Решение по дело №809/2024 на Административен съд - Пазарджик

Производството е по реда на чл. 39 от Закона за защита на личните данни (ЗЗЛД) и е образувано по исковата молба на А. С. К. срещу Националната агенция за приходи (НАП) за присъждане на обезщетение за претърпени неимуществени вреди в размер на 2000 лева, за периода от 16.07.2019 г. до 15.07.2024 г., които са следствие от неизпълнение от страна на НАП в достатъчна степен на задължението й по чл. 59, ал. 1 от Закона за защита на личните данни (ЗЗЛД) и чл. 24 и чл. 32 от Общия регламент относно защитата на личните данни (ЕС) 2016/679 на Европейския парламент и на Съвета (GDPR).

В исковата молба и уточнението й са изложени съображения за това, че ищецът е бил субект на обработка на лични данни от страна на ответника. Твърди се, че правото на иск за А. С. К., в качеството му на физическо лице, чиито лични данни са станали известни и публично достъпни, вследствие от пробив в електронната система на НАП от 16.07.2019 г., възниква следствие от недостатъчна грижа и мерки за защита на сигурността на обработваните лични данни от ответника НАП, в качеството й на администратор на лични данни или нарушение на чл. 32 от Регламент /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. Претърпените неимуществените вреди се изразяват в страх и притеснение от евентуална злоупотреба с тези данни, както и от физически нападения, заплахи, изнудвания, отвличания, притеснения, че неограничен и неизвестен брой трети лица имат достъп до негови лични данни, в това число адрес и финансова информация и други, които вреди са пряка и непосредствена последица от увреждането. Правното основание на предявения иск, посочено в исковата молба, е чл. 39, ал. 1 и ал. 2 от ЗЗЛД и чл. 82, § 1 от ОЗРД. С главния иск е съединен иск за заплащане на законната лихва върху претендираното обезщетението, считано от 15.07.2019 г. – посочена като дата на увреждането, до окончателното й изплащане. Моли за постановяване на осъдително решение. Претендира разноски.

В съдебно заседание ищецът, редовно призован, не се явява, представлява се от адв. П., който поддържа исковата молба и предявените с нея претенции.

Ответникът - Национална агенция за приходите - София - нередовно призовани за първо съдебно заседание, представлява се от юрк. И., която изрично заявява, че не възразява срещу нередовното призоваване. Моли да се даде ход на делото. Редовно призовани за следващи съдебни заседания, представляват се от юрк. И.. Ответникът оспорва предявения иск в писмен отговор и в съдебно заседание. В депозирания писмен отговор ответникът излага становище, че са предприети адекватни мерки за защита на личните данни на субектите. Излага съображения, че не са представени доказателства за претърпени вреди от страна на ищеца. Твърди, че е постановено окончателно съдебно решение на АССГ, XVI Касационен състав № 1247 от 26.02.2024 г., с което е отменено наказателно постановление, издадено от Председателя на Комисията за защита на личните данни, с което на НАП е наложена санкция за извършения неоторизиран достъп. Счита за неоснователно възражението за неполагане на достатъчна грижа от страна на НАП за защита сигурността на данните. Твърди, че нерегламентираният достъп до информационната система на НАП е в резултат от злоумишлени действия, обявени за престъпни. Веднага след узнаването за този нерегламентиран достъп, НАП е предприела незабавни мерки за сигурност и преустановяването му. Счита, че не са налице данни да се приеме, че този неоторизиран достъп е резултат от действия или бездействия на НАП или нейни органи/служители. Прилага писмени доказателства. Моли за отхвърляне на исковите претенции. Претендира юрисконсултско възнаграждение.

Контролираща страна – Окръжна прокуратура – Пазарджик – редовно призована, изразява становище за допустимост и основателност на иска. Считат, че са налице основанията за ангажиране на отговорността на ответника. Посочено е, че категорично по делото е доказано, че е проявено бездействие от страна на НАП. Самият факт за допусната хакерска атака и посегателство върху личните данни на граждани е достатъчно основание да се приеме, че е налице това. Налице са достатъчно доказателства за претърпени неимуществени вреди, доколкото съвсем нормално е в такава ситуация човек да изпитва яд, възмущение и други притеснения по отношение на своето имущество. Считат, че по основание е доказан искът. Размерът е завишен и следва по правилата на чл. 54 от ЗЗД да бъде въведен в разумни и справедливи граници.

Административен съд - Пазарджик, като прецени събраните по делото доказателства в тяхната съвкупност и обсъди доводите на страните, приема за установено следното:

С оглед изложените твърдения в исковата молба и отговора на искова молба, съдът намира, че е сезиран с иск с правно основание чл. 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните - ОРЗД), във връзка с чл. 39 от ЗЗЛД.

По делото е безспорно, че вследствие нерегламентиран достъп до информационните масиви на НАП, осъществен на 15.07.2019 г., неправомерно са разкрити и разпространени лични данни на множество физически лица, български и чужди граждани (над 6 000 000 субекти на данни). От представеното Удостоверение № 130192501448348/13.03.2025 г. (л. 199 от делото) се установява, че на ищеца са разкрити лични данни, съставляващи ЕГН и имена, данни от ГДД по чл. 41 от ЗОДФЛ за 2003 г., 2005 г., 2006 г., данни от ГДД по чл. 50 от ЗДДФЛ за 2010 г., данни от данъчни декларации за облагане с патентен данък по чл. 43 от ЗОДФЛ за 2001 г. и 2007 г., декларации обр. 1 за период 2008 г. и данни от финансови отчети за 2004 г. и 2008 г.

Съгласно представените по делото доказателства, със Заповед № ЗЦУ-586/30.04.2014 г. на изпълнителния директор на НАП е наредено да се внедри СУСИ по стандарт БДС ISO/IEC 27001: 2006 в НАП. Със Заповед № ЗЦУ-1436/15.10.2018 г. на изпълнителния директор на НАП са утвърдени „Указания за разработване, попълване и/или зареждане с данни на образци на документи и приложения, утвърдени на основание чл. 10, ал. 1, т. 5 и т. 7 ЗНАП“, „Указания за обозначаване и работа с информация“, „Указания за попълване на образци на процедура“, „Указания за попълване на образеца на инструкция“ и др. Със Заповед № ЗЦУ-733/17.06.2016 г. на изпълнителния директор на НАП са утвърдени процедура и вътрешни правила за мрежовата и информационната сигурност. Със Заповед № ЗЦУ-1236/21.08.2019 г. на изпълнителния директор на НАП е утвърдена процедура ИС17 „Администриране на информационна система в НАП“, версия В. Със Заповед № ЗЦУ-482/01.04.2019 г. на изпълнителния директор на НАП са определени служители от НАП с администраторски достъп до информационните активи и услуги на НАП. Със Заповед № ЗЦУ-83/23.01.2013 г. на изпълнителния директор на НАП са определени вида, съдържанието, реда за създаване, поддържане и достъп до регистъра на НАП и базите данни за задължените лица, формата и елементите на данъчно-осигурителната сметка и сроковете за съхранение на архивираната информация. Със Заповед № ЗЦУ-1596/29.11.2017 г. на изпълнителния директор на НАП са утвърдени „Указания за унищожаване на информация и информационни системи в НАП“. Със Заповед № ЗЦУ-535/11.05.2016 г. на изпълнителния директор на НАП са утвърдени вътрешни правила за оборот на електронни документи и документи на хартиен носител в НАП. Утвърдена е политика по информационна сигурност на НАП, Версия 3.0, действаща към май 2016 г.

Не са представени доказателства, а и не се твърди да е висящо дело между ищеца А. К. и НАП пред КЗЛД.

В хода на делото е разпитан като свидетел С. Е. М., чиито показания съдът кредитира в пълна степен като ясни, точни, безпротиворечиви и дадени от лице, което не е заинтересовано от крайния изход на делото.

Свидетелят М. твърди, че познава А. К., тъй като му е бивш работодател, познавали се повече от 10 години и все още поддържали добри приятелски взаимоотношения. Знае, че през 2019 г. - 2020 г. К. имал големи притеснения с това, че са му изтекли данните от НАП. Търсел адвокати, търсел начин да се защити, понеже той имал бизнес и съответно имал по-голямо имущество. Притеснявал се дали няма да му бъде открадната фирма или да му бъдат изтеглени заеми на негово име, съответно прехвърлени коли и т.н.

Свидетелят М. посочва също, че бил работник на К. от 2015г.-2016 г. до 2022 г., но след това пак му е споделял за тези негови притеснения, даже наскоро станало въпрос за това. Може би над 10 пъти му е споделял тези притеснения. Доколкото знае те не са се осъществили реално. Освен, че е споделял тези притеснения с думи не знае да е имало някакво външно изражение, не знае дали нещо се е случило друго в живота му. А. (К.) е в добро здравословно състояние, но емоционално определено е притеснен по този казус. Той просто имал опасения. Вербално само с думи ги изразил тези притеснения. На свидетеля не му е известно изтичането на данни да се е отразило емоционално и на живота на ищеца. Свидетелят твърди, че с А. (К.) се виждали по няколко пъти седмично и към настоящия момент. Добри приятели са, регулярно се виждат.

Въз основа на тези факти, съдът счита предявения иск за допустим. Разгледан по същество искът е частично основателен.

Предявеният иск е с правно основание чл. 82, § 1 от Регламент (ЕС) 2016/679, във връзка с чл. 39 ЗЗЛД вр. с чл. 203 АПК.

Предвид чл. 82 от Регламент (ЕС) 2016/679 предметът на доказване изисква установяване на: 1. нарушение на правата на субекта на данни по Регламент (ЕС) 2016/679 в резултат на обработване на личните му данни, което не е в съответствие с регламента; 2. причинена материална или нематериална вреда; 3. причинна връзка между нарушението на правата по регламента и причинената вреда. При липсата на който и да е от елементите на този фактически състав не може да се реализира отговорността.

В случая исковата претенция се основава на незаконосъобразно бездействие - неполагане на достатъчно грижа и неприлагане на ефективни мерки за защитата на сигурността на данните, с което са нарушени разпоредбите на чл. 24 и чл. 32 от ОРЗД. Следователно предпоставка за ангажиране на отговорността на ответника е установяване на незаконосъобразността на твърдяното от ищеца бездействие.

На първо място следва да се посочи, че НАП притежава качество на администратор на лични данни по смисъла чл. 4, т. 7 от ОРЗД, както и че осъществява дейности по обработване на лични данни по смисъла на чл. 4, т. 2 от ОРЗД. С оглед на това качество НАП има задължение да прилага подходящи технически и организационни мерки с цел гарантиране, че обработването е в съответствие с чл. 24 и чл. 32 от ОРЗД.

Отговорността на ответника НАП произтича от специфичния характер на дейността му по обработване на лични данни, включваща създаване, поддържане и актуализация на регистъра и базата данни, както и архивиране и съхраняване на съдържащата се в тях информация и контролирания достъп до нея. Неоторизираният достъп е причината за неправомерно разкриване и разпространение на лични данни, като самото осъществяване на неоторизирания достъп категорично сочи, че е вследствие на противоправно бездействие (пропуски) на ответника да изпълни произтичащи от нормативната рамка задължения да обезпечи достатъчна надеждност и сигурност на информационната си система, да защити физическите лица във връзка с обработването на личните им данни по смисъла на § 1, т. 4 от ДР на ЗЗЛД, във вр. чл. 4, т. 2 от Регламент (ЕС) 2016/679.

В съображение 36 на Решение от 14 декември 2023 г. по дело С-340/2021 на СЕС, VB, ECLI:EU:C:2023:986, е посочено че от текста на член 82, § 1 от ОРЗД ясно следва, че наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в посочената разпоредба, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни.

Налице е първата предпоставка за ангажиране отговорността на администратора на лични данни. Защитата на физическите лица във връзка с обработването на личните им данни е основно право. Съгласно чл. 8, §1 от Харта на основните права на Европейския съюз (ХОПЕС) всеки има право на защита на неговите лични данни. Регламент (ЕС) 2016/679 предвижда задължения за администраторите на лични данни и обработващите лични данни да осигурят необходимата защита на тези данни, така че да се гарантира тяхното законосъобразно обработване, в съответствие с принципите определени в чл. 5 от ОРЗД. По делото не се оспорва от процесуалния представител на ответната страна, че до личните данни на ищцата е имало неправомерен достъп. Точно обратното, посредством нарочно издадено удостоверение № 130192501448348/13.03.2025 г. (л. 199 от делото) се установява, че до лични данни на ищеца - ЕГН и имена, данни от ГДД по чл. 41 от ЗОДФЛ за 2003 г., 2005 г., 2006 г., данни от ГДД по чл. 50 от ЗДДФЛ за 2010 г., данни от данъчни декларации за облагане с патентен данък по чл. 43 от ЗОДФЛ за 2001 г. и 2007 г., декларации обр. 1 за период 2008 г. и данни от финансови отчети за 2004 г. и 2008 г. е осъществен нерегламентиран достъп.

Следователно ищецът е доказал твърдението си за наличието на нарушено негово право – на защита на личните му данни от администратора на тези лични данни, което право е накърнено от неправомерния достъп до тези данни и разпространяването им в интернет пространството.

Членове 24 и 32 от Регламент (ЕС) 2016/679 задължават администратора на лични данни (какъвто се явява НАП) да вземе подходящите технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с регламента и със закона. Същите не са конкретно посочени, защото подходът, който е възприет, е всеки администратор сам да определи кои да бъдат тези мерки. С оглед чл. 82, § 3 от ОРЗД предвиждащ, че администраторът или обработващият лични данни се освобождава от отговорност съгласно § 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата, тежестта да докаже, че са взети подходящите организационни и технически мерки, е на администратора/обработващия, а не на лицето, което твърди, че в резултат на липсата на такива мерки, е претърпяло вреда. В случая такива указания са дадени на ответника с Определение № 169/16.01.2025 г., във връзка с което са представени писмени доказателства за въведени системи за управление на сигурността на информацията, а в съдебно заседание процесуалният представител на ответника изрично е заявил, че ще се ползва от представените писмени доказателства с отговора на исковата молба и с оглед представените писмени доказателства не е необходимо назначаването на съдебно-техническа експертиза.

Разпоредбата на чл. 82, § 3 от ОРЗД ясно възлага тежестта на доказване върху администратора на лични данни, при възражение от негова страна за освобождаване от отговорност за причинени вреди в резултат на нарушаване на регламента, да установи по несъмнен начин, че е предприел подходящите и ефективни организационни и технически мерки, така че по никакъв начин не е отговорен за изтичането на личните данни на ищеца в интернет пространството, в резултат на извършения неправомерен пробив в информационната система на НАП.

В т. 3 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, изрично е посочено, че принципът на отчетност на администратора, закрепен в чл. 5, § 2 и конкретизиран в чл. 24 от Регламент 2016/679, трябва да се тълкува в смисъл, че в исково производство за обезщетение по чл. 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по чл. 32 от посочения регламент са подходящи. В процесния случай ответникът не е представил доказателства, от които да се установи, че същият е приложил подходящите мерки за сигурност. Представените писмени доказателства не доказват, че приложените мерки са подходящи за защита при обработване на личните данни. Същите съставляват разработена система за управление сигурността на информацията и указания как да се процедура с документооборота в НАП и от кои служители.

В т. 1 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, е прието, че чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези по чл. 24 и чл. 32.

В т. 5 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, е прието, че член 82, § 3 от Регламент 2016/679 трябва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, § 1 и § 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта, че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на чл. 4, т. 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.

Именно това обстоятелство е останало недоказано от ответника в производството, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен. Това е резултат от несправянето на ответника да докаже благоприятните факти, които са били в негова тежест. В съображение 74 от ОРЗД е предвидено, че администраторът е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. А в съображение 146 е предвидено, че администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите.

Ответникът не е ангажирал доказателства, за да докаже, че е приложил подходящи организационни и технически мерки за осигуряване на нивото на риска, предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Ответникът е следвало да докаже такова изградено ниво на сигурност, което свежда до минимум риска от неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, но същият не се е справил с доказателствената тежест. Не е доказал, че по никакъв начин не е отговорен за събитието причинило вредата. Представените писмени доказателства не доказват прилагане на подходящи организационни и технически мерки за осигуряване защита на личните данни.

Предвид горните следва да се приеме, че са налице втората и третата предпоставка за основателност на исковата претенция. Събраните по делото доказателства установяват, че ищецът е претърпял неимуществени вреди – негативни емоции и притеснение да не бъде злоупотребено с личните му данни. В тази връзка следва да се кредитират изцяло показанията на свидетеля М., който посочва, че ищецът имал големи притеснения с това, че са му изтекли данните от НАП и се притеснявал дали няма да му бъде открадната фирма или да му бъдат изтеглени заеми на негово име, съответно прехвърлени коли.

Следва да се отбележи, че в случая предвид характера на събитието не е необходимо каквото и да е активно поведение на пострадалото лице. В т. 6 от диспозитива на Решение от 14 декември 2023 г. по дело С-340/21 на СЕС, VB, ECLI:EU:C:2023:986, е посочено, че член 82, §1 от Регламент 2016/679 трябва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба.

С оглед горните, следва да се заключи, че е налична причинна връзка между претърпяната вреда и нарушението на Регламент (ЕС) 2016/679, като следва да се отбележи, че в производството по чл. 82 от Регламента предмет на изследване е поведението на администратора/обработващия личните данни, т. е. неговото деяние-действие или бездействие, и именно то трябва да е условието, което е предизвикало отрицателната последица в сферата на засегнатото лице-субект на лични данни. Неимуществените вреди като резултат произтичат от бездействието на ответника, като трябва изрично да се подчертае, че това поведение е практически годно, т. е. създаващо реална възможност да предизвика крайния резултат, защото неправилната преценка на значимостта на риска от пробив в електронната база данни (съдържаща и лични данни) и проявеното бездействие, предвид техническото ниво на развитие, обезпечеността, знанията и уменията, необходими за осъществяването на такъв пробив, води до повишаване този риск до ниво, което поддържа вероятността за настъпване на събитие от изброените в чл. 32, § 2 от Регламента.

С оглед на изложеното, по делото са доказани всички необходими елементи за реализиране правото на обезщетение за причинени вреди на ищцата. Същите обаче са претендирани в завишен размер.

Обезщетенията за неимуществени вреди се присъждат за конкретно претърпени физически и психически болки, страдания и неудобства, които са пряка и непосредствена последица в случая от незаконосъобразното бездействие на ответника. На обезщетяване подлежат и вътрешните, душевни състояния тогава, когато справедливостта налага същите да бъдат възмездени, какъвто е настоящия случай. В правната теория е прието, че обезщетението за неимуществени вреди е с компенсаторна функция, доколкото е възможно да бъдат компенсирани вредите в техния паричен еквивалент. Тъй като няма утвърдена формула за тяхното пресмятане, размерът на обезщетението за неимуществени вреди се определя от съда по справедливост при съобразяване на всички конкретни обективно съществуващи обстоятелства и практиката на съдилищата. Вътрешните душевни страдания и чувството за тревожност и несигурност следва да бъдат овъзмездени. Съгласно чл. 52 ЗЗД, обезщетение за неимуществени вреди се определя от съда по справедливост. Понятието „справедливост“ не е абстрактно понятие, а е свързано с преценка на редица конкретни, обективно съществуващи обстоятелства, имащи значение за правилното определяне на размера на обезщетението. Законът е категоричен, че размерът на обезщетението за неимуществени вреди се формира по справедливост по реда на чл.52 от ЗЗД единствено от степента и характера на преживените болки и страдания от ищеца. Макар посочените вреди да нямат паричен еквивалент, съдът приема, че претендираната от ищеца сума от 2000 лв. е завишена. Справедливият размер на обезвредата следва да почива на обективни критерии и да бъде адекватен от претърпените вреди. Обезщетението трябва е съразмерно с вредите и да отговаря както на конкретните данни по делото, така и на обществените представи за справедливост. В съдебното производство по присъждане на обезщетение посочените неимуществени вреди следва да намерят материален израз, който законът в нормата на чл. 52 ЗЗД определя „по справедливост“, макар неимуществените вреди да нямат стойностно изражение и да не подлежат на аритметично изчисляване. Изхождайки от характера на претърпените вреди, интензитета на породените страдания и негативни преживявания, без налице да бъде конкретно увреждане на физическото здраве на ищеца, без да са се осъществили неговите притеснения по изтегляне на заеми на неговото име, прехвърляне на негови дружества или коли, доказаните душевни страдания и общото му психическо състояние, като следствие от търпени морални вреди и тяхната дълготрайност, съдът намира, че справедливия размер на дължимото обезщетение за неимуществени вреди възлиза на 300 лв. по смисъла на чл. 52 от ЗЗД за причиненото състояние на безпокойство и притеснение. Исковата претенция до пълния предявен размер от 2000 лв. следва да се отхвърли. При тази установеност на фактите, съдът прави извод за осъществен фактическия състав на отговорността по чл. 82, параграф 1 от Регламент (ЕС) 2016/679 във вр. с чл. 39 от ЗЗЛД, като приема, че е налице незаконосъобразно бездействие, реално увреждане на ищеца и пряка причинна връзка между увреждането и бездействието, поради което и при условията на чл. 52 ЗЗД, съдът следва да овъзмезди по справедливост неимуществените вреди, причинени на ищеца.

В горния смисъл и Решение № 2548 от 12.03.2025 г., постановено по адм. д. № 10559/2024 г. на Върховния административен съд, Решение № 3577 от 04.04.2025 г., постановено по адм. д. № 10561/2024 г. на Върховния административен съд, Решение № 954 от 06.02.2025 г., постановено по адм. д. № 3066/2021 г. на Върховния административен съд, Решение № 950 от 06.02.2025 г., постановено по адм. д. № 2295/2021 г. на Върховния административен съд.

Предвид уважаване на основния иск в размер на 300 лв., следва да бъде уважен и акцесорния такъв, във връзка със законната лихва върху присъдената сума, считано от датата на увреждането до окончателното изплащане на сумата.

Предвид горните, частично основателна се явява и претенцията за разноски на ищеца, инкорпорирана в исковата молба. Представени са доказателства за заплатено адвокатско възнаграждение в размер на 500 лева и държавна такса в размер на 10 лева. С оглед уважената част от иска, разноски на ищеца се дължат в общ размер на 76,50 лева.

По направеното искане на процесуалния представител на ответника за присъждане на юрисконсултско възнаграждение, съдът намира същото за частично основателно с оглед размера на отхвърлената част от иска. С оглед изхода на спора и направеното от процесуалния представител на ответника искане за присъждане на разноски, на същия се дължат разноски за юрисконсултско възнаграждение в размер от 85 лв., определен съобразно размера на отхвърлената част от иска и съгласно чл. 37, ал. 1 от Закона за правната помощ и чл. 24 от Наредбата за заплащането на правната помощ.

Воден от горното, Административен съд Пазарджик,

 

Р Е Ш И:

 

ОСЪЖДА Национална агенция за приходите гр. София да заплати на А. С. К. обезщетение в размер на 300 (триста) лева за това, че в периода от 16.07.2019 г. до 15.07.2024 г. е претърпял неимуществени вреди от публично оповестяване на личните му данни - ЕГН и имена, данни от ГДД по чл. 41 от ЗОДФЛ за 2003 г., 2005 г., 2006 г., данни от ГДД по чл. 50 от ЗДДФЛ за 2010 г., данни от данъчни декларации за облагане с патентен данък по чл. 43 от ЗОДФЛ за 2001 г. и 2007 г., декларации обр. 1 за период 2008 г. и данни от финансови отчети за 2004 г. и 2008 г., станали общодостъпни и публични вследствие на пробив в сигурността на електронната система на НАП, поради неизпълнение на задължението за защита на личните данни на ищеца по Общия регламент относно защита на личните данни, ведно със законната лихва върху главницата от 300 лв., считано от 16.07.2019 г. до окончателното изплащане на сумата, като

ОТХВЪРЛЯ иска до пълния му предявен размер над 300 лв. до 2000 лв.

ОСЪЖДА Национална агенция за приходите гр. София да заплати на А. С. К. сумата в размер на 76,50 (седемдесет и шест лева и петдесет стотинки) лева, представляваща сторените по делото разноски.

ОСЪЖДА А. С. К. да заплати на Национална агенция за приходите гр. София юрисконсултско възнаграждение в размер на 85 (осемдесет и пет) лева съобразно отхвърлената част на иска.

Решението подлежи на обжалване с касационна жалба пред Върховен административен съд на Република България в 14-дневен срок от съобщението на страните.