Р Е
Ш Е Н
И Е
№536
Гр.
Перник, 03.12.2020 г.
В И М Е Т О
Н А Н А Р О Д А
АДМИНИСТРАТИВЕН СЪД – ПЕРНИК, в открито съдебно заседание
на деветнадесети ноември две хиляди и двадесета година, в състав:
СЪДИЯ: ЛОРА СТЕФАНОВА
Като разгледа административно дело № 801/2019 г. по описа
на съда, за да се произнесе, взе предвид следното:
Производството е по реда на чл. 203 – чл. 207 от АПК, във вр.
с чл. 1, ал. 2 от ЗОДОВ.
Предявен е иск с правна квалификация чл. 1, ал. 1 от ЗОДОВ,
във вр. с чл. 204, ал. 4 от АПК.
Исковата
молба е подадена от Н.И.Т., ЕГН ********** *** против Национална агенция за
приходите, със седалище и адрес на управление: гр. София, бул. Княз Александър
Дондуков-Корсаков № 52.
Ищецът
твърди, че ответникът в качеството си на администратор на лични данни не е
изпълнил задължението си, произтичащо от чл. 59, ал. 1 от Закона за защита на
личните данни/ЗЗЛД/, респективно чл. 24 от Регламент (ЕС) 2016/679 на
Европейския парламент и на Съвета от 27.04.2016 г. - да прилага подходящи
технически и организационни мерки, за да гарантира сигурността на обработваните
от него лични данни, както и своевременно да ги преразглежда и актуализира.
Сочи, че в резултат на това незаконосъобразно бездействие, на 15.07.2019 г. е
осъществен нерагламентиран достъп до личните му данни, което му е причинило
неимуществени вреди – притеснения и тревога от намаления обем на
професионалната му дейност, проблеми със съня, влошаване на здравословното му
състояние. Счита, че претъпените неимуществени вреди могат да бъдат репарирани
с обезщетение в размер на общо 250 000 лв.
Искането към съда, след допуснатото в съдебно заседание на
29.10.2020 г. изменение на иска, е ответникът да бъде осъден да му заплати
сумата от 250 000 лв., представляваща обезщетение за причинени неимуществени
вреди в резултат на неизпълнение на задълженията за прилагане на подходящи
технически и организационни мерки за гарантиране сигурността на обработваните
лични данни, както и своевременно преразглеждане и актуализиране, от което е
последвало разкриване на личните данни на ищеца.
Исковата молба с приложенията е връчена на ответника и на
Прокуратурата на Република България чрез Окръжна прокуратура – Перник.
В срока по чл. 131 от ГПК, във вр. с чл. 144 от АПК
ответникът – Национална агенция за приходите, е депозирал писмен отговор. Искът
е оспорен като неоснователен. Твърди се, че е изпълнено задължението за
прилагане на подходящи технически и организационни мерки за гарантиране
сигурността на обработваните лични данни. Посочено е, че осъществения достъп до
личните данни на ищеца е в резултат на извършено престъпление от трето лице, за
което той не носи отговорност. Изложено е, че веднага след установяване на
достъпа са предприети мерки за минимизиране на вредите по отношение на
гражданите, чиито лични данни са разкрити. Предприети са множество действия за
информиране на гражданите с цел осигуряване на спокойствието им. Искането към
съда е да отхвърли предявения иск като неоснователен.
В срока п очл. 131 от ГПК, във вр. с чл. 144 от АПК Окръжна
прокуратура – Перник не е изразила становище.
В съдебно заседание, ищецът поддържа иска по подробно
изложени съображения, доразвити в представени писмени бележки. Искането към
съда е да го уважи и да присъди направените съдебни разноски.
В съдебно заседание ответникът, чрез процесуалния си
представител – юрисконсулт М. подържа отговора. Оспорва иска с аргументи,
подробно развити в писмени бележки. Искането към съда е да го отхвърли и да
присъди юрисконсултско възнаграждение.
В съдебно заседание Прокуратурата на Република България
чрез прокурор Бисер Ковачки от Окръжна прокуратура – Перник дава заключение за
неоснователност на предявения иск. Предлага на съда да го отхвърли.
Административен съд – Перник, в настоящия съдебен състав,
като обсъди доводите на страните и прецени по реда на чл. 235, ал. 2 от ГПК,
във връзка с чл. 144 от АПК приобщените по делото доказателства, намери за
установено от фактическа страна следното:
Не е спорно между страните, че на 15.07.2019 г. е констатирано,
осъществяване на
нерегламентиран достъп до информационната система на Националната
агенция за приходите,
вследствие на което е разпространена информация, съдържаща личните данни на
множество граждани.
От представеното писмо изх. № ЗИДФ-15#1/23.10.2019
г., ведно с приложена към него разпечатка от електронната система на НАП
се установява, че неререгламентирано са разпространени и лични данни на ищеца,
а именно – единен граждански номер и имена; данни за изплатени доходи на
физически лица през 2007 г., данни от годишна данъчна декларация за доходите на
физическите лица по чл. 50 от ЗДДФЛ за 2010 г.; данни от декларации, подадени
от работодатели/осигурители за осигурените от тях лица – декларация обр.
Наредба № 8 за периода 2008 г.; данни от справки за изплатени доходи на
физически лица по чл. 73 от ЗДДФЛ за 2008 г.; данни от справка за изплатени
доходи на физически лица по чл. 73 от ЗДДФЛ за 2012 г.
Не е спорно, че ищецът не е инициирал производство пред
Комисията за защита на личните данни, касаещо нарушение на ЗЗЛД, идентично със
соченото като основание на предявения иск, което да е висящо или приключило.
Във връзка твърдението, че е извършил всички необходими
действия за защита на съхраняваната от него информация, ответникът е представил
писмени доказателства. От тях се установява, че със заповед № З-ЦУ-586/30.04.2014 г.
на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС
ISO/IEC 27001: 2006 в НАП. Със заповед № ЗЦУ-1436/15.10.2018 г. на
изпълнителния директор на НАП са утвърдени Указания за разработване,
попълване и/или зареждане с данни на образци на документи и приложения, утвърдени
на основание
чл.
10, ал. 1, т. 5 и т. 7
ЗНАП, Указания
за обозначаване и работа с информация, Указания за попълване на
образци на процедура, Указания
за попълване на образеца на инструкция и др. Със заповед № ЗЦУ-733/17.06.2016
г. на изпълнителния директор на НАП са утвърдени процедура и вътрешни правила
за мрежовата и информационната сигурност. Със заповед № ЗЦУ-2019 г. на
изпълнителния директор на НАП са определени служителите с администраторски достъп и
служителите, предоставящи права за достъп на крайни потребители. Със заповед № 309-83/23.01.2013 г. на
изпълнителния директор на НАП са определение вида, съдържанието, реда за
създаване, поддържане и достъп до регистъра на НАП и базите данни за
задължените лица. Регистърът на НАП. Със заповед № ЗЦУ-1596/29.11.2017 г. на
изпълнителния директор на НАП са утвърдени Указания за унищожаване на
информация и информационни системи в НАП. Със заповед №
ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни
правила за оборот на електронни документи и документи на хартиен носител в НАП.
Изработена е
Методика за анонимизиране на индивидуални данни, версия 1, към месец януари 2017 г.
Утвърдена е политика по информационна сигурност на НАП. Утвърдена е и
Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на личните
данни, обработвани
в НАП и реда за движение на преписки и заявяване на регистри. Като приложение №
1 към чл. 24, ал. 2 от Инструкцията служителите на НАП попълват декларация за
това, че ще пазят в тайна личните данни на трети лица, станали им известни при
изпълнение на служебните им задължения, няма да ги разпространяват и да ги използват
за други цели, освен за прякото изпълнение на служебните им задължения.
По делото е приета, неоспорена от страните
съдебно-техническа експертиза, изготвена от вещото лице Т.Т., която съдът
кредитира като обоснована и обективна. Експертът не е извършил проверка на
системата за сигурност на данните при ответника, тъй като не му е оказано
необходимото съдействие. Установил е нерегламентиран достъп до личните данни на
ищеца, съхранявани от НАП, като е посочил, че информацията, предмет на данъчните
декларации до които е осъщесвен достъп касае сума на обща стойност 143196.50
лв. Отразил е също, че през 2019 г. обемът от постъпления на ищец от дейността
му като застрахователен агент е намалял със 75% в сравнение с 2018 г.
За установяване твърдените неимуществени вреди са събрани
гласни доказателства посредством разпита на свидетелите – В.З.и К.М.– близки
приятели на ищеца. От показанията им става ясно, че Н.И.Т. е изпитвал
притеснения от осъществения нерегламентиран достъп до данните му, съхранявани
от НАП. Опасявал се, че това се отразява
негативно на работата му като застрахователен агент и е причина за спад на
доходите му от тази дейност. Оплаквал се от проблеми със съня и влошено зрение,
като за последното на 14.07.2020 г. е провел консултация с
лекар-офталмолог/амбулаторен лист № 1929/14.07.2020 г./.
От приетата и неоспорена от страните съдебно-медицинска
експертиза, изготвена от вещото лице – доктор Ж.Т. се установява, че на
14.07.2020 г. ищецът е диагностициран със „***”. Причина за заболяването е
отлагането на протеин в лещата, което нарушава нейната прозрачност. Рисковите
фактори за проявлението му са: напреднала възраст; захарен диабет; прекомерна
употреба на алкохол; прекомерна експозиция на слънчева светлина; фамилна
предопределеност; повишено кръвно налягане; затлъстяване; предходно очно
увреждане или възпаление; експозиция на йонизираща радиация; продължителна
употреба на кортикостероиди; тютюнопушене. Посочено е, че оксидативният стрес
може да бъде отключващ момент за по-ранно развитие на процесите на стареене в
тялото, но рядко той поразява преимущесвено една органна система. Съдът
кредитира изцяло заключението на експерта, като компетентно, обосновано, пълно
и обективно.
При така
установеното от фактическа страна, Административен съд – Перник, в настоящия
състав, като прецени процесуалните предпоставки за допустимост, взе предвид
становищата на страните и обсъди събраните по делото доказателства, намери
следното:
Искът е предявен от надлежно легитимирана страна по чл.
1, ал. 1 от ЗОДОВ срещу надлежен ответник съгласно чл. 205, ал. 1 от АПК, във
вр. с чл. 2 от Закона за Националната агенция за приходите/ЗНАП/, при наличие
на отрицателната предпоставка по чл. 39, ал. 4 от ЗЗЛД, поради което е
процесуално допустим.
Разгледан по същество е неоснователен по следните
съображения:
Съгласно чл. 1, ал. 1 от ЗОДОВ държавата отговаря за
вредите, причинени на граждани от незаконосъобразни бездействия на нейни органи и длъжностни
лица при или по повод изпълнение на административна дейност.
За уважаването на предявения иск, в
тежест на ищеца е да установи, че ответникът е имал произтичащо от закона
задължение за извършване на конкретно фактическо действие, като в резултат на
неосъществяването му, е претърпял сочените неимуществени вреди.
В тежест на ответника е да установи
изпълнението на правно правно дължимото действие.
Няма
спор между страните, че ответникът – Национална агенция за приходите е
администратор на лични данни по смисъла на § 1, т. 2 от ДР на ЗЗЛД, във вр. с
чл. 4, т. 7 от Регламент
(ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. От
това негово качество произтича задължението му по чл. 80, ал. 1 от ДОПК за създаване
и поддържане
на регистър и бази данни на задължените лица,
необходими за
упражняване на правомощията му
като специален държавен орган към министъра на финансите за установяване,
обезпечаване и събиране на публични вземния по смисъла на чл.
2, ал. 1, във вр. чл.
3, ал. 1 от ЗНАП. Регистърът на НАП служи за идентифициране
на задължените лица и извършваната от тях дейност, подлежаща на контрол, като
агенцията създава и поддържа множество специални регистри по чл.
83 от ДОПК, които са неразделна част от регистъра, поддържа и
съхранява архив на лицата с прекратена регистрация по чл.
83, ал. 3 от ДОПК, открива и поддържа данъчно – осигурителни
сметки на задължените лица по чл.
87, ал. 1 от ДОПК, които съдържат данъчна и осигурителна
информация, както и поддържа и съхранява архив на данъчно-осигурителните сметки
по чл. 87, ал. 4.
В качеството си на
администратор на лични данни НАП следва да прилага подходящи технически и организационни
мерки
съгласно чл.
59, ал. 1 от ЗЗЛД, за да гарантира и да е в състояние да
докаже, че обработването се извършва в съответствие с този закон, като
отчита естеството, обхвата, контекста и целите на обработването, както и
рисковете за правата и свободите на физическите лица. При необходимост тези
мерки се преразглеждат и актуализират. Същото задължение се съдържа и в чл. 24
от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от
27.04.2016 г.,
като в чл. 32 са предвидени конкретните мерки, които следва да се предприемат
при администрирането и обработването на лични данни. Тези задължения са
въведени, за да се гарантира един от основните принципи на обработване на лични
данни, прогласен в чл. 5, § 1, б. "е" от Регламент
/ЕС/
2016/679 на Европейския парламент и на Съвета от 27.04.2016
г. –
цялостност и поверителност на данните. Неговият смисъл и съдържание
е възпроизведен
и в заповед № ЗЦУ-83/23.01.2013
г. на изпълнителния директор на НАП, в т. 24 и т. 25 от която изрично е
предвидено, че регистърът, базите данни, данъчно-осигурителната сметка, архивът
за лицата с прекратена регистрация и архивът на данъчно-осигурителната сметка
се поддържат и съхраняват по начин, който гарантира целостта на информацията и
защитата на информацията в системата срещу разрушение и неправомерно изменение
и ползване, като достъпът до нея се осъществява в съответствие с изискванията за регламентиран
достъп при спазване на разпоредбите на ЗЗКИ и ЗЗЛД.
Следователно
отговорността на ответника произтича от специфичния характер на дейността му по
обработване на лични данни, включваща създаване, поддържане и актуализация на
регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в
тях информация и контролирания достъп
до нея. Като административен орган със статут на юридическо лице, който следи
тази дейност да бъде изпълнявана в съответствие с нормативно установените
изисквания,
той носи отговорност за вредите от незаконните действия и/или бездействия на
включените в състава му органи
служители при извършване на дейността по чл. 1
от ЗОДОВ.
В случая е
безспорно, че е осъщесвен нерегламентирен достъп до системата на
ответника, който е станал причина за неправомерното разкриване и
разпространение на лични данни на ищеца. Изтичането на информация от сървърите
на НАП в резултат на извършен неоторизиран достъп обосновава
по категоричен начин извода за противоправно
бездействие на ответника, представляващо неизпълнение на произтичащи от закона и
регламента задължения да обезпечи достатъчна надеждност и сигурност на
информационната си система, да защити физическите лица във връзка с
обработването на личните им данни по смисъла на § 1,
т. 4 от ДР на ЗЗЛД, вр. чл.
4, т. 2 от Регламент (ЕС) 2016/679, в това число
и
правото на защита на личните им данни. Нерегламентираният достъп до
системата на НАП не би бил осъществен, ако последната не е технически уязвима,
което от своя страна сочи на
неприлагането на подходящи технологии и мерки за защита. Ако системата е ефективно и
надеждно защитена, то не би се реализирал пробива и, довел до разкриването на личните данни
на ищеца.
Наличието на
одобрени процедури, правила, политики, инструкции, указания и
методики
не опровергава горния извод,
тъй като от нерагламентираното разпрострастранение на личните данни на ищеца следва,
че не е изпълнено изискването те да бъдат подходящи с оглед гарантирена на
сигурността.
Без значение е, че не е налице акт, установяващ техническата уязвимост на
информационната система на НАП и как тя е предопределила
осъществения нерегламентиран достъп. Обработването на значителен обем лични данни изисква
и по-значимата им техническа защита. Съгласно чл.
32, т. 2 от Регламент (ЕС) 2016/679 при оценката на
подходящото ниво на сигурност се вземат предвид по-специално рисковете от
случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване
или достъп до прехвърлени, съхранени
или обработени по друг начин лични данни. Обстоятелството, че е допуснат нерегламентиран пробив в системата на НАП е доказателство, че не е извършена
оценка на подходящото ниво на сигурност и не са взети необходимите технически и
организационни
мерки за защита при обработването на личните данни на засегнатите лица, включително и на ищеца. От
изложеното следва,
че е налице незаконосъобразно бездействие от страна на НАП, който в
качеството си на администратор
на лични данни,
при осъществяване на дейността си,
не е предприел
ефективни мерки за предотвратяване на злоумишлен достъп до личните данни на
ищеца.
По този начин
ответникът
не е изпълнил задължението си за опазване на личните данни на ищеца, като от
незаконосъобразното му бездействие е последвало и публичното им разкриване и
разпространение. Бездействието на НАП е в противоречие с нормативните изисквния
на чл.
59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно
защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от
27.04.2016 г.
и затова настоящият състав приема, че е налице първата предпоставка за
ангажиране на отговорността му по реда на чл. 1, ал. 1 от ЗОДОВ за обезщетяване
на вредите, представляващи пряка и непосредствена последица от това
незаконосъобразно бездействие.
В
случая, твърдението на ищеца е, че нерегламентираното разпространение на
личните му данни е довело е до намаляване на обема на дейността му като
застрахователен агент, станало е причина за влошаване качествето на съня му и
на здравословното му състояние, предизвикало е безспокойство и тревога.
От събраните гласни доказателства се
установява, че Н.Т. е изпитвал безспокойство от нерегламентираното
разпространение на личните му данни,
което е споделял със своите приятели. Установява се също, че приходите от
дейността му като застрахователен аген през 2019 г. са със 75% по-малко в
сравнение с тези през 2018 г., както и че 14.07.2020 г. е диагностициран със „***”. Тревогите и
негативните изживявания на ищеца произтичат от редуцираните му приходи и влошеното
зрение. По съществото си те представляват неимуществени вреди.
В конкретния случай, обаче
съдът счита, че не са пряка
и непосредствена последица от неправомерното бездействие на ответника, довело от своя
страна до разпространение на личните данни на ищеца. Причинно-следствена
връзка е налице когато отрицателните изменения в неимуществената сфера са пряк
резултат от противоправното деяние и настъпват винаги и независимо от
останалите обстоятелства, когато то е налице. И обратното тези неимуществени вреди
не биха настъпили, ако правно дължимото действие е било извършено. Такава
взаимна свързаност между допуснатият непревомерен достъп до личните данни на Н.Т. от една страна и намаляване на доходите му,
причинили му тревога и безспокойство, и влошаване на здравословното му
състояние – от друга, не е установена по делото. Обстоятелството, че той прави
извод за съществуването и, не означава, че тя е действително е налице.
Упражняването на дейност като
застрахователен агент от физическо лице е свободна професия съгласно чл. 314,
ал. 2 от КЗ. Приходите от нея, както и от всяка друга икономическа дейност, са
в замисимост от множество фактори, свързани със социално- икономическата
обстановка, търсенето и предлагането, личните и професионалните качества на
лицето което я извършва и други. Те в своята съвкупност са решаващи за
развитието и и за реализираните от нея доходи. Съдът намира за необосновано и
неподкрепено от събраните доказателства, твърдението на ищаца, че
нерегламентираният достъп до личните му данни се е отразил отрицателно на
професионалната му репутация в такава степен, че е довел до значително
намаляване на приходите от дейността му. По делото не е доказано, разпространението
на личните данни данни на ищеца, да е станало известно на кръга лица, ползващи
обичайно професионалните му услуги и отказали се от тях, поради това, или пък
да е препятствало по някакъв начин привличането на нови клиенти. По тази причина
тревогите и безспокойството на ищеца, свързани с намаляване обема на работата
му, не са следствие от противоправното бездействие на ответника и не е налице
основание за ангажиране на гражданската отговорност на последния.
Съдът счита, че не е установена и причинно-следствена
връзка между диагностицираното заболяване на ищеца - „***” и нерагламентираното
разпространенеие на личните му данни. Вещото лице – лекар невролог е посочило,
че причина за заболяването е отлагането на протеин в лещата, което нарушава
нейната прозрачност. Уточнило е и рисковите фактори за него - напреднала
възраст; захарен диабет; прекомерна употреба на алкохол; прекомерна експозиция
на слънчева светлина; фамилна предопределеност; повишено кръвно налягане;
затлъстяване; предходно очно увреждане или възпаление; експозиция на йонизираща
радиация; продължителна употреба на кортикостероиди; тютюнопушене. Оксидативният
стрес е посочен само като една от възможностите за обуславяне на по-ранно
отключване на процесите на стареене в тялото, но не и като основна причина за
поява на заболяването на ищеца. Отсътват каквито и да било доказателства
последното да е пряко и непосредствено следствие от неправомерното бездействие
на ответника. Затова и не е налице основание за ангажиране на отговорността му
за претъпрените от ищеца отрицателни изживявания.
Предвид всичко изложено, настоящият състав на
Административен съд – Перник намира, че не са налице предпоставките на чл. 1,
ал. 1 от ЗОДОВ за уважаване на предявания от Н.Т. срещу Националната агенция за
приходите иска за сумата от 250 000 лв. Исковата претенция е изцяло
неоснователна, поради което следва да бъде отхвърлена.
С оглед изхода от спора и по аргумент от чл. 10, ал. 3 от ЗОДОВ не следва да се уважава искането на ищеца за присъждане на направените от
него разноски.
На основание чл. 10, ал. 4 от ЗОДОВ в полза на ответника следва да се присъди
юрисконсултско възнаграждение в размер на 100 лв.
Мотивиран от изложеното,
Административен съд – Перник
Р Е Ш И
ОТХВЪРЛЯ иска за осъждане на Национална агенция за
приходите, със седалище и адрес на управление: гр. София, бул. Княз Александър
Дондуков-Корсаков № 52 да заплати на Н.И.Т., ЕГН ********** *** сумата от 250
000 лв. /двеста и петдесет хиляди лева/, представляваща обезщетение за
неимуществени вреди, настъпили в резултат на неизпълнение на задълженията за
прилагане на подходящи технически и организационни мерки за гарантиране
сигурността на обработваните лични данни, както и своевременно преразглеждане и
актуализиране, от което на 15.07.2019 г. е последвало разкриване на лични
данни, като НЕОСНОВАТЕЛЕН.
ОСЪЖДА Н.И.Т., ЕГН ********** *** да заплати на Национална
агенция за приходите, със седалище и адрес на управление: гр. София, бул. Княз
Александър Дондуков-Корсаков № 52 сумата от 100 лв. /сто лева/, представляваща
юрисконсултско възнаграждение.
РЕШЕНИЕТО подлежи на обжалване с касационна жалба пред
Върховния административен съд в 14-дневен срок от съобщаването му на страните.
СЪДИЯ:/П/