламентирания достъп НАП е предприела всички необходими мерки за защита
на личните данни, както и че са засегнати частични данни, които са във формат,
изискващ допълнително обработване, за да могат да бъдат използвани, защото това
не променя обстоятелството, че е изтекла информация от нейните масиви, засягаща
лични данни на ищеца, т.е. че е налице нарушение на сигурността на данните като
последица от неприлагането на ефективни механизми и средства за защита.
Частичният характер на информацията не изключва противоправното поведение
(бездействие) на ответника, защото съгласно съображение 26 от преамбюла на Регламент
(ЕС) 2016/679 принципите за защита на данните следва да се прилагат по
отношение на всяка информация, отнасяща се до физическо лице, което е
идентифицирано или може да бъде идентифицирано пряко или непряко. Личните
данни, които могат да бъдат свързани с дадено физическо лице чрез използването
на допълнителна информация, следва да се считат за информация, отнасяща се до
физическо лице, което може да бъде идентифицирано. За да се установи дали има
достатъчна вероятност дадени средства да бъдат използвани за идентифициране на
физическото лице, следва да се вземат предвид всички обективни фактори, като се
отчитат наличните към момента на обработване на данните технологии и
технологичните развития. Няма спор, че трите имена и ЕГН на ищеца, както и
данните в декларациите му по чл.41 от ЗОДФЛ са достатъчни за идентифицирането
му, поради което правилата на закона и регламента и произтичащите от тях
задължения за НАП се отнасят за обработването и на тази информация независимо
от нейния частичен обем.
С оглед на изложеното съдът приема, че е налице първата
предпоставка за ангажиране на отговорността на НАП, представляваща
незаконосъобразно бездействие по предприемане на необходимите мерки и ефективни
средства за защита, произтичащи от задълженията по чл. 59, ал.1 от ЗЗЛД, чл.24
и чл.32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на
Европейския парламент и на Съвета от 27.04.2016 (GDPR), вследствие на което е
възникнал противоправният резултат, изразяващ се в нерегламентиран достъп и
неразрешено разкриване на лични данни на Р.В..
Претърпяна вреда
Основен елемент от състава на чл.1 от ЗОДОВ е вредата. В
исковата си молба г-жа В. твърди, че е преживяла стрес, безпокойство,
притеснение, почувствала се е застрашена от физическо посегателство,
изнудвания, злоупотреби. От показанията на разпитаните по делото свидетели се
установява безспорно, че действително тя е имала подобни опасения, тъй като е осъзнавала
напълно до какви възможни неблагоприятни последици за нея и семейството му може
да доведе разкриването на личните й данни – имена, ЕГН, информация от данъчни декларации.
Дори и без допълнителни доказателства, негативните емоции и
психически дискомфорт, който изпитва всеки средностатистически на емоционално
ниво човек и които са породени от
опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите
лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в
резултат на страх и безпхокойство.
Причинна връзка между неправомерното бездействие на НАП и
настъпилите неимуществени вреди
Съдът намира, че причинените на г-жа В. неимуществени вреди
са пряка и непосредствена последица от разкриването на личните й данни.
Ирелевантни са
доводите на ответника, че веднага след изтичането на данните било публично
оповестено от компетентните органи и институции, че няма непосредствена
опасност за възможни злоупотреби с личните данни и имуществото на гражданите,
защото това не променя извода, че ищецът е преживял психически неудобства и
емоционално напрежение, които са отражение на неговото вътрешно състояние и
субективно усещане за заплаха или неизбежна опасност. Личните нагласи и
очаквания за спокойствие и сигурност се подчиняват на психологическите
особености и мотиви на лицето и зависят от неговите индивидуални възможности за
справяне с конкретното положение, в което е станало обект на вредоносно
посегателство и нарушаване на основното му право на защита на личните данни. Следва
да се има предвид, че изтичането на
личните данни от информационните системи на НАП вече е уронило доверието на гражданите в тази институция и
всички последващи уверения, че
опасността от неправомерно ползване на изтеклите лични данни е ниска, не могат
да поправят причинените вреди. Предприетите мерки за гарантиране на сигурността
и безопасността на гражданите и тяхното имущество след неправомерното
разкриване на личните данни не изключват настъпилите у ищеца негативни емоции и
преживявания, които безспорно са повлияли на поведението и начина му на живот
за известен период от време.
С оглед на изложеното съдът приема, че ищцата е претърпяла
вреди от неимуществен характер вследствие изтичането на личните й данни, които
се изразяват в чувство на тревожност и безпокойство, притеснение, несигурност и страх от злоупотреби.
Претърпените от ищеца психически и емоционални неудобства са в резултат от
неизпълнение на вмененото от закона задължение на НАП по осигуряване на защита
на обработваните от нея данни на задължените лица, проявено под формата на
бездействие, поради което тя следва да понесе неблагоприятните последици от
това неизпълнение.
В съответствие на това съдът намира, че е осъществен
фактическият състав на чл.1, ал.1 от ЗОДОВ, поради което за ищеца е възникнало
субективното право да претендира обезщетение за причинените му неимуществени
вреди, а за ответника е възникнало задължението за тяхното репариране.
Относно размера на дължимото обезщетение
Съгласно чл.4 от ЗОДОВ държавата и общините дължат
обезщетение за всички имуществени и неимуществени вреди, които са пряка и
непосредствена последица от увреждането. Законът не установява критериите за
определяне на паричния еквивалент на моралните вреди (болки и страдания),
поради което и по аргумент от препращащата норма на §1 от ЗОДОВ следва да се
приложи разпоредбата на чл.52 от ЗЗД, която постановява, че обезщетението за
неимуществени вреди се определя от съда по справедливост. Изискването за
справедливо определяне на обезщетението за неимуществени вреди е свързано с
преценката на конкретни обективно настъпили обстоятелства, включително характер
и степен на увреждане, трайност и степен на интензитет, възраст на увредения,
обществено и социално положение и др. Като се има предвид естеството,
продължителността и интензитета на преживения страх и притеснения, които нямат
трайни последици за психическото и физическото състояние на ищеца и не
надхвърлят рамките на обичайното негативно човешко изживяване в ситуация на
неправомерно разкриване на лични данни съдът приема, че справедливият размер на
обезщетението за неимуществени вреди се равнява на сумата от 300 лева. До този
размер искът за неимуществени вреди е основателен и доказан и следва да бъдат
уважен, като за горницата до 1000 лева подлежи на отхвърляне като неоснователен
и недоказан.
Върху сумата за обезщетение следва да бъде присъдена и
лихва за забава, но не от датата на изтичане на данните, нито от датата на
завеждане на исковата молба, както се претендира в исковата молба. Лихва се дължи
от момента, в който бъде установено по предвидения в закона ред, че действията/бездействията
на служители на НАП са незаконосъобразни, тъй като вземането за обезщетение за
вреди възниква след признаване на незаконността на акта, действието или бездействието
на държавния орган. В този случай вредите произтичат от бездействиe на
администрацията и обезщетяването им следва да се иска след признаването му за
незаконно от съда. С влизане в сила на решението вземането за обезщетение става
изискуемо и от този момент се дължи и законна лихва върху него ( в тази насока
е и т.4 от ТР №3 от 2004 г. на ВКС). С оглед на изложеното върху уважената част
от иска следва да бъде присъдена лихва за забава, считано от датата на влизане
в сила на решението.
Съобразно изхода от делото и на основание чл.10, ал.3 от ЗОДОВ ответникът следва да бъде осъден да заплати на ищеца внесената държавна
такса в размер на 10 лева. Ищецът има право и на разноски за адвокатско
възнаграждение съразмерно с уважената част от иска, което възлиза на 90 лева.
На основание чл.10, ал.4 от ЗОДОВ, във вр. чл.37, ал.1 от ЗПП и чл.25, ал.1 от
НЗПП, ответникът също има право на разноски за юрисконсултско възнаграждение в
размер на 70 лева, съразмерно с отхвърлената част от иска. След извършена компенсация
на дължимите суми на ищеца следва да се присъдят разноски в размер на 30
лева.
Водим от изложеното, Административен съд- Добрич
Р
Е Ш И :
ОСЪЖДА НАП – София
да заплати на Р.И.В. с ЕГН ********** ***, обезщетение за неимуществени вреди в
размер на сумата от 300 (триста) лева, ведно със законната лихва, считано от
датата на влизане в сила на решението по настоящото дело до окончателното изплащане
на сумата, КАТО ОТХВЪРЛЯ иска за горницата му до 1000 лева.
ОСЪЖДА НАП – София да заплати на Р.И.В. с ЕГН ********** ***,
сумата от 30 лева, представляващи сторени разноски по делото.
РЕШЕНИЕТО може да се обжалва с касационна жалба пред Върховен
административен съд в 14 (четиринадесет) дневен срок от съобщаването му на
страните.
АДМИНИСТРАТИВЕН
СЪДИЯ: