Решение по дело №456/2021 на Административен съд - Добрич

Производството е по чл. 203 от АПК, във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Образуването на делото е след връщането му за ново разглеждане от друг състав с Решение № 9420/ 15.09.2021 г. по административно дело № 10793/ 2020 г. по описа на Върховен административен съд, Трето отделение, с което е отменено постановеното при първоначалното разглеждане на делото Решение № 239 от 03.08.2020 г. по адм.д. № 32/ 2020 г. по описа на А. съд –Добрич.

Образувано е по искова молба на С. Н. К., от [населено място] срещу Национална агенция по приходите (НАП) – София, с която е предявен иск за присъждане на обезщетение за неимуществени вреди в размер на 1000 лева, представляващи претърпени от ищцата стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции вследствие от незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), ведно със законната лихва, считано от датата на завеждане на исковата молба или алтернативно от датата на изтичане на личните данни - 15.07.2019 г., до окончателното изплащане на сумата.

В исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало известно, че при т. нар. „хакерска атака" от електронните масиви на НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. При справка от интернет портала на НАП, извършена чрез ПИК, ищцата била уведомена, че попада сред лицата, чиито лични данни са били разкрити, което изключително много я притеснило. Имала опасения, че ще бъде злоупотребено с личните ѝ данни чрез отчуждаване на измуществото ѝ, теглене на кредити от нейно име, кражба на самоличността ѝ, промяна на гражданското ѝ състояние, съответно, че ще бъдат използвани тези данни по всевъзможни начини, които биха могли да ѝ навредят. Същевременно сочи, че в медиите срещнала множество плашещи материали за това как биха могли да се използват чужди лични данни, коакто и че специалисти определяли случаяя на изтичане на лични данни от регистрите на НАП като по – лош дори от аварията в Чернобил, тъй като не се знаело кога във времето и по какъв начин ще бъде злоупотребено с конкретните лични данни. Тези факти и обстоятелства натоварвали психически ищцата. Почувствала се възмутена от допуснатия пробив в информационната система на НАП. Живеела в постоянен страх и притеснения. Чувствала се назащитена от Държавата, като на показ били изложени нейните имена, ЕГН, документи за самоличност, телефонни номера, информация за доходите ѝ и адрес, на който живее семейството ѝ. Това повлияло в негативен аспект нормалния ритъм на живота ѝ, на отношенията ѝ с хората и на ежедневието ѝ като цяло. Чувствала се перманентно стресирана, напрегната, уплашена. Притеснявала се и от физически нападения, заплахи, изнудвания, отвличания.

Според ищцата НАП в качеството си на администратор на лични данни, чрез бездействие е допуснала нарушения на разпоредбите на чл. 24 и чл. 32 от GDPR и чл. 59, ал. 1 от ЗЗЛД, нарушила е разпоредбите на чл. 45, ал.1 т. 6 от ЗЗЛД, като не е обработила личните данни по начин, по който да гарантира подходящо ниво на сигурност, като се приложат подходящи технологии и организационни мерки, чл. 64 от ЗЗЛД. Счита, че не е изпълнено задължението за извършване на оценка на въздействието на предвидените операции по обработване на личните данни върху тяхната защита, чл. 66, ал. 1 и ал. 2 ЗЗЛД, чл. 67 и 68 от ЗЗЛД в периода от влизане на сила на Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR/ОРЗД) до 15.07.2019 г., когато е настъпило публичното оповестяване на данните. Настоява, че НАП чрез своите действия и бездействия е допуснала неазконосъобразни действия от трети недобросъвестни лица.

Според ищцата всички тези нарушения са в пряка причинна връзка с претърпените от него неимуществени вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал. 1 от GDPR, във връзка с чл. 1, ал. 1 от ЗОДОВ.

Ответникът – НАП - София, чрез процесуалния си представител, оспорва допустимостта на иска с твърдения, основани на разпоредбата на чл. 39, ал. 2 от ЗЗЛД. В условията на евентуалност оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от престъпно деяние по смисъла на НК, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на личните данни. Претендира юрисконсултско възнаграждение.

Представителят на ОП - Добрич изразява становище за неоснователност и недоказаност на исковата претенция, като изтъква, че във връзка с теча на данни е образувано досъдебно производство, касае се за престъпление и ответникът не може да носи отговорност за това.

А. съд - Добрич, III състав, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено от фактическа и правна страна следното:

По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и неоспорена от ответника справка чрез ПИК (л. 6 – 7 от АД № 32/ 2020 г.) се установява, че разкритите данни за ищцата включват ЕГН и имена.

Видно от доказателствата по делото, описани в придружително писмо с вх. № 1610/ 10.07.2020 г., със Заповед № ЗЦУ-586/ 30.04.2014 г. на Изпълнителния директор на НАП (л. 71 от АД № 32/ 2020 г.) е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП.

Със Заповед № ЗЦУ-1436/ 15.10.2018 г. на Изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др.

Със Заповед № ЗЦУ-733/ 17.06.2016 г. на Изпълнителния директор на НАП са утвърдени процедура и Вътрешни правила за мрежовата и информационната сигурност.

Със Заповед № ЗЦУ-1236/ 21.08.2019 г. на Изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В.

Със Заповед № ЗЦУ-482/ 01.04.2019 г. на Изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП, като със Заповед № ЗЦУ-83/ 23.01.2013 г. на Изпълнителния директор на НАП са определени видът, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно–осигурителната сметка и сроковете за съхранение на архивираната информация. "Указания за унищожаване на информация и информационни системи в НАП" са утвърдени със Заповед № ЗЦУ-1596/ 29.11.2017 г. на Изпълнителния директор на НАП, а със Заповед № ЗЦУ-535/ 11.05.2016 г. на Изпълнителния директор на НАП са утвърдени Вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП.

В Агенцията по приходите е изработена и Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г., утвърдена е политика по информационна сигурност на НАП и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за това, че ще пазят в тайна личните данни на трети лица, станали им известни при изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват за други цели, освен за прякото изпълнение на служебните им задължения.

С писмо вх. № 660/ 04.03.2020 г. (л. 61 от АД № 32/ 2020 г.), Комисията за защита на личните данни (КЗЛД) уведомява съда, че след направена служебна справка е установила, че С. Н. К. няма образувано и висящо пред КЗЛД срещу НАП. Посочено е, че спрямо НАП е издадено Наказателно постановление № 004 от 28.08.2019 г., издадено от П. на КЗЛД, което е обжалвано пред СРС. С писмо вх. № 1215 от 28.03.2024 г. е уведомен съдът от КЗЛД, че с Решение № 1247 по адм. дело № 12334/ 2023 г. на А. е отменено решение на СРС от 26.10.2023 г. (л. 46), с което е потвърдено НП, като е приложено самото Решение на А., от което се установява, че НП е отменено и е прекратено административнонаказателното производство поради изтекла давност.

Настоящото производство е спряно до произнасяне на СЕС по преюдициално запитване по идентичен спор. На 14.12.2023 г. по дело С-340/ 21 г. на СЕС е постановено Решение на Съда (трети състав) от 14 декември 2023 г. (преюдициално запитване от Върховен административен съд — България) — VB/Национална агенция за приходите) (л. 14 – 20), с което СЕС приема, че чл. 24 и 32 от Регламента трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32; чл. 32 от Регламент 2016/679 трябва да се тълкува в смисъл, че преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове; принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи; чл. 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно; чл. 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по чл. 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен; чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. С оглед произнасянето на СЕС е възобновено производството по делото.

С вх. № 445/ 05.02.2024 г. и вх. № 1277/ 2.04.2024 г. (л. 26 и л. 50) ответникът представя Становище, чрез процесуалния си представител, с което оспорва исковата молба като неоснователна и недоказана.

За доказване на претърпените от ищеца неимуществени вреди по делото са събрани гласни доказателства. При първоначалното разглеждане на делото са разпитани двама свидетели, внук и син на лицето, с което ищцата живее на съпружески начала, а пред настоящия състав за разпит е доведен един свидетел – мъжът, с когото ищцата живее на съпружески начала.

При така установената фактическа обстановка съдът намира от правна страна следното:

Предявеният иск е процесуално допустим и черпи правното си основание от разпоредбите на чл. 203, ал. 1 и чл. 204, ал. 4 от АПК, във връзка с чл. 82 от GDPR.

По отношение първоначалните възражения на ответника за недопустимост на иска следва да се подчертае, че съгласно съдебната практика на ВАС по идентични казуси процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ „Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК.

По отношение основателността на иска съдът намира, че същият е частично основателен, като съобрази следното:

В исковата молба г-жа К. претендира незаконосъобразно бездействие от страна на ответника – неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което счита, че са нарушени разпоредбите на чл. 24 и чл. 32 от GDPR, като се позовава и на чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 от ЗЗЛД. Правното основание, както беше посочено по – горе, на иска е чл. 82, §. 1 и 2 от Регламент № 2016/679. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. От съображение 146 от ОРЗД става ясно, че чл. 82 от него въвежда собствен режим на отговорност в областта на защитата на личните данни. В чл. 82, §. 2 от ОРЗД са посочени именно трите необходими условия, за да възникне право на обезщетение: обработване на лични данни в нарушение на разпоредбите на този регламент, вреди, нанесени на субекта на данните и причинно-следствена връзка между това незаконосъобразно обработване и вредите. ОРЗД не препраща към правото на държавите-членки относно смисъла и понятията на термините, съдържащи се в чл. 82 от ОРЗД, по-специално по отношение на понятията „материални и нематериални вреди", „обезщетение за нанесени вреди" и за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави-членки (Решение от 4 май 2023 г. по С-300/21 на СЕС).

Вярно е, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се приеме, че приложените технически и организационни мерки не са подходящи по смисъла на членове 24 и 32 и да бъде присъдено право на обезщетение. Това означава, че изтичането на лични данни в публичното пространство в резултат на неправомерно поведение на трети лица не презумира, че приложените технически и организационни мерки за защита на лични данни по членове 24 и 32 от ОРЗД са неподходящи. Третите лица са различни от тези, които имат право да обработват лични данни под прякото ръководство на администратора или обработващия лични данни. Администраторът обаче не се освобождава от отговорност само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна" по смисъла на чл. 4, т. 10 от ОРЗД. Принципът на отчетност на администратора, закрепен в чл. 5, §. 2 и конкретизиран в чл. 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент администраторът на лични данни носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурността по чл. 32 от посочения регламент са подходящи, като в този смисъл е именно цитираното Решение от 14.12.2023 г. по дело С-340/21 на СЕС.

След връщането на делото за ново разглеждане на ответника беше указана изрично тежестта да установи, че избраните и приложени от него организационни и технически мерки са подходящи, за да препятстват неоторизиран достъп до лични данни и тяхното незаконно обработване. В тази връзка към Становището от 02.04.2024 г. ответникът представя писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-12375 от 12.12.2018 г. относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление", Протокол относно „Извършена проверка в Национална агензия за приходите, съгласно изисьсванията на чл. 60 от Закона за електронното управление" от Държавна агенция „Електронно управление, Писмо с изх. № ЕП-2339/19.12.2018 г. от НАП до П. на Държавна агенция „Електронно управление" относно „Резултати от извършена проверка по чл. 60 от Закона за електронното управление" и Писмо от Държавна агенция „Електронно управление" с per. № ДАЕУ-393 от 04.01.2019 г. относно „Писмо на ИД на НАП във връзка с резултатите от извършена проверка по чл. 60 от Закона за електронното управление". Не сочи други доказателства освен тези и събраните при първоначалното разглеждане на делото. В Становището се настоява същевременно, че от представените доказателства е видно, че НАП е предприела множество мерки за защита на личните данни на лицата, вкл. притежава международен сертификат от Глобалния форум по сигурността, като не е доказано нейно бездействие. По разбирането на настоящия състав събраните по делото доказателства установяват предприемането на мерки, но не се доказва по безспорен и категоричен начин, че тези мерки са били подходящи за овладяване на съответния риск. В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Задължението се съдържа в чл. 24 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. „е" от GDPR – цялостност и поверителност на данните. В случая ангажирането на многобройни писмени доказателства, без доказателства, че предвидените в тях мерки са ефективни, не доказва че ответникът е взел подходящите организационни и технически мерки, които да обезпечат защитата на личните данни, които администраторът обработва. Липсват доказателства, че предприетите организационни мерки са били в такава степен подходящи и ефективни, че да гарантират обработването на личните данни в съответствие с изискванията на Регламент (ЕС) 2016/679. Липсват и доказателства за това какви конкретно технически мерки е взел ответникът, за да защити личните данни, които обработва, от неправомерен достъп, като този от който се претендират вредите. В съображение 74 от ОРЗД е предвидено, че администраторът следва да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. В съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т.ч. правото на защита на личните им данни, т.е. мерките не са били в такава степен подходящи и достатъчни, след като системата е била технически уязвима и е дала възможност за нерегламентиран достъп на информация, съответно не са приложени подходящи технологии и мерки за защита. Ако системата беше ефективно и надеждно защитена, то не би се стигнало до пробива ѝ, предизвикал разкриването на личните данни на ищцата. В случая липсата на доказване на приложени подходящи мерки установява наличието на първата предпоставка, тъй като ответникът не е доказал, че по никакъв начин не е отговорен за събитието, причинило вредата. Отмяната на издаденото от председателя на КЗЛД Наказателно постановление не може да се разглежда като факт, доказващ, че НАП не е отговорна за събитието, като се има предвид, че Наказателното постановление е отменено поради изтекла абсолютна давност.

Втората и третата предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна от ищцата вреда в резултат от това незаконосъобразно бездействие и причинна връзка между тях. Според СЕС чл. 82, § 1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва вследствие на нарушение на този регламент от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба. Понятието „вреди" се тълкува в по-широк смисъл в контекста на съдебната практика на СЕС по начин, който отразява напълно целите на Регламента, поради което обезщетението за нематериални вреди не се поставя в зависимост от определен праг на значимост на вредите. Пълното и действително обезщетение по съображение 146 от Регламента е цел на този правен институт, без да е необходимо изплащане на наказателно обезщетение, като тежестта на доказване на вредите е на ищеца, съгласно чл. 154, ал. 1 от ГПК, във връзка с чл. 144 от АПК. В случая ищцата установи по безспорен начин вредата, свързана с разкриване на личните ѝ данни за ЕГН и имена, респ. възникналите опасения от това. В исковата молба тя посочва и впоследствие доказва със справка от НАП чрез ПИК (л. 6 - 7) кои нейни лични данни са изтекли в публичното пространство, а именно имена и ЕГН. За да може да се приложи принципът на равностойност и ефективност (Решение по дело С-300/21) ищцата следва да посочи и докаже неимуществените вреди. С исковата молба тя твърди, че в резултат на изтичането на данните, респ. бездействието на ответника по осигуряване на тяхната защита, е изпитала стрес, постоянен страх и безпокойство, възмущение, психическо напрежение, притеснение и свързаните с тях негативни преживявания и емоции. Целта на доказването на претърпените вреди е да се ангажира отговорността на администратора на лични данни и да се определи адекватно парично обезщетение.

За установяване на посочените претърпени неимуществени вреди при първоначалното разглеждане на делото са събрани гласни доказателства с разпита на св. Н. К. П. и св. С. Д. Т., чиито показания се основават на лични възприятия, непосредствени впечатления, базират се на системни и трайни наблюдения за осъществени в правната действителност факти от процесния период, тъй като единият е внук, а другият е син на лицето, с което ищцата живее на съпружески начала и редовно контактуват с нея. Св. П. потвърждава, че след като г-жа К. установила, че са ѝ изтекли личните данни, тя се притеснила, че някой може да злоупотреби с тази информация и да се разпореди с имотите ѝ, като била много разтревожена. Според свидетеля Т. ищцата била видимо притеснена от изтеклите ѝ данни, тъй като имала доста имоти – земи, апартаменти и т.н. И двамата свидетели заявяват, че не знаят дали техните лични данни са изтекли.

При новото разглеждане на делото беше разпитан един свидетел – лицето, с което живее ищцата на съпружески начала, св. Д. Т. Н.. Независимо от изминалия продължителен период след събитието той споделя своите впечатления за състоянието на ищцата след узнаване на процесните факти, като сочи, че след като разбрала ищцата, че са ѝ изтекли личните данни, и двамата се притеснили много, тъй като имали малко имоти и да не стане така, че да им ги вземат, без да усетят, след като са изтекли данните. Най-напред разбрали за изтичане на данните от медиите, като след това тя проверявала все да не би да са ѝ изтеглили парите от пенсията, без да разбере. Двамата стояли под напрежение за всяка една пенсия, като наближало време за получаване и се притеснявали дали ще има такава. Все това си говорели вкъщи - да не ги „ударят“ и тях, тъй като били бедни хора – пенсионери и да не би да останат на улицата без имот. Притеснението им продължило 5-6 месеца, докато нещата се уталожат и разберат, че нямат проблеми с изтеклите данни. Така събраните гласни доказателства установяват, че фактът, че имената и ЕГН на ищцата са станали известни на трети лица, се отразило негативно, както на нея, така и на лицето, с което живеела. Тя изпитвала безпокойство и тревожност, които следва да бъдат обезщетени. Съдът кредитира дадените показания, първите като дадени от близки роднини на мъжа, с когото живее ищцата, а вторите, като дадени от самия него, който в най-близка степен е могъл да установи състоянието на г-жа К., а показанията му в същността си установяват настъпилите неимуществени вреди и то независимо от изминалото време от увреждането, като съдът ги преценява с оглед всички други данни по делото, в съответствие с чл. 172 ГПК, във връзка с чл. 144 АПК. Следва да се има предвид, че св. Н. сочи, че притеснението на ищцата продължило около 5-6 месеца. Съдът намира, че дори без допълнителни доказателства, негативните емоции и психически дискомфорт, които изпитва човек, породени от опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство. В този смисъл е доказана и втората предпоставка относно настъпили неимуществени вреди от изтеклите данни за ЕГН и имена на ищеца.

Не се доказаха вреди от изтекли данни за документи за самоличност, телефонни номера, информация за доходите и адрес на семейството на ищцата.

Неоснователно е изложеното от ответника в Становището му, че били налични защитни механизми, които предотвратявали злоупотребата с лични данни. Тези факти и обстоятелства не променят извода, че в случая ищцата е преживяла психически стрес и емоционално напрежение, които са отражение на нейното вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на всяка човешка личност и зависят от нейните индивидуални възможности за справяне с конкретното положение. Предприетите мерки за гарантиране сигурността и безопасността на гражданите и тяхното имущество, за успокояване на обществеността след неправомерното разкриване на личните данни не могат да игнорират настъпилите у ищцата негативни емоции и преживявания, които безспорно са се отразили на поведението и начина ѝ на живот.

Изложеното налага извода, че претърпените от ищцата болки и страдания са резултат от бездействието на ответника да изпълни своето задължение за прилагане на такива подходящи мерки, които да препятстват възможността за достъп до личните ѝ данни, а разкриването в случая на ЕГН и имена само по себе си създава опасения за евентуални злоупотреби с правата ѝ.

Съгласно чл. 82, § 1 от ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 от ОРЗД, във връзка с с чл. 1, ал. 1 от ЗОДОВ, поради което за ищцата е възникнало субективното право по чл. 82, § 1 от ОРЗД да претендира обезщетение за причинените ѝ неимуществени вреди, което ответникът да заплати.

Събраните доказателства установяват факта на вредите и пряката причинно - следствена връзка между настъпването им и незаконосъобразното бездействие на ответника. За да прецени основателността на претенцията, съдът съобрази събраните доказателства за душевното състояние на лицето след установяването, че и негови лични данни са изтекли в публичното пространство. Справедливостта налага неимуществените вреди да бъдат овъзмездени. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни, обективно съществуващи обстоятелства и практиката на съдилищата. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост" не е абстрактно понятие, а е свързано именно с преценката на тези конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл. 52 от ЗЗД в зависимост от степента и характера на преживените болки и страдания от ищеца. В тази връзка съдът приема, че претендираната от ищцата сума от 1 000 лв. (хиляда лева) е прекомерно завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен на претърпените вреди. Обезщетението трябва да е съразмерно с вредите и да отговаря, както на конкретните данни по делото, така и на обществените представи за справедливост. С оглед характера на претърпените вреди, възрастта на ищцата, продължителността на търпенето на вредите, силата на доказаните душевни страдания и общото психическо състояние на същата като резултат от противоправното бездействие на ответника, съдът намира, че справедливият размер на дължимото обезщетение за неимуществени вреди следва да бъде определен на 200 лв. (двеста лева) по смисъла на чл. 52 от ЗЗД, във връзка с чл. 4 от ЗОДОВ за причиненото състояние на безпокойство и притеснение. Над този размер претенцията следва да бъде отхвърлена.

Уважаването на основния иск изисква уважаване и на акцесорния. Претенцията на ищцата е да ѝ бъде присъдена законна лихва върху присъдената сума, считано или от подаване на исковата молба, или алтернативно от 15.07.2019 г. - датата на увреждането, до окончателното изплащане на сумата. Относно началната дата на присъждане на законната лихва съдът съобрази следното:

ЗОДОВ определя специален ред и условия за обезщетяване на пострадалите лица. За неуредените в закона случаи се прилагат общите разпоредби на ЗЗД. Съгласно ТР № 3/ 2004 г. по тълк. дело № 3/ 2004 г. на ОСГК на ВКС в практиката съществуват две становища относно началния момент на забавата, съответно дължимостта на законната лихва и началния момент на погасителната давност на иска за обезщетение:

Според първото становище вземането на пострадалото лице за обезщетяване на вреди възниква от момента на издаване на акта, от извършване на действието или бездействието на държавния орган, без да е установена тяхната незаконност. Приложима е разпоредбата на чл. 84, ал. 3 ЗЗД, според която длъжникът се смята в забава и без покана от деня на увреждането, а според второто становище, вземането за обезщетяване на вреди възниква след признаване по законен ред незаконността на акта, действието или бездействието на държавния орган. При постановяване на ТР е прието, че е правилно второто становище, т.е. когато вредите произтичат от фактически действия или бездействия на администрацията, обезщетението за тях може да се иска след признаването им за незаконни, което се установява в производството по обезщетяването. От така определените моменти на изискуемост, започва да тече погасителната давност и се дължи мораторна лихва. С оглед на това претенцията за законна лихва следва да бъде уважена, считано от влизане на съдебното решение в сила.

Предвид изложеното фактическият състав на отговорността по чл. 203 АПК, във връзка с чл. 1 ЗОДОВ по отношение вреди от изтеклите данни за ЕГН и имена на ищцата е осъществен. Налице е незаконосъобразно бездействие, реално увреждане на ищцата и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените ѝ вреди.

При този изход на спора и съобразно нормата на чл. 10, ал. 3 ЗОДОВ, съгласно която, ако искът бъде уважен изцяло или частично, съдът осъжда ответника да заплати разноските по производството, както и да заплати на ищеца внесената държавна такса, съответно да му заплати и възнаграждение за един адвокат или юрисконсулт, ако е имал такъв, съразмерно с уважената част от иска, то на ищцата следва да бъдат присъдени съдебно – деловодни разноски, както следва: държавна такса, която е в размер на 10 лв. и с оглед горецитираната разпоредба се дължи на ищцата в пълен размер дори и при частично уважаване на исковата претенция. На следващо място, на основание чл. 226 от АПК съдът следва да отчете разноските, както при настоящото производство, така и при първоначалното разглеждане на делото. Видно от договора за правна помощ и съдействие, ищцата е заплатила адвокатско възнаграждение в размер на 300 лв. (триста лева) за първоначалното разглеждане на делото (л. 9 от адм. дело № 32/ 2020 г.) и 300.00 лв. (триста лева) за настоящото производство (л. 67). На основание чл. 10, ал. 3 от ЗОДОВ заплатеното адвокатско възнаграждение следва да се определи съразмерно с уважената част на иска съгласно чл. 8, във връзка с чл. 7, ал. 2, т. 1 от Наредба № 1/ 09.07.2004 г. за минималните адвокатски възнаграждения, а именно в размер на 60.00 лв. (шестдесет лева) за всяко едно от двете производства.

Ответникът също е претендирал присъждане на разноски. На основание чл. 10, ал. 4 от ЗОДОВ, на ответника се дължи възнаграждение за осъществената юрисконсултска защита, което изчислено съгласно правилото на чл. 24 от Наредбата за заплащането на правната помощ, при съобразяване на фактическата и правна сложност на делото, съразмерно с отхвърлената част от предявения иск следва да бъде определено в размер на 80.00 лв. (осемдесет лева) за всяко едно от производствата.

Така мотивиран, А. съд – Добрич, III състав,

РЕШИ:

ОСЪЖДА Националната агенция за приходите по иск, с правно основание чл. 82, § 1 от Общия регламент относно защитата на данните да заплати на С. Н. К., [ЕГН], от [населено място], сума в размер на 200.00 лв. (двеста лева), представляваща обезщетение за неимуществени вреди, настъпили в резултат на незаконосъобразно бездействие от страна на Национална агенция за приходите, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 24 и чл. 32 от Общия регламент относно защитата на данните за гарантиране достатъчно ниво на сигурност на обработваните от него лични данни на С. Н. К., от [населено място], ведно със законната лихва върху тази сума, считано от датата на влизане в сила на решението до окончателното й изплащане, като за разликата над 200.00 лв. (двеста лева) до пълния предявен размер от 1000.00 лв. (хиляда лева), ведно със законната лихва върху разликата, ОТХВЪРЛЯ предявените искове като неоснователни.

ОСЪЖДА Национална агенция за приходите да заплати С. Н. К., [ЕГН], от [населено място] сума в размер на 10.00 лв. (десет лева) разноски по делото за държавна такса.

ОСЪЖДА С. Н. К., [ЕГН], от [населено място], да заплати на Националната агенция за приходите сумата от 160.00 лв. (сто и шестдесет лева) общо разноски по делото за първоначално и последващо разглеждане във вид на юрисконсултско възнаграждение съобразно отхвърлената част от иска.

ОСЪЖДА Национална агенция за приходите да заплати на С. Н. К., [ЕГН], от [населено място] сума в размер на 120.00 лв. (сто и двадесет лева) общо разноски по делото за първоначално и последващо разглеждане във вид на адвокатско възнаграждение съобразно уважената част от иска.

Решението може да се обжалва с касационна жалба чрез А. съд – Добрич пред Върховния административен съд в 14-дневен срок от съобщаването му на страните.