Решение по дело №564/2020 на Административен съд - Пазарджик

Номер на акта: 166
Дата: 1 март 2021 г.
Съдия: Христина Петкова Юрукова
Дело: 20207150700564
Тип на делото: Административно дело
Дата на образуване: 29 май 2020 г.

Съдържание на акта

Р Е Ш Е Н И Е

 

  166/ 1.3.2021г.

 

гр.Пазарджик

 

В   И М Е Т О   Н А   Н А Р О Д А

 

Административен съд Пазарджик, VІ състав, в открито съдебно заседание на двадесет и осми януари, две хиляди двадесет и първа година в състав:

СЪДИЯ: ХРИСТИНА ЮРУКОВА

при секретаря Тодорка Стойнова, и с участието на прокурор Стоян Пешев, като разгледа докладваното от съдия Юрукова административно дело № 564, по описа на съда за 2020 г., намери за установено следното:

Производството е по реда на чл. 203 и сл. от Административно-процесуалния Кодекс (АПК), във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ). Образувано е по искова молба и нейно допълнение, подадени от И.Т.С.,***, чрез адв. А.П., против Национална агенция за приходите с ЕИК ********* гр.София, с искане да бъде осъдена да заплати сумата от 1200 лева обезщетение за претърпени неимуществени вреди от неизпълнение на задължение по чл. 59, ал. 1 от ЗЗЛД и чл. 32 от Общия регламент относно защита на лични данни ЕС 2016/697  на Европейския регламент и на Съвета от 27.04.2016г., ведно със законна лихва върху сумата, считано от 15.07.2019г. до окончателното изплащане. В исковата молба са представени твърдения, че от неправомерно изтичане на лични данни, сред които и такива на ищеца, за него са възникнали неимуществени вреди, изразяващи се в психическо натоварване, притеснения и опасения от всевъзможни злоупотреби с личните данни на ищеца, страх от физически нападения и изнудвания, загубено време за промени на пароли, консултации със специалисти в сферата на сигурността. Вредите са били търпени от датата на изтичане на данните 15.07.2019г. до датата на завеждане на исковата молба – 29.05.2020г.  Иска да се установи, че НАП в качеството си на администратор на лични данни, чрез бездействие е допуснала нарушения на разпоредбите на чл.32 от GDPR и чл. 59 ал.1 от ЗЗЛД, от което за ищеца за възникнали неимуществени вреди, чието обезщетение се претендира в настоящото производство по чл. 1 от ЗОДОВ. В съдебно заседание ищецът се представлява от процесуален представител- адв. П., който поддържа исковата молба. Моли претенцията да бъде уважена изцяло. Счита, че от всички представени по делото писмени доказателства не се установява НАП да е предприела адекватни мерки за защита на личните данни на ищеца. Претендира разноски по представен списък.

Ответникът – Национална агенция по приходите, с представлява от главен юрисконсулт Г.И., която е депозирала писмено становище, с което оспорва исковата молба като недопустима, а евентуално неоснователна и представя доказателства. Счита, че не са налице основания да се твърди, че неоторизираният достъп е резултат от незаконосъобразно бездействие на НАП или нейни органи/служители, като и че не ставало ясно с кое конкретно свое действие/бездействие НАП е довела до описаното психическо и емоционално състояние на ищеца. Поради изложеното намира за недоказано твърдението за претърпени от неимуществени вреди. Моли за отхвърляне на иска. Претендира присъждане на юрисконсултско възнаграждение. В съдебно заседание главен юрк. И. поддържа оспорването на исковата молба. Допълнителни съображения излага в представени писмени бележки.

Представителят на Окръжна прокуратура Пазарджик – прокурор Пешев, изразява становище за неоснователност на исковата претенция и моли съда да я отхвърли изцяло.

Административен съд - Пазарджик, като взе предвид изложеното в исковата молба и представените по делото писмени доказателства, приема за установено от фактическа страна следното:

По делото се установява, че на 15.07.2019 г. неизвестно лице е осъществило нерегламентиран достъп до информационната система на НАП, станал известен като "хакерска атака", вследствие на което е разпространена информация, съдържаща личните данни на множество българи. Ищецът е представил извадка от електронната система на НАП, със съдържание: "За подадения идентификатор има разпространени данни, които включват ЕГН, име, данни за изплатени доходи на физически лица за 2009г.; данни за справка за изплатени доходи на физически лица за 2012г. След издадено съдебно удостоверение, ищецът е представил Удостоверение изх. № 94-А-1174/7 от 27.10.2020г. на изпълнителен директор на НАП, съгласно което се удостоверява, че на 15.07.2019г. за лицето И.Т.С., ЕГН ********** има неоторизиран достъп до данни от информационните масиви на НАП, който включва ЕГН и имена, данни за изплатени доходи на физически лица за 2009г.; данни за справка за изплатени доходи на физически лица за 2012г.

Съгласно представените от ответника доказателства, се установява, че  със заповед № ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП. Със заповед № ЗЦУ-1436/15.10.2018 г. на изпълнителния директор на НАП са утвърдени "Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП", "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др. Със заповед № ЗЦУ-733/17.06.2016 г. на изпълнителния директор на НАП са утвърдени процедура и вътрешни правила за мрежовата и информационната сигурност. Със заповед № ЗЦУ-1236/21.08.2019 г. на изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В. Със заповед №ЗЦУ-482/01.04.2019 г. на изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП. Със заповед № ЗЦУ-83/23.01.2013 г. на изпълнителния директор на НАП са определени вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно-осигурителната сметка и сроковете за съхранение на архивираната информация. Със заповед № ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени "Указания за унищожаване на информация и информационни системи в НАП". Със заповед № ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП. В НАП е изработена Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г. Утвърдена е политика по информационна сигурност на НАП. Утвърдена е и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.

За доказване на претърпени неимуществени вреди от страна на ищеца С., по делото се събраха гласни доказателства, като в качеството на свидетел беше разпитан П. Г. К. – чиято майка живее на семейни начала с ищеца. Свидетелят познава С. от 25-30 години. След медийно оповестяване за изтичане на данни от НАП той е накарал майка си и ищеца да  вземат код от НАП, за да проверят, защото ги е било страх от изтичане на данни. Споделя, че заради изтекли данните, С. и майка му са се притеснили, тъй като са възрастни, пенсионери, взимат по 200 лв. пенсии. Притесненията на И.С. са били притесниха да не ги измамят, защото е бил наплашен от телефонните измами, страхувал се някой да не изтегли заем на тяхно име. Знае, че ищецът взима лекарства, с високо кръвно, сърцето не му е добре. Той  постоянно му е звънял по телефона, с притеснение, че някой ще изтегли заем на тяхно име. Свидетелят се е мъчил да го успокоява. Споделя, че тогава С. бил умислен, разтревожен, нямал настроение. Друг път, като се срещали, се радвали, а сега той се притеснявал и само за това говорел.

С разпореждане по делото съдът е дал конкретни указания към ищеца, а именно, че следва да представи доказателства за здравословното си състояние във връзка с така заявените неимуществени вреди в исковата молба. Указано му е, че не са налице доказателства за обстоятелствата, че са налице негативни изживявания във връзка със събраните днес свидетелски показания по отношение на здравословното състояние.

При така установената фактическа обстановка съдът намира от правна страна следното:

Предявеният иск е процесуално допустим и черпи правното си основание от разпоредбите на чл. 203, ал. 1 и чл. 204, ал. 4 от АПК, във вр. чл. 1, ал. 1 от ЗОДОВ и чл. 82 от GDPR, във вр. с чл. 39,ал. 1 и 2 от ЗЗЛД.

По отношение на възраженията на ответника за недопустимост на иска налице е актуалната съдебна практика на ВАС по идентични казуси, които приемат, че  в случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК.

Разгледан по същество, искът е неоснователен.

Във фактическия състав на отговорността за вреди по чл. 1, ал. 1 от ЗОДОВ се включват следните елементи - незаконосъобразен акт, действие или бездействие на орган или длъжностно лице на държавата или общината при или по повод изпълнение на административна дейност, отменени по съответния ред, вреда от такъв административен акт, действие или бездействие и причинна връзка между постановения незаконосъобразен акт, действие или бездействие и настъпилия вредоносен резултат. При липсата на който и да е от елементите на този фактически състав не може да се реализира отговорността на държавата или общината по реда на чл. 1, ал. 1 от ЗОДОВ. В случая исковата претенция се основава на незаконосъобразно бездействие - неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 от ЗЗЛД. Следователно предпоставка за ангажиране на отговорността на ответника е установяване на незаконосъобразността на твърдяното от ищеца бездействие по аргумент от чл. 204, ал. 4 от АПК. Под увреждащо деяние, проявено под формата на бездействие, следва да се разбира незаконосъобразно фактическо бездействие по смисъла на чл. 256 от АПК, т. е. бездействие на административен орган по задължение, произтичащо пряко от нормативен акт или което е длъжен да извърши по силата на закона. В случая е безспорно, че ответникът осъществява дейност по обработване на лични данни, необходими за изпълнение на нормативно установените му задължения. Създаването и поддържането на регистър и бази данни на задължените лица по чл. 80, ал. 1 от ДОПК е именно такава дейност, свързана с упражняване на правомощията на НАП като специален държавен орган към министъра на финансите за установяване, обезпечаване и събиране на публични вземания по смисъла на чл. 2, ал. 1, във вр. чл. 3, ал. 1 от ЗНАП. Регистърът на НАП служи за идентифициране на задължените лица и извършваната от тях дейност, подлежаща на контрол, като агенцията създава и поддържа множество специални регистри по чл. 83 от ДОПК, които са неразделна част от регистъра, поддържа и съхранява архив на лицата с прекратена регистрация по чл. 83, ал. 3 от ДОПК, открива и поддържа данъчно - осигурителни сметки на задължените лица по чл. 87, ал. 1 от ДОПК, които съдържат данъчна и осигурителна информация, както и поддържа и съхранява архив на данъчно-осигурителните сметки по чл. 87, ал. 4. В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки съгласно чл. 59, ал. 1 от ЗЗЛД, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. При необходимост тези мерки се преразглеждат и актуализират. Същото задължение се съдържа и в чл. 24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. "е" от GDPR - цялостност и поверителност на данните. Неговият смисъл и съдържание са възпроизведени и в заповед № ЗЦУ-83 от 23.01.2013 г. на изпълнителния директор на НАП, в т. 24 и т. 25 от която изрично е предвидено, че регистърът, базите данни, данъчно-осигурителната сметка, архивът за лицата с прекратена регистрация и архивът на данъчно-осигурителната сметка се поддържат и съхраняват по начин, който гарантира целостта на информацията и защитата на информацията в системата срещу разрушение и неправомерно изменение и ползване, като достъпът до нея се осъществява в съответствие с изискванията за регламентиран достъп при спазване на разпоредбите на ЗЗКИ и ЗЗЛД.

Следователно отговорността на ответника произтича от специфичния характер на дейността му по обработване на лични данни, включваща създаване, поддържане и актуализация на регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в тях информация и контролирания достъп до нея. Като административен орган със статут на юридическо лице, който следи тази дейност да бъде изпълнявана в съответствие с нормативно установените изисквания, той носи отговорност за вредите от незаконните действия и/или бездействия на включените в състава му органи и служители при извършване на дейността по чл. 1 от ЗОДОВ.

В случая е безспорно, че вследствие на хакерска атака е осъществен пробив в системата на ответника, който е станал причина за неправомерното разкриване и разпространение на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1, т. 4 от ДР на ЗЗЛД, вр. чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т. ч. правото на защита на личните им данни. Настоящият съдебен състав приема, че именно техническата уязвимост на системата на НАП е довела до нерегламентирания достъп на информация, а тя е резултат от неприлагането на подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива й, предизвикал разкриването на личните данни на ищеца.

Наличието на одобрени процедури, правила, политики, инструкции, указания и методики не опровергава извода, че е нарушена сигурността на обработваните данни, след като те са публично разкрити. Без правно значение е, че липсва акт, в който да е описано и доказано в какво се състои техническата уязвимост на информационната система на НАП и как тази уязвимост е предпоставила и улеснила извършването на неоторизирания достъп в условията на причинно - следствена връзка. Техническата уязвимост очевидно е налице независимо от нейния произход, естество и обхват, а съществуването й като обективен факт в действителността само по себе си е предпоставка за извършения неоторизиран достъп. Обработването на значителен обем лични данни на регионално, национално и надционално равнище, които биха могли да засегнат голям брой субекти на данни, изисква по-сериозна оценка на въздействието върху защитата на данните, за да се оценят конкретната вероятност и тежестта на високия риск, като администраторът на лични данни следва да предостави гаранции по отношение на експертни познания, надеждност и ресурси, позволяващи да се извърши адекватна оценка на риска за сигурността на данните в съответствие с нормативните изисквания. Съгласно чл. 32, т. 2 от Регламент (ЕС) 2016/679 при оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни. Обстоятелството, че е допусната хакерска атака, с която е пробита информационната система на НАП по отношение на повече от 6 000 000 субекти на данни, е безспорно доказателство, че не е извършена оценка на подходящото ниво на сигурност и не са взети необходимите технически и организационни мерки за защита при обработването на личните данни на засегнатите лица, в т. ч. и на ищеца, което е достатъчно, за да се направи извод, че е налице незаконосъобразно бездействие от страна на НАП. Ответникът в качеството си на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент ЕС 2016/679 при осъществяване на дейността си е следвало да предприеме ефективни мерки за предотвратяване на злоумишлен достъп до личните данни на ищеца без значение на вида и характера на този достъп (неправомерно, случайно или др.) и неговото авторство. В случая това не е постигнато. Ответникът не е изпълнил задължението си по предотвратяване на престъпление и опазване на личните данни на ищеца, като от незаконосъобразното му бездействие е последвало и публичното им разкриване и разпространение. Бездействието на НАП е в противоречие с нормативните изисквания на чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR). Частичният характер на информацията не изключва противоправното поведение (бездействие) на ответника, защото съгласно съображение 26 от преамбюла на Регламент (ЕС) 2016/679 принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко. Личните данни, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. По делото е безспорно, че трите имена, ЕГН на ищеца и данните получени доходи през 2008 и 2012г. са достатъчни за идентифицирането му, поради което правилата на закона и регламента и произтичащите от тях задължения за НАП се отнасят за обработването и на тази информация независимо от нейния частичен обем.

Съгласно § 3 от чл. 82 от GDPR администраторът на лични данни се освобождава от отговорност за вреди, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, което в случая не е така. По делото липсват категорични доказателства, че ответникът е гарантирал последователно и адекватно ниво на защита на данните, за да се приеме, че нормативните изисквания за сигурността на обработването са приложени в тяхната цялост.

С оглед на изложеното съдът приема, че е налице първата предпоставка за ангажиране на отговорността на НАП, представляваща незаконосъобразно бездействие по предприемане на необходимите мерки и ефективна средства за защита, произтичащи от задълженията на администратора по чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), вследствие на което е възникнал противоправният резултат, изразяващ се в нерегламентиран достъп и неразрешено разкриване на лични данни на ищеца.

Втората предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна вреда от страна на ищеца от това незаконосъобразно бездействие.

Основен елемент от състава на чл. 1 от ЗОДОВ е вредата. Тя се схваща като промяна чрез смущаване, накърняване и унищожаване на имуществото на едно лице, субективните му права, телесна цялост, душевност или психическо състояние. В исковата си молба ищецът твърди, че е преживял стрес, безпокойство, притеснение, почувствал се е застрашен от физическо посегателство, изнудвания, злоупотреби. За доказване на тези твърдения, ищецът е ангажирал гласни доказателства- от които се установява, че той е бил притеснен от изтичането на данните му, като притесненията са свързани с възможността да се изтегли заем на негово име.

В случая обаче е очевидно, че за да бъде изтеглен заем на името на ищeца, не са достатъчни изтеклите лични данни- нужни се и други данни, съдържащи се в личната карта на ищеца - номер, дата на издаване и изтичане, адрес и т.н. А липсват данни, ищецът да е предприел действия по смяна на личната си карта след изтичането на негови лични данни. Освен това, изтеглянето на заем е свързано със сключване на съответния договор, което включва личното явяване на ищеца и полагане на подпис или явяването на упълномощен от него представител пред заемодателя. Т. е. притесненията на ищеца са били обективно неоснователни с оглед изключително слабата вероятност само на базата на изтеклите негови лични данни да се извърши злоупотреба с имуществото му, като се задължи с връщането на заем. Последното внася съмнение в степента на тревожност и ангажираност, която е създадена у ищеца от изтичането на информацията. Изброените емоционални сътресения и тяхното проявление по принцип представляват вид неимуществени вреди, но съдът намира, че те не са пряка и непосредствена последица от изтичането на личните данни на ищеца, а са обусловени от евентуално бъдещо извършване на злоупотреба, за чието настъпване освен изтеклите лични данни - трите имена и ЕГН, са необходими редица други документи и данни за заемополучателя - напр. лична карта, като за да се изтегли заем и т. н., се налага и лично явяване на лицето за сделката и полагане на подпис или за упълномощаване на трето лице. Т. е. притесненията на ищеца са били обективно неоснователни с оглед изключително слабата вероятност само на базата на изтеклите негови лични данни да бъде изтеглен заем на негово име. Освен това, няма как да се изтегли заем на името на ищеца, без той да положи подписа си в договор, който го задължава.

За да бъде уважен искът по основание, следва по категоричен начин да се установи, че са настъпили претендираните от ищеца неимуществени вреди и че те са в резултат на незаконосъобразното бездействие на ответника. Преживяното притеснение, следва да е от такъв характер, че да доведе до промяна в качеството на живот на ищеца, т. е. не просто да са преживени, но и да са довели до някаква промяна в неговото поведение. В конкретния случай не се установява такава промяна. Единствените данни в тази насока, са твърденията на синът на жена му, че е бил притеснен и разтревожен и не се радвал от срещите с него. Лисват други доказателства, които да бъдат преценени в съвкупност и да подкрепят събраните гласни доказателства. Например доказателства за медицински преглед и предписана терапия. Не са ангажирани такива, въпреки конкретните указания на съда в тази насока.

Предвид изложеното, настоящият съдебен състав като приема за недоказана причинната връзка между незаконосъобразното бездействие на ответника и претърпените от ищеца вреди, както и самите вреди намира, че искът следва да бъде отхвърлен като неоснователен и недоказан.

Предвид неоснователността на исковата претенция за претърпени неимуществени вреди, неоснователен е иска за заплащане на лихва за забава, считано от датата на увреждането, алтернативно от датата на подаване на исковата молба, до окончателното изплащане на сумата. Предвид изхода на спора и на основание чл. 10, ал. 4 ЗОДОВ във вр. с чл. 78, ал. 8 ГПК във вр. с чл. 144 АПК във вр. с чл. 37 от Закона за правната помощ и чл. 24 от Наредба за заплащането на правната помощ, на ответника следва да се присъдят разноски за юрисконсултско възнаграждение в размер на 100 лева.

Така мотивиран и на основание чл. 203 от АПК, Административен съд Пазарджик, VІ състав

 

Р Е Ш И:

 

ОТХВЪРЛЯ като неоснователен иска на И.Т.С.,***, против Национална агенция за приходите с ЕИК ********* гр.София, да бъде осъдена да заплати сумата от 1200 лева обезщетение за претърпени неимуществени вреди от неизпълнение на задължение по чл. 59, ал. 1 от ЗЗЛД и чл. 32 от Общия регламент относно защита на лични данни ЕС 2016/697  на Европейския регламент и на Съвета от 27.04.2016г., ведно със законна лихва върху сумата, считано от 15.07.2019г. до окончателното изплащане.

ОСЪЖДА И.Т.С.,*** да заплати на Национална Агенция за приходите - София сумата от 100 (сто)лв. юрисконсултско възнаграждение.

Решението може да бъде обжалвано пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.

 

СЪДИЯ:/п/