Решение по дело №1723/2021 на Административен съд - Пловдив

Производството е по реда на чл. 203 и сл. от Административнопроцесуалния кодекс /АПК/ във връзка с чл. 1, ал. 2 от Закон за отговорността на държавата и общините за вреди /ЗОДОВ/.

Образувано е по искова молба, предявена от А. Г. Г.,[ЕГН] с постоянен адрес гр.Карлово, [улица]против Националната агенция по приходите иск с правно основание чл. 1, ал. 1 ЗОДОВ за присъждане на обезщетение в размер на 500 лева за неимуществени вреди, ведно със законната лихва от 15.07.2019г. до окончателното й изплащане, в резултат на незаконосъобразно фактическо бездействие на Национална агенция за приходите да изпълни задълженията си по чл.24 и чл.32 от Общия регламент за защита на личните данни /ЕС/2016/679 на Европейския парламент и на Съвета от 27.04.2014 г. /GDPR/ и по чл. 45, ал.1,т.6,чл.59, ал.1,чл.64,чл.66, ал.1 и ал.2, чл.67 и чл.68 от Закона за защита на личните данни/ЗЗЛД/, довело до нарушение на сигурността на личните данни по смисъла на §1, т.10 от ДР на ЗЗЛД вр. чл.4, т.12 от Регламент 2016/679 и допуснат пробив в информационната система на НАП с резултат публично разгласяване на личните данни на около 5 000 000 български граждани/граждани на ЕС/, станало публично известно чрез медиите на 15.07.2019г.

С исковата молба се посочва, че конкретните форми на неизпълнение на задълженията на ответника се изразяват в бездействие, тъй като изтичането на данни е могло да бъде избегнато, ако са били взети всички необходими организационни и технически мерки. Уточнява, че претърпените неимуществени вреди се изразяват в преживяване на вътрешни душевни страдания и чувство на страх и тревожност от използването на личните данни за всевъзможни злоупотреби с тях за период от 27.07.2019г. до 28.06.2021г.

Претендира се присъждане на сторените разноски в производството.

В съдебно заседание ищецът редовно призован не се явява и не се представлява.

Ответникът – Национална агенция за приходите, редовно призована, се представлява от юрисконсулт С. Т.. В писмен отговор оспорва предявения иск като неоснователен и недоказан. Твърди, че НАП като администратор на лични данни е предприела редица технически и организационни мерки за защита при обработването на лични данни, съобразени с Регламент /ЕС/ 2016/679 на Европейския парламент и Закона за защита на личните данни. Оспорват се твърденията на ищеца за неполагане на достатъчна грижа, неприлагане на ефективни мерки за защита сигурността на данните и неправомерното бездействие от страна на ответника. Претендира присъждане на юрисконсултско възнаграждение.

Участвалия по делото прокурор – представител на Окръжна прокуратура гр.Пловдив счита предявеният иск за неоснователен и недоказан, който като такъв следва да бъде оставен без уважение.

Административен съд Пловдив, след като прецени становищата на страните и събраните по делото доказателства, намира за установено следното от фактическа страна:

Не се спори по делото, че на 15.07.2019 г. поради нерегламентиран достъп е изтекла информация относно личните данни от масивите на Национална агенция за приходите на общо 6 074 140 физически лица, от които 4 104 786 живи физически лица, български и чужди граждани, и 1 989 598 починали физически лица.

По делото като доказателство е представена справка от НАП/л.216 от делото/, от която се установява, че за А. Г. Г. са изтекли следните лични данни : ЕГН и имена, Данни от Справка за изплатени доходи на физически лица/чл.73 от ЗДДФЛ/ за 2014г.; Данни от Справка за изплатени доходи на физически лица/чл.73 от ЗДДФЛ/ за 2018г. В подкрепа на горното доказателство, по делото е приета като доказателство приложена от НАП справка за изтекли лични данни за ищеца.

В защита на твърдението си, че при обработване на личните данни са използвани подходящи организационни и технически мерки Националната агенция за приходите се позовава на приложените към писмения отговор на исковата молба, доказателства /л.59- л.202 от делото/ както следва : Заповед на изпълнителния директор на НАП №ЗЦУ-586 от 30.04.2014 г. за внедряване на СУСИ по стандарт БДС/ 180*ШС 27001; Заповед на изпълнителния директор на НАП №3-ЦУ-1436 от 15.10.2018г. за утвърждаване на Указания за обозначаване и работа с информацията, версия 3.1, ведно с Указания за обозначаване и работа с информацията, версия 3.1;Заповед на изпълнителния директор на НАП №ЗЦУ-733 от 17.06.2016 г. за утвърждаване на процедури към отдел „Превенция на финансовата и информационната система" в Инспекторат относно информационната сигурност, Вътрешни правила за мрежовата и информационната сигурност и Политика по информационната сигурност на НАП, версия 3.0; Утвърдени процедури към отдел „Превенция на финансовата и информационната система" в Инспекторат: извършване на действия при съмнение за инцидент, касаещ информационната сигурност; извършване на проверка за спазване изискванията на системата за управление на информационната сигурност; извършване на преглед от ръководството за ефикасността на системата за управление на информационната сигурност; оценка на риска за информационната сигурност с четири приложения; извършване на наблюдение и отчитане на резултатността на внедрените механизми за контрол на информационната сигурност в НАП;извършване на коригиращи действия по СУИС;Правила за ползване на електронната поща и Интернет в Националната агенция за приходите, версия 3.0; Правила за използване на мрежови файлови ресурси в Националната агенция за приходите, версия 2.0;Правила за правата и задълженията на потребителите, ползващи информационните активи в Националната агенция за приходите, версия 2.0;Правила за работа от разстояние в Националната агенция за приходите, версия 2.0;Правила за работа с преносими информационни активи в Националната агенция за приходите, версия 2.0;Правила за управление на достъпа до информационни активи и услуги в Националната агенция за приходите, версия 2.0;Заповед на изпълнителния директор на НАП №3-ЦУ-1236 от 21.08.2019 г. ведно с утвърдена процедура ИС17 Администриране на информационна система в НАП, версия В; Заповед на изпълнителния директор на НАП №3-ЦУ-482 от 01.04.2019 г. за определяне на служители с администраторски достъп до информационните активи и услуги на НАП;Заповед на изпълнителния директор на НАП №ЗЦУ-83 от 23.01.2013 г. за определяне на вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно-осигурителната сметка и сроковете за съхранение на архивираната информация; Списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздействието върху защитата на данните съгласно чл. 35, нар. 4 от Регламент (ЕС) 2016/679;Заповед №ЗЦУ - 1596 от 29.11.2017 г., ведно с утвърдени Указания за унищожаване на информация и информационни носители в НАП, ведно с приложенията към него, както следва:Препоръчителен софтуер за изтриване на информация и верификационна проверка (Приложение № 1); Описание на методите и минимални препоръки за санитарна обработка (саниране) на данни и софтуер (Приложение №2);Образец на Протокол за унищожаване на информация и/или информационен носител (Приложение №3);Вътрешните правила за оборот на електронни документи и документи на хартиен носител в НАП, утвърдени със Заповед №ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП;Инструкция №2 от 08.05.2019 г. за мерките и средствата за защита налични данни,обработвани в Националната агенция за приходите и реда за движение на преписки и заявяване на регистри; Политика по информационна сигурност на НАП; Предложение на изпълнителния директор на НАП до Управителния съвет на НАП; Решение на Управителния съвет на НАП РМФ№56 от 28.09.2010 г. за създаване на дирекция „Превенция на финансовата и информационна сигурност", на пряко подчинение на изпълнителния директор на НАП; Заповед № ЗЦУ-825/17.06.2020г. на изпълнителния директор на НАП Г. Д., ведно с Удостоверение, издадено от зам.-изпълнителния директор на НАП П. Д.;Писмо до Софийска градска прокуратура. Допълнително с писмена молба от пълномощника на ответника са представени и са приети и следните писмени доказателства, съгласно молба на л.203- л.209 от делото : Писмо по Протокол Рег № ДАЕУ -12375/12.12.2018г. от Председателя на Държавна агенция „Електронно управление“ до изпълнителния директор на НАП, удостоверяващи извършена проверка в НАП, съгласно чл.60 от Закона за електронното управление; Писмо № ЕП – 233#1 от 19.12.2018г. от изпълнителния директор на НАП до председателя на ДАЕУ, с което се изисква разяснение и конкретизиране на направените препоръки с писмото по Протокола; Писмо рег.№ ДАЕУ- 393/04.01.2019г. от председателя на ДАЕУ до изпълнителния директор на НАП, с което се предоставят изисканите разяснения.

При така установената фактическа обстановка, съдът прие следните правни изводи:

Предявен е иск от А. Г. Г. срещу Национална агенция по приходите (НАП) с правно основание чл. 82, § 1 от Регламент (ЕС) 2016/679 за заплащане на сумата в размер на 500 лева, представляваща обезщетение за претърпени неимуществени вреди, настъпили в резултат на неизпълнение в достатъчна степен от ответника на задължението по чл. 24 и чл. 32 от Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR), заедно със законната лихва върху тази сума, считано от 15.07.2019 г. до окончателното й изплащане.

Разгледан по същество искът за обезщетение е основателен.

Уважаването на така предявения иск за обезщетение налага при условията на пълно и главно доказване от ищцовата страна да се установят и трите елемента от фактическия състав на непозволеното уреждане, обуславящи причинени вреди по чл. 82 ОРЗД, а именно: нарушение на Регламент (ЕС) 2016/679, извършено от администратора на данни, претърпяна от лицето имуществена или неимуществена вреда и причинна връзка между вредата и нарушението. В тежест на ответника е при условията на обратно пълно доказване да установи, че прилаганите от него мерки за сигурност са достатъчни и подходящи съгласно чл. 24 и чл. 32 от Регламента. Това е тъка, тъй като с разпоредбата на чл. 24, § 1 от Регламент (ЕС) 2016/679 се изисква администраторът на лични данни да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и взетите от него технически мерки с оглед естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, а чл. 32 от регламента пък изисква тези мерки да са в съответствие с достиженията на техническия прогрес и да осигуряват ниво на сигурност съобразно рисковете на обработването.

Съдът съобразява тълкуването на горните разпоредби и с оглед решението на Съда на Европейския съюз (СЕС) по дело С-340/21 г., според което разпоредбите на чл. 24 и чл. 32 ОРЗД трябва да се тълкуват в смисъл, че неоторизираното разкриване на лични данни не е достатъчно за да се приеме, че техническите и организационни мерки, приложени от администратора, не са били подходящи. От друга страна обаче в решението се посочва, че предприетите мерки от администратора на лични данни трябва да бъдат оценявани за всеки конкретен случай, като се преценят рисковете свързани със съответното обработване, както и дали съдържанието и изпълнението на мерките са подходящи за тези рискове, като същият не следва да бъде освободен от отговорност, само защото вредата е резултат от неразрешено разкриване от трета страна, а трябва да докаже, че по никакъв начин не е отговорен за събитието, довело до съответните щети. Съгласно разпоредбата на чл. 154 ГПК всяка страна е длъжна да установи фактите, на които основава своите искания или възражения, като на основание чл. 153 и чл. 155 от ГПК на доказване подлежат спорните факти от значение за решаване на делото и връзките между тях. Съдът с разпореждане от 29.07.2021г. е указал на ответника, че в негова доказателствена тежест е да установи правопогасяващите и правоизключващите си възражения, а именно: че съгласно чл. 24 § 2 и § 3 и чл. 32 от Общия регламент относно защита на личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г., е положил всички усилия и е осъществил всички подходящи политики, взел е всички подходящи мерки за защита на личните данни на всички физически и юридически лица, които притежава и обработва в служебно качество, както и че се придържа към одобрените кодекси за поведение или одобрени механизми за сертифициране, както и че прилага конкретни подходящи технически и организационни мерки, съобразени с конкретните рискове, респективно, че е направил всичко възможно да предотврати нарушението. Въпреки дадената възможност за ангажиране на допълнителни доказателства, включително и съдебно-компютърна експертиза НАП не прояви процесуална активност в настоящия процес за да установи факта, че е предприела всички необходими мерки за защита на личните данни на лицата, в резултат на което да докаже, че по никакъв начин не е отговорна за нерегламентирания достъп до обработваните данни, в резултат на което са настъпили вредите. При условията на пълно насрещно доказване НАП не установи фактите, които са в нейна тежест на доказване, а именно, че взетите от нея мерки са подходящите и достатъчни за да не допуснат неоторизирания достъп на трето лице до личните данни на ищеца. Позоваването на ответника на предприети мерки за защита на личните данни като издаването на заповеди, политики и инструкции за защита на личните данни, обработвани в НАП и реда за движение на преписки и заявяване на регистри не са достатъчни да обосноват извод, че НАП е осъществила всички подходящи политики и мерки за защита на личните данни на всички физически и юридически лица, които притежава и обработва в служебно качество на администратор на лични данни, и които да са съобразени с конкретните рискове, доколкото въпреки тяхното прилагане е осъществен нерегламентиран достъп на трети лица до личните данни на голям брой лица. По делото не се установява действително причината, както и средствата, с които е извършен нерегламентирания достъп като резултат, но безспорно се установява, че такъв пробив е допуснат т. е. в случая течът на лични данни не е предотвратен от взетите мерки, поради което се разколебава твърдението на НАП, че същите са подходящи. В този смисъл неустановяването на причината за нерегламентирания достъп до личните данни на ищеца по съществото си е недоказване на факти от страна на НАП, които биха могли да я освободят от отговорност в качеството й на администратор на лични данни.

Следователно в настоящето производство ответникът не е доказал да е взел подходящите технически мерки преди нерегламентирания достъп до личните данни на ищеца, нито пък че тези, които е прилагал са достатъчни съобразно рисковете в интернет от обработването на личните данни. Безспорно по делото се установи, че НАП не е изпълнила в цялост задълженията си като администратор на лични данни по чл. 24 и чл. 32 ОРЗД, тъй като не доказа в хода на производството да е предприела подходящи мерки за сигурна обработка на личните данни, с което да минимизира риска от нерегламентиран достъп на трети лица.

Ето защо НАП не може да се освободи от отговорност по смисъла на чл. 82, § 3 ОРЗД, тъй като не доказа в настоящето съдебно производство да е изпълнила задължението си да предприеме ефективни мерки за предотвратяване на злоумишлен достъп до личните данни на ищеца.

Предвид горните факти съдът намира, че нарушението е осъществено чрез бездействие от страна на НАП, изразяващо се в неприлагане на подходящи организационни и технически мерки, които в необходимата степен да гарантират защитата на личните данни на ищеца и като последица - неосигуряване подходящо ниво на сигурност на тези данни.

По делото се доказва и причинната връзка между незаконосъобразното бездействие на НАП и претърпяна от ищеца неимуществена вреда, доколкото неизпълнението от страна на ответника на задълженията по ОРЗД е довело до неразрешено разкриване и достъп до съхранените данни, което е причинило твърдените от ищеца болки и страдания. Следователно в резултат от бездействието на ответника е настъпил противоправния резултат.

Обезщетението за неимуществени вреди се определя от съда по справедливост съгласно чл. 52 ЗЗД, но зависи от установените във всеки отделен случай факти и обстоятелства. Справедливостта като законов критерий за определяне паричния еквивалент на моралните вреди включва освен тяхната общовалидна значимост за всяко човешко същество, така и конкретни факти, свързани със стойността, която засегнатите от непозволеното увреждане блага имат за увреденото лице.Действително, в случая ищецът не е ангажирал гласни или писмени доказателства, за да докаже степента на засягане на неговото психическо и емоционално състояние, имащи значение за определяне на размера на обезщетението, въпреки дадената възможност от съда. Поради това съдът за да определи размера в случая е длъжен да обвърже обществения критерий за справедливост с преценка на конкретно проявените и установени по делото обстоятелства, които имат значение за определянето му. Такива обстоятелства са: изтичането на личните данни на ищеца на 15.07.2019 г. и общата продължителност на периода, в който същите са в интернет пространството. Безспорно с факта на изтичането на личните данни на ищеца се засяга неговото обичайно психическо и емоционално състояние, с оглед риска от злоупотреби с тях, като: теглене на кредити, учредяване на ипотеки, залози и др. Това засягане има негативен характер, тъй като с неправомерното обработване на личните данни се засягат правата и законните интереси на ищеца, както и съществува риск от настъпване на неблагоприятни имуществени последици. В този смисъл е и решението на СЕС по дело С-340/21 г., в което се посочва, че самият страх, изпитван от субекта по отношение на възможна злоупотреба с неговите лични данни от трети страни, може да се квалифицира като неимуществена вреда, като не е необходимо каквото и да е активно поведение на пострадалото лице, нито доказване, че притежава някакво имущество или банкови сметки, заради възможността от възлагане на чужди задължения, тъй като според съда характера на обществените отношения по обработването на лични данни, динамиката на тези данни в обществото и самия характер на личните данни са дълбоко свързани с персоналната идентичност на субекта, че дори вероятността за тяхното разкриване винаги има за резултат чувствително засягане психическото и емоционално състояние на лицето. Ето защо съдът не споделя възражението на ответника, че вредите не са реално претърпени, тъй като повече от година от осъществения неоторизиран достъп срещу информационната система на НАП не е констатиран нито един случай на злоупотреба с лични данни като теглене на кредити от чуждо име, учредяване на ипотеки, залози и др.

По изложените съображения съдът намира, че са доказани претърпените от ищеца болки и страдания от категорията на обичайната реакция на страх и безпокойство, т. е. налице е негативно засягане на личността от неправомерното развитие на процесните обществени отношения. Съдът определя по своя преценка съгласно чл. 162 ГПК размера на дължимото обезщетение на 500 лева, като съобрази обичайния размер за подобни случаи, определен съобразно жизнения стандарт в страната.

С оглед на изложеното съдът намира, че ищецът е доказал всички необходими елементи за реализиране правото на обезщетение и отговорност за причинени вреди на основание чл. 82, § 1 от ОРЗД и исковата претенция следва да бъде уважена в размер на 500 лева. Върху размера на приетото за дължимо обезщетение следва да се присъди и законна лихва от датата на увреждането 15.07.2019 г. до окончателното изплащане на обезщетението.

С оглед изхода на спора, на ищеца се дължи присъждане на сторените разноски, които се констатираха в размер на 10 лева – заплатена държавна такса.

Мотивиран от гореизложеното, Административен съд - Пловдив, Второ отделение, 12-ти състав

Р Е Ш И:

ОСЪЖДА Националната агенция за приходите да заплати на А. Г. Г.,[ЕГН] с постоянен адрес гр.Карлово, [улица], сумата в размер на 500 (петстотин) лева, представляваща обезщетение за неимуществени вреди, ведно със законната лихва върху тази сума, считано от датата на увреждането 15.07.2019 г. до окончателното й изплащане.

ОСЪЖДА Националната агенция за приходите да заплати на А. Г. Г.,[ЕГН] с постоянен адрес гр.Карлово, [улица], сумата от 10 (десет) лева разноски по делото.

Решението може да се обжалва с касационна жалба пред Върховния административен съд в 14–дневен срок от съобщаването му на страните.