Решение по дело №6436/2024 на Административен съд - София-град

Производството е по реда на чл.203 и следв. от АПК.

Образувано е по искова молба на П. Г. П., чрез адв. Ю., с която срещу Националната агенция за приходите /НАП/ е предявен иск с правно основание чл. 79, параграф 1 и чл. 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Общ регламент относно защитата на данните/ /ОРЗД/, за присъждане на сумата в размер на 1000, 00 лева, представляваща обезщетение на ищеца за причинените му неимуществени вреди, изразяващи се в притеснения, страх и опасения за възможна злоупотреба с личните му данни, станали достъпни вследствие така наречената "хакерска атака", при която от електронните масиви на НАП неправомерно е била изтеглена информация в голям обем, съдържаща множество лични данни на български граждани, съобщение, за която е било публикувано от медиите на 15.07.2019г. Претендира се и законната лихва върху главницата считано от датата на увреждането - 15.07.2019г., до окончателното ѝ изплащане.

Ищецът поддържа, че отговорността на НАП в качеството ѝ на администратор на лични данни произтича от допуснати нарушения на чл. 24 и чл. 32 от ОРЗД, чл. 59, ал. 1 от ЗЗЛД и чл. 45, ал. 1, т. 6 от ЗЗЛД, тъй като не е обработила личните данни по начин, който да гарантира подходящо ниво на сигурност като се приложат подходящи технологии и организационни мерки; чл. 64 от ЗЗЛД; че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита; чл. 66, ал. 1 и, ал. 2 от ЗЗЛД; чл. 67 и чл. 68 от ЗЗЛД.

Ответникът, чрез своя пълномощник оспорва иска. Поддържа, че НАП като администратор на лични данни, е предприел всички технически и организационни мерки за обработването на лични данни. Поддържа, че повече от една година след престъпното деяние срещу информационната система на НАП, не е констатиран нито един случай на злоупотреба с лични данни или неправомерно ползване.

Представителят на Софийска градска прокуратура намира, че предявеният размер на иска е завишен и следва да бъде присъдено по-ниско обезщетение.

С решение № 7500 от 18.06.2024г. на ВАС, Пето отделение, по адм.д.№ 6376/2021г., е отменено решение № 2652/20.04.2021г. по адм.дело № 11271/2019г. на АССГ и делото е върнато за ново разглеждане от друг състав с указания за прилагане на закона, свързани с разпределяне на доказателствената тежест за подлежащите на доказване обстоятелства в процеса, както и при съобразяване на принципа за служебно начало в административния процес, да се ангажират специални знания на експерт за изясняване на съществения въпрос по делото – какъв е техническият механизъм на неоторизирания достъп до лични данни, осъществен на 15.07.2019г.

Съдът, като обсъди доводите на страните и прецени събраните по делото доказателства, прие за установено следното от фактическа и правна страна:

Предявеният иск е с правно основание чл. 79, пар. 1, чл. 82, пар. 1 от Регламент (ЕС) 2016/679.

Предвид качеството на администратора на лични данни – специализиран държавен орган към министъра на финансите за установяване, обезпечаване и събиране на публични вземания и определени със закон частни държавни вземания /чл. 2, ал. 1 от ЗНАП/, правото да се претендира обезщетение за причинените вреди, се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на АПК, с препращане за неуредените въпроси към ЗОДОВ и ГПК. Предмет на проверка е установяването дали актът, действието или бездействието на администратора, е съответно на Регламент (ЕС) 2016/679. За да е основателен предявеният иск за обезщетение предвид разпоредбата на чл. 82 от ОРЗД следва да са налице следните предпоставки: 1. нарушаване на правата на субекта на данни по Регламент (ЕС) 2016/679 в резултат на обработване на личните му данни, което не е в съответствие с регламента; 2. причинена материална или нематериална вреда; 3. причинна връзка между нарушението на правата по регламента и причинената вреда.

Съгласно чл. 8, § 1 от Хартата на основните права на Европейския съюз /ХОПЕС/ всеки има право на защита на неговите лични данни. С разпоредбите на Регламент (ЕС) 2016/679 са предвидени задължения за администраторите на лични данни и обработващите лични данни да осигурят необходимата защита на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите, определени в чл. 5 от ОРЗД. Чл. 24 и 32 от Регламент (ЕС) 2016/679, и чл. 59 от ЗЗЛД задължават администратора на лични данни, в случая НАП, да вземе подходящите технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и със закона.

Според чл. 82, параграф 3 от ОРЗД, администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда. Администраторът/обработващият следва да установи по несъмнен начин, че е предприел подходящите и ефективни организационни и технически мерки, така че по никакъв начин не е отговорен за изтичането на личните данни на ищеца в интернет пространството, в резултат на извършения неправомерен пробив в информационната система на НАП.

В съображение 74 от ОРЗД е предвидено, че администраторът е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с този регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. А в съображение 146 от ОРЗД е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.

По делото не е спорно, а и от приетите писмени доказателства се установява, че на 15.07.2019г. от електронните масиви на НАП неправомерно е била изтеглена информация съдържащи лични данни на множество лица, както и, че за ищеца има разпространени лични данни в резултат на осъществения нерегламентиран достъп, включващи ЕГН и данни от данъчна декларация за облагане с патентен данък (чл.43 от ЗОДФЛ).

След оповестяване и узнаване за неоторизирания достъп, на основание чл. 22 от Регламента, НАП незабавно е уведомила за случая КЗЛД с писмо. Страните не спорят, че са предприети мерки за незабавно уведомяване на обществеността, чрез онлайн и други медии, както и са предприети мерки за преустановяване на нерегламентирания достъп. Налице е уведомяване, както на компетентните органи – КЗЛД, Прокуратура и МВР, така и на обществеността.

От приетите писмени доказателства по делото се установява, че към 15.07.2019 г. в НАП са разработени и утвърдени документи, както следва: Издадена е Заповед № ЗЦУ-746/25.05.2018 г. на изпълнителния директор на НАП, с което е утвърдена политика по защита на личните данни в НАП. Утвърдена е Политика по информационна сигурност на НАП, версия 3. 0 от м. май 2016, както и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1, към чл. 24, ал. 2 от Инструкцията, служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения. Със Заповед № ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП. Изработена е Методика за оценка на риска, версия 1, към м. декември 2015 г. Със Заповед № ЗЦУ-1436/15.10.2018 г. на изпълнителния директор на НАП са утвърдени "Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП", "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др. Разработена е процедура за оценка на риска за информационната сигурност, утвърден е списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните, съгласно чл. 35, пар. 4 от Регламент /ЕС/ 2016/679.

Вещото лице по изслушаната съдебна експертиза, назначена служебно при изпълнение на указанията дадени с решение № 7500 от 18.06.2024г. на ВАС, Пето отделение, по адм.д.№ 6376/2021г., дава заключение, че е осъществен неправомерен достъп до информационните масиви на ответника, през информационната система “VAT Refund“. Системата е разработена от НАП през периода 2009-2010г. и не е била поддържана и актуализирана в съответствие със съвременните стандарти за информационна сигурност. Вещото лице заключва, че това е създало предпоставки за извършване на атаката, чрез един от следните методи: SQL инжекции, проникване през стар софтуер или инфраструктура, или чрез изтекли автентикационни данни. Въз основа на тези данни, вещото лице дава заключение, че уязвимостта в системата е била използвана за осъществения неоторизиран достъп до част от базите данни на ответника.

Заключението е прието в съдебно заседание без възражения от страните и се кредитира от съда, като ясно, обосновано и мотивирано.

Въз основа на така събраните доказателства – писмени доказателства и заключение на съдебна експертиза, съдът приема за установено по делото, че е налице нарушение на лично право на ищеца - право на защита на личните му данни от администратора на тези лични данни, което право е накърнено от неправомерния достъп до същите и разпространяването им в интернет пространството, за което нарушение, отговорност носи ответникът.

Разпоредбата на чл. 24, параграф 1 от ОРЗД изисква администраторът на лични данни да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с Регламента и взетите от него технически мерки с оглед естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, а на основание чл. 32 от ОРЗД тези мерки трябва да са в съответствие с достиженията на техническия прогрес и да осигуряват ниво на сигурност съобразно рисковете на обработването. Националната агенция за приходите е администратор на лични данни по смисъла на чл. 4, ал. 7 от Регламента и в негова тежест на доказване е обстоятелството, че предприеманите организационни и технически мерки в дейността ѝ по обработката на лични данни, са подходящи с оглед тяхното естество, обхват, контекст и цели на обработването, както и съществуващите рискове за правата на физическите лица, за които те се отнасят. При условията на пълно насрещно доказване НАП не е установила тези факти, напротив, от кредитираното заключение на съдебната експертиза се установява, че причина за неправомерния достъп до личните данни на засегнатите лица, в това число на ищеца, е уязвимостта на информационната система на ответника в онзи момент, която не е била поддържана и актуализирана в съответствие със съвременните стандарти за информационна сигурност, налагани от естеството на съхраняваната информация – лични данни, както и данни свързани с данъчни и осигурителни права на над шест милиона лица.

Според решение на СЕС от 14 декември 2023 г. по дело С-340/21, VB, Национална агенция за приходите, ECLI: EU: C: 2023: 986, Член 82, параграф 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от "трета страна" по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен. От тази гледна точка образуваното наказателно производство срещу третите лица, които се разследват като отговорни за нерегламентирания достъп до личните данни на ищеца и други физически лица, не е обстоятелство, което доказва, че НАП по никакъв начин не е отговорен за допуснатия неоторизирания достъп до обработваните от НАП лични данни на П. П.. Извършените от НАП действия след неправомерния достъп до личните данни на ищеца на 15.09.2023 г. в изпълнение на изискванията на ОРЗД не санират предходното бездействие и не водят до освобождаване от отговорност за неимуществени вреди.

От показанията на разпитания по делото свидетел съдът намира и, че ищецът реално е претърпял неимуществени вреди от неправомерния достъп до неговите лични данни. Свидетелката И. В. М. дава показания, че познава ищеца П., с който са приятели. Разбрали за изтеклите лични данни от НАП, след което и П., както и тя, се притеснявали да не се злоупотреби с тези лични данни и някой да изтегли кредит с личните данни на П.. Съгласно цитираното по-горе решение на СЕС от 14 декември 2023 г. по дело С-340/21, неимуществени вреди могат да се изразяват и само в опасения за потенциална злоупотреба с личните данни на засегнатите лица. По тези съображения, съдът приема за доказано настъпването на описаните в исковата молба неимуществени вреди.

В този смисъл и: Решение № 6813 от 4.06.2024 г. на ВАС по адм. д. № 12800/2020 г., V о., Решение № 5782 от 13.05.2024 г. на ВАС по адм. д. № 1455/2021 г., V о., Решение № 12730 от 25.11.2024 г. на ВАС по адм. д. № 7135/2024 г., III о., Решение № 11121 от 17.10.2024 г. на ВАС по адм. д. № 3840/2021 г., V о., Решение № 6436 от 27.05.2024 г. на ВАС по адм. д. № 10069/2021 г., V о. и др.

По отношение размера на вредите:

Съдът като взе предвид разпоредбата на чл. 52 от Закона за задълженията и договорите ЗЗД/, прие, че на ищеца следва да се присъди обезщетение по справедливост в размер на 500 лв. Този размер съответства на характера и тежестта на претърпените вреди, тяхната продължителност и неблагоприятното им отражение в личната сфера на ищеца.

По тези съображения искът е основателен и следва да бъде уважен за сумата от 500 лева, като за разликата над тази сума до пълния предявен размер от 1000 лева – да бъде отхвърлен.

На основание чл.84, ал.3 ЗЗД, лихва за забава върху обезщетението за вреди от непозволено увреждане се дължи от датата на увреждането – в случая от 15.09.2023 г., както се претендира в исковата молба.

По отговорността за разноски:

С оглед изхода на спора, в полза на ищеца следва да бъдат присъдени направените разноски за платени държавни такси в размер на 40 лева.

Съгласно чл.38, ал.2 Закон за адвокатурата, адвокатът оказал безплатна адвокатска помощ на лицата по ал.1 има право на адвокатско възнаграждение, което се определя от съда. По делото е представен договор за правна защита и съдействие от 07.08.2019г., в който е отразено, че адвокатът оказва безплатно адвокатска помощ на негов близък. В този случай, в полза на адвоката следва да бъде присъдено адвокатско възнаграждение размер от 200 лева, като за определяне неговия размер се съобразяват действителната фактическа и правна сложност на делото, конкретния обем от работа, липсата на допълнително събрани доказателства и допълнително извършвани процесуални действия и множеството дела с идентичен предмет.

Ответникът също е претендирал присъждане на разноски. Искането е основателно за 50, 00 лв. юрисконсултско възнаграждение съразмерно с отхвърлената част от иска.

Воден от горното, Административен съд – София-град, 27 състав

Р Е Ш И:

ОСЪЖДА Националната агенция за приходите, да заплати на П. Г. П. с [ЕГН], на основание чл. 82, ал. 1 от Регламент (ЕС) 2016/679 на Е. П. и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО, сумата от 500 лева, представляваща обезщетение за неимуществени вреди от нарушаване правото на защита на лични данни във връзка с неоторизиран достъп до лични данни, разгласен на 15.07.2019г., ведно със законната лихва считано от 15.07.2019 г. до окончателното изплащане, като ОТХВЪРЛЯ предявения иск за разликата над сумата от 500 лева до пълния предявен размер от 1000 лева.

ОСЪЖДА Националната агенция за приходите, да заплати на П. Г. П. с [ЕГН], сумата 40 лева – съдебни разноски.

ОСЪЖДА на основание чл. 38, ал.2 Закон за адвокатурата, Националната агенция за приходите да заплати на адв. С. Ц. С.-Ю., САК, с адрес на кантората – [населено място], [улица], сумата от 200 лева – адвокатско възнаграждение за оказана безплатна адвокатска помощ и съдействие на П. Г. П. – ищец по адм.дело № 6436/2024г. на АССГ, 27 състав.

ОСЪЖДА П. Г. П. с [ЕГН], да заплати на Националната агенция за приходите, сумата 50 лева – юрисконсултско възнаграждение, съразмерно на отхвърлената част от иска.

Решението подлежи на касационно обжалване пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.