Решение по дело №692/2024 на Административен съд - Пазарджик

I. За характера на производството, исковете и становищата на страните:

1. Производството е по реда на чл. 226 от АПК.

2. С Решение № 7236 от 12.06.2024 г., постановено по адм. дело № 2296 по описа за 2021 г., Върховния административен съд е отменил изцяло Решение № 967 от 03.12.2020 г., постановено по адм. дело № 556 по описа на Административен съд Пазарджик, като е върнал делото за ново разглеждане от друг състав на съда.

3. Според указанията на касационната инстанция, исковата претенция, предмет на съдебното производство следва да се квалифицира на основание чл. 82, § 1, във връзка с § 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО. Посочено е още, че съгласно чл. 39, ал. 1 ЗЗЛД при нарушаване на правата му по Регламент (ЕС) 2016/679 и по закона, субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК, а според чл. 39, ал. 2 ЗЗЛД, в производството по чл. 39, ал. 1 от закона, субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни. Посочено е и че процесуалният ред, по който засегнатият субект може да търси обезщетение и отговорност за причинените вреди поради неправомерно обработване на личните му данни, е уреден в глава Единадесета на АПК.

Указано е, че следва да бъдат съобразени разпоредбите на чл. 5, § 1, б. „а“ и б. „е“, както и на чл. 82, § 3 от Регламент (ЕС) 2016/679, съгласно която администраторът или обработващият лични данни се освобождава от отговорност съгласно § 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. Посочено е, че за ищеца по иска с правно основание чл. 82, § 1, вр. § 2 от Регламент (ЕС) 2016/679 остава да докаже настъпването на вредите, както и в какво конкретно се изразява бездействието на администратора на лични данни.

3. Първоначалното производство е било образувано по жалба и искови претенции, заявени от Ц. А. К., [ЕГН], с постоянен адрес гр. Пазарджик, ул. Х. Б., № 57, ет. 7, ап. 25, с посочен съдебен адрес гр. Пазарджик, [улица], № 2, ет. 1 адв. А. П., да бъде установено по отношение на ответника Национална агенция за приходите, ЕИК по БУЛСТАТ *********, гр. София, [улица], че администрацията е осъществила противоправно и виновно поведение в периода до 16.07.2019г., от което Ц. А. К., като физическо лице от определяем кръг лица - всички те субекти на данни - граждани на Република България, чиито лични данни се намират в станалите общодостъпни файлове - изтекли от НАП и да бъде осъдена Национална агенция за проходите, ЕИК по БУЛСТАТ *********, гр. София, [улица], № 52, да заплати на ищцата сумата от 1200,00лв., представляваща обезщетение за неимуществени вреди, изразяващи се в притеснения, произтичащи от основателни съмнения за възможни злоупотреби с лични данни; липса на официална информация в продължение на 10 дни относно това какви нейни лични данни не са били опазени въпреки достъпността им в интернет пространството; загубено време в промяна на пароли, пин кодове на дебитни и кредитни карти, консултации със специалисти в сферата на сигурността; притеснения, че неограничен и неизвестен брой трети лица имат достъп до нейни лични данни, в това число адрес и финансова информация и други, както и обезщетение за забавено плащане на същата парична сума съразмерно на законната лихва за периода от датата на увреждането, тоест 15.07.2019г. до окончателното изплащане.

4. Сочи се, че на 16.07.2019 г. на официалната интернет страница на Национална агенция за приходите е публикувано съобщение, оповестяващо, че е осъществен неоторизиран достъп до около 3% от личните данни, обработвани от агенцията. Тези данни стават публично достояние, като съдържат три имена и ЕГН. В този насока се иска да бъде установено противоправно и виновно поведение на ответната Национална агенция за приходите, осъществено в периода до 16.07.2019г., от което К., като физическо лице от определяем кръг лица - всички те субекти на данни - граждани на Република България, чиито лични данни се намират в станалите общодостъпни файлове изтекли от НАП, е претърпяла неимуществени вреди, представляващи притеснения, произтичащи от основателни съмнения за възможни злоупотреби с лични данни; липса на официална информация в продължение на 10 дни относно това какви нейни лични данни не са били опазени въпреки достъпността им в интернет пространството; загубено време в промяна на пароли, пин кодове на дебитни и кредитни карти, консултации със специалисти в сферата на сигурността; притеснения, че неограничен и неизвестен брой трети лица имат достъп до нейни лични данни, в това число адрес и финансова информация и други, който вреди са пряка и непосредствена последица от увреждането, независимо дали са причинени виновно от длъжностно лице.

Поддържа се, че Регламент (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 год., поставя в задължение на администраторите, каквато е и НАП, да въведат и прилагат подходящи технически и организационни мерки за защита на личните данни, които са съобразени с естеството, обхвата и контекста на обработването на лични данни и най-вече с рисковете за правата на субектите на данни. Това е свързано с един от основните принципи на обработване на лични данни по чл. 5, § 1, б. „е“ от Регламента - цялостност и поверителност на данните. Според ищцата, администраторът трябва да може да докаже във всеки един момент не само, че е изпълнил задълженията си за въвеждане на такива мерки, но и за това, че спазва и всички останали принципи по чл. 5, § 1 от Регламента.

Счита се за безспорен факта, че ответната НАП не е приложила адекватни мерки за информационна сигурност, което е довело до „теча“ на лични данни, поради което, непозволено увреждане е нанесено не само на ищцата, но и на всеки един от почти 5 000 000 български граждани, като вредите от него могат да бъдат репарирани единствено по съдебен ред.

5. В отговор на исковата молба е постъпило писмено становище от ответната Национална агенция за приходите. Поддържа се възражение за недопустимост на исковата претенция.

Възразява се, че ищеца не сочи правопораждащия факт от който черпи правото си на иск, като не е ясно от кой точно акт на НАП или нейните органи са настъпили твърдените вреди.

Счита се за неоснователно възражението за неполагане на достатъчна грижа и неприлагане на ефективни мерки за сигурността на данните от страна на НАП. Твърди се, че нерегламентираният достъп до информационната система на НАП е в следствие на злоумишлено посегателство. Поддържа се, че Агенцията е предприела необходимите технически и организационни мерки за сигурност и защита на личните данни. Счита, че не са налице основания да се твърди, че този неоторизиран достъп е резултат от действия или бездействия на НАП или нейни органи/служители, като и че не ставало ясно с кое конкретно свое действие/бездействие НАП е довела до описаното психическо и емоционално състояние на ищеца.

Възразява се, че засегнатите от неправомерният достъп лични данни, са били във формат, изискващ допълнително обработване, за да могат те да бъдат използвани.

Иска се претенциите на К. да бъдат отхвърлени, като се присъди юрисконсулско възнаграждение в полза на администрацията.

6. Участвалия в производството прокурор, представител на Окръжна прокуратура Пазарджик, дава заключение, че исковата претенция е неоснователна и недоказана. Сочи се, че е налице само първата от предпоставките предвидени в чл. 1 от ЗОДОВ, като проявлението на останалите не е доказано по делото.

ІІ. За допустимостта :

7. Относно възражението за недопустимост на исковите претенции, трябва да се отбележи следното :

Според чл. 8, § 1 и § 2 от Хартата на основните права на Европейския Съюз, всеки има право на защита на неговите лични данни, като тези данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. Това са възведените в Хартата принципи и правила относно защитата на физическите лица във връзка с обработването на личните им данни.

Според чл. 79, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните), без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент.

Според чл. 82, § 1 от Регламента, всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съобразно чл. 82, § 2 от Регламента - Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях..

Съобразно чл. 288, ал. 2 от ДФЕС, регламентът е акт с общо приложение, който е задължителен в своята цялост и се прилага пряко във всяка една държава-членка.

Ето защо, не може да се приеме, че нормите на чл. 38 и чл. 39 от ЗЗЛД, установяват някакво особено, специфично право на защита и на обезщетение на физическите лица във връзка с обработването на личните им данни, доколкото тези права произтичат от пряко приложимото общностно право. Нормите на чл. 38 и чл. 39 от ЗЗЛД, трябва да бъдат възприемани само като национална правна уредба на производствата, в които тези права да се реализират.

На следващо място, за разлика от съдебното, административното производство пред националния надзорен орган е регламентирано подробно в ЗЗЛД. Закона не създава специални процесуални правила за защитата пред съд. По своята характеристика, текста на чл. 39, ал. 1 от ЗЗЛД представлява препращаща правна норма, с която се установява един единствен процесуален ред за отговорността на всички администратори на лични данни независимо от тяхната правосубектност и статус (публични органи или частноправни субекти). Според въпросния чл. 39 от ЗЗЛД при нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на АПК като в това производство субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни. Тази регламентация не се различава от общите правила, съдържащи се в АПК относно защитата срещу актове, действия или бездействия на административни органи, включително и тези по Глава единадесета на АПК „Производства за обезщетение“, като съответно, според чл. 203, ал. 2 от АПК, за неуредените въпроси за имуществената отговорност по ал. 1 се прилагат разпоредбите на Закона за отговорността на държавата и общините за вреди или на Закона за изпълнение на наказанията и задържането под стража.

Действително използваната законодателна техника създава затруднения при тълкуването на закона, но при съобразяване с принципа за ефективност и равностойност се налага извод, че правото на обезщетение се упражнява по правилата на АПК, а ако администраторът на лични данни е и административен орган или длъжностно лице на държавата и общините и съобразно тези по ЗОДОВ. На практика чл. 39 от ЗЗЛД има за цел да уеднакви правилата за упражняване на правото на съдебна защита и право на обезщетение на физическите лица от обработване на личните им данни от всички администратори на лични данни без значение от тяхната правосубектност (държавен орган, длъжностно лице или частноправен субект). Този подход е оправдан и обясним с изискването за предоставяне на ефективно средство за защита, защото създава яснота и предвидимост за физическите лица, но явно представлява затруднение при тълкуването на закона с оглед несинхронната регламентация на отговорността на държавата и общините за вреди. Закона за отговорността на държавата и общините за вреди е нормативен акт, който установява облекчен ред за защита на правните субекти, които искат обезщетение за вреди от държавата или общините, в отклонение от правилата на чл. 45 и следващите от Закона за задълженията и договорите. Разпоредбата на чл. 1 от ЗОДОВ, съдържа най-общото правило, че държавата и общините отговорят по този закон за вредите, причинени на граждани и юридически лица от незаконосъобразни актове, действия или бездействия на техни органи и длъжностни лица при или по повод изпълнение на административна дейност, като исковете по ал. 1 се разглеждат по реда, установен в АПК. Явно е при това положение, че съществува само един общ процесуален ред за разглеждане на искове за обезщетение на вреди, причинени от органи на държавата и общините при или по повод изпълнение на административна дейност. В зависимост от конкретната проява на тази дейност е установен различен ред за защита срещу индивидуалните, общите или нормативни административни актове, действия или бездействия, но имуществената отговорност за настъпили вреди от тези актове (ако те представляват непозволено увреждане) се упражнява чрез предявяване на осъдителен иск, подлежащ на разглеждане от административните съдилища по реда на АПК с препращане за неуредените въпроси към ЗОДОВ и ГПК. В този смисъл нормата чл. 39 от ЗЗЛД не създава специален начин на обезщетение по смисъла на чл. 8, ал. 3 от ЗОДОВ, за да бъде игнорирано приложението на описаните общи правила.

8. С осъдителният иск, ищецът иска от съда да установи със сила на пресъдено нещо, че в негова полза срещу ответника съществува неудовлетворено гражданско притезание и да допусне принудителното му удовлетворяване. Именно по тази причина чл. 204, ал. 4 от АПК предвижда, че незаконосъобразността на действието или бездействието на администрацията се установява от съда, пред който е предявен искът за обезщетението, защото именно тези факти и обстоятелства са правопораждащи и определящи съществуването на притезанието, чието удовлетворение се иска, чрез предявяване на осъдителен иск. Възможността в отделен процес самостоятелно да иска установяване на тази противоправност не може да бъде разглеждана като процесуална пречка за предявяване на осъдителен иска за обезщетение. В този смисъл разпоредбата на чл. 39, ал. 2 от ЗЗЛД не следва да бъде разглеждана като препятстваща упражняването на право на иск, а като допълнителна процесуална възможност за съединяване на претенцията със защитата по чл. 39, ал. 1 от ЗЗЛД. Всяко различно тълкуване не кореспондира със задължението по Общия регламент за защита на личните данни лицата да разполагат с ефективно средство за защита, включително и да бъдат обезщетени за твърдените от тях претърпени вреди от обработване на личните им данни( Изложеното до тук е по Определение № 2492 от 17.02.2020 г. на ВАС по адм. д. № 1796/2020 г., V о., докладчик съдията Д. Ч., мотивите на което се споделят изцяло от настоящия съдебен състав).

9. В конкретния случай по делото, не се твърди и не се установява ищцата да е упражнила правото си на защита по друг процесуален ред, поради което не е възможно да  бъде отречено правото да предяви осъдителен иск за обезщетение само защото не е поискала и установяване на твърдяното от нея нарушение. Наличието на други административни/съдебни производства без нейно участие не могат да обусловят процесуална пречка за ефективно упражняване на нейното лично право на достъп до съд, гарантирано от Общия регламент за защита на личните данни.

Ето защо, Съдът счита исковите претенции за ДОПУСТИМИ.

ІІІ. За фактите :

10. Във връзка с предприетите действия относно защита на личните данни, от страна на ответния административен орган се представиха(л. 34 и сл. по а.д. № 556/2020) :

• Заповед на изпълнителния директор на НАП №ЗЦУ-586 от 30.04.2014 г. за внедряване на Система за управление на сигурността на информацията по стандарт БДС/ ISO*IEC 27001, считано от 01.05.2014 г. В т. 3 от заповедта е разпоредено, ефикасността на внедряването да бъде проверена, чрез планирана вътрешна проверка в периода 19 до 31 май 2014 г. По делото не се представиха данни, дали такава проверка на ефикасността на системата е била фактически извършена ;

• Заповед на изпълнителния директор на НАП №3-ЦУ-1436 от 15.10.2018 г. за утвърждаване на Указания за обозначаване и работа с информацията, версия 3.1. Според т. 3.2 от въпросните указания, при електронно разпространение на информация, класифицирана „за служебно ползване“, т.е. така, която съдържа лични данни, „… Достъп имат само тези лица (служителите на НАП и други), на които е предоставен такъв за изпълнение на служебните им задължения, на законови или административни разпоредби, както и на такива, осъществяващи дейности по изпълнение на договори или предоставяне на услуги. В случай на изпращане по имейл, информацията и имейлът се подписват с електронен подпис, а при възможност имейлът се криптира като се използва функционалността на MS Outlook, а именно - New email Options  Encrypt Sign….“. С посочената заповед, изпълнителния директор на НАП е наредил, директорите на дирекции в ЦУ на НАП, собственици на бизнес процеси и информационни системи, ръководителят на Инспекторат и координаторите по договори за разработка, развитие и поддръжка на информационни системи по тяхна преценка и при необходимост да планират, инициират, организират и реализират дейности по привеждане на действащите образци на документи и приложения, както и дейности във връзка с технически промени в информационните системи, приложения и регистри, които генерират образците на документи, подкрепящи изпълнението на бизнес процесите от тяхната компетентност, в съответствие с утвърдените указания по т. 1 от тази заповед.

По делото не се заявиха и не се установиха данни, какви конкретни действия са предприети от ответната администрация в тази насока;

• Заповед на изпълнителния директор на НАП №ЗЦУ-733 от 17.06.2016 г. за утвърждаване на процедури към отдел „Превенция на финансовата и информационната система“ в Инспекторат в НАП – „Правила за ползване на електронна поща и Интернет в Националната агенция за приходите“, версия 3.0.; „Правила за ползване на мрежови файлови ресурси в Националната гения за приходите“, версия 2.0.; „Правила за правата и задълженията на потребителите, ползващи неинформационни активи в Националната агенция за приходите“, версия 2.0.; „Правила за работа от разстояние в Националната агенция за приходите“, версия 2.0.; 2.5. „Правила за работа с преносими информационни активи в Националната агенция за приходите“, версия 2.0.; „Правила за управление на достъпа до информационни активи и услуги Националната агенция за приходите“, версия 2.0.;

• Заповед на изпълнителния директор на НАП №3-ЦУ-1236 от 21.08.2019 г. за утвърждаване на процедура ИС 17 Администриране на информационна система в НАП, версия В, ведно с процедурата;

• Заповед №ЗЦУ - 1596 от 29.11.2017 г., с която са утвърдени Указания за унищожаване на информация и информационни носители в НАП, заедно с приложенията към него, както следва: Препоръчителен софтуер за изтриване на информация и верификационна проверка (Приложение №1); Описание на методите и минимални препоръки за санитарна обработка (саниране) на данни и софтуер (Приложение .№2); Образец на Протокол за унищожаване на информация и/или информационен носител (Приложение №3);

• Вътрешните правила за оборот на електронни документи и документи на хартиен носител в НАП(л. 89), утвърдени със Заповед ЖЩУ-535 от 11.05.2016 г. на изпълнителния директор на НАП;

• Инструкция №2 от 08.05.2019 г. за мерките и средствата за защита на лични данни, обработвани в Националната агенция за приходите и реда за движение на преписки и заявяване на регистри. Според чл. 6 от въпросната инструкция, в случаите, когато има вероятност определен вид обработване, по-специално това, при което се използват нови технологии и предвид естеството, обхвата, контекста и целите на обработването, да доведе до висок риск за правата и свободите на физическите лица прокламирани в Конституцията на Република България, преди да бъде извършено обработването, дирекцията в ЦУ на НАП обработваща съответните лични данни, уведомява писмено Инспектората на НАП относно необходимостта от извършване на оценка на нивото на въздействие н предвидените операции по обработването върху защитата на личните данни от отдел „Превенция на финансовата и информационна система" (ПФИС), съгласно чл. 64 от ЗЗЛД. Според чл. 6, ал. 2 от инструкцията, оценката по ал. 1 съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на тази глава, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица.

Тоест, в инструкцията изцяло е възпроизведен текста на чл. 64 от ЗЗЛД. По делото обаче не се представиха никакви данни, ответната администрация да е предприела някакви конкретни действия в тази насока;

• Политика по информационна сигурност на НАП от м. май 2016 г. Според т.7.1 от установените с Политиката правила, управлението на риска се извършва чрез последователно прилагане на следните циклично повтарящи се действия: а) оценяване на риска - идентифициране, анализ и преценяване на риска; б) избор на ефективни и икономични средства за неговата неутрализация - третиране на риска; в) непрекъснат мониторинг и преглед на резултатите от взетите мерки; г) наблюдение и оценяване на процеса по управление на риска, а според т.7.3 - Оценяването на риска и на заплахите за агенцията включват, без да се ограничават до: а) поддържане на списък на информационните активи, които подлежат на защита; б) наблюдаване уязвимите места на информационните активи; в) определяне и оценяване на рисковете за активите на база на заплахите към тях по отношение на влиянието им върху основните бизнес процеси; г) въвеждане на мерки и защити за намаляване на рисковете.

В т. 7.4

По делото не се заявиха твърдения и не се представиха данни, кое да е от всички описани действия да е било реално осъществено.;

11. Представено е Удостоверение изх. № 94-А-1174#6 от 27.10.2020 г. (л. 153 по а.д. № 556/2020), в което изпълнителния директор на НАП е заявил, че има осъществен неоторизиран достъп до данни от информационните масиви на НАП на 15.07.2019 г. за лицето: Ц. А. К., с [ЕГН] от гр. Пазарджик, ищца по делото. Личните данни, до които с осъществен неоторизиран достъп включват: ЕГН; данни от декларации, подадени от работодатели/осигурители за осигурените от тях лица (декларация обр. №1 от Наредба Н8) за период 2008 г.

Този факт не е спорен по делото и ще следва да бъде приет за несъмнено установен.

12. В хода на първоначалното съдебно производство е бил разпитан като свидетел П. Г. К., съпруг на ищцата. Свидетелят е заявил, че е запознат с факта, че по отношение на съпругата му са изтекли лични данни от НАП при „хакерската атака“, както и че е имало неоторизаран достъп и до неговите лични данни. В този контекст твърди, че били много притеснени. Със съпругата си се почувствали много неприятно, защото не знаели кой и как ще се манипулира техните данни. Сочи като пример, че ако с тези данни се изтегли паричен заем от тяхно име, това ще им причини големи проблеми.

К. сочи, че по принцип нищо не се променило в ежедневието им, но отношенията помежду им малко се влошили, защото и двамата били изнервени и осъществения достъп до данните им ги е дразнил. Свидетеля сочи, че работи като търговски представител и след случая, започнал да бъркам сметки, да бъркам всичко, защото се притеснявал, че някой може да изтегли заем с техните данни. Твърди, че съпругата му не работела към момента и двамата преживявали с една заплата.

Не знае съпругата му да е имала здравословни проблеми и оплаквания, но психически преживели случилото се трудно. Влошени били отношенията в семейството им. Тези притеснения продължавали и към момента на разпита, защото не били сигурни че нещата били оправени и данните им са защитени.

Твърди, че след нерегламентирания достъп до лични данни, те първоначално не били запознати. За това научили от новините по медиите и доста време не проверили в администрацията. След като проверили, разбрали че личните им данни също били обект на нерегламентирания достъп.

13. От описаните до тук данни е видно, че Национална агенция за приходите е въвела вътрешни правила, процедури, технически и организационни мерки за осигуряване на сигурността на информацията, която се събира и обработва от агенцията. Доколко тези документално оповестени мерки са приложени и осъществени фактически в дейността на администрацията, по делото не се заявиха и не се представиха конкретни доказателства.

Като несъмнено проявени факти, по делото ще следва да бъдат приети, осъществения достъп от трето, неоторизирано лице до личните данни на данъчните субекти, събирани и обработвани от ответната администрация, както и публичното обявяване на част от тези данни в интернет.

Представеното от ответната страна изх. № 94-А-1174#6 от 27.10.2020 г., налага да се приемат за проявени, твърдените от ищцата факти, че има осъществен неоторизиран достъп до данни от информационните масиви на НАП на 15.07.2019г. относно Ц. А. К., като добитите по този начин и обявени публично данни включват единния граждански номер и трите имена на ищцата, както и данни от декларации, подадени от работодатели/осигурители за осигурените от тях лица за 2008г.

Данните по делото са еднозначни за това, че ищцата К. е разбрала относно достъпа на третото лице до личните  данни и тяхното публично оповестяване през 2019г. С оглед показанията на разпитания по делото свидетел, следва да се приеме, че тя е изпитала притеснения от факта, че трето лице може да използва личните и данни и да получи паричен заем от нейно име и за нейна сметка. Тези притеснения при ищцата най-малко до м. октомври 2020 г.

ІV. За правото :

14. Според чл. 4, § 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 год., „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

Според чл. 80, ал. 1 от ДОПК, Националната агенция за приходите създава и поддържа регистър и бази данни за задължените лица, като според чл. 81, ал. 1, т. 2, т. 3 и т . 4 от ДОПК, регистърът съдържа данни относно името и единния граждански номер на задължените лица, както и техните адресите по чл. 8 и 28 от ДОПК. Тази информация съставлява „лични данни“ по смисъла на определението, съдържащо се в чл. 4, § 1 от Регламент (ЕС) 2016/679.

Описаните в предходния раздел на решението данни и цитираните нормативни текстове, налагат да се приеме, че Национална агенция за приходите е администратор на данни по смисъла на чл. 4, § 7 от Регламент (ЕС) 2016/679 и в качеството си на такъв е имала достъп до лични данни относно ищцата К..

15. Според основния принцип „Цялостност и поверителност“, установен в чл. 5, § 1, б. „е“ от Регламент (ЕС) 2016/679, личните данни се обработват по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

В чл. 24 „Отговорност на администратора“, § 1 от Регламент (ЕС) 2016/679 е възведено общото задължение, като вземе предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с изискванията на регламента. Тези мерки се преразглеждат и при необходимост се актуализират.

Това изискване е впълнота, възпроизведено в чл. 59, ал. 1 от националния Закон за защита на личните данни.

Явно е, че отговорност на администратора с оглед предотвратяване на рискове с различна вероятност и тежест за правата и свободите на физическите лица е не само въвеждането на организационни мерки, в каквато насока по делото се представиха изобилие от писмени документи, но и въвеждане подходящи технически разрешения, хардуер и софтуер, които да предотвратят използването или достъпа до данни извън установения за това нормативен ред.

Като конкретизация на това общо задължение, в чл. 32 „Сигурност на обработването“, § 1 и § 2 от Регламент (ЕС) 2016/679 е указано, че като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: a) псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

В чл. 66, ал. 2, т.1, т. 2, т. 3, т. 4 и т. 5 от ЗЗЛД е предвидено, по отношение на автоматизираното обработване администраторът или обработващият лични данни след оценка на рисковете да прилага мерки, имащи за цел: 1. контрол върху достъпа до оборудване – да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване на лични данни; 2. контрол върху носителите на данни – да се предотврати четенето, копирането(курсивът мой), изменянето или отстраняването на носители на данни от неоправомощени лица; 3. контрол върху съхраняването – да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или изтриването на съхранявани лични данни от неоправомощени лица; 4. контрол върху потребителите – да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни(курсивът мой).

16. Цитираните до тук нормативни текстове освен, че установяват конкретни задължения за администратора на лични данни, да предприеме не само подходящи организационни мерки, но да въведе и необходимите технически разрешения, софтуер и хардуер, като тези мерки следва да са от такова естество, че да гарантират и администратора на лични данни да е в състояние да докаже, че обработването се извършва в съответствие с изискванията на Регламент (ЕС) 2016/679 и националната правна уредба, регулираща обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни.

В хода на настоящото производство не се установи това да е сторено от ответния административен орган, който не доказа да е предприел ефективни, фактически действия по въвеждането на необходимите и подходящи технически мерки, за да гарантира, че обработването на лични данни се извършва в съответствие с изискванията на Регламент (ЕС) 2016/679 и националната правна уредба.

В контекста на изложеното до тук, следва да се констатира, че ответния административен орган не представи предвидените в организационните документи, доклади за резултати от проведена оценката на риска, или доказателства за изготвени планове за въздействие, нито доказателства такива документи да са били предоставяни на разположение на надзорния съвет по информационна сигурност, нито пък доказателства този надзорен съвет да е провеждал заседания и/или обсъждал въпроси, свързани с очаквани заплахи за информационната сигурност и да е вземал решения в тази връзка, включително и в месеците, непосредствено преди процесното неправомерно извличане на данни от информационната система на НАП.

Както се посочи, в чл. 32, § 1 б. „г“ от Регламент (ЕС) 2016/679, като част от необходимите мерки е изискването, да се осъществява процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването. В конкретния случай, от доказателствата по делото, подобни действия от страна на ответника не се установи да са предприети, независимо, че такива са подробно описани в представените по делото документи. Това е имало като краен резултат, невъзможност за констатиране на слабите места в системата за информационна сигурност и съответно извършване на адекватни промени и усъвършенстване, съобразно с новите тенденции в развитието на политиките за информационна сигурност.

17. При това положение, следва да се приеме за налична пряка причинна връзка между така установеното противоправно бездействие, свързано с несъобразяване на ответника със задълженията му по чл. 32 от Регламент (ЕС) 2016/679 за защита на личните данни и констатираното нерегламентирано достъпване, копиране и разпространение на лични данни, обработвани от НАП, в качеството  на администратор на лични данни или казано с други думи, бездействието на ответника по изпълнение на вменени му съгласно Регламент (ЕС) 2016/679 конкретни задължения за активно поведение, е довело до неблагоприятните последици, свързани с разпространение в интернет пространството на лични данни на множество лица, включително и на ищцата. В тази насока, възраженията на ответника, че извличането на данни е резултат на престъпно посегателство, не изключва отговорността на администратора на лични данни, доколкото възможността да се достъпят противоправно личните данни от трето лице е предпоставена от пасивното поведение на ответника, който е бил длъжен, съгласно чл. 32, § 2 от Регламент (ЕС) 2016/679, да съобрази при оценката на подходящото ниво на сигурност рисковете, които са свързани с обработването, не само от случайно, но и от неправомерно унищожаване, загуба, промяна, както и неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни, като в тази връзка предприеме и всички необходими предпазни мерки.

18. Според чл. 82, § 1 и § 2 от Регламент (ЕС) 2016/679, всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на регламента, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по регламента, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях. Освобождаването от отговорност на администратора е допустимо съобразно чл. 82, § 3 от Регламент (ЕС) 2016/679, само ако той докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. В случая ответника не доказа, че е предприел всички необходими и възможни технически и организационни действия за да предотврати противоправния достъп до събираните, обработвани и съхранявани от него лични данни. При това положение, предприетият неправомерен достъп и разпространение на тези данни от страна трето неоторизирано лице, не освобождава ответника от отговорност за причинените вреди.

19. В случая, няма причина да не се приеме, че ищцата действително е претърпяла, твърдените в исковата молба притеснения от факта, че евентуално, посредством публично известните вече лични данни, тя може да бъде субект на измами, респективно трето лице да използва личните и данни да получи паричен заем от нейно име и за нейна сметка, като тези притеснения при К. са продължили в един значителен период от време.

Действително, данни в тази насока се съдържат единствено в показанията на съпруга на ищцата. Този факт обаче, сама по себе си не е основание показанията на К. да бъдат изцяло игнорирани. Те са дадени под страх от наказателна отговорност за потвърждаване на неистина, като не противоречат на останалите събрани по делото доказателства. Следва също така да се съобрази, че е логично, най близките до ищцата хора, да са най-добре запознати с претърпените от нея негативни психически състояния.

20. Въз основа на изложеното до тук, следва да се приеме, че е налице причинна връзка между установеното бездействие от страна на ответника и причинените на ищцата неимуществени вреди.

Относно размера на исканото обезщетение, следва да се съобрази, че описаните негативни психически състояния не се отличават с някакъв особен интензитет, доколкото те са свързани единствено с предположения на ищцата за възможни противоправни действия от трети лица, които евентуално биха били подпомогнати за това от публично оповестените лични данни. Нито в обстоятелствената част на исковата молба, нито пък в хода на делото се заявиха и установиха конкретни данни, че са били налице някакви индиции относно реалната възможност такива действия да бъдат предприети от трети лица по отношения на ищцата. Следва също така да се констатира, че притесненията на ищцата в тази насока са продължили не повече от един месец.

При това положение и с оглед правилото на чл. 52 от Закона за задълженията и договорите, исковата претенция следва да бъде уважена в размер на 200,00лв.

V. За разноските :

21. При условията на чл. 10, ал. 3 от ЗОДОВ, на ищцата се дължат сторените разноски по производството, които съобразно уважената част на иска се констатираха в размер на 144,17 лв.

При условията на чл. 10, ал. 4 от ЗОДОВ, на ответника се дължи възнаграждение за осъществена процесуална защита, която съобразно отхвърлената част и правилата на чл. 37 от Закона за адвокатурата във връзка с чл. 24 и чл. 25, ал. 1 от Наредбата за заплащането на правната помощ, при минимален нормативно определен размер от 100,00лв., с оглед размера на исковата претенция, се констатира на стойност от 83,33лв.

Ето защо, Съдът

РЕШИ :

ПРИЗНАВА ЗА УСТАНОВЕНО по отношение на Ц. А. К., [ЕГН], с постоянен адрес гр. Пазарджик, ул. Х. Б., № 57, ет. 7, ап. 25, че Национална агенция за приходите не е извършила необходимите действия, съобразно изискването на чл. 32, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г., относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) и на чл. 59, ал. 1 от Закона за защита на личните данни, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като при необходимост тези мерки се преразглеждат и актуализират.

ОСЪЖДА Национална агенция за приходите, ЕИК *********, гр. София, [улица], да заплати на Ц. А. К., [ЕГН], с постоянен адрес гр. Пазарджик, ул. Х. Б., № 57, ет. 7, ап. 25, сумата от 200,00(двеста) лева, представляваща обезщетение за неимуществени вреди, изразяващи се в страх и притеснение от евентуална злоупотреба с неправомерно разпространени лични данни, както и притеснения, че неограничен и неизвестен брой трети лица имат достъп до нейни лични данни, в това число единен граждански номер и финансова информация, претърпени в резултат на незаконосъобразно бездействие на Национална агенция за приходите, като отчита естеството, обхвата, контекста и целите на обработването на лични данни, както и рисковете за правата и свободите на физическите лица, да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с европейското и национално законодателство, в резултат на което са разкрити лични данни за Ц. А. К., [ЕГН], както и обезщетение за забавено плащане на същата парична сума съразмерно на законната лихва за периода от 15.07.2019г. до окончателното  изплащане.

ОТХВЪРЛЯ исковите претенции на Ц. А. К., [ЕГН], с постоянен адрес гр. Пазарджик, ул. Х. Б., № 57, да бъде осъдена Национална агенция за приходите, ЕИК *********, гр. София, [улица], да  заплати сумата, за разликата от 200,00лв. до пълния заявен размер от 1200,00лв., представляваща обезщетение за неимуществени вреди, изразяващи се в страх и притеснение от евентуална злоупотреба с неправомерно разпространени лични данни, както и притеснения, че неограничен и неизвестен брой трети лица имат достъп до нейни лични данни, в това число единен граждански номер и финансова информация, претърпени в резултат на незаконосъобразно бездействие на Национална агенция за приходите, като отчита естеството, обхвата, контекста и целите на обработването на лични данни, както и рисковете за правата и свободите на физическите лица, да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с европейското и национално законодателство, в резултат на което са разкрити лични данни за С. П. С., както и обезщетение за забавено плащане на същата парична сума съразмерно на законната лихва за периода от 15.07.2019г. до окончателното  изплащане.

ОСЪЖДА Национална агенция за приходите, ЕИК *********, гр. София, [улица], да заплати на Ц. А. К., [ЕГН], с постоянен адрес гр. Пазарджик, ул. Х. Б., № 57, сумата от 144,17 лв. (сто четиридесет и четири лв. и седемнадесет ст.), представляващи извършени от последната разноски по делото, съобразно уважената част на иска.

ОСЪЖДА Ц. А. К., [ЕГН], с постоянен адрес гр. Пазарджик, ул. Х. Б., № 57, да заплати на Национална агенция за приходите, ЕИК *********, гр. София, [улица], сумата от 83,33лв лв.(осемдесет и три лв. и тридесет и три ст.), представляваща възнаграждение за осъществено процесуално представителство по отношение на администрацията.

Решението подлежи на обжалване с касационна жалба пред Върховния административен съд в четиринадесет дневен срок от съобщаването на страните за неговото изготвяне.