РЕШЕНИЕ
№
гр. Русе, 20.08.2020 г.
В
ИМЕТО НА НАРОДА
Административен
съд - Русе, VII - ми състав, в публично заседание на 20 юли, през две хиляди и двадесета
година, в състав:
СЪДИЯ: ЙЪЛДЪЗ АГУШ
при секретаря МАРИЯ СТАНЧЕВА като разгледа докладваното от съдия АГУШ административно дело №
115 по описа за 2020 година, за
да се произнесе, съобрази следното:
Производството по
делото е по реда на чл. 203 АПК, вр. чл.1, ал.2 от ЗОДОВ.
Предявен е иск от С.Р.М.
*** срещу Национална агенция за приходите, със седалище гр.София, за осъждане
на ответника да заплати на ищеца сумата от 1.00 лв., представляваща обезщетение
за претърпени неимуществени вреди, вследствие на незаконосъобразно бездействие
от страна на ответника, изразяващо се в неизпълнение в достатъчна степен на
задължение по чл.32, & 1, б.“б“, чл. 59,
ал.1 ЗЗЛД и по чл. 24 и чл. 32 от Общия регламент относно защитата на лични
данни ЕС 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. /GDPR/, а именно да гарантира достатъчно ниво на сигурност на
обработваните от него лични данни на ищеца, довело до неразрешено разкриване и
достъп до личните данни на ищеца, ведно със законната лихва върху тази сума,
считано от датата на предявяване на иска, до окончателното изплащане на сумата.
Претендира се и присъждане на разноските по делото.
Фактическите
обстоятелства, изложени в исковата молба, на които се основава искът са, че в
следствие на неправомерно изтичане на лични данни от базата данни на НАП, сред
които и такива на ищеца, за него са възникнали и той претърпял неимуществени
вреди, изразяващи се в унижение, срам, безпокойство и притеснения и опасения за
възможна злоупотреба с личните му данни, които са станали достъпни, поради
неприложени от НАП подходящи технически и организационни мерки, в резултат на
което е осъществен нерегламентиран достъп и неразрешено разкриване и
разпространение на личните данни на ищеца.
В исковата молба се
твърди, че отговорността на ответника се поражда от качеството му на
администратор на лични данни, с твърдение, че чрез бездействието си, е допуснал
нарушения на чл.32, & 1, б.“б“, чл.24 GDPR и чл.59, ал.1 ЗЗЛД, нарушил е и разпоредбите на чл.45,
ал.1, т.6 ЗЗЛД, като не е обработил личните данни по начин, който да гарантира
подходящо ниво на сигурност, като се приложат подходящи технологии и
организационни мерки; чл.64 ЗЗЛД, като намира, че не е изпълнено задължението
за извършване на оценка на въздействието на предвидените операции по
обработване на личните данни върху тяхната защита; чл.66, ал.1 и ал.2 ЗЗЛД;
чл.67 и чл.68 ЗЗЛД.
В срока по чл. 131, ал. 1 от ГПК, във вр. с чл. 144 от АПК ответникът – Национална агенция
за приходите, чрез процесуалния си представител, е депозирал писмен отговор, в
който релевира възражение за недопустимост на предявения иск, а в условията на
евентуалност на неговата неоснователност.
Изложени са
съображения за неоснователност на предявения иск, както по основание, така и по
размер, като се твърди, че не е ясно от кой конкретно акт на НАП или на нейни
органи са настъпили вредите. Твърди се, че е неоснователно възражението за
неполагане на достатъчна грижа от страна на НАП за защита сигурността на
данните. Твърди, че нерегламентираният достъп до информационната система на НАП
е в следствие на престъпление. Веднага след узнаването за този нерегламентиран
достъп, НАП е предприела незабавни мерки за сигурност и неговото
преустановяване. Счита, че не са налице данни да се приеме, че този
неоторизиран достъп е резултат от действия или бездействия на НАП или нейни
органи/служители. Счита за неоснователни твърденията на ищеца за претърпени от
него неимуществени вреди, изразяващи се в страх и притеснение.
Моли съда да приеме
иска за недопустим и да прекрати съдебното производство, при условията на
евентуалност претендира неговото отхвърляне, като неоснователен.
Претендира
присъждане на юрисконсултско възнаграждение.
Представителят на ОП
Русе дава становище, че предявеният иск е допустим и основателен.
Административен съд Русе, след като
обсъди доводите на страните и прецени по реда на чл. 235, ал. 2 от ГПК, във вр.
с чл. 144 от АПК събраните по делото доказателства, които обсъди в тяхната
съвкупност и взаимовръзка, приема за установени следните факти, релеванти за
правния спор, предмет на делото:
По делото не се
спори, като е ноторно известен фактът, че поради нерегламентиран достъп,
осъществен на 15.07.2019 г., е изтекла информация от информационните масиви на
НАП, съдържаща лични данни на общо 6 074 140 физически лица, от които 4 104 786
живи физически лица, български и чужди граждани, и 1 989 598 починали физически
лица.
Ответникът не
оспорва факта, че по отношение на ищеца С.Р.М. са налице неправомерно разкрити
лични данни.
Със заявление до
директора на ТД на НАП Варна, с вх.№ 18923/14.08.2019г., ищецът е направил
искане, да му се предостави следната информация:
1.
Какви
точно лични данни на С.Р.М. са разпространени в следствие на неоторизирания
достъп от базите данни на НАП?
2.
Да
се предостави на лицето и копие на данните, които НАП са допуснали да бъдат
разпространени.
По подаденото
заявление до директора на ТД на НАП Варна, с вх.№ 18923/14.08.2019г., е
изготвена справка, която е приложена на л.10 от делото, в която са отразени
личните данни на ищеца, допуснати да бъдат разпространени, в резултат на
неоторизирания достъп от базите данни на НАП.
Със Заповед №
ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри
СУСИ по стандарт БДС ISO/IEC 27001:2006 в НАП.
Със Заповед №
ЗЦУ-1436/15.10.2018 г. на изпълнителния директор на НАП са утвърдени „Указания
за разработване, попълване и/или зареждане с данни на образци на документи и
приложения, утвърдени на основание чл. 10, ал.1, т.5 и т.7 ЗНАП",
„Указания за обозначаване и работа с информация", „Указания за попълване
на образци на процедура", „Указания за попълване на образеца на
инструкция" и др. Със Заповед № ЗЦУ-1236/21.08.2019 г. на изпълнителния
директор на НАП е утвърдена процедура ИС17 „Администрариране на информационна
система в НАП", версия В.
Със Заповед №
ЗЦУ-482/01.04.2019 г. на изпълнителния директор на НАП са определи служители от
НАП с администраторски достъп до информационните активи и услуги на НАП.
Със Заповед №
ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени „Указания
за унищожаване на информация и информационни системи в НАП".
Със Заповед №
ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни
правила за оборот на електронни документи и документи на хартиен носител в НАП.
В НАП е изработена
Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017
г.
Утвърдена е Политика
по информационна сигурност на НАП.
В НАП е утвърдена
Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни,
обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като
приложение № 1, към чл.24, ал.2 от Инструкцията, служителите на НАП попълват
декларация за това, че ще пазят в тайна личните данни на трети лица, станали им
известни при изпълнение на служебните им задължения, няма да ги разпространяват
и да ги използват за други цели, освен за прякото изпълнение на служебните им
задължения.
В КЗЛД не е налице
висящо или приключило производство пред комисията, инициирано от ищеца срещу
НАП.
В хода на извършена
проверка от страна на КЗЛД е установено, че при осъществяване на дейността си,
НАП в качеството си на администратор на лични данни, не е приложила подходящи
технически и организационни мерки, в резултат на което е осъществен
неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на
физически лица, в различен обем. За това, председателят на КЗЛД е издал НП на
НАП, за нарушение на чл.32, §1, б. Б от регламент /ЕС/ 2016/679. НП не е влязло
в сила, предвид оспорването му пред СРС. Отделно от това, предвид констатирани
нарушения, с решение № ППН-02-399/22.08.2019 г. по описа на КЗЛД, на НАП е
издадено и разпореждане за предприемане на подходящи технически и
организационни мерки. Решението също е оспорено пред АССГ и не е влязло в сила.
За доказване на
претърпени неимуществени вреди от страна на ищеца са събрани гласни
доказателства, като са разпитани свидетелите С. П.Ч.и В.Н.Р..
Свидетелят С. Ч.установява,
че ищецът бил силно притеснен след узнаването на факта за изтеклите му лични
данни от НАП.
Установява, че
притесненията на ищеца били породени от факта, че е собственик на няколко
дружества и да не се стигне до злоупотреба с изтеклите му лични данни, чрез
смяна на собствеността на дружествата, смяна на управител на дружествата,
източване на банкови сметки. В резултат на тези притеснения ищецът си сменил
личната карта и адреса, вписан в нея, станал затворен и мълчалив, тревожел се,
че ако се случи нещо с банковите сметки на дружествата, няма да може да плати
заплатите на служителите в дружествата.
В резултат на тези
притеснения правел ежедневни проверки в НАП, за да установи дали не е
злоупотребено с личните му данни.
Свидетелят В.Н.Р.,
служител в дружеството на ищеца, заемащ длъжността касиер – счетоводител,
установява, че ищецът е бил силно притеснен, когато е узнал конкретните му
лични данни, които са изтекли от базата данни
на НАП.
Накарал свидетеля да
проверява ежедневно в търговския регистър за всичките му дружества, за да
установи дали няма промени във вписванията.
Проверявали са ежедневно
банковите сметки на дружествата, за да се установи дали няма нерегламентирани движения
по тях. Периодично питал свидетеля за резултатите от справките. Ищецът бил
изнервен, трудно се общувало с него, в период от около 2-3 месеца, след
изтичането на личните му данни.Ищецът бил притеснен. Сменил си личната карта и
постоянния адрес. Ищецът се притеснявал да не се злоупотреби с данните от
личната му карта, да не се прехвърлят дружествените му дялове, да не се
изтеглят парични средства от банковите му сметки. Станал раздразнителен и
мнителен.
По делото е прието
заключение на съдебно психологична експертиза, неоспорено от страните, което
съдът възприема, като изготвено компетентно от вещото лице, съобразно
поставената задача. Заключението е мотивирано подробно, обосновано е и не
възниква съмнение за неговата правилност.
От заключението на
в.л.К. се установява, че са налице достатъчно клинични доказателства в подкрепа
на хипотезата, че узнаването за изтекли лични данни на оспорващия, представлява
стресогенен фактор, който е довел до увеличена тревожност у ищеца. Според вещото лице, след узнаването за
изтеклите лични данни на оспорващия, същият е преживял състояние суспектно за
невротично с повишени нива на тревожност, страхова зареденост, безпокойство,
натрапливи мисли, емоционален дисбаланс, което се е манифестирало чрез неговото
поведение и е повлияло в негативен аспект психологичното му състояние.
Узнаването на изтеклите лични данни на ищеца е повлияло негативно върху
социалното експлориране на неговата личност, както и е причинило емоционални
страдания, които са манифестирани чрез неговото поведение. Стресът е оказал
влияние върху психологичното му състояние, като е довел до състояние на
дистрес, тъй като събитието е имало стресогенен характер и е създал емоционален
дисбаланс – затвореност, неконтактност спрямо обичайното му поведение.
Съдът, при така
установените факти, релевантни за правния спор, предмет на делото, прави
следните правни изводи:
По допустимостта на иска:
Искът е предявен от лице, разполагащо
с правен интерес, срещу пасивно процесуално легитимиран ответник, разполагащ с правосубектност
като юридическо лице – чл.2, ал.2 от ЗНАП.
По отношение на допустимостта
и процесуалния ред за разглеждане на предявения иск за обезщетение и лихва
върху главницата, ВАС се е произнесъл с определение № 2492/17.02.2020г.,
постановено по адм.д.№ 1796/2020г. на ВАС, V отд., определение №
2634/19.02.2020 г., постановено по адм.д. № 1935/2020г. на ВАС, V отд. и много
други.
ВАС е посочил, че
процесуалният ред, по който засегнатият субект може да търси обезщетение и
отговорност за причинените вреди, поради неправомерно обработване на личните му
данни, е уреден в глава XI "Производство за обезщетения" от АПК. В
зависимост от правната характеристика на източника, от който се претендират
вреди - административен акт, действие или бездействие, в чл. 204, ал. 1-4 АПК законодателят е
предвидил различни процесуални възможности за реализиране на правото на
обезщетение, а именно след отмяна на административния акт по съответния ред -
чл. 204, ал. 1 АПК; при предявяване на претенцията за обезщетение в производството
по оспорване на административния акт - чл. 204, ал. 2 АПК; при установяване на
незаконосъобразността на акт, който е нищожен или оттеглен в производството по
иска за обезщетение - чл. 204, ал. 3 АПК и при установяване на
незаконосъобразността на действието или бездействието от съда, пред който е
предявен искът за обезщетението - чл. 203, ал. 4 АПК.
В настоящия случай
вредите се претендират от незаконосъобразно бездействие на администратора на
лични данни, незаконосъобразността на бездействието се установява от съда, пред
който е предявен искът за обезщетение - чл. 204, ал. 4 АПК. Съгласно чл. 203,
ал. 2 АПК, за неуредените въпроси за имуществената отговорност по ал. 1 се
прилагат разпоредбите на ЗОДОВ. В допълнение, в сила е чл. 203, ал. 3 (нова) АПК,
ДВ, бр. 94 от 29.11.2019 г., съгласно която по реда на глава единадесета се
разглеждат и исковете за обезщетения за вреди, причинени от достатъчно
съществено нарушение на правото на Европейския съюз, като за имуществената
отговорност и за допустимостта на иска се прилагат стандартите на
извъндоговорната отговорност на държавата за нарушение на правото на
Европейския съюз, а съгласно чл. 2в ЗОДОВ, ДВ, бр. 94 от 2019 г., когато
вредите са причинени от достатъчно съществено нарушение на правото на Европейския
съюз, исковете се разглеждат от съдилищата по реда на АПК за вреди по чл. 1,
ал. 1 ЗОДОВ.
Предвид изложеното,
настоящият съдебен състав приема, че предявения иск е допустим и следва да бъде
разгледан по същество по реда на глава XI АПК, вр. чл. 1, ал. 1 ЗОДОВ.
По основателността на иска:
Защитата на
физическите лица във връзка с обработването на лични данни е основно право.
Член 8, параграф 1 от Хартата на основните права на Европейския съюз
(Хартата/ХОПЕС) и член 16, параграф 1 от Договора за функционирането на
Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му
данни. Принципите и правилата относно защитата на физическите лица във връзка с
обработването на личните им данни следва, независимо от тяхното гражданство или
местопребиваване, да са съобразени с техните основни права и свободи, и
по-конкретно — с правото на защита на личните им данни. Според чл. 79, параграф
1 и чл. 82, параграф 1 от Общия регламент относно защитата на данни без да се
засягат които и да било налични административни или несъдебни средства за
защита, включително правото на подаване на жалба до надзорен орган съгласно
член 77, всеки субект на данни има право на ефективна съдебна защита, когато
счита, че правата му по настоящия регламент са били нарушени в резултат на
обработване на личните му данни, което не е в съответствие с настоящия
регламент като ако е претърпял материални или нематериални вреди в резултат на
нарушение на настоящия регламент, има право да получи обезщетение от
администратора или обработващия лични данни за нанесените вреди. На основание
чл. 288, ал. 2 от ДФЕС регламентът е акт с общо приложение, който е
задължителен в своята цялост и се прилага пряко във всяка една държава-членка
Съгласно
разпоредбата на чл. 203 АПК гражданите и юридическите лица могат да предявят
искове за обезщетение за вреди, причинени им от незаконосъобразни актове,
действия или бездействия на административни органи и длъжностни лица. Съдът
приема, че тъй като твърденията са за вреди, причинени от незаконосъобразно бездействие
на служители на НАП, пасивно легитимиран по иска, с правно основание чл. 1, ал.
1 от ЗОДОВ, е именно Национална агенция за приходите.
Отговорността по
ЗОДОВ е деликтна, като се отличава от общата деликтна отговорност досежно
деликвента, както и досежно спецификата на причинната връзка - вредите трябва
да са причинени при или по повод упражняване на административна дейност. За
противоправността, вината и вредите приложимият материален закон не установява
отклонения от общия състав на деликтната отговорност.
Ищецът претендира
присъждане на обезщетение за претърпени от него неимуществени вреди, в
следствие на незаконосъобразно бездействие от страна на служители на НАП,
изразяващо се неизпълнение на задължения, произтичащи от чл. 59, ал.1 от ЗЗЛД,
чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/ 2016/ 679
на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.
Основателността на
иск, с правно основание чл. 1, ал. 1 ЗОДОВ, основаващ се на твърдение за
незаконосъобразно бездействие на административен орган, предполага
установяването /доказването/ на кумулативното наличие на следните предпоставки:
незаконосъобразно бездействие на орган или длъжностно лице на държавата, при
или по повод изпълнение на административна дейност; вреда от такова бездействие
и причинна връзка /пряка и непосредствена/ между незаконосъобразното
бездействие и настъпилия вредоносен резултат. При липса на някой от елементите
на посочения фактически състав не може да се реализира отговорността на
държавата по посочения ред. Съгласно чл. 204, ал.4 АПК, незаконосъобразността
на бездействието се установява от съда, пред който е предявен искът за
обезщетението.
Съдът приема, че е доказана
първата предпоставка на чл.1, ал.1 ЗОДОВ, а именно налице е незаконосъобразно
бездействие от страна на държавен орган да изпълни вменено му от чл. 59, ал.1
от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/
2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/ задължения.
Легално определение
на термина „бездействие" липсва. Под „действие", респективно
„бездействие", следва да се разбира всяко такова, извършено от държавен
орган или длъжностно лице, което не е юридически акт, а тяхна физическа изява,
но не произволна, а в изпълнение или съответно неизпълнение на определена
нормативна разпоредба. Предмет на защита в производството по чл. 256 от АПК е
бездействието на административния орган когато последният е задължен да извърши
определени действия по силата на нормативен акт. Не всяко неизпълнение на
задължение на административен орган представлява бездействие по смисъла на чл.
256, от АПК, а само неизвършването на фактически действия, при наличието на
нормативно установено задължение за извършване на такива. Съставомерно в този
случай е липсата на активно поведение /бездействие/ на компетентен орган да
извърши конкретни фактически действия.
От фактическите
обстоятелства, изложени в исковата молба, както и от събраните по делото
доказателства, се установява, че конкретното бездействие, от което се твърди,
че са претърпени вредите е изтеклата на 15.07.2019 г., вследствие
нерегламентиран достъп от неизвестно лице, от електронните масиви на НАП,
информация съдържаща лични данни на ищеца.
В резултат на
неоторизирания достъп до сървъра на НАП, съдържащ информация относно личните
данни на ищеца, се създали притеснения и опасения у последния, да не бъде
злоупотребено с тях. По факта, че на посочената дата, поради нерегламентиран
достъп, е изтекла информация от информационните масиви на НАП, съдържаща лични
данни на ищеца, по делото не се спори.
По подаденото
заявление до директора на ТД на НАП Варна, с вх.№ 18923/14.08.2019г., е
изготвена справка, която е приложена на л.10 от делото, в която са отразени
конкретните лични данни на ищеца, допуснати да бъдат разпространени, в резултат
на неоторизирания достъп от базите данни на НАП.
Безспорно се
установява, че по отношение на ищеца има неправомерно разпространени данни,
които включват ЕГН, имена, данни за ГДД по ЗОДФЛ за 2004г., 2003г., 2006г.,
данни от декларации, подадени от работодатели/осигурители за осигурените от тях
лица, за период 2008г., данни за финансовите отчети за 2006г.,2007г., 2008г., идентификационни
данни за лице, в качеството на представляващ лице, от подадена декларация за
промяна/първоначално деклариране на авансови вноски по ЗКПО, за 2016г., за
2017г. и за 2018г.
Съгласно правната
норма на чл.59 ал.1 от ЗЗЛД администраторът на лични данни, случая НАП, като
отчита естеството, обхвата, контекста и целите на обработването, както и
рисковете за правата и свободите на физическите лица, прилага подходящи
технически и организационни мерки, за да гарантира и да е в състояние да
докаже, че обработването се извършва в съответствие с този закон. При
необходимост тези мерки се преразглеждат и актуализират.
Същото задължение се
съдържа и в чл.24 от Общия регламент относно защита на личните данни /ЕС/ 2016/
679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/, а
в чл. 32 са предвидени конкретните мерки които следва да се предприемат.
Фактът, че е изтекла
информация от сървърите на НАП, който факт е безспорен по делото, вследствие на
неоторизиран достъп, безспорно, според настоящият състав на съда сочи на
противоправно бездействие на ответника да изпълни произтичащи от посочените
разпоредби задължения да осигури достатъчна надеждност и сигурност на
информационната си система, да защити физическите лица във връзка с
обработването на личните им данни по см. на § 1 т.4 от ДР на ЗЗЛД, вр. чл. 4,
т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни.
Настоящият съдебен
състав приема, че именно техническата уязвимост и липсата на адекватна защита на
информационната система на НАП е довела до нерегламентирано разкриване и
разпространение на личните данни на ищеца, а тя е вследствие от неприлагането
на подходящи мерки за защита.
При условие, че системата
беше ефективно и надеждно защитена, то не би се стигнало до пробива й, довел до
разкриване на личните данни на ищеца.
НАП е следвало да
гарантира запазване и предотвратяване на изтичането на личните данни на ищеца.
Фактът, че е
извършен нерегламентиран достъп в информационната система на НАП, безспорно
доказва, че не са предприети подходящи технически, софтуерни, както и
организационни мерки, чрез които да се осигури защитата на обработването на
личните данни на ищеца, което е достатъчно, за да бъде направен извод за
незаконосъобразно бездействието на НАП.
НАП, в качеството си
на администратор на лични данни по смисъла на чл.4, т.7 от Регламент ЕС
2016/679, при осъществяване на дейността си, е следвало да предприеме ефективни
мерки за предотвратяване на нерегламентиран достъп до личните данни на ищеца и
последващото им разпространение. В процесният случай това не е постигнато.
Ответникът не е изпълнил задължението си по предотвратяване на нерегламентиран
достъп и опазване изтичането на лични данни, като от незаконосъобразното му
бездействие следва твърдения от ищеца увреждащ резултат.
Бездействието на НАП
е незаконосъобразно, противоречи на нормативните изисквания на чл.59, ал.1
ЗЗЛД, чл.24 и чл.32 от Общия регламент относно защита на личните данни /ЕС/
2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 /GDPR/.
В случая са
ирелевантни доводите на ответника, че след 15.07.2019 г., когато е осъществен
нерегламентирания достъп, НАП е предприела мерки за защита личните данни.
Предвид изложеното,
настоящият съдебен състав приема, че е налице първата предпоставка за ангажиране
на отговорността на НАП, представляваща незаконосъобразното
бездействие по предприемане на необходимите и ефективни действия,
произтичащи от чл. 59, ал.1 от ЗЗЛД, чл.24 и чл.32 от Общия регламент относно
защита на личните данни /ЕС/ 2016/ 679 на Европейския парламент и на Съвета от
27.04.2016 /GDPR/ задължения.
Втората предпоставка
за ангажиране на отговорността на НАП е наличие на претърпяна вреда от страна
на ищеца от това незаконосъобразно бездействие.
Ищецът твърди, че е
преживял унижение, срам, стрес, безпокойство, притеснение, почувствал се е
застрашен.
Във връзка с
претендираните неимуществени вреди, следва да бъде съобразено, че обезщетенията
за неимуществени вреди се присъждат за конкретно претърпени физически и
психически болки, страдания и неудобства, които са пряка и непосредствена
последица от увреждането. Поради характера на неимуществените вреди, те могат
да се търпят само от физическо лице, чиято психика и здраве са засегнати
неблагоприятно от административна дейност.
В доктрината се поддържат разнообразни
виждания относно същността и обхвата на неимуществените вреди, но разбирането,
че те се отнасят до емоционалния живот на пострадалия и включват физическите и
моралните страдания, предизвикани от действията на други лица, не се поставя
под съмнение. По дефиниция неимуществените вреди обхващат последиците както на
блага, които са предмет на субективни права /право на чест, на име, върху
духовния интегритет/, така и върху блага, които не са предмет на права. Не
всяко увреждане обаче е релевантно, а само онова, което се характеризира с
продължителност и по-висока степен на интензивност.
Разпитаните по
делото свидетели установяват,
че ищецът бил силно притеснен след узнаването на факта за изтеклите му лични
данни от НАП.
Установяват, че
притесненията на ищеца били породени от факта, че е собственик на няколко
дружества и да не се стигне до злоупотреба с изтеклите му лични данни, чрез
смяна на собствеността на дружествата, смяна на управител на дружествата,
източване на банкови сметки. В резултат на тези притеснения ищецът си сменил
личната карта и адреса, вписан в нея, станал затворен и мълчалив, тревожел се,
че ако се случи нещо с банковите сметки на дружествата, няма да може да плати
заплатите на служителите в дружествата.
В резултат на тези
притеснения правел ежедневни проверки в НАП, за да установи дали не е
злоупотребено с личните му данни.
Свидетелят В.Н.Р.,
служител в дружеството на ищеца, заемащ длъжността касиер – счетоводител,
установява, че ищецът е бил силно притеснен, когато е узнал конкретните му
лични данни, които са изтекли от базата
данни на НАП.
Проверявали са
ежедневно банковите сметки на дружествата, за да се установи дали няма
нерегламентирани движения по тях. Периодично питал свидетеля за резултатите от
справките. Ищецът бил изнервен, трудно се общувало с него, в период от около
2-3 месеца, след изтичането на личните му данни.Ищецът бил притеснен. Сменил си
личната карта и постоянния адрес. Ищецът се притеснявал да не се злоупотреби с
данните от личната му карта, да не се прехвърлят дружествените му дялове, да не
се изтеглят парични средства от банковите му сметки. Станал раздразнителен и
мнителен.
По делото е прието
заключение на съдебно психологична експертиза, неоспорено от страните, което
съдът възприема, като изготвено компетентно от вещото лице, съобразно
поставената задача. Заключението е мотивирано подробно, обосновано е и не
възниква съмнение за неговата правилност.
От заключението на
в.л.К. се установява, че са налице достатъчно клинични доказателства в подкрепа
на хипотезата, че узнаването за изтекли лични данни на оспорващия, представлява
стресогенен фактор, който е довел до увеличена тревожност у ищеца. Според вещото лице, след узнаването за
изтеклите лични данни на оспорващия, същият е преживял състояние суспектно за
невротично с повишени нива на тревожност, страхова зареденост, безпокойство,
натрапливи мисли, емоционален дисбаланс, което се е манифестирало чрез неговото
поведение и е повлияло в негативен аспект психологичното му състояние.
Узнаването на изтеклите лични данни на ищеца е повлияло негативно върху
социалното експлориране на неговата личност, както и е причинило емоционални
страдания, които са манифестирани чрез неговото поведение. Стресът е оказал
влияние върху психологичното му състояние, като е довел до състояние на
дистрес, тъй като събитието е имало стресогенен характер и е създал емоционален
дисбаланс – затвореност, неконтактност спрямо обичайното му поведение.
От съвкупната преценка на свидетелските показания и
заключението на в.л. по съдебно психологичната експертиза, се разкриват обстоятелства,
които обосновават неправомерна интервенция
в сферата на ищеца,
различна от тази, заложена при всяко едно узнаване за неправомерно разпространени
лични данни.
На следващо
място, съдът намира, че всяко едно такова узнаване за неправомерно разпространяване на
лични данни на даден субект, създава негативни емоции у последния, стига,
разбира се, лицето адекватно да възприема социалната действителност. Тези
негативни последици в личен план са напълно очаквани, предвидими, случващи се
нормално, когато дадено лице счита, че необосновано е засегната правната му
сфера.
Важно тук е
да се прецени степента на интервенция в сферата на този субект, която се
предопределя от конкретните обстоятелства.
На доказване
в настоящия процес подлежат конкретните проявления на изпитваните негативни
чувства. Описанието на проявленията може да даде на съда опора за определяне
сериозността на емоционалния стрес, а от тук - за справедливо съизмеряване на
вредите от неимуществено естество. По тази причина на доказване подлежат
личните възприятия, времето и начинът на отработване на негативните вътрешни
изживявания.
Такова
доказване по делото е проведено. Според вещото лице, след узнаването за
изтеклите лични данни на оспорващия, същият е преживял състояние суспектно за
невротично с повишени нива на тревожност, страхова зареденост, безпокойство,
натрапливи мисли, емоционален дисбаланс, което се е манифестирало чрез неговото
поведение и е повлияло в негативен аспект психологичното му състояние.
Узнаването на изтеклите лични данни на ищеца е повлияло негативно върху
социалното експлориране на неговата личност, както и е причинило емоционални
страдания, които са манифестирани чрез неговото поведение. Стресът е оказал
влияние върху психологичното му състояние, като е довел до състояние на
дистрес, тъй като събитието е имало стресогенен характер и е създал емоционален
дисбаланс – затвореност, неконтактност спрямо обичайното му поведение.
Съдът приема, че от показанията на разпитаните свидетели
и заключението на вещото лице се установява, че се касае за
характеризиращо се с продължителност и по-висока степен на интензивност
увреждане.
Предвид и на установените данни от тези доказателства, които са обективни, съдът приема, че е доказано наличието на
претърпени от ищеца неимуществени вреди в резултат на неправомерно разпространение на личните му данни, изразяващи се в стрес,
безпокойство, притеснение, страх от възможността на злоупотреба с изтеклите му
лични данни, почувствал се е застрашен.
Настоящият
съдебен състав намира за доказан и следващия елемент от фактическия състав на
отговорността по чл. 1, ал. 1 от ЗОДОВ, а именно наличието на причинно -
следствена връзка между незаконосъобразното
бездействие и настъпилите неимуществени вреди.
Съгласно чл.
4 от ЗОДОВ държавата и общините дължат обезщетение за всички имуществени и
неимуществени вреди, които са пряка и непосредствена последица от увреждането.
Пряка последица, означава че незаконосъобразното
бездействие
има непосредствено, директно въздействие върху правната сфера на увредения,
като тази връзка не трябва да бъде опосредена.
В решение №
1258/2008 г. на ВКС по гр. д. 730/2006 г. на ІV гр. д. е дадено определение
какво следва да се разбира под "преки" и "непосредствени"
вреди.
Причинната
връзка между вредите и административната дейност не се предполага и трябва да
се докаже от ищеца. Освен това следва да се спази изричното указание на
законодателя, в чл. 1, ал. 1 от ЗОДОВ, че вредите от фактическите действия и
бездействия трябва да са настъпили при или по повод изпълнение на
административна дейност. Наличието на тази причинна връзка е важна, защото при
липсата на доказателства за наличието на такава, отговорността не може да бъде
ангажирана. Отговорност се носи само за незаконосъобразното осъществяване на
възложени функции на органите и длъжностните лица, а не изобщо за всички
незаконни и увреждащи действия и бездействия на физически лица, заемащи
държавна служба. Следва да се посочат съответните легални определения: „При изпълнение"
на административна дейност означава, че увреждането е станало при извършване на
служебни задължения, при упражняване на възложени служебни функции., а "По
повод" изпълнението на административната дейност е израз, който указва на
други действия, с които се причиняват вреди по време или след изпълнението на
възложената административна дейност, които не съставляват изпълнение на
възложената работа, но са пряко свързани с нея. Това са действия по подготовка,
по улесняването извършването на възложената работа, за запазване резултата от
нея и други.
Съдът счита,
че претърпяните от ищеца
неимуществени
вреди са в пряка причинно – следствена връзка с незаконосъобразното
бездействие на ответника.
Според
събраните по делото гласни доказателствени средства и заключението на в.л.К.,
не се констатират други причини – факти, събития или състояния – които да са
обусловили посочените неудобства. Както се отбеляза, от събраните по делото и
ценени съвкупно доказателства се установява, че тази промяна е настъпила по
отношение на ищеца
след узнаване на факта
за изтеклите му лични данни, като състоянието му се влошило след узнаване на факта
кои конкретни негови лични данни са разпространени неправомерно и е доказано по
делото, че неправомерното разпространение на личните данни на ищеца от страна
на ответника, е единственото обстоятелство, което е довело до
проявлението на
описаните неимуществени вреди.
Според
трайната съдебна практика по приложението на чл. 4 ЗОДОВ, както на гражданските
съдилища, така и на административните такива, се приема, че справедливото
обезщетяване на всички неимуществени вреди, каквото изисква чл. 52 ЗЗД,
означава съдът да определи точен паричен еквивалент на болките и страданията,
на трайните поражения върху физическата цялост и здраве на пострадалото лице
във всеки отделен случай конкретно,
а не по общи критерии. Определената сума пари в най-пълна степен следва да
компенсира вредите.
Съдът
намира, че претърпяните
емоционални и психически страдания
на ищеца следва да се обезщетяват с претендирания размер на
обезщетението, който е в
размер на 1.00лв.
В това
отношение съдът
съобразява
както продължителността, така и интензитета им, а и влиянието им върху
личността на ищеца.
Съдът
намира, че влиянието на незаконосъобразното бездействие на ответника
върху личността на ищцата не е в степен, която обективно е довела до значителна
промяна на психическото му
здраве, поради
което настоящият състав намира, че така установените неимуществени вреди върху
ищеца
от бездействието на административния орган следва да бъдат оценени на 1.00лв., като следва да се
присъди и законната лихва върху сумата от 1.00
лв. от датата на предявяване на исковата молба (14.02.2020 г.) до
окончателното изплащане на сумата.
На основание чл.10, ал.3 от ЗОДОВ на ищеца следва да
бъдат присъдени разноските по делото в размер на 840.00лв.
По изложените съображения, съдът
Р Е Ш И:
ОСЪЖДА Национална
агенция за приходите, със седалище град София, да заплати на С.Р.М., с ЕГН **********,***, сумата от 1.00 лв. / един
лева/, представляваща обезщетение за претърпени неимуществени
вреди, вследствие на незаконосъобразно бездействие
от страна на Националната агенция за приходите,
изразяващо се в неизпълнение в достатъчна степен на задължение по чл. 59, ал.1
ЗЗЛД и по чл. 24 и чл. 32 от Общия регламент относно защитата на лични данни ЕС
2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. /GDPR/, а именно да гарантира достатъчно ниво на
сигурност на обработваните от него лични данни, довело до неразрешено
разкриване и достъп до личните данни на С.Р.М., ведно със законната лихва върху
тази сума, считано от 14.02.2020г. до окончателното изплащане на сумата, както
и сумата от 840.00лв., представляваща разноски по делото.
РЕШЕНИЕТО подлежи на
обжалване, с касационна жалба, пред Върховния административен съд, в 14-дневен
срок от съобщаването му.
СЪДИЯ: