Р
Е Ш Е Н И Е
№
832/28.10.2020г.
гр.
Пазарджик,
В И
М Е Т О Н А Н А Р О Д А
АДМИНИСТРАТИВЕН СЪД ПАЗАРДЖИК, VІІI състав, в открито
съдебно заседА.е на втори октомври две хиляди и
двадесета година в състав:
ПРЕДСЕДАТЕЛ: СВЕТОМИР БАБАКОВ
при секретаря Янка Вукева
и с участието на прокурора , като разгледа докладваното от съдия Бабаков адм. дело № 361
по описа на съда за 2020 г., за да се произнесе взе предвид следното:
Производството е по
реда на чл. 203- чл. 207 от Административно-процесуалния Кодекс (АПК), във връзка с чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди
(ЗОДОВ).
Образувано е по
искова молба на И.Д.К.
с ЕГН ********** от гр. Пазаррджик, чез адв. А.П. с искане да бъде установено противоправно и виновно
поведение на ответника НАП в периода до 16.07.2019 г. от което ищцата като
физическо лице от определяем кръг лица, български граждА., чиито данни се
намират в останалите общодостъпни файлове, изтекли от НАП е претърпяла
неимуществени вреди и да бъде
осъдена Националната агенция за приходите да заплати на ищцата обезщетение в
размер на 1200 /хиляда и двеста/ лева за
претърпените от нея неимуществени вреди за периода от 15.07.2019- 11.03.2020 г. от неизпълнение от страна на НАП на задължението й по чл. 59, ал. 1 от Закона за защита на личните данни /ЗЗЛД/ и
чл. 32 от Общия регламент относно защитата на личните данни /ЕС/ 2016/679
на Европейския парламент и на Съвета /GDPR/. Ищцата се позовава на 80 ал.2 от ОРЗД вр чл. 39
ал.1 и ал. 2 от
ЗЗЛД. С главния иск
за обезщетение е съединен иск за заплащане на законната лихва върху
претендираното обезщетение, считано от 15.07.2019 г. до окончателното изплащане
на вземА.ята.
В
исковата молба са наведени доводи, че вследствие на неправомерно изтичане на
лични данни, сред които и такива на ищеца, за него са възникнали неимуществени
вреди, изразяващи се в психическо натоварване,
притеснения и опасения от всевъзможни злоупотреби с личните данни на ищеца, загубено време за
промени на пароли и т.н станали достъпни вследствие на т.нар. хакерска атака,
при която от масивите на НАП неправомерно е била изтеглена информация в голям
обем, съдържаща данни на български граждА., публично оповестени на 16.07.2019
г. Иска да се установи, че НАП в качеството си на администратор на лични
данни, чрез бездействие е допуснала
нарушения на разпоредбите на чл. 24 и
чл.32 от GDPR и чл. 59 ал.1 от ЗЗЛД, нарушила е разпоредбите на чл. 45 ал.1 т.6
от ЗЗЛД, като не е обработила личните данни по начин по който да гарантира
подходящо ниво на сигурност като се приложат подходящи технологии и оргА.зационни
мерки, чл. 64 от ЗЗЛД, като намира, че не е изпълнено задължението за
извършване на оценка на въздействието на предвидените операции по обрабтване на
личните данни върху тяхната защита, чл. 66 ал.1 и ал.2 ЗЗЛД, чл. 67 и 68 от
ЗЗЛД в периода от влизане на сила на Общия регламент относно защитата на
личните данни /ЕС/ 2016/679 на Европейския парламент и на Съвета /GDPR/ до
16.07.2019 г., датата на публичното оповестяване на данните.
В
исковата молба се излагат обстоятелства, че на 15.07.2019 г. по медиите станало
известно, че при т. нар. "хакерска атака" от електронните масиви на
НАП неправомерно била изтеглена информация с голям обем, съдържаща лични данни
на множество български граждА.. При справка от интернет портала на НАП ищцата
установила, че попада сред лицата, чиито лични данни са били разкрити, вследствие на което претърпяла неимуществени вреди.
Личните данни, които били разкрити, съгласно молба- уточнение от 26.05.2020 г.
били ЕГН, име, данни от декларации, подадени от работодател/осигурител за
осигурените от тях лица. Неимуществените вреди се изразявали в страх и
притеснение от злоупотреба с личните данни на ищеца за неопределен период от
време, включително и страх от физически нападения, заплахи, изнудвА.я, отвличА.я,
притеснения, че неопределен брой трети лица имат достъп до личните данни в това
число и адрес и финансова информация, липса на официална информация в
продължение на 10 дни какви лични данни не са опазени въпреки достъпността им в
интернет пространството, загубено време в промяна на пароли, пин кодове на
дебитни и кредитни карти, консултции със специалисти в областта на сигурността.
Твърди
се, че НАП не е изпълнила задълженията си по чл. 24 и чл. 32 от GDPR и чл. 59,
ал. 1 от ЗЗЛД да осигури ефективни мерки за защита на личните данни, с което е
допуснала пробив в информационната си система, причинил публичното разкриване и
разпространение на лични данни на много лица, в т. ч. и на ищеца. С
неправомерното си бездействие тя е нарушила и разпоредбите на чл. 45, ал. 1, т.
6, чл. 64, чл. 66, чл. 67 и чл. 68 от ЗЗЛД, което е довело до т. нар.
"нарушение на сигурността на лични данни", регламентирано в § 1, т.
10 от ДР на ЗЗЛД, във вр. чл. 4, т. 12 от GDPR. Всички тези нарушения са в
пряка причинна връзка с претърпените от ищеца неимуществени вреди, което е
основА.е за обезщетяването им от ответника съгласно чл. 82, ал. 1 от GDPR, във
вр. чл. 1, ал. 1 от ЗОДОВ.
В съдебно заседА.е
ищцата се явява лично и заедно с адв. П. който поддържа исковата молба. Молят претенцията да бъде
уважена изцяло. Считат, че от всички представени по делото писмени
доказателства не се установява НАП да е предприела адекватни мерки за защита на
личните данни на ищеца. Претендират разноски по представен списък.
На основА.е чл. 131, ал. 1 и ал. 2 от ГПК съдът
е разпоредил изпращане на препис от исковата молба на ответника и му е
предоставен едномесечен срок за писмен отговор. В срока по чл. 131, ал. 1 от ГПК ответникът е депозирал писмен отговор, с който оспорва исковата
молба като недопустима, а евентуално неоснователна и представя доказателства.
За недопустимост на иска сочи, че той не е съединен с жалба против увреждащото според
ищеца дейстие на администатора на лични данни, както и че са налице висящи производства за същото
нарушение, посочено в исковата молба. Твърди, че НП
№ 4/2019 г. относно
осъществения неоторизиан достъп е
обжалвано от НАП пред СРС и е налице висящо НАХД. Счита, че в случая е
приложима разпоредбата на чл. 39, ал. 4 от ЗЗЛД, според която за допустимостта на сезирането на съда с иск срещу
нарушаване на правата по Регламент (ЕС) 2016/679 и по ЗЗЛД (чл. 39, ал. 1 ЗЗЛД) законодателят е поставил като условие да е налице висящо производство
пред КЗЛД за същото нарушение или нейно решение относно същото нарушение да не
е обжалвано и да има влязло в сила решение на съда. Излага съображения за
неоснователност на предявения иск, както по основА.е, така и по размер, тъй
като не е ясно от кой конкретно акт на НАП или на нейни оргА. са настъпили
вредите и каква е причинно-следствената връзка между тях и съответния акт.
Счита за неоснователно възражението за неполагане на достатъчна грижа и неприлагане на ефективни мерки за
сигурността на данните от страна на НАП. Твърди, че нерегламентирА.ят достъп до
информационната система на НАП е в следствие на злоумишлено посегателство, като
след узнаването за този неоторизиран достъп Агенцията е предприела необходимите
технически и оргА.зационни мерки за сигурност и защита на личните данни. Счита,
че не са налице основА.я да се твърди, че този неоторизиран достъп е резултат
от действия или бездействия на НАП или нейни оргА./служители, като и че не
ставало ясно с кое конкретно свое действие/бездействие НАП е довела до
описаното психическо и емоционално състояние на ищеца. Поради изложеното намира
за недоказано твърдението за претърпени от И.К.
неимуществени вреди. Моли за отхвърляне на иска. Претендира присъждане на
юрисконсултско възнаграждение.
В съдебно заседА.е
ответникът се представлява от юрк. Н.,
която оспорва исковата молба. Счита, че ищцата не е успяла да докаже наличието на претърпени вреди. Допълнителни
съображения излага в представени писмени бележки.
Представителят на Окръжна прокуратура Пазарджик излага становище за неоснователност на исковата
претенция и моли съда да я отхвърли изцяло.
Административен съд
- Пазарджик, като взе предвид изложеното в исковата
молба и представените по делото писмени доказателства, приема за установено от
фактическа страна следното:
По делото
е безспорно, че на 15.07.2019
г. неизвестно лице е осъществило нерегламентиран достъп до информационната
система на НАП, станал известен като "хакерска атака", вследствие на
което е разпространена информация, съдържаща личните данни на множество българи .
По делото е представена
извадка от електронната система на НАП, със
следното съдържА.е: "За подадения идентификатор има разпространени данни, които включват ЕГН,
както и данни, подадени от работодателите/оигурителите и на осигурените от тях
лица за период 2008 г. Ответникът
не оспорва фактът, че по отношение на ищцата И.К.
са налице неправомерно разкрити посочените лични
данни.
Съгласно
представените по делото доказателства със заповед № ЗЦУ-586/30.04.2014 г. на
изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС
ISO/IEC 27001: 2006 в НАП. Със заповед № ЗЦУ-1436/15.10.2018 г. на
изпълнителния директор на НАП са утвърдени "УказА.я за разработване,
попълване и/или зареждане с данни на образци на документи и приложения,
утвърдени на основА.е чл. 10, ал. 1, т. 5 и т. 7 ЗНАП", "УказА.я за
обозначаване и работа с информация", "УказА.я за попълване на образци
на процедура", "УказА.я за попълване на образеца на инструкция"
и др. Със заповед № ЗЦУ-733/17.06.2016 г. на изпълнителния директор на НАП са
утвърдени процедура и вътрешни правила за мрежовата и информационната
сигурност. Със заповед № ЗЦУ-1236/21.08.2019 г. на изпълнителния директор на
НАП е утвърдена процедура ИС17 "Администриране на информационна система в
НАП", версия В. Със заповед №ЗЦУ-482/01.04.2019 г. на изпълнителния
директор на НАП са определени служители от НАП с администраторски достъп до
информационните активи и услуги на НАП. Със заповед № ЗЦУ-83/23.01.2013 г. на
изпълнителния директор на НАП са определени вида, съдържА.ето, реда за
създаване, поддържане и достъп до регистъра на НАП и базите данни за
задължените лица, формата и елементите на данъчно–осигурителната сметка и
сроковете за съхранение на архивираната информация. Със заповед №
ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени "УказА.я
за унищожаване на информация и информационни системи в НАП". Със заповед №
ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни
правила за оборот на електронни документи и документи на хартиен носител в НАП.
В НАП е изработена Методика за анонимизиране на индивидуални данни, версия 1,
към м. януари 2017 г. Утвърдена е политика по информационна сигурност на НАП.
Утвърдена е и Инструкция № 2/08.05.2019 г. за мерките и средствата за защита на
личните данни, обработвА. в НАП и реда за движение на преписки и заявяване на
регистри. Като приложение № 1 към чл. 24, ал. 2 от Инструкцията служителите на
НАП попълват декларация за това, че ще пазят в тайна личните данни на трети
лица, станали им известни при изпълнение на служебните им задължения, няма да
ги разпространяват и да ги използват за други цели, освен за прякото изпълнение
на служебните им задължения.
Не са представени доказателства да е висящо дело между
ищеца И.К. и НАП пред КЗЛД.
Също
така в хода на извършена проверка от страна на КЗЛД е установено, че при
осъществяване на дейността си НАП, в качеството си на администратор на лични
данни, не е приложила подходящи технически и оргА.зационни мерки, в резултат на
което е осъществен неоторизиран достъп, неразрешено разкриване и
разпространение на лични данни на физически лица в различен обем. Въз основа на
тези констатации председателят на КЗЛД е издал НП на НАП за нарушение на чл.
32, § 1, б. "б" от регламент (ЕС) 2016/679. С решение №
ППН-02-399/22.08.2019 г. по описа на КЗЛД на НАП е издадено и разпореждане за
предприемане на подходящи технически и оргА.зационни мерки за целта. НП и
решението са обжалвА. пред съда и не са влезли в сила.
За доказване на претърпени
неимуществени вреди от страна на ищцата К.,
по делото се събраха и гласни доказателства, като в качеството й на свидетел
беше разпитана А. Б. – приятелка на ищцата. Свидетелката посочва, че след като ищцата научила, че са изтекли
личните й данни, станала по- нервна и неспокойна. Опасявала се от натрупване на
кредити на нейно име, но не ставало въпрос за това да си е сменяла личната
карта след теча на лични данни. Не е поменила начина си на живот, както и не
знае за провеждане на някакво лечение.
Представена
е по делото рецептурна блА. №
*********/14.09.2020 г. с предписана медикаментозна терапия на ищцата.
При така
установената фактическа обстановка съдът намира от правна страна следното:
Предявеният
иск е процесуално допустим и черпи правното си основА.е от разпоредбите на чл.
203, ал. 1 и чл. 204, ал. 4 от АПК, във вр. чл. 1, ал. 1 от ЗОДОВ и чл. 82 от
GDPR, във вр. с чл.39,ал.1 и 2 от ЗЗЛД.
По
отношение на възраженията на ответника за недопустимост на иска следва да се
подчертае, че съгласно актуалната
съдебна практика на ВАС по идентични казуси процесуалният ред, по който
засегнатият субект може да търси обезщетение за вреди от неправомерно
обработване на личните му данни, е уреден в Глава ХІ "Производство за
обезщетения" на АПК. В зависимост от правната характеристика на източника,
от който се претендират вредите, в чл. 204, ал. 1 – 4 АПК са предвидени
различни процесуални възможности за реализиране на правото на обезщетение. В
случаите, в които се търси обезщетение за вреди от бездействие на
администратора на лични данни, незаконосъобразността на бездействието се
установява от съда, пред който е предявен искът за обезщетение, на основА.е чл.
204, ал. 4 АПК.
Разгледан по същество, искът е неоснователен.
Във
фактическия състав на отговорността за вреди по чл. 1, ал. 1 от ЗОДОВ се
включват следните елементи – незаконосъобразен акт, действие или бездействие на
орган или длъжностно лице на държавата или общината при или по повод изпълнение
на административна дейност, отменени по съответния ред, вреда от такъв
административен акт, действие или бездействие и причинна връзка между
постановения незаконосъобразен акт, действие или бездействие и настъпилия
вредоносен резултат. При липсата на който и да е от елементите на този
фактически състав не може да се реализира отговорността на държавата или
общината по реда на чл. 1, ал. 1 от ЗОДОВ.
В
случая исковата претенция се основава на незаконосъобразно бездействие –
неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на
сигурността на данните, с което са нарушени разпоредбите на чл. 24 и чл. 32 от
GDPR и чл. 59, ал. 1 от ЗЗЛД, чл. 45, ал. 1, т. 6, чл. 64, чл. 66, ал. 1 и ал.
2, чл. 67 и чл. 68 от ЗЗЛД. Следователно предпоставка за ангажиране на
отговорността на ответника е установяване на незаконосъобразността на
твърдяното от ищеца бездействие по аргумент от чл. 204, ал. 4 от АПК.
Под
увреждащо деяние, проявено под формата на бездействие, следва да се разбира
незаконосъобразно фактическо бездействие по смисъла на чл. 256 от АПК, т. е.
бездействие на административен орган по задължение, произтичащо пряко от
нормативен акт или което е длъжен да извърши по силата на закона.
В
случая е безспорно, че ответникът осъществява дейност по обработване на лични
данни, необходими за изпълнение на нормативно установените му задължения.
Създаването и поддържането на регистър и бази данни на задължените лица по чл.
80, ал. 1 от ДОПК е именно такава дейност, свързана с упражняване на правомощията
на НАП като специален държавен орган към министъра на финансите за
установяване, обезпечаване и събиране на публични вземА.я по смисъла на чл. 2,
ал. 1, във вр. чл. 3, ал. 1 от ЗНАП. Регистърът на НАП служи за идентифициране
на задължените лица и извършваната от тях дейност, подлежаща на контрол, като
агенцията създава и поддържа множество специални регистри по чл. 83 от ДОПК,
които са неразделна част от регистъра, поддържа и съхранява архив на лицата с
прекратена регистрация по чл. 83, ал. 3 от ДОПК, открива и поддържа данъчно –
осигурителни сметки на задължените лица по чл. 87, ал. 1 от ДОПК, които
съдържат данъчна и осигурителна информация, както и поддържа и съхранява архив
на данъчно-осигурителните сметки по чл. 87, ал. 4.
В
качеството си на администратор на лични данни НАП следва да прилага подходящи
технически и оргА.зационни мерки съгласно чл. 59, ал. 1 от ЗЗЛД, за да
гарантира и да е в състояние да докаже, че обработването се извършва в
съответствие с този закон, като отчита естеството, обхвата, контекста и целите
на обработването, както и рисковете за правата и свободите на физическите лица.
При необходимост тези мерки се преразглеждат и актуализират. Същото задължение
се съдържа и в чл. 24 от Общия регламент относно защита на личните данни (ЕС)
2016/ 679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), като в чл.
32 са предвидени конкретните мерки, които следва да се предприемат при
администрирането и обработването на лични данни. Тези задължения са въведени,
за да се гарантира един от основните принципи на обработване на лични данни,
прогласен в чл. 5, § 1, б. "е" от GDPR – цялостност и поверителност
на данните. Неговият смисъл и съдържА.е са възпроизведени и в заповед № ЗЦУ-83
от 23.01.2013 г. на изпълнителния директор на НАП, в т. 24 и т. 25 от която
изрично е предвидено, че регистърът, базите данни, данъчно-осигурителната
сметка, архивът за лицата с прекратена регистрация и архивът на
данъчно-осигурителната сметка се поддържат и съхраняват по начин, който
гарантира целостта на информацията и защитата на информацията в системата срещу
разрушение и неправомерно изменение и ползване, като достъпът до нея се
осъществява в съответствие с изисквА.ята за регламентиран достъп при спазване
на разпоредбите на ЗЗКИ и ЗЗЛД.
Следователно
отговорността на ответника произтича от специфичния характер на дейността му по
обработване на лични данни, включваща създаване, поддържане и актуализация на
регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в
тях информация и контролирА.я достъп до нея. Като административен орган със
статут на юридическо лице, който следи тази дейност да бъде изпълнявана в
съответствие с нормативно установените изисквА.я, той носи отговорност за
вредите от незаконните действия и/или бездействия на включените в състава му
оргА. и служители при извършване на дейността по чл. 1 от ЗОДОВ.
В
случая е безспорно, че вследствие на хакерска атака е осъществен пробив в
системата на ответника, който е станал причина за неправомерното разкриване и
разпространение на лични данни на ищеца. Изтичането на информация от сървърите
на НАП в резултат на извършен неоторизиран достъп категорично сочи на
противоправно бездействие (пропуски) на ответника да изпълни произтичащи от
закона и регламента задължения да обезпечи достатъчна надеждност и сигурност на
информационната си система, да защити физическите лица във връзка с
обработването на личните им данни по смисъла на § 1, т. 4 от ДР на ЗЗЛД, вр.
чл. 4, т. 2 от Регламент (ЕС) 2016/679, в т. ч. правото на защита на личните им
данни. Настоящият съдебен състав приема, че именно техническата уязвимост на
системата на НАП е довела до нерегламентирА.я достъп на информация, а тя е
резултат от неприлагането на подходящи технологии и мерки за защита. Ако
системата беше ефективно и надеждно защитена, то не би се стигнало до пробива
й, предизвикал разкриването на личните данни на ищеца.
Наличието
на одобрени процедури, правила, политики, инструкции, указА.я и методики не
опровергава извода, че е нарушена сигурността на обработвА.те данни, след като
те са публично разкрити. Без правно значение е, че липсва акт, в който да е
описано и доказано в какво се състои техническата уязвимост на информационната
система на НАП и как тази уязвимост е предпоставила и улеснила извършването на неоторизирА.я
достъп в условията на причинно – следствена връзка. Техническата уязвимост
очевидно е налице независимо от нейния произход, естество и обхват, а
съществуването й като обективен факт в действителността само по себе си е
предпоставка за извършения неоторизиран достъп. Обработването на значителен
обем лични данни на регионално, национално и надционално равнище, които биха
могли да засегнат голям брой субекти на данни, изисква по-сериозна оценка на
въздействието върху защитата на данните, за да се оценят конкретната вероятност
и тежестта на високия риск, като администраторът на лични данни следва да
предостави гаранции по отношение на експертни познА.я, надежност и ресурси,
позволяващи да се извърши адекватна оценка на риска за сигурността на данните в
съответствие с нормативните изисквА.я. Съгласно чл. 32, т. 2 от Регламент (ЕС)
2016/679 при оценката на подходящото ниво на сигурност се вземат предвид
по-специално рисковете от случайно или неправомерно унищожаване, загуба,
промяна, неразрешено разкриване или достъп до прехвърлени, съхранявА. или
обработени по друг начин лични данни. Обстоятелството, че е допусната хакерска
атака, с която е пробита информационната система на НАП по отношение на повече
от 6 000 000 субекти на данни, е безспорно доказателство, че не е извършена
оценка на подходящото ниво на сигурност и не са взети необходимите технически и
оргА.зационни мерки за защита при обработването на личните данни на засегнатите
лица, в т. ч. и на ищеца, което е достатъчно, за да се направи извод, че е
налице незаконосъобразно бездействие от страна на НАП. Ответникът в качеството
си на администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент ЕС
2016/679 при осъществяване на дейността си е следвало да предприеме ефективни
мерки за предотвратяване на злоумишлен достъп до личните данни на ищеца без
значение на вида и характера на този достъп (неправомерно, случайно или др.) и
неговото авторство. В случая това не е постигнато. Ответникът не е изпълнил
задължението си по предотвратяване на престъпление и опазване на личните данни
на ищеца, като от незаконосъобразното му бездействие е последвало и публичното
им разкриване и разпространение. Бездействието на НАП е в противоречие с
нормативните изисквА.я на чл. 59, ал. 1 от ЗЗЛД, чл. 24 и чл. 32 от Общия
регламент относно защита на личните данни (ЕС) 2016/ 679 на Европейския
парламент и на Съвета от 27.04.2016 (GDPR). Частичният характер на информацията
не изключва противоправното поведение (бездействие) на ответника, защото
съгласно съображение 26 от преамбюла на Регламент (ЕС) 2016/679 принципите за
защита на данните следва да се прилагат по отношение на всяка информация,
отнасяща се до физическо лице, което е идентифицирано или може да бъде
идентифицирано пряко или непряко. Личните данни, които могат да бъдат свързА. с
дадено физическо лице чрез използването на допълнителна информация, следва да
се считат за информация, отнасяща се до физическо лице, което може да бъде
идентифицирано. За да се установи дали има достатъчна вероятност дадени средства
да бъдат използвА. за идентифициране на физическото лице, следва да се вземат
предвид всички обективни фактори, като се отчитат наличните към момента на
обработване на данните технологии и технологичните развития. По делото е безспорно,
че ЕГН на ищеца и данните в декларациите му/
декларация обр.1 от Наредба Н8/ за периода 2008 г. са
достатъчни за идентифицирането му, поради което правилата на закона и
регламента и произтичащите от тях задължения за НАП се отнасят за обработването
и на тази информация независимо от нейния частичен обем.
Съгласно
§ 3 от чл. 82 от GDPR администраторът на лични данни се освобождава от
отговорност за вреди, ако докаже, че по никакъв начин не е отговорен за
събитието, причинило вредата, което в случая не е така. По делото липсват
категорични доказателства, че ответникът е гарантирал последователно и
адекватно ниво на защита на данните, за да се приеме, че нормативните изисквА.я
за сигурността на обработването са приложени в тяхната цялост.
С
оглед на изложеното съдът приема, че е налице първата предпоставка за
ангажиране на отговорността на НАП, представляваща незаконосъобразно
бездействие по предприемане на необходимите мерки и ефективна средства за
защита, произтичащи от задълженията на администратора по чл. 59, ал. 1 от ЗЗЛД,
чл. 24 и чл. 32 от Общия регламент относно защита на личните данни (ЕС) 2016/
679 на Европейския парламент и на Съвета от 27.04.2016 (GDPR), вследствие на
което е възникнал противоправният резултат, изразяващ се в нерегламентиран
достъп и неразрешено разкриване на лични данни на ищцата.
Втората
предпоставка за ангажиране на отговорността на НАП е наличие на претърпяна
вреда от страна на ищеца от това незаконосъобразно бездействие.
Основен елемент от
състава на чл. 1 от ЗОДОВ е вредата. Тя се схваща като промяна чрез смущаване,
накърняване и унищожаване на имуществото на едно лице, субективните му права,
телесна цялост, душевност или психическо състояние. В исковата си молба ищецата
твърди, че е преживяла стрес, безпокойство,
притеснение, почувствала се е застрашена от физическо посегателство, изнудвА.я, злоупотреби. За доказване на тези твърдения,
ищцата е ангажирала гласни доказателства- св. Б., която твърди, че К. се
притеснила от изтичането на данните й да не се натрупат кредити на нейно име. В
случая обаче е очевидно, че за да бъдат изтеглени кредити на името на ищцата,
не са достатъчни изтеклите лични данни- нужни се и други данни, съдържащи се в
личната карта на ищцата- номер, дата на издаване и изтичане, адрес и т.н. А
липсват данни, ищцата да е предприела действия по смяна на личната си карта
след изтичането на нейни лични данни. Освен това, изтеглянето на кредит е
свързано със сключване на съответния договор, което включва личното явяване на
ищцата и полагане на подпис или явяването на упълномощен от нея представител
пред кредитната институция.
Т. е. притесненията
на ищцата са били обективно неоснователни с оглед изключително слабата
вероятност само на базата на изтеклите нейни лични данни да се извърши
злоупотреба с имуществото й, като се задължи с кредит. Последното внася
съмнение в степента на тревожност и ангажираност, която е създадена у ищцата от изтичането на информацията. Ищцата твърди, че се
чувства напрегната, притеснена
и уплашена, като опасенията й са, че с личните й данни е вероятно ще бъде злоупотребено. Изброените
емоционални сътресения безспорно представляват вид неимуществени вреди, но
съдът намира, че те не са пряка и непосредствена последица от изтичането на
личните данни на ищцата, а са обусловени от
евентуално бъдещо извършване на злоупотреба, за чието настъпване освен
изтеклите лични данни /което не се оспорва от ответника/ - ЕГН са необходими редица други документи и данни
за креитополучателя - напр. лична карта, като за да се изтегли кредит и т. н.,
се налага и лично явяване на лицето за сделката и полагане на подпис или за
упълномощаване на трето лице. Т. е. притесненията на ищцата са били обективно
неоснователни с оглед изключително слабата вероятност само на базата на изтеклите
негови лични данни да бъде изтеглен кредит на нейно име.
Твърденията
за влошено здраве на ищцата, както и прием на антидепресанти, за да се подтисне
състоянието на тревожност у ищцата, породило се вследствие на изтеклите лични
данни, останаха недоказА. по делото. Приложената рецептурна блА. е издадена в
последващ на исковия период. Липсват и доказателства, че предписаната
медикаментозна терапия е за овладяване
на симптомите на стрес, вследствие на изтеклите лични данни.
За да бъде уважен
искът по основА.е, следва по категоричен начин да се установи, че са настъпили
претендирА.те от ищеца неимуществени вреди и че те са в резултат на
незаконосъобразното бездействие. Преживеният стрес, безпокойство и притеснение,
следва да са такива, че да доведат до промяна в качеството на живот на ищеца,
т. е. не просто да са преживени, но и да са довели до някаква промяна в
неговото поведение. В конкретния случай не се установява такава промяна.
Предвид изложеното,
настоящият съдебен състав като приема за недоказана причинната връзка между незаконосъобразното
бездействие на ответника и претърпяната от ищеца вреда, намира, че искът следва
да бъде отхвърлен като неоснователен и недоказан.
Предвид
неоснователността на исковата претенция за претърпени неимуществени вреди,
неоснователен е иска за заплащане на лихва за забава, считано от датата на
увреждането, алтернативно от датата на подаване на исковата молба, до
окончателното изплащане на сумата. Предвид изхода на спора и на основА.е чл. 10, ал. 4 ЗОДОВ във вр. с чл. 78, ал. 8 ГПК във вр. с чл. 144 АПК във
вр. с чл. 37 от Закона за правната помощ и чл. 24 от Наредба за заплащането на правната помощ, на ответника следва да се присъдят
разноски за юрисконсултско възнаграждение в размер на 100 лева.
Така мотивиран и на
основА.е чл. 203 от АПК,
Административен съд Пазаржик, осми състав
РЕШИ:
ОТХВЪРЛЯ като неоснователен иска на И.Д.К. с ЕГН **********
от гр. Пазаррджик, чез адв. А.П.
против НАЦИОНАЛНА АГЕНЦИЯ ЗА ПРИХОДИТЕ- София, с който се претендират причинени
неимуществени вреди в размер на 1200 лв.
в периода 15.07.2019г. до датата на завеждане на исковата молба-11.03.2020 г.,
както и законната лихва върху тази сума от 15.07.2019г. до изплащане на сумата.
ОСЪЖДА И.Д.К. с
ЕГН **********о*** да заплати на НАЦИОНАЛНА АГЕНЦИЯ ЗА ПРИХОДИТЕ- София сумата
от 100 лв. юрисконсултско възнаграждение.
Решението подлежи на
касационно обжалване пред Върховния административен съд в 14-дневен срок от
съобщаването му на стрА.те. Решението да се съобщи на стрА.те чрез изпращане на
препис от него по реда на чл. 137 АПК.
СЪДИЯ:/п/