Решение по дело №220/2021 на Административен съд - Добрич

Производството е по чл. 203 от АПК, във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Образуването на делото е след връщането му за ново разглеждане от друг състав с Решение № 5782/ 13.05.2021 г. по административно дело № 10790/ 2020 г. по описа на Върховен административен съд, Трето отделение, с което е отменено постановеното при първоначалното разглеждане на делото Решение № 236 от 03.08.2020 г. по адм.д. № 21/ 2020 г. по описа на А. съд –Добрич.

Образувано е по искова молба на Х. Т. Х., адвокат, от [населено място] срещу Национална агенция по приходите (НАП) – София, с която е предявен иск за присъждане на обезщетение за неимуществени вреди в размер на 1000 лева, представляващи претърпени от ищеца стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции вследствие от незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), ведно със законната лихва, считано от датата на завеждане на исковата молба или алтернативно от датата на изтичане на личните данни - 15.07.2019 г., до окончателното изплащане на сумата.

В исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало известно, че при т. нар. „хакерска атака" от електронните масиви на НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. При справка от интернет портала на НАП, извършена чрез ПИК, ищецът бил уведомен, че попада сред лицата, чиито лични данни са били разкрити, което изключително много го притеснило. Навеждат се доводи, че за ищеца са възникнали неимуществени вреди, изразяващи се във възмущение от допуснатия пробив в Информационната система на НАП, а от друга страна, че след узнаване на факта на изтичане на данните, започнал да живее в страх и притеснение, почувствал се незащитен от Държавата, тъй като на показ се оказали неговите имена, ЕГН, документи за самоличност, телефонни номера, информация за доходите и адрес на семейството му. Перманентно бил напрегнат, стресиран, уплашен. Притеснявал се от злоупотреби, вкл. физически нападения, заплахи, изнудвания, отвличания.

Излага се становище, че НАП в качеството си на администратор на лични данни, чрез бездействие е допуснала нарушения на разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД, нарушила е разпоредбите на чл. 45, ал.1 т. 6 от ЗЗЛД, като не е обработила личните данни по начин, по който да гарантира подходящо ниво на сигурност, като се приложат подходящи технологии и организационни мерки, чл. 64 от ЗЗЛД. Ищецът счита, че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и 68 от ЗЗЛД в периода от влизане на сила на Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR/ОРЗД) до 15.07.2019 г., когато е настъпило публичното оповестяване на данните. Настоява, че НАП чрез своите действия и бездействия е допуснала незаконосъобразни действия от трети недобросъвестни лица.

Според ищеца всички тези нарушения са в пряка причинна връзка с претърпените от него неимуществени вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал. 1 от GDPR, във връзка с чл. 1, ал. 1 от ЗОДОВ.

Ответникът – НАП - София, чрез процесуалния си представител, оспорва допустимостта на иска с твърдения, основани на разпоредбата на чл. 39, ал. 2 от ЗЗЛД. В условията на евентуалност оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от престъпно деяние по смисъла на НК, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на личните данни. Претендира юрисконсултско възнаграждение.

Представителят на ОП - Добрич изразява становище за неоснователност и недоказаност на исковата претенция, като изтъква, че във връзка с теча на данни е образувано досъдебно производство, касае се за престъпление и ответникът не може да носи отговорност за това.

А. съд - Добрич, III състав, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено от фактическа и правна страна следното:

По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и неоспорена от ответника справка (л. 8 от АД № 21/ 2020 г.) се установява, че разкритите данни за ищеца включват ЕГН и имена; данни за изплатени доходи на физически лица за 2007 г.; данни за изплатени доходи за 2008 г.; данни от Годишна данъчна декларация (чл. 41 от ЗОДФЛ) за 2004 г.; данни от Годишна данъчна декларация (чл. 41 от ЗОДФЛ) за 2003 г.; данни от Годишна данъчна декларация за доходите на физическите лица (чл. 50 от ЗДДФЛ) за 2010 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ); данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2007 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2009 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2010 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2011 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2012 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2013 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2014 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2018 г.; данни от съобщения, връчвани по реда на чл. 32 от ДОПК до 2013 г.; идентификационни данни за лице, в качеството на представляващо юридическо лице, от подадена декларация за дължими данъци по чл. 55, ал. 1 от ЗДДФЛ и чл. 201, ал. 1 от ЗКПО за 2013 г.

Същите данни за разпространени лични данни за лицето се съдържат и в представената от НАП справка (л. 57 от АД № 21/ 2020 г.).

Видно от доказателствата по делото, описани в придружително писмо с вх. № 1433/ 24.06.2020 г. (л. 94 от АД № 21/ 2020 г.), със Заповед № ЗЦУ-586/ 30.04.2014 г. на Изпълнителния директор на НАП (л. 81 от АД № 31/ 2020 г.) е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП.

Със Заповед № ЗЦУ-1436/ 15.10.2018 г. на Изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др.

Със Заповед № ЗЦУ-733/ 17.06.2016 г. на Изпълнителния директор на НАП са утвърдени процедура и Вътрешни правила за мрежовата и информационната сигурност.

Със Заповед № ЗЦУ-1236/ 21.08.2019 г. на Изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В.

Със Заповед № ЗЦУ-482/ 01.04.2019 г. на Изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП, като със Заповед № ЗЦУ-83/ 23.01.2013 г. на Изпълнителния директор на НАП са определени видът, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно–осигурителната сметка и сроковете за съхранение на архивираната информация. "Указания за унищожаване на информация и информационни системи в НАП" са утвърдени със Заповед № ЗЦУ-1596/ 29.11.2017 г. на Изпълнителния директор на НАП, а със Заповед № ЗЦУ-535/ 11.05.2016 г. на Изпълнителния директор на НАП са утвърдени Вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП.

В Агенцията по приходите е изработена и Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г., утвърдена е политика по информационна сигурност на НАП и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.

С писмо вх. № 459/ 14.02.2020 г., Комисията за защита на личните данни (КЗЛД) уведомява съда, че на НАП е връчено Наказателно постановление № 004 от 28.08.2019 г., издадено от П. на КЗЛД, което е обжалвано пред СРС. С писмо вх. № 1215 от 28.03.2024 г. е уведомен съдът от КЗЛД, че с Решение № 1247 по адм. дело № 12334/ 2023 г. на А. е отменено решение на СРС от 26.10.2023 г. (л. 44 – 47), с което е потвърдено НП, като е приложено самото Решение на А., от което се установява, че НП е отменено и е прекратено административнонаказателното производство поради изтекла давност. Не е установено пред КЗЛД да е образувано производство от ищеца във връзка с теча на лични данни срещу НАП.

Настоящото производство е спряно до произнасяне на СЕС по преюдициално запитване по идентичен спор. На 14.12.2023 г. по дело С-340/ 21 г. на СЕС е постановено Решение на Съда (трети състав) от 14 декември 2023 г. (преюдициално запитване от Върховен административен съд — България) — VB/Национална агенция за приходите) (л. 9 – 15), с което СЕС приема, че чл. 24 и 32 от Регламента трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32; чл. 32 от Регламент 2016/679 трябва да се тълкува в смисъл, че преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове; принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи; чл. 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно; чл. 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по чл. 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен; чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. С оглед произнасянето на СЕС е възобновено производството по делото.

С вх. № 702/ 21.02.2024 г. и вх. № 1535/ 19.04.2024 г. (л. 32 и л. 48) ответникът представя Становище, чрез процесуалния си представител, с което оспорва исковата молба като неоснователна и недоказана.

За доказване на претърпените от ищеца неимуществени вреди по делото са събрани гласни доказателства. При първоначалното разглеждане на делото са разпитани двама свидетели, близки приятели на ищеца, а пред настоящия състав за разпит е доведен един свидетел – адвокат, с когото ищецът е работил по онова време по общо дело.

При така установената фактическа обстановка съдът намира от правна страна следното:

Предявеният иск е процесуално допустим и черпи правното си основание от разпоредбите на чл. 203, ал. 1 и чл. 204, ал. 4 от АПК, във връзка с чл. 82 от GDPR.

По отношение първоначалните възражения на ответника за недопустимост на иска следва да се подчертае, че съгласно съдебната практика на ВАС по идентични казуси процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ „Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК.

По отношение основателността на иска съдът намира, че същият е частично основателен, като съобрази следното:

В исковата молба г-н Х. претендира незаконосъобразно бездействие от страна на ответника – неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което счита, че са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR, като се позовава и на чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 от ЗЗЛД. Правното основание, както беше посочено по – горе, на иска е чл. 82, §. 1 и 2 от Регламент № 2016/679. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. От съображение 146 от ОРЗД става ясно, че чл. 82 от него въвежда собствен режим на отговорност в областта на защитата на личните данни. В чл. 82, §. 2 от ОРЗД са посочени именно трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. ОРЗД не препраща към правото на държавите-членки относно смисъла и понятията на термините, съдържащи се в чл. 82 от ОРЗД, по-специално по отношение на понятията „материални и нематериални вреди", „обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави-членки (Решение от 4 май 2023 г. по С-300/21 на СЕС).

Вярно е, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се приеме, че приложените технически и организационни мерки не са подходящи по смисъла на членове 24 и 32 и да бъде присъдено право на обезщетение. Това означава, че изтичането на лични данни в публичното пространство в резултат на неправомерно поведение на трети лица не презумира, че приложените технически и организационни мерки за защита на лични данни по членове 24 и 32 от ОРЗД са неподходящи. Третите лица са различни от тези, които имат право да обработват лични данни под прякото ръководство на администратора или обработващия лични данни. Администраторът обаче не се освобождава от отговорност само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна" по смисъла на чл. 4, т. 10 от ОРЗД. Принципът на отчетност на администратора, закрепен в чл. 5, §. 2 и конкретизиран в чл. 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент администраторът на лични данни носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурността по чл. 32 от посочения регламент са подходящи, като в този смисъл е именно цитираното Решение от 14.12.2023 г. по дело С-340/21 на СЕС.

След връщането на делото за ново разглеждане на ответника беше указана изрично тежестта да установи, че избраните и приложени от него организационни и технически мерки са подходящи, за да препятстват неоторизиран достъп до лични данни и тяхното незаконно обработване. В тази връзка към Становището от 19.04.2024 г. ответникът представя писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-12375 от 12.12.2018 г. относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление", Протокол относно „Извършена проверка в Национална агензия за приходите, съгласно изисьсванията на чл. 60 от Закона за електронното управление" от Държавна агенция „Електронно управление, Писмо с изх. № ЕП-2339/19.12.2018 г. от НАП до П. на Държавна агенция „Електронно управление" относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление" и Писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-393 от 04.01.2019 г. относно „Писмо на ИД на НАП във връзка с резултатите от извършена проверка по чл. 60 от Закона за електронното управление". Сочи, че освен тези доказателства и представените при първоначалното разглеждане на делото с други не разполага. В Становището се настоява същевременно, че няма доказателство по делото, че данните на ищеца са станали достояние на трети недобросъвестни лица и че ако недобросъвестността била факт, то тогава щяло да има основание за претендиране на имуществени вреди, след изрично доказване, че данните са известни именно вследствие на неоторизирания достъп от системата на НАП, а не от друг източник. Според ответника не е аргументирано и подкрепено с доказателства т.нар. от ответника „хипотетично притеснение“ на ищеца, че са възможни и физически нападения, заплахи, изнудвания, отвличания и т.н. В Становището се продължава, че такива действия се предприемали при данни за налични парични средства в такъв размер, че да оправдават риска от носене на наказателна отговорност, а конкретният случай не бил такъв, като се претендира, че се касае не за съществуваща заплаха, а въображаема такава. Не било доказано твърдението за изтекли данни за 68 документа, каквито били твърденията на ищеца, както и не били налице данни за изтекъл номер на лична карта, за да е била наложителна смяната на такава, както е подходил ищецът.

Ответникът счита, че от представените доказателства е видно, че НАП е предприела множество мерки с цел да не се допусне възникването на неоснователен страх. По разбирането на настоящия състав събраните по делото доказателства установяват предприемането на мерки, но не се доказва по безспорен и категоричен начин, че тези мерки са били подходящи за овладяване на съответния риск. В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Задължението се съдържа в чл. 24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. „е" от GDPR – цялостност и поверителност на данните. В случая ангажирането на многобройни писмени доказателства, без доказателства, че предвидените в тях мерки са ефективни, не доказва че ответникът е взел подходящите организационни и технически мерки, които да обезпечат защитата на личните данни, които администраторът обработва. Липсват доказателства, че предприетите организационни мерки са били в такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. Липсват и доказателства за това какви конкретно технически мерки е взел ответникът, за да защити личните данни, които обработва, от неправомерен достъп, като този от който се претендират вредите. В съображение 74 от ОРЗД е предвидено, че администраторът следва да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. В съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни, т.е. мерките не са били в такава степен подходящи и достатъчни, след като системата е била технически уязвима и е дала възможност за нерегламентиран достъп на информация, съответно не са приложени подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива ѝ, предизвикал разкриването на личните данни на ищеца. В случая липсата на доказване на приложени подходящи мерки установява наличието на първата предпоставка, тъй като ответникът не е доказал, че по никакъв начин не е отговорен за събитието, причинило вредата. Отмяната на издаденото от председателя на КЗЛД Наказателно постановление не може да се разглежда като факт, доказващ, че НАП не е отговорна за събитието, като се има предвид, че Наказателното постановление е отменено поради изтекла абсолютна давност.

Втората и третата предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна от ищеца вреда в резултат от това незаконосъобразно бездействие и причинна връзка между тях. Според СЕС чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. Понятието „вреди" се тълкува в по-широк смисъл в контекста на съдебната практика на СЕС по начин, който отразява напълно целите на Регламента, поради което обезщетението за нематериални вреди не се поставя в зависимост от определен праг на значимост на вредите. Пълното и действително обезщетение по съображение 146 от Регламента е цел на този правен институт, без да е необходимо изплащане на наказателно обезщетение, като тежестта на доказване на вредите е на ищеца, съгласно чл. 154, ал. 1 от ГПК, във връзка с чл. 144 от АПК. В случая ищецът установи по безспорен начин вредата, свързана с разкриване на личните му данни, като спрямо него е видно, че е налице разкриване на множество лични данни, в това число за ЕГН и имена; данни за изплатени доходи на физически лица за 2007 г.; данни за изплатени доходи за 2008 г.; данни от Годишна данъчна декларация (чл. 41 от ЗОДФЛ) за 2004 г.; данни от Годишна данъчна декларация (чл. 41 от ЗОДФЛ) за 2003 г.; данни от Годишна данъчна декларация за доходите на физическите лица (чл. 50 от ЗДДФЛ) за 2010 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ); данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2007 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2009 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2010 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2011 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2012 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2013 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2014 г.; данни от справка за изплатени доходи на физически лица (чл. 73 от ЗДДФЛ) за 2018 г.; данни от съобщения, връчвани по реда на чл. 32 от ДОПК до 2013 г.; идентификационни данни за лице, в качеството на представляващо юридическо лице, от подадена декларация за дължими данъци по чл. 55, ал. 1 от ЗДДФЛ и чл. 201, ал. 1 от ЗКПО за 2013 г. Самото количество и вид на изтекли лични данни обосновава възникналите опасения от конкретни посегателства. За да може да се приложи принципът на равностойност и ефективност (Решение по дело С-300/21) ищецът следва да посочи и докаже неимуществените вреди. С исковата молба той твърди, че в резултат на изтичането на данните, респ. бездействието на ответника по осигуряване на тяхната защита, той е изпитал стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции. Целта на доказването на претърпените вреди е да се ангажира отговорността на администратора на лични данни и да се определи адекватно парично обезщетение.

Изброените по – горе емоционални сътресения безспорно представляват вид неимуществени вреди. За да бъде уважен искът по основание, следва по категоричен начин да се установи, че са настъпили претендираните от ищеца неимуществени вреди и че те са в резултат на незаконосъобразното бездействие. Преживеният стрес, безпокойство и притеснение следва да са такива, че да доведат до промяна в качеството на живот на ищеца, т.е. не просто да са преживени, но и да са довели до някаква промяна в поведението му. За установяване на посочени претърпени неимуществени вреди при първоначалното разглеждане на делото са събрани гласни доказателства с разпита на двама свидетели - В. Б. Б. и С. Д. Ж., които съдът цени в тяхната взаимовръзка и обусловеност с ангажирания по делото доказателствен материал и с оглед разпоредбата на чл. 172 ГПК, във връзка с чл. 144 АПК, доколкото показанията им се основават на лични възприятия, непосредствени впечатления, базират се на системни и трайни наблюдения за осъществени в правната действителност факти от процесния период (свидетелите са близки приятели и контактуват редовно с ищеца). От показанията им се установява, че Х. Х. е изживял стрес, безпокойство, тревожност, причинен му е психически дискомфорт и негативни емоции. Свидетелят Б. е категоричен, че този случай му се отразил негативно на психоемоционалното състояние и дори ищецът изпаднал в паника, тъй като в качеството му на адвокат на него са му изтекли освен личните му данни, декларации, подавани през годините до НАП, но и документи, които са били във връзка с клиентите му – физически лица и дружества. Дали общият брой е 68, може да се установи само от самите документи и справки, но като брой тези данни са над 10, което е изключително стресиращо. С оглед на това г-н Х. е сменил и личните си документи, независимо че същите не са изтичали през този период. Сънят му се развалил и бил готов да прибегне до успокоителни медикаменти. Пак според свидетеля Б. този период на притеснение у Х. е бил един дълъг период от време.

Свидетелят Ж. подкрепя изцяло заявеното от свидетеля Б., като заявява, че Х. е бил наистина много притеснен и се съветвал и с хора занимаващи се с киберсигурост.

При новото разглеждане на делото е разпитан един свидетел – адв. Г. П.. Независимо от изтеклия период на увреждането, същата споделя, че през лятото на 2019 г., когато е течът на лични данни, имали дело, на което тя му била процесуален представител, с оглед на което е придобила по - близки впечатления за състоянието му. Сочи, че не го е виждала такъв. Сменил си личната карта, паспорта и тя му казвала, че няма какво толкова да се случи, но ищецът възразил, че на сина му са откраднали лична карта и са му писали акт в Несебър, че се безпокои, че могат да изтеглят бързи кредити с личните му данни. Св. П. твърди, че не можела да познае какво става с него. Започнал да вдига кръвно, пиел разни хапчета. Тръгнал по доктори. Настъпила коренна промяна в него. Аз такъв наистина не съм го виждала. Тя му обръщала внимание, че са необходими документи по общото им дело, а той казвал да не го занимава, защото трябва да си гледа сметките, да не би някой да направи пълномощно. Според св. П. това състояние продължило два-три, месеца, когато той не бил на себе си. Било август, септември и октомври, по това време.

С оглед на тези показания и представените писмени доказателства, че ищецът е подменил дори личните си документи, съдът приема, че периодът от време на преживяване на всички тези негативни емоции е безспорно в логическа причинно-следствена връзка със случая от 15.07.2019 г. и дава основание да се приеме, че за ищеца са настъпили морални вреди, негативни емоционални проблеми, дори и здравословни такива. Съдът кредитира дадените показания, първите като дадени от близки приятели, а вторите, като дадени от лице, адвокат, което пресъздаде състоянието на ищеца и показанията му в същността си установяват настъпилите неимуществени вреди и то независимо от изминалото време от увреждането, като съдът, както посочи и за предходните показания, ги преценява с оглед всички други данни по делото, в съответствие с чл. 172 ГПК, във връзка с чл. 144 АПК. Съдът намира, че дори без допълнителни доказателства, негативните емоции и психически дискомфорт, които изпитва човек, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство. В този смисъл е доказана и втората предпоставка относно настъпили неимуществени вреди от изтеклите данни на ищеца.

Неоснователно е изложеното от ответника в Становището му, че свидетелските показания съдържали твърдения, които водят единствено до извода за липсата на информираност в ищеца, че не е констатиран случай на злоупотреба с лични данни, свързан с неоторизирания достъп до данни на НАП, както и че няма рискове за злоупотреби и кражба на самоличност, както било многократно оповестено от Агенцията чрез медиите, съответно, че били налични защитни механизми, които предотвратявали злоупотребата с лични данни с позоваването, че не било възможно тегленето на пари от чужди банкови сметки, прехвърлителни сделки, злоупотреби относно вписване на обстоятелства в TP и т.н. без представяне на документ за самоличност или нотариално заверено пълномощно в оригинал, изтъквайки, че незнанието на тези обстоятелства у ищеца не е основание за обезщетяване на вреди. Неоснователно е и посоченото, че всички институции и лицата, работещи с лични данни, били известени за ситуацията и предупредени да работят с повишено внимание, като били представени доказателства за множеството мерки, предприети от НАП с цел недопускане на неоснователни притеснения и успокояване на обществеността. Тези факти и обстоятелства не променят извода, че в случая ищецът е преживял психически стрес и емоционално напрежение, които са отражение на неговото вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на всяка човешка личност и зависят от нейните индивидуални възможности за справяне с конкретното положение. Предприетите мерки за гарантиране на сигурността и безопасността на гражданите и тяхното имущество, за успокояване на обществеността след неправомерното разкриване на личните данни не могат да игнорират настъпилите у ищеца негативни емоции и преживявания, които безспорно са се отразили на поведението и начина му на живот, като го съпътстват в известна степен и до днес, като се има предвид изложението му в хода по същество на делото. В това изложение ищецът сочи изключително емоционално, че си направил справка и установил теч на над 65 негови документа от НАП. Същевременно по-късно, в „Нова телевизия“, съобщили за имотна измама. Добавя, че от тези 65 негови документи ставало ясно какви доходи има, откъде ги е придобил, как ги е придобил. Изтъква, че е сметнал, че може да бъде обект на изнудвания, на други проверки и т.н., макар че съм декларирал за доходите си пред НАП, като набляга, че не е удачно да бъдат данните и цифрите обект на внимание от различни хора. Отделно от това, по една или друга причина, 11 години е работил в органите на МВР и не знае дали не може да бъде обект на отмъщение от някой, обект на интереси. Ищецът сподели, че всичко това рефлектирало върху здравословното му състояние, тъй като по принцип от дълги години е хипертоник и с аритмия на сърцето и в този период кръвното му налягане се колебаело, получавал не рядко хипертонични кризи, главоболия, световъртежи и най-вече се притеснявал да не би да има злоупотреба. Отделно, както казала св. П., се занимавал с наказателно постановление на НАП Бургас, издадено по отношение на сина му точно след загуба на такава лична карта. Притесненията му се проявили в изготвянето на нови документи. От медиите разбрал, че не е топ-специалист този, който е успял да проникне в системата на НАП. Оказало се, че това е момче, което е със средно образование, не с толкова много голям опит, просто е работило доста повече в тази сфера, което според него означава, че по отношение на личните данни на български граждани се подхожда небрежно, бездейства се и се създават предпоставки да бъде злоупотребено, с оглед на което моли за уважаване на иска и присъждане на обезщетение за вреди по чл. 52 от ЗЗД по справедливост.

Изложеното налага извода, че претърпените от ищеца болки и страдания са резултат от бездействието на ответника да изпълни своето задължение за прилагане на такива подходящи мерки, които да препятстват възможността за достъп до личните му данни, а разкриването им в случая в съответния обем само по себе си създава опасения за евентуални злоупотреби с права на ищеца. Неоснователно е възражението на ответника, че данни за личната карта на ищеца не били разкрити. Като се има предвид, че са изтекли декларациите на същия по чл. 50 от ЗДДФЛ, а в тях се съдържат именно данни и от личната карта, то неговите опасения за злоупотреба и на това основание са обосновани.

Съгласно чл. 82, § 1 от ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 от ОРЗД, във връзка с с чл. 1, ал. 1 от ЗОДОВ, поради което за ищеца е възникнало субективното право по чл. 82, § 1 от ОРЗД да претендира обезщетение за причинените му неимуществени вреди, което ответникът да заплати.

Събраните доказателства установяват факта на вредите и пряката причинно - следствена връзка между настъпването им и незаконосъобразното бездействие на ответника. За да прецени основателността на претенцията, съдът съобрази събраните доказателства за душевното състояние на ищеца след установяването, че и негови лични данни са изтекли в публичното пространство. Справедливостта налага неимуществените вреди да бъдат овъзмездени. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни, обективно съществуващи обстоятелства и практиката на съдилищата. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост" не е абстрактно понятие, а е свързано именно с преценката на тези конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл. 52 от ЗЗД в зависимост от степента и характера на преживените болки и страдания от ищеца. В тази връзка съдът приема, че претендираната от ищеца сума от 1 000 лв. (хиляда лева) е прекомерно завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен на претърпените вреди. Обезщетението трябва да е съразмерно с вредите и да отговаря, както на конкретните данни по делото, така и на обществените представи за справедливост. С оглед характера на претърпените вреди, големия брой изтекли лични данни и информация за лично състояние и доходи на ищеца, възрастта му, продължителността на търпенето на вредите, доказаните душевни страдания и общото психическо състояние на същия като резултат от противоправното бездействие на ответника, съдът намира, че справедливият размер на дължимото обезщетение за неимуществени вреди следва да бъде определен на 500 лв. (петстотин лева) по смисъла на чл. 52 от ЗЗД, във връзка с чл. 4 от ЗОДОВ за причиненото състояние на безпокойство и притеснение. Над този размер претенцията следва да бъде отхвърлена.

Уважаването на основния иск изисква уважаване и на акцесорния. Претенцията на ищеца е да му бъде присъдена законна лихва върху присъдената сума, считано или от подаване на исковата молба, или алтернативно от 15.07.2019 г. - датата на увреждането, до окончателното изплащане на сумата. Относно началната дата на присъждане на законната лихва съдът съобрази следното:

ЗОДОВ определя специален ред и условия за обезщетяване на пострадалите лица. За неуредените в закона случаи се прилагат общите разпоредби на ЗЗД. Съгласно ТР № 3/ 2004 г. по тълк. дело № 3/ 2004 г. на ОСГК на ВКС в практиката съществуват две становища относно началния момент на забавата, съответно дължимостта на законната лихва и началния момент на погасителната давност на иска за обезщетение:

Според първото становище вземането на пострадалото лице за обезщетяване на вреди възниква от момента на издаване на акта, от извършване на действието или бездействието на държавния орган, без да е установена тяхната незаконност. Приложима е разпоредбата на чл. 84, ал. 3 ЗЗД, според която длъжникът се смята в забава и без покана от деня на увреждането, а според второто становище, вземането за обезщетяване на вреди възниква след признаване по законен ред незаконността на акта, действието или бездействието на държавния орган. При постановяване на ТР е прието, че е правилно второто становище, т.е. когато вредите произтичат от фактически действия или бездействия на администрацията, обезщетението за тях може да се иска след признаването им за незаконни, което се установява в производството по обезщетяването. От така определените моменти на изискуемост, започва да тече погасителната давност и се дължи мораторна лихва. С оглед на това претенцията за законна лихва следва да бъде уважена, считано от влизане на съдебното решение в сила.

Предвид изложеното фактическият състав на отговорността по чл. 203 АПК, във връзка с чл. 1 ЗОДОВ по отношение вреди от изтеклите данни за ЕГН и имена на ищеца е осъществен. Налице е незаконосъобразно бездействие, реално увреждане на ищеца и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените вреди на ищеца.

При този изход на спора и съобразно нормата на чл. 10, ал. 3 ЗОДОВ, съгласно която, ако искът бъде уважен изцяло или частично, съдът осъжда ответника да заплати разноските по производството, както и да заплати на ищеца внесената държавна такса, съответно да заплати на ищеца и възнаграждение за един адвокат или юрисконсулт, ако е имал такъв, съразмерно с уважената част от иска, то на ищеца следва да бъдат присъдени съдебно – деловодни разноски, които в случая са само за държавна такса в размер на 10 лв. (десет лева).

Ответникът също е претендирал присъждане на разноски. На основание чл. 10, ал. 4 от ЗОДОВ, на ответника се дължи възнаграждение за осъществената юрисконсултска защита, което изчислено съгласно правилото на чл. 24 от Наредбата за заплащането на правната помощ, при съобразяване на фактическата и правна сложност на делото, съразмерно с отхвърлената част от предявения иск следва да бъде определено на основание чл. 226 от АПК в размер на 50.00 лв. за всяко едно от производствата.

Така мотивиран, А. съд – Добрич, III състав,

РЕШИ:

ОСЪЖДА Националната агенция за приходите по иск, с правно основание чл. 82, § 1 от Общия регламент относно защитата на данните да заплати на Х. Т. Х., [ЕГН], от [населено място], сума в размер на 500.00 лв. (петстотин лева), представляваща обезщетение за неимуществени вреди, настъпили в резултат на незаконосъобразно бездействие от страна на Национална агенция за приходите, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 24 и чл. 32 от Общия регламент относно защитата на данните за гарантиране достатъчно ниво на сигурност на обработваните от него лични данни на Х. Т. Х., от [населено място], ведно със законната лихва върху тази сума, считано от датата на влизане в сила на решението до окончателното й изплащане, като за разликата над 500.00 лв. (петстотин лева) до пълния предявен размер от 1000.00 лв. (хиляда лева), ведно със законната лихва върху разликата, ОТХВЪРЛЯ предявените искове като неоснователни.

ОСЪЖДА Национална агенция за приходите да заплати Х. Т. Х., [ЕГН], от [населено място] сума в размер на 10.00 лв. (десет лева) разноски по делото за държавна такса.

ОСЪЖДА Х. Т. Х., [ЕГН], от [населено място], да заплати на Националната агенция за приходите сумата от 100.00 лв. (сто лева) общо разноски по делото за първоначално и последващо разглеждане във вид на юрисконсултско възнаграждение съобразно отхвърлената част от иска.

Решението може да се обжалва с касационна жалба чрез А. съд – Добрич пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.