Решение по дело №657/2021 на Административен съд - Добрич

Номер на акта: 1586
Дата: 8 август 2024 г.
Съдия:
Дело: 20217100700657
Тип на делото: Административно дело
Дата на образуване: 29 декември 2021 г.

Съдържание на акта

РЕШЕНИЕ

№ 1586

Добрич, 08.08.2024 г.

В ИМЕТО НА НАРОДА

Административният съд - Добрич - I състав, в съдебно заседание на единадесети юли две хиляди двадесет и четвърта година в състав:

Съдия: СТОЯН КОЛЕВ

При секретар МАРИЯ МИХАЛЕВА и с участието на прокурора ДИМИТЪР ТОДОРОВ ДИМИТРОВ като разгледа докладваното от съдия СТОЯН КОЛЕВ административно дело № 657 / 2021 г., за да се произнесе взе предвид следното:

Производството е по чл. 203, ал. 1 от Административно-процесуалния кодекс (АПК), във вр. чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ) във вр. с чл. 82, § 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (наричан по-нататък Общ регламент относно защитата на данните или OPЗД) и чл. 39, ал. 2 от Закона за защита на личните данни (ЗЗЛД).

Образувано е във връзка с Решение № 13080 от 21.12.2021 г, постановено по адм. дело № 2572 по описа на ВАС за 2021 г, с което е отменено решение № 385 /22.12.2020г. по АД № 141/2020г. по описа на АС Добрич и делото е върнато за ново разглеждане от друг съдебен състав с указания за приложение на закона.

Производството по настоящото дело е било спряно с Определение № 5/06.01.2022 г. на основание чл. 229, ал. 1, т. 4 ГПК, вр. чл. 144 АПК, поради отправено по адм. дело № 1037/2021 г. по описа на Върховен административен съд, V отд., преюдициално запитване до Съда на Европейския съюз по рева на чл. 267, § 1, б. "б" от Договора за функционирането на Европейския съюз за тълкуване на разпоредбите на чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 (ОРЗД), във връзка образувано пред ВАС идентично производство с настоящото. След постановяване на Решение на Съда (трети състав) от 14 декември 2023 по дело С-340/21, с Определение № 573/20.12.2023 г. производството е възобновено и делото е насрочено за разглеждане в публично съдебно заседание, за което страните са били редовно призовани.

Предмет на разглеждане е предявен от С. С. С., с [ЕГН], от [населено място], [улица] иск по чл. 1, ал. 1 ЗОДОВ срещу НАП – София, за присъждане на обезщетение за неимуществени вреди в размер на 1000 лева, представляващи претърпени от ищеца стрес, психическо напрежение, страх, притеснение, негативни преживявания и емоции вследствие от незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му, произтичащи от чл. 59, ал. 1 ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR/ОРЗД), ведно със законната лихва, считано от датата на завеждане на исковата молба евентуално от датата на изтичане на личните данни - 15.07.2019 г., до окончателното изплащане на сумата. Претендира разноски.

В исковата молба се твърди, че на 15.07.2019 г. по медиите станало известно, че при т.нар. “хакерска атака” от електронните масиви на НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани. При справка от интернет портала на НАП ищецът бил уведомен, че попада сред лицата, чиито лични данни са били разкрити, което изключително много го притеснило. Опасявал се, че с неговите лични данни може да бъде злоупотребено, да бъде отчуждено имуществото му, да бъдат изтеглени влоговете му или да бъдат изтеглени кредити от негово име, да бъде открадната самоличността му и да бъде използвана по всевъзможни начини, които биха му навредили. Притеснявал се и от физически нападения, заплахи, изнудвания, отвличания и т.н. Всичко това изключително много го натоварило психически, живеел в постоянен страх, стрес и напрежение, което повлияло негативно на нормалния ритъм на живота му, на отношенията му с хората, на ежедневието му. Твърди се, че ответната агенция не е изпълнила задълженията си по чл. 24 и чл. 32 ОРЗД и чл. 59, ал. 1 ЗЗЛД да осигури ефективни мерки за защита на личните данни, с което е допуснала пробив в информационната си система, причинил публичното разкриване и разпространение на лични данни на много лица, в т.ч. и на ищеца. Поддържа се, че с неправомерното си бездействие тя е нарушила и разпоредбите на чл. 45, ал. 1, т. 6, чл. 64, чл. 66, чл. 67 и чл. 68 ЗЗЛД, което е довело до т. нар. „нарушение на сигурността на лични данни“, регламентирано в §1, т. 10 ДР на ЗЗЛД, във вр. чл. 4, т. 12 ОРЗД. Всички тези нарушения са в пряка причинна връзка с претърпените от ищеца неимуществени вреди, което е основание за обезщетяването им от ответника съгласно чл. 82, ал. 1 ОРЗД, вр. чл. 1, ал. 1 ЗОДОВ.

Ответникът – НАП - София, чрез процесуалния си представител, оспорва допустимостта на иска с твърдения, основани на разпоредбата на чл. 39, ал. 2 ЗЗЛД. В условията на евентуалност оспорва основателността на иска по съображения, че е изпълнил в най-добра степен задължението си да защити по сигурен начин личните данни, като е предприел необходимите технически и организационни мерки за това. Сочи, че неправомерното разкриване на лични данни е резултат от престъпно деяние по смисъла на НК, а не неправомерно бездействие на негови органи или служители, поради което не следва да носи отговорност за вреди. Възразява срещу твърденията в исковата молба за неполагане на достатъчно грижа и неприлагане на ефективни мерки за защита на сигурността на личните данни, защото и към настоящия момент липсва акт, в който да е описано и доказано в какво се състои техническата уязвимост на информационната система на НАП и как тази уязвимост е предпоставила и улеснила извършването на неоторизирания достъп в условията на причинно – следствена връзка. Сочи, че разкритата информация е частична и не може да се използва злонамерено без допълнителна обработка, като НАП е оповестила публично, че няма непосредствена опасност за възможни злоупотреби с личните данни и имуществото на засегнатите лица, поради което не е имало причини за основателни съмнения и страхове у ищеца.

В допълнително изявление вх. № 446/05.02.2024г. подадено чрез ю.к. И., ответникът поддържа, че не е доказано бездействие на НАП, понеже в приложените доказателства по делото имало не само разписани правила и предвидени мерки от администрацията на НАП, но и редица доказателства за незабавната реакция на агенцията след изтичане данните на лицата, за да минимизира риска от злоупотреби и да внесе яснота сред обществото какви точно данни и в какъв техничен вид са изтекли. Изтеклите данни били частични и нечетими от лица без специални знания и за да се използвали злонамерено, било необходимо да бъдат допълнително обработени. Позовава се на Решение от 14.12.2023 г. на Съда на Европейския съюз, по дело С-340/21 с предмет преюдициално запитване, отправено от ВАС, относно прилагането на чл. 82, § 2 и § 3 от ОРЗД, от който следва, че макар администратора на лични данни да носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава Регламента, той все пак се освобождава от отговорност, ако докаже че по никакъв начин не е отговорен за събитието, причинило вредата. Моли исковата претенция да бъде отхвърлена като неоснователна и претендира присъждане на разноски за юрисконсултско възнаграждение.

Представителят на ОП - Добрич изразява становище за основателност и доказаност на исковата претенция и пледира съдът да присъди обезщетение за претърпените от ищеца неимуществени вреди в размер, определен по справедливост.

Добричкият административен съд, като взе предвид доводите на страните и прецени доказателствата по делото, приема за установено от фактическа и правна страна следното:

Процесуалният ред, по който засегнатият субект може да търси обезщетение за вреди от неправомерно обработване на личните му данни, е уреден в Глава ХІ "Производство за обезщетения" на АПК. В зависимост от правната характеристика на източника, от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени различни процесуални възможности за реализиране на правото на обезщетение. В случаите, в които се търси обезщетение за вреди от бездействие на администратора на лични данни, незаконосъобразността на бездействието се установява от съда, пред който е предявен искът за обезщетение, на основание чл. 204, ал. 4 АПК. Затова съдът приема, че предявеният иск е процесуално допустим. Същият черпи правното си основание от разпоредбите на чл. 79, ал. 1, чл. 82, § 1 от ОРЗД във връзка с чл. 39 ЗЗЛД, чл. 203 АПК, вр. чл. 1, ал. 1 ЗОДОВ.

Между страните по делото няма спор, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От приложената към исковата молба и неоспорена от ответника справка се установява, че разкритите данни за ищеца включват ЕГН и данни от годишна данъчна декларация по чл.41 от ЗОДФЛ за 2004 г. и данни от декларации, подадени от работодатели/осигурители за осигурените от тях лица (декларация обр. № 1 от Наредба Н8) за период 2008 г.

В изпълнение на указания, дадени и при първоначалното разглеждане на делото, ответникът е представил множество писмени доказателства, с които да докаже, че е предприел всички мерки за защита на личните данни. При повторното разглеждане на делото по исковата претенция, в изпълнение на дадените указания от Върховния административен съд, на ответната страна са дадени изрични указания с Определение № 573/20.12.2023 г., че носи тежестта да докаже, че в качеството си на администратор, обработващ лични данни, по никакъв начин не е отговорен за събитието, причинило вреди. Н. ответника бе указано също, че той носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 ОРЗД (Общия регламент за защита на данните) са подходящи.

Процесуалният представите на ответника в писмена молба с вх. № 1513/19.04.2024 г. представя допълнителни доказателства, извън събраните при първоначалното разглеждане на делото и моли за отхвърляне на иска.

Съгласно представените по настоящото дело и при предходното му разглеждане доказателства съдът прие за установено следното:

Със заповед № 3ЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС IS0/IEC 27001: 2006 в НАП. Със заповед № 3ЦУ-1436/15.10.2018 г. на изпълнителния директор на НАП са утвърдени "Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП", "Указания за обозначаване и работа с информация", "Указания за попълване на образци на процедура", "Указания за попълване на образеца на инструкция" и др. Със заповед № 3ЦУ-733/17.06.2016 г. на изпълнителния директор на НАП са утвърдени процедура и вътрешни правила за мрежовата и информационната сигурност. Със заповед № 3ЦУ-1236/21.08.2019 г. на изпълнителния директор на НАП е утвърдена процедура ИС17 "Администриране на информационна система в НАП", версия В. Със заповед № 3ЦУ-482/01.04.2019 г. на изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП. Със заповед № 3ЦУ-83/23.01.2013 г. на изпълнителния директор на НАП са определени вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно–осигурителната сметка и сроковете за съхранение на архивираната информация. Със заповед № 3ЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени "Указания за унищожаване на информация и информационни системи в НАП". Със заповед № 3ЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП. В НАП е изработена Методика за анонимизиране на индивидуални данни, версия 1, към м. януари 2017 г.

По делото е представено Писмо с изх. № ППН-01-356/2020#1 от 28.05.2020 г. на Комисията за защита на личните данни (л. 39 и сл.), в уверение, че в хода на извършена проверка от страна на КЗЛД е установено, че при осъществяване на дейността си НАП, в качеството си на администратор на лични данни, не е приложила подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение на лични данни на физически лица в различен обем. Въз основа на тези констатации председателят на КЗЛД е издал наказателно постановление срещу НАП за нарушение на чл. 32, § 1, б. "б" от регламент (ЕС) 2016/679. С решение № ППН-02-399/22.08.2019 г. по описа на КЗЛД на НАП е издадено и разпореждане за предприемане на подходящи технически и организационни мерки за целта. Посочено е също, че пред КЗЛД няма висящо или приключило производство, инициирано от ищеца С. срещу НАП.

Относно издаденото срещу НАП Наказателно постановление № 004/28.08.2019 г. на председателя на Комисията за защита на личните данни, в настоящото производство се установи, че същото е било потвърдено с невлязло в сила решение на Софийски районен съд от 26.10.2023 г. по нахд № 14811/2019 г. В производството по оспорване на решението на СРС е изтекла давността за ангажиране на имуществената отговорност на НАП по реда на ЗАНН, поради което с Решение № 1247/26.02.2024 г. по канд № 12334/2023 г. решението на СРС и наказателното постановление са отменени (л. 70 – 72).

За доказване на претърпените от ищеца неимуществени вреди по делото са събрани гласни доказателства. При първоначалното разглеждане на делото съдът е разпитал свидетелите Р. Д. Р. и Д. Г. М.. От неоспорените от ответника показания на двамата свидетели се установява единодушно, че след като разбрал за разкриването на личните му данни, С. се притеснил, че някой може да злоупотреби с тях. Безпокоял се, че имотното му състояние може да бъде накърнено. Страхувал се от документални измами. Личните данни на двамата свидетели също били разкрити и в началото си споделяли информация с ищеца, след което завели дела по ЗОДОВ срещу НАП. Втората свидетелка твърди, че С. идвал веднъж седмично в магазина, в който работела, и често се оплаквал, че са изтекли данните му. Коментирал това с шефа й, с когото били приятели, но и с нея, защото била в същата ситуация. Оплаквали се, жалвали се един на друг, какво може да се случи. Притесненията му били силни, като това продължило около два – три месеца. И двамата свидетели са познати, а първият свидетел е и колега на ищеца, виждали са се веднъж или два пъти седмично, разговаряли са редовно, поради което имат лични и непосредствени впечатления от поведението му, както и от емоционалното му състояние през този период.

При повторното разглеждане на делото бе разпитан свидетеля И. Г. З., който пояснява, че познава ищеца С., както в личен план, така и в служебен план. Б. колеги в ОДМВР-Добрич. Ищецът отговарял за връзките на дирекцията с обществеността. Познава го като отговорен човек. Когато разбрал за изтеклите лични данни от НАП, бил притеснен за семейството си. Споделял, че с изтичане на данните се страхува за сметките си, за семейството си и за сигурността им. Това, че работи в полицията му е давало повече отговорности, а вличен план споделял своите притеснения. Повече от година изпитвал силни притеснения.

Съдът възприема показанията на разпитаните по делото свидетели като логични и дадени добросъвестно и ги кредитира като обективни и достоверни.

Показанията им са последователни, логични и безпротиворечиви и не са оспорени от ответника, поради което съдът ги кредитира като обективни и достоверни.

При така установената фактическа обстановка съдът намира от правна страна следното:

Предявеният иск е и частично основателен по размер.

Във фактическия състав на отговорността за вреди по чл. 1, ал. 1 от ЗОДОВ се включват следните елементи – незаконосъобразен акт, действие или бездействие на орган или длъжностно лице на държавата или общината при или по повод изпълнение на административна дейност, отменени по съответния ред, вреда от такъв административен акт, действие или бездействие и причинна връзка между постановения незаконосъобразен акт, действие или бездействие и настъпилия вредоносен резултат. При липсата на който и да е от елементите на този фактически състав не може да се реализира отговорността на държавата или общината по реда на чл. 1, ал. 1 ЗОДОВ.

Разпоредбата на чл. 82, § 2 ОРЗД определя, че администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях. Разпоредбата ясно сочи, че фактическият състав на отговорността по чл. 82, § 2 ОРЗД е идентичен с фактическия състав на отговорността по чл. 1, ал. 1 ЗОДОВ и включва доказване на: нарушение на правата на субекта на данни в резултат на обработване на личните му данни, което не е в съответствие с регламента; причинена материална или нематериална вреда; причинна връзка между нарушението на правата по регламента и причинената вреда.

При решаването на спора следва да се има предвид, че чл. 5, § 2 ОРЗД въвежда принцип на отчетност, по силата на който администраторът носи отговорност за спазването на принципите, свързани с обработването на лични данни, закрепени в параграф 1 от чл. 5, и предвижда, че посоченият администратор трябва е в състояние да докаже, че тези принципи са спазени.

В случая исковата претенция се основава на незаконосъобразно бездействие – неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което са нарушени разпоредбите на чл. 24 и чл. 32 ОРЗД и чл. 59, ал. 1 ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал. 2, чл. 67 и чл. 68 ЗЗЛД. Следователно предпоставка за ангажиране на отговорността на ответника е установяване на незаконосъобразността на твърдяното от ищеца бездействие, т. е. че предвидените мерки за защита на данните не са били достатъчни.

В случая е безспорно, че НАП осъществява дейности по обработване на лични данни, необходими за изпълнение на нормативно установените й задължения. Създаването и поддържането на регистър и бази данни на задължените лица по чл. 80, ал. 1 ДОПК е именно такава дейност, свързана с упражняване на правомощията на НАП като специален държавен орган към министъра на финансите за установяване, обезпечаване и събиране на публични вземания по смисъла на чл. 2, ал. 1, във вр. чл. 3, ал. 1 ЗНАП. Регистърът на НАП служи за идентифициране на задължените лица и извършваната от тях дейност, подлежаща на контрол, като агенцията създава и поддържа множество специални регистри по чл. 83 ДОПК, които са неразделна част от регистъра, поддържа и съхранява архив на лицата с прекратена регистрация по чл. 83, ал. 3 ДОПК, открива и поддържа данъчно – осигурителни сметки на задължените лица по чл. 87, ал. 1 ДОПК, които съдържат данъчна и осигурителна информация, както и поддържа и съхранява архив на данъчно-осигурителните сметки по чл. 87, ал. 4 с.к.

В качеството си на администратор на лични данни НАП следва да прилага подходящи технически и организационни мерки и съгласно чл. 59, ал. 1 ЗЗЛД, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. При необходимост тези мерки се преразглеждат и актуализират.

Същото задължение се съдържа и в чл. 24, като и в чл. 32 ОРЗД където са предвидени конкретните мерки, които следва да се предприемат при администрирането и обработването на лични данни. Тези задължения са въведени, за да се гарантира един от основните принципи на обработване на лични данни, прогласен в чл. 5, § 1, б. "е" ОРЗД – цялостност и поверителност на данните.

Следователно отговорността на ответника произтича от специфичния характер на дейността му по обработване на лични данни, включваща създаване, поддържане и актуализация на регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в тях информация и контролирания достъп до нея. Като административен орган със статут на юридическо лице, който следи тази дейност да бъде изпълнявана в съответствие с нормативно установените изисквания, той носи отговорност за вредите от незаконните действия и/или бездействия на включените в състава му органи и служители при извършване на дейността по чл. 1, ал. 1 ЗОДОВ във вр. с чл. 82, § 1 от ОРЗД.

В случая е безспорно, че вследствие на безпрепятствено проникване в информационната система на НАП, т. нар. хакерска атака, е осъществено неправомерното разкриване и разпространение на лични данни на ищеца. Изтичането на информация от сървърите на НАП в резултат на извършен неоторизиран достъп категорично сочи на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1, т. 4 ДР на ЗЗЛД, вр. чл. 4, т. 2 ОРЗД, в т. ч. правото на защита на личните им данни.

По делото са събрани доказателства за неправомерно изтичане от информационната система на НАП личните данни на ищеца, до които е имало неправомерен достъп. Следователно той е доказал твърдението си за наличието на нарушено негово право – на защита на личните му данни от администратора на тези лични данни, което право е накърнено от неправомерния достъп до тези данни и разпространяването им в интернет пространството.

С оглед чл. 82, параграф 3 ОРЗД, предвиждащ че администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда.

В т. 3 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС изрично е посочено, че принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи.

Настоящият съдебен състав приема, че отговорните служители на НАП не са приложили подходящи технологии и мерки за защита, затова системата не е била достатъчно защитена и нейната техническата уязвимост е довела до нерегламентирания достъп до личните данни на ищеца.

При новото разглеждане на делото ответникът не ангажира доказателства, за да докаже, че е приложил подходящи организационни и технически мерки за осигуряване на нивото на риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Представените доказателства за предприети действия касаят времето след "изтичането" на данните и не доказват, че взетите преди то да се случи мерки са били ефективни и подходящи. Ако информационната системата на НАП беше ефективно и надеждно защитена, то не би се стигнало до пробива й, причинил разкриването на личните данни на толкова много правни субекти, над шест милиона, вкл. и на ищеца. Логично е заключението, че ако системата за защита беше ефективна, то неправомерното разкриване на данните би засегнало много по-малко лица.

Затова съдът приема за недоказано твърдението на ответника, че той по никакъв начин не е отговорен са събитието, довело до неправомерно разкриване на лични данни.

Отмяната на издаденото от председателя на КЗЛД наказателно постановление не може да се разглежда като факт доказващ, че НАП не е отговорна за събитието. Наказателното постановление е отменено поради изтекла абсолютна давност, на не поради доказана в съдебно производство липса на отговорност за неправомерно поведение.

Неоснователни са доводите на ответника, че вредите са причинени от престъпното деяние, а не от виновно поведение на служители на НАП. Правно ирелевантно е обстоятелството, че изтичането на лични данни е в резултат от правонарушение или престъпление, извършено от трето лице, след като НАП е отговорна за събитието. Това е установено изрично при тълкуванието на член 82, § 3 от ОРЗД дадено в т. 74 от решението на СЕС по дело С-340/21, а именно: "С оглед на всички гореизложени съображения на четвъртия въпрос трябва да се отговори, че член 82, параграф 3 ОРЗД следва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от "трета страна" по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.".

Правно значимо е обстоятелството, че НАП като субект, обработващ лични данни, е задълженото лице, носещо отговорност за тяхната защита. Наличието на одобрени процедури, правила, политики, инструкции, указания и методики не опровергава извода, че е била нарушена сигурността на обработваните данни, след като те са били публично разкрити.

Без правно значение е и възражението на ответника, че липсва акт, в който да е описано и доказано в какво се състои техническата уязвимост на информационната система на НАП и как тази уязвимост е предпоставила и улеснила извършването на неоторизирания достъп в условията на причинно – следствена връзка. Техническата уязвимост очевидно е налице независимо от нейния произход, естество и обхват, а съществуването й като обективен факт в действителността само по себе си е предпоставка за извършения неоторизиран достъп.

Съгласно съображение 26 от преамбюла на ОРЗД принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко. Личните данни, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. Няма спор, че трите имена и ЕГН на ищеца, както и данните в декларациите му по чл. 41 ЗОДФЛ за 2004 г. и данни от декларации, подадени от работодатели/осигурители за осигурените от тях лица (декларация обр. № 1 от Наредба Н8) за период 2008 г са достатъчни за идентифицирането му, поради което правилата на закона и регламента и произтичащите от тях задължения за НАП се отнасят за обработването и на тази информация независимо от нейния частичен обем.

С оглед на изложеното съдът приема, че е налице първата предпоставка за ангажиране на отговорността на НАП, представляваща незаконосъобразно бездействие по предприемане на необходимите мерки и ефективни средства за защита, произтичащи от задълженията по чл. 59, ал. 1 оЗЗЛД, чл. 24 и чл. 32 ОРЗД, вследствие на което е възникнал противоправният резултат, изразяващ се в нерегламентиран достъп и неразрешено разкриване на лични данни на ищеца С..

Наличието на втората предпоставка от състава на чл. 1, ал. 1 ЗОДОВ и чл. 82, § 1 ОРЗД, а именно – наличие на претърпени неимуществени вреди също бе установено от ищеца. Посредством пълно и главно доказване същият съумя да установи както вида и тежестта на вредите, така и техния интензитет и отражението им върху неговото здравословно и душевно състояние.

В исковата си молба ищецът твърди, че е преживял стрес, безпокойство, притеснение, почувствал се е застрашен от физическо посегателство, изнудвания, злоупотреби. От показанията на разпитаните по делото свидетели се установява безспорно, че действително С. е имал подобни опасения. Съзнавал е напълно до какви възможни неблагоприятни последици за него може да доведе разкриването на личните му данни – имена, ЕГН, информация от данъчни декларации. Негативните емоции и психически дискомфорт, който изпитвал всеки средностатистически на емоционално ниво човек и които са породени от опасения, че в един неизвестен бъдещ момент може да бъде злоупотребено с неговите лични данни, са достатъчни да обосноват причиняване на неимуществени вреди в резултат на страх и безпокойство.

Гласните доказателства установяват причиняването на неимуществени вреди на ищеца, както и че тези неимуществени вреди са пряка и непосредствена последица от разкриването на личните му данни.

Ирелевантни са доводите на ответника, че веднага след изтичането на данните било публично оповестено от компетентните органи и институции, че няма непосредствена опасност за възможни злоупотреби с личните данни и имуществото на гражданите, защото това не променя извода, че ищецът е преживял психически неудобства и емоционално напрежение, които са отражение на неговото вътрешно състояние и субективно усещане за заплаха или неизбежна опасност. Личните нагласи и очаквания за спокойствие и сигурност се подчиняват на психологическите особености и мотиви на всяка човешка личност и зависят от нейните индивидуални възможности за справяне с конкретното положение. Предприетите мерки за гарантиране на сигурността и безопасността на гражданите и тяхното имущество след неправомерното разкриване на личните данни не изключват настъпилите у ищеца негативни емоции и преживявания, които безспорно са повлияли на поведението и начина му на живот за известен период от време.

С оглед изложеното съдът приема, че ищецът е претърпяла вреди от неимуществен характер вследствие изтичането на личните му данни, които се изразяват в чувство на тревожност и безпокойство, притеснение, несигурност и страх от злоупотреби. Претърпените от ищеца психически и емоционални неудобства са в резултат от неизпълнение на вмененото от закона задължение на НАП по осигуряване на защита на обработваните от нея данни на задължените лица, проявено под формата на бездействие, поради което тя следва да понесе неблагоприятните последици от това неизпълнение.

Съгласно чл. 82, § 1 ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

В съответствие на това съдът намира, че е осъществен фактическият състав на отговорността по чл. 82, § 2 ОРЗД във вр. с чл. 1, ал. 1 ЗОДОВ, поради което за ищеца е възникнало субективното право по чл. 82, § 1 ОРЗД да претендира обезщетение за причинените му неимуществени вреди, а за ответника е възникнало задължението за тяхното репариране.

Съгласно чл. 4 ЗОДОВ държавата и общините дължат обезщетение за всички имуществени и неимуществени вреди, които са пряка и непосредствена последица от увреждането. Законът не установява критериите за определяне на паричния еквивалент на моралните вреди (болки и страдания), поради което и по аргумент от препращащата норма на § 1 ЗОДОВ следва да се приложи разпоредбата на чл. 52 ЗЗД, която постановява, че обезщетението за неимуществени вреди се определя от съда по справедливост. Изискването за справедливо определяне на обезщетението за неимуществени вреди е свързано с преценката на конкретни обективно настъпили обстоятелства, включително характер и степен на увреждане, трайност и степен на интензитет, възраст на увредения, обществено и социално положение и др. Според гласните доказателства, негативните изживявания на ищеца били особено интензивни след узнаването за нерегламентираното оповестяване на личните му данни. Като се има предвид възрастта на ищеца, продължителността и интензитета на преживения страх и притеснения, които нямат трайни последици за психическото и физическото му състояние и не надхвърлят рамките на обичайното негативно човешко изживяване в ситуация на неправомерно разкриване на лични данни съдът приема, че справедливият размер на обезщетението за неимуществени вреди се равнява на сумата от 300 лева. До този размер искът за неимуществени вреди е основателен и доказан и следва да бъдат уважен, като за горницата до 1000 лева подлежи на отхвърляне като неоснователен и недоказан.

Върху сумата за обезщетение следва да бъде присъдена и лихва за забава, но не от датата на изтичане на данните, нито от датата на завеждане на исковата молба, както се претендира в исковата молба. Лихва се дължи от момента, в който бъде установено по предвидения в закона ред, че действията/бездействията на служители на НАП са незаконосъобразни, тъй като вземането за обезщетение за вреди възниква след признаване на незаконността на акта, действието или бездействието на държавния орган. В този случай вредите произтичат от бездействиe на администрацията и обезщетяването им следва да се иска след признаването му за незаконно от съда. С влизане в сила на решението вземането за обезщетение става изискуемо и от този момент се дължи и законна лихва върху него. В тази насока е и т. 4 от ТР № 3 от 2004 г. на ВКС. С оглед на изложеното върху уважената част от иска следва да бъде присъдена лихва за забава, считано от датата на влизане в сила на решението.

Съобразно изхода от делото и на основание чл. 10, ал. 3 ЗОДОВ ответникът следва да бъде осъден да заплати на ищеца внесената държавна такса в размер на 10 лева и разноски за адвокат в размер на 300 лева (л. 100). Ищецът има право и на разноски за адвокатско възнаграждение от 300 лева при първоначалното разглеждане на делото пред първата инстанция, за които е представил доказателства (договор за правна защита на л. 9). Общата сума на разноските направени от ищеца възлиза на 610 лева, като съразмерно с уважената част от иска, дължимите от ответника разноски възлизат на 183 лева. Н. основание чл. 10, ал. 4 ЗОДОВ, във вр. чл. 37, ал. 1 ЗПП и чл. 25, ал. 1 НЗПП, ответникът също има право на разноски за юрисконсултско възнаграждение в размер на по 100 лева за всяко разглеждане на делото, съразмерно с отхвърлената част от иска дължимата от ищеца сума възлиза на 140 лева.

Водим от изложеното, съдът

Р Е Ш И :

ОСЪЖДА НАП – София да заплати на С. С. С., с [ЕГН], от [населено място], [улица], обезщетение за неимуществени вреди в размер на 300 лева, представляващи претърпени от ищеца стрес, психическо напрежение, страх, безпокойство, притеснение, негативни преживявания и емоции вследствие от незаконосъобразното бездействие на ответника, изразяващо се в неизпълнение на задълженията му по чл. 59, ал. 1 ЗЗЛД, чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския парламент и на Съвета от 27.04.2016, довело до неправомерното разкриване и разпространение на лични данни на ищеца, ведно със законната лихва, считано от датата на влизане в сила на решението по настоящото дело до окончателното изплащане на сумата, К. О. иска за горницата му до 1000 лева.

ОСЪЖДА Национална агенция по приходите, [населено място] да заплати на С. С. С., с [ЕГН], от [населено място], [улица], сумата от 183 лева, представляващи сторени разноски по настоящото дело и по предходното му разглеждане.

ОСЪЖДА С. С. С., с [ЕГН], от [населено място], [улица] да заплати на Национална агенция по приходите, [населено място], сумата от 140 лева, представляващи сторени разноски по настоящото дело и по предходното му разглеждане.

РЕШЕНИЕТО може да се оспорва с касационна жалба пред Върховния административен съд на Република България в четиринадесетдневен срок от съобщаването му на страните.

Съдия: