РЕШЕНИЕ
№1
гр. Пловдив, 04.01.2021 год.
В ИМЕТО НА НАРОДА
ПЛОВДИВСКИ АДМИНИСТРАТИВЕН СЪД, ХXІХ състав, в открито заседание на тридесети септември, през две хиляди и двадесетата
година в състав:
ПРЕДСЕДАТЕЛ: Светлана Методиева
при секретаря Ваня
Петкова и с участието на прокурор при Окръжна прокуратура – Пловдив Светлозар
Чераджийски, като разгледа докладваното от съдията административно дело № 2995
по описа на съда за 2019 година, за да се произнесе взе предвид следното:
Производство по реда на чл.203 и сл. от АПК, във връзка с чл.1, ал.2 от ЗОДОВ.
Образувано е по искова молба от Я.В.К. с ЕГН ********** с адрес ***, срещу Национална агенция за приходите гр. София.
С исковата молба, както и съгласно уточняваща я допълнителна молба, депозирана
във връзка с дадени указания на съда с разпореждане, се иска осъждане на
ответника да заплати на ищеца обезщетение за неимуществени вреди в размер на
един лев, които се твърди да се изразяват в стрес, уплаха и неудобства от
неяснотата за сигурността му и да са произтекли от незаконосъобразни
бездействия на ответника като администратор на лични данни – допускане на
нерегламентирано разпространение на лични данни на ищеца, непредприемане на
всички възможни мерки за защита на личните му данни в нарушение на чл.32 от Общия
регламент за защита на данните и неизпълнение на чл.34 от ОРЗД за
своевременното уведомяване на ищеца, като субект на данни, относно вида и
количеството достъпени негови лични данни. В съдебно
заседание, както и в писмени бележки искът се поддържа, както е предявен, като
се сочи да е доказан по основание и размер. Излагат се съображения относно
наличие на доказано противоправно бездействие от страна на НАП, която не е
предприела подходящи мерки за осигуряване сигурността на личните данни в
нарушение задължението по чл.32 от ОРЗД, като макар и да е приела всевъзможни
процедури, липсват доказателства те да са били прилагани на практика. Моли се
при уважаване на иска, на ищеца да бъдат присъдени направените по делото
разноски в размер на внесената държавна такса.
Ответникът Национална агенция за приходите гр. София, чрез процесуалните си
представители упълномощени юрисконсулти, депозира писмен отговор по исковата
молба, като се твърди недопустимост на иска, основана на разпоредбата на чл.39,
ал.2 от ЗЗЛД, предвиждаща субсидиарност на производството по обезщетение и
липсата на образувано обуславящо производство по чл.39, ал.1 от ЗЗЛД, както и недопустимост
във връзка с нормата на чл.39, ал.4 от ЗЗЛД, предвид висящото производство пред
КЗЛД за същото нарушение. Алтернативно се излагат съображения за
неоснователност на исковата претенция, като се сочи, че НАП, като обект на
злоумишлено посегателство, съставляващо престъпление, не следва да носи
отговорност за настъпилите вредни последици, резултат от неоторизиран достъп до
информационните ѝ масиви и неправомерно разпространение на лични данни. В
съдебно заседание, както и в писмени бележки се моли искът да бъде отхвърлен
като неоснователен и недоказан, като се излагат съображения относно липсата на
доказана причинно-следствена връзка между установения теч на данни от
информационната система на НАП и претърпените от ищеца страдания. Твърди се, че
НАП е предприела всички необходими и съобразени с действащото законодателство
технически и организационни мерки за защита на личните данни. Сочи се
неоснователност на твърдението за несвоевременно изпълнение на процедурата по
съобщаване на нарушението относно сигурността на личните данни, като се излагат
подробни съображения в подкрепа на това становище. Претендира се присъждане на
юрисконсултско възнаграждение.
Задължително участващият по реда на чл.10, ал.1 от ЗОДОВ прокурор от ОП
Пловдив изразява становище за неоснователност и недоказаност на исковата
претенция и моли същата да не се
уважава.
Пловдивският
административен съд, на първо място, намира, че искът е допустим, като в тази връзка съдът вече е взел и изрично
становище в протоколното си определение от 02.03.2020 г. по даване ход на
делото. Както е имал възможност да посочи в това си определение съдът, вече е
налице трайно установена съдебна практика на ВАС, споделяна от настоящия
съдебен състав, относно характера на производството по чл.39, ал.2 от ЗЗЛД,
което предоставя само една конкретна възможност за реализиране на права по
съдебен ред и в никакъв случай не изключва прякото приложение на Регламент
216/679 на Европейския парламент и Съвета, като право на ЕС /чл.82, вр. с чл.79 от Регламента/, нито пък създава някакъв
специален ред за присъждане на обезщетение, който да е основание по чл.8 от ЗОДОВ за неприложимост на общите правила за разглеждане на искове за
обезщетения на вреди, причинени от органи на държавата при или по повод изпълнение
на административна дейност. В случая се претендира обезщетение, основано на
незаконосъобразно бездействие от страна на НАП, като администратор на лични
данни, а именно неизпълнение на задължения на НАП, произтичащи пряко от чл.32 и
чл.34 от Общия регламент за защита на личните данни, в резултат на което ищецът
е претърпял неимуществени вреди. Поради това и във връзка и с предвиденото в
чл.204, ал.4 от АПК, а именно пред съда, пред който е предявен искът за
обезщетение да се установява незаконосъобразността на бездействието, то не
съществува процесуална пречка за разглеждане на исковата претенция именно по
реда на АПК, като с оглед и на съдържанието ѝ, а именно за присъждане от
съда на обезщетение за вреди, за които се твърди да са претърпени от ищеца в
резултат от незаконосъобразно бездействие на държавен орган при изпълнение на
административна дейност, то съгласно чл.1, ал.2 от ЗОДОВ, тя се разглежда по реда, установен в АПК. В
този смисъл и разпоредбата на чл.39, ал.2 от ЗЗЛД, която дава възможност за
съединяване на жалба против действия и актове на администратора на лични данни
с искане за обезщетение за вреди от неправомерно обработване на лични данни, не
следва да се разглежда като пречка за упражняване общото право на иск, а като
допълнителна процесуална възможност за съединяване на претенцията със защитата
по чл.39, ал.1 от ЗЗЛД. Такова е разрешението, дадено и в Определение №
2492/2020 г. по адм. дело № 1796/2020 г., Определение № 2489/2020 г. по адм.
дело № 1056/2020 г., Определение № 2629/2020 г. по адм. дело № 1213/2020 г.,
Определение № 710/2020 г. по адм. дело № 7358/2020 г. и др., всички на ВАС.
На второ място, не е налице
и процесуалната пречка за допустимостта на иска, основана на разпоредбата на
чл.39, ал.4 от ЗЗЛД. Ищецът е представил удостоверение от КЗЛД относно това, че
не е налице висящо или приключило производство пред Комисията със същия
предмет, което да е инициирано от ищеца, като в тази връзка, фактът, че е било
налице проведено производство пред Комисията, която се е самосезирала
във връзка с установения т.нар. теч на данни от НАП, което производство е
приключило със съставяне на представеното по делото невлязло в сила наказателно
постановление, не съставлява пречка за упражняване правото на ищеца на достъп
до съд, гарантирано от Общия регламент за защита на личните данни, тогава,
когато са нарушени правата му по Регламента. В този смисъл е отново посоченото
и по-горе Определение № 2492/2020 г. по адм. дело № 1796/2020 г. на ВАС, в
което изрично е отбелязано, че наличието на други административни/съдебни
производства, без участието на жалбоподателя, не могат да обусловят процесуална
пречка за ефективното упражняване на неговото право за достъп до съд,
гарантирано от Общия регламент за защита на личните данни.
Искът е предявен от
надлежна страна, предвидена сред лицата, които могат да търсят обезщетение в
разпоредбата на чл.1, ал.1 от ЗОДОВ, респ. чл.203 от АПК. Същият е предявен и
против надлежен ответник, доколкото по смисъла на чл.205 от АПК искът за
обезщетение се предявява срещу юридическото лице, представлявано от органа, от
чийто незаконосъобразен акт са причинени вредите. В случая искът е предявен
против НАП- София, която е юридическо лице, съгласно чл.2, ал.2 от ЗНАП.
По същество съдът намира, че исковата претенция за присъждане на
обезщетение за неимуществени вреди се явява основателна, макар и въз основа само на едното от посочените в иска
общо основания, очертани като две отделни нарушения на Регламент /ЕС/ 2016/679
на ЕП и Съвета.
От приетите по делото писмени
доказателства, показанията на разпитаната свидетелка, както и приетата по
делото техническа експертиза се установява следното от фактическа страна:
На 15.07.2019 г. било регистрирано налично изтичане на лични данни от
информационната система на НАП, което било отразено в нарочно водения от
Агенцията регистър за събития и инциденти, касаещи информационната сигурност в
НАП и което било обявено публично чрез редица медийни публикации. Въпросните
бази данни с лични данни /име, ЕГН и др./, обработвани и поддържани от НАП,
били публикувани в Интернет пространството. За така установения теч на лични
данни, които НАП обработвала в качеството ѝ на администратор на лични
данни, ответната агенция извършила уведомление до КЗЛД на основание чл.33 от
Регламент /ЕО/ 2016/679, като в тази връзка и предвид медийното обявяване на
извършен пробив в сигурността на данните на НАП, КЗЛД се и самосезирала,
като била назначена и извършена проверка. Срещу НАП било издадено наказателно
постановление № 004/28.08.2019 г. от Председателя на КЗЛД, което било обжалвано
от НАП и в което било прието, че при проверката от представените документи от
НАП се потвърдило, че информацията с лични данни, до която бил осъществен
нерегламентиран достъп и която е публикувана в Интернет пространството, е част
от информационните масиви на НАП. Заключено било, че НАП, в качеството си на
администратор на лични данни съгласно чл.4, т.7 от Регламент /ЕО/ 2016/679, при
осъществяване на дейността си, не е приложила подходящи технически и
организационни мерки, в резултат на което е осъществен неоторизиран достъп,
неразрешено разкриване и разпространение на лични данни на физически лица от
информационните бази данни, поддържани от агенцията - имена, ЕГН и адреси на
български и чуждестранни граждани, телефони, електронни адреси, данни от
годишни данъчни декларации на физически лица, данни от справките за изплатени
доходи на физическите лица, данни от осигурителни декларации, данни за
здравноосигурителните вноски и др. В наказателното постановление било прието,
че е нарушен чл.32, §1, б.“б“ от Регламент /ЕО/ 2016/679 и поради това на НАП
била наложена имуществена санкция. В действителност, въпреки че в годините
преди и след влизане в сила на Регламент /ЕО/ 2016/679 от страна на НАП били
приети и утвърдени множество документи, касателно защитата на информационната
сигурност в агенцията, като НАП внедрила и системи за управление на сигурността
на информацията по стандартите за осигуряване неприкосновеността на
информацията /ISO 27001/ и приела различни мерки и политики, те не били прилагани ефективно
на практика и в реални условия, като не се извършвали напр. периодични одити на
сигурността на информацията, нито т. нар. „стрес тестове“ и това предпоставило
и успеха на хакерската атака от лятото на 2019 г. В жалбата си срещу
наказателното постановление НАП посочила, че след влизане в сила на въпросния
Регламент /ЕО/ 2016/679, или от 25.05.2018 г. до датата на установения теч на
лични данни, не били въвеждани нови технологии във връзка с обработването на
лични данни, поради което и не била възникнала необходимост от извършване
оценка на въздействието на предвидените операции по обработването върху защитата
на личните данни и това било причината
такава оценка да липсва.
Във връзка с установения теч на
данни били уведомени и правоохранителните органи,
като започнало разследване на т.нар. хакерска атака, както и били уведомени всички
държавни и финансови органи и институции, които биха имали отношение към
случая. От НАП било разработено и специално приложение на разположение на
гражданите, от което да бъде извършена персонална проверка относно това дали
лични данни са обект на неоторизиран достъп, което приложение заработило към
25.07.2019 г. Още на същата дата ищецът К., ползвайки приложението, получил
електронно съобщение, че има неправомерно разкрити лични данни. След получаване
на съобщението К. бил притеснен и уплашен и се заел да сменя ПИН кодове и
пароли, започнал да се консултира с IT –специалисти, както и да
търси информация какви точно негови лични данни са станали обект на
неоторизиран достъп. След време ищецът получил и информация относно вида на изтеклите
данни, които били такива относно неговият ЕГН, както и подавани от него
декларации. Всичко това довело до напрежение и повишаване нивото на стрес, К.
станал и по-разсеян в работата си, на която промяна свидетел станала колегата
му в офиса, където работел, свидетелката Я. Последната забелязала обаче и че
нивото на стрес при ищеца спаднало след около месец от узнаването за
осъществения неправомерен достъп до негови лични данни.
Така отразеното от фактическа страна съдът
намира за установено на базата на събраните по делото писмени доказателства,
неоспорени от страните по делото, както и свидетелските показания на
свидетелката Я, а така също и заключението на приетата по делото техническа
експертиза.
Показанията на свидетелката съдът кредитира,
като съобразява съответствието им с част от приетите писмени доказателства.
От заключението на приетата по делото техническа
експертиза, което е прието неоспорено от страните и което съдът кредитира, като
изготвено обективно и с необходимите професионални знания и опит, се
установява, че създадената и приета от НАП „Политика по информационна
сигурност“ съответства на подходящото ниво на сигурност във връзка с
конкретните рискове по сигурността на обработването на личните данни, но
прилагането в реално време на предписанията на тази политика не е отговаряло на
разписаните в Регламент /ЕО/ 2016/679 изисквания /чл.32/ и
по-специално да е налице редовно изпитване, преценка на оценяването на
ефективността на сигурността. Вещото лице е посочило също така в експертизата
си, че при конкретния случая на теч на данни, регистриран през юли 2019 г., се
касае до компрометиране на информационната сигурност от гледна точка на
дублиране на голяма част от информацията чрез копирането ѝ на външен
носител, като целостта на информацията не е била променяна, нито манипулирана от гледна
точка на съдържанието ѝ.
С оглед на така
приетото от фактическа страна и на базата на така анализираните от съда
доказателства, от правна страна настоящият съдебен състав намери следното:
За да възникне правото на иск за обезщетение по чл.1, ал.1 от ЗОДОВ е
необходимо да са налице няколко кумулативно определени предпоставки, а именно:
да има причинена вреда - имуществена или неимуществена; да съществува
незаконосъобразен акт, действие или бездействие на орган или длъжностно лице на
държавата или общината; незаконосъобразният акт, действието или бездействието
да са при или по повод изпълнението на административна дейност; пряка и
непосредствена причинна връзка между незаконосъобразния акт, действието или
бездействието и настъпилата вреда. При липсата, на който и да е от елементите
на посочения фактически състав, не може да се реализира отговорността на
държавата по реда на чл.1, ал.1 от ЗОДОВ.
В конкретния случай исковата претенция се основава на незаконосъобразни
бездействия, които по същността си съставляват нарушение на чл.32 от Регламент
/ЕО/ 2016/679 - неизпълнение на
задължението за обработване на личните данни при спазване изискванията за
сигурност на обработването чрез съобразяване на достиженията на техническия
прогрес, рисковете за правата и свободите на физическите лица и съответно прилагане на подходящи технически
и организационни мерки за осигуряване на съобразено с рисковете ниво на
сигурност, както и нарушение на чл. 34 от Регламент /ЕО/ 2016/679, изразило се
в неизпълнение на процедурата за уведомяване субекта на данните /ищеца/ за
нарушения на сигурността на личните данни, без изрично забавяне, от които
нарушения се твърди ищецът по съвкупност да е претърпял и претендираните от
него неимуществени щети.
Както е прието в съдебната практика
на ВАС, бездействието съставлява фактическо такова, представляващо неизпълнение
на задължение на административния орган, произтичащо пряко от нормативен акт,
да извърши конкретно действие, свързано с прогласено от нормативния акт
защитимо субективно право.
На първо място, не се спори по делото, че НАП е администратор на лични
данни по смисъла на чл.4, т.7 от Регламент /ЕО/ 2016/679 и че обработването на
лични данни на физическите лица носи белезите на административна дейност,
осъществявана от ответника. Не е спорно между страните и станалото ноторно известно изтичане на лични данни, обработвани от
НАП, което бе установено и обявено към 15.07.2019 г.
Според съда, от доказателствата по
делото не се установява да е било налице незаконосъобразно бездействие от
страна на ответника, изразило се в нарушение по чл.34 от Регламент /ЕО/
2016/679, но същевременно е доказано твърдяното противоправно бездействие,
изразило се в нарушение на чл.32 от Регламента.
По отношение твърдението на ищеца, че ответникът е бездействал повече от
два месеца след неправомерното достъпване на данните, като не е изпълнил
вмененото му от нормата на чл.34 от Регламент /ЕО/ 2016/679 изискване за уведомяване на субекта на лични
данни, без ненужно забавяне, за нарушението на сигурността на личните му данни,
чрез осъществяване на ефективното информиране на ищеца, съдът намира, че
оплакването на ищеца е неоснователно. Съгласно разпоредбата на чл.34, §1 от
Регламент /ЕО/ 2016/679, когато има вероятност нарушението на сигурността на
личните данни да породи висок риск за правата и свободите на физическите лица,
администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните
данни. Съгласно §2 на същия чл.34 в съобщението се описва естеството на
нарушението и се посочват най-малко информацията и мерките, посочени в чл.33,
§3, букви б), в) и г),
включващи най-общо координати на длъжностно лице по защита на данните, описание
на евентуалните последици от нарушението и на предприетите от администратора
мерки за справяне с последиците от нарушението.
Същевременно е налице и изключване на изискването за уведомяване на
всеки субект на лични данни по реда на чл.34 от Регламент /ЕО/ 2016/679, когато
е изпълнено някое от условията по чл.34, §3, т. а), б) или в), включващи предварително
предприети и приложени мерки за защита на информацията, които правят личните
данни неразбираеми за всяко лице, което не е оторизирано да ги достъпи, вземане
впоследствие на мерки, които гарантират, че няма вероятност да се материализира
високият риск за правата и свободите на субектите на лични данни, или ако
уведомяването би довело до непропорционални усилия. По отношение на последната
възможност, предвидена в чл.34, §3, б. в) е предвидено, че в такива случаи се прави публично
съобщение, или се взема друга подобна
мярка, така че субектите на данни да бъдат в еднаква степен информирани. В
конкретния случай, според съда, НАП, като администратор на лични данни, не е
осъществила нарушение на изискванията на чл.34 от Регламент /ЕО/ 2016/679,
доколкото веднага след установяването на въпросното изтичане на лични данни е
направено публично обявление чрез множество медии в страната за установеното
нарушение на сигурността на данните и това процедиране е било напълно съответно
на конкретната ситуация, при която е било установено, че са били достъпени лични данни на милиони лица, поради което и
уведомяването поотделно на всеки субект на лични данни, засегнат от
неправомерното достъпване на данните му, очевидно би довело до прилагане на непропорционални
усилия. Установява се категорично от доказателствата по делото, че само десет
дни след констатиране на нарушението НАП е въвела специално приложение, чрез
което всяко лице би могло да провери лично за себе си дали е сред лицата,
станали обект на неправомерно достъпване до лични данни, обработвани от НАП и
което приложение впрочем, видно от представеното от ищеца доказателство, същият
е ползвал веднага по предназначение. Освен това, налице са доказателства и
относно това, че НАП веднага е осъществила срещи и е започнала консултации с
различни органи и организации с цел обсъждане последиците от неоторизирания
достъп до лични данни и съответно координиране на действията по информиране на
гражданите и съответно разясняване рисковете и опасностите и действията, които
следва да предприемат гражданите. Видно е също така от представените от
ответника доказателства, а при проверка и на електронната страница на НАП става
ясно, че агенцията, чрез свои експерти, нотариуси и финансисти е разработила отговори
на най-често задавани въпроси, както и съвети към гражданите, станали обект на
нерегламентиран достъп до личните им данни, заснела е и е представила на
страницата си информационен видеофилм в тази връзка. Установява се, че след
осъществено индивидуално съпоставяне на записи на данни, които са били
неправомерно достъпени с реалните бази данни на НАП,
към 05.09.2019 г. вече е било в експлоатация и второ приложение, даващо
възможност на гражданите да извършат проверка за конкретния тип техни лични
данни, които са били обект на неоторизиран достъп, като от показанията на
свидетелката Я.става ясно, че ищецът се е възползвал и от това приложение и е
получил нужната му информация. Установява се също така от доказателствата по
делото и че след установяване на нерегламентирания достъп до лични данни,
съхранявани и обработвани от ответника, е бил извършен и съответен одит на
информационните системи на НАП, което е дало възможност да се ограничи или спре
достъпът до услуги, за които е установена уязвимост, както и че след
проведените срещи с различни органи и организации, предоставящи обществени
услуги, е станало ясно, че няма последваща пряка и непосредствена опасност за
увреждане имуществени интереси на гражданите, чиито лични данни са били достъпени. В тази насока и с оглед и потвърденото и от
техническата експертиза обстоятелство, че е налице единствено копиране на лични
данни, които са били публикувани, а не нерегламентирана промяна в съдържанието
на данните, взетите мерки от страна на ответника НАП, след изтичането на
личните данни, описани по-горе, са били именно такива, които са от естество да гарантират, че
вече няма вероятност да се материализира високият риск за правата и свободите
на субектите на данни, посочен в параграф 1 на чл.34 от Регламента, като в тази
връзка е било изпълнено, както условието по чл.34, §3, т. в), така и това по т. б) на същия параграф, които принципно
изключват изискването за личното уведомяване на субекта на данните за нарушението
на сигурността на личните данни. Въпреки това, установено е, че ищецът е имал
предоставена възможност и лично да се осведоми още на десетия ден от инцидента
с изтичането на лични данни за това дали негови лични данни са били обект на
атаката, а впоследствие и относно вида и обема на разпространените негови лични
данни в рамките на по-малко от два месеца, считано от датата на установяване на
въпросния теч на данни, който период не е и значителен, като се има предвид тук
факта на предприетите веднага след хакерската атака мерки от администратора на
лични данни по смисъла на чл.34, §3, б. б) от Регламента. Следователно
и не се установява според съда твърдяното нарушение на чл.34 от Регламента,
което според ищеца се е изразило в несвоевременно и със забавяне лично
съобщаване на ищеца, като субект на лични данни за нарушение сигурността на
личните му данни, доколкото, както се каза, са били спазени и изпълнени в
достатъчна степен с оглед на конкретната ситуация изискванията по чл.34 §3, б. б) и б. в) от Регламента. Налице е, както се описа по-горе, проведена
от страна на ответника непрекъсната, широка и разностранна кампания, включваща
различни по вид мерки с информационно-защитен характер веднага след установения
инцидент с изтичане на лични данни, включително и такива насочени пряко и
индивидуално към субектите на лични данни. Поради това и в тази ѝ част
претенцията на ищеца за настъпили вреди от нарушение на задължението по чл.34
от Регламента се явява неоснователна.
Обратно, по отношение твърдението на
ищеца, че в случая е било допуснато нарушение на задължението на ответника по
чл.32 от Регламент/ЕО/ 2016/679 според съда са налице достатъчни по обем
доказателства. Според нормата на чл.32 §1 от Регламента като се имат предвид достиженията на
техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът
и целите на обработването, както и рисковете с различна вероятност и тежест за
правата и свободите на физическите лица, администраторът и обработващият лични
данни прилагат подходящи технически и организационни мерки за осигуряване на
съобразено с този риск ниво на сигурност, включително, inter alia,
когато е целесъобразно:
a)
псевдонимизация и криптиране на личните данни; б) способност за гарантиране на постоянна
поверителност, цялостност, наличност и устойчивост на системите и услугите за
обработване; в) способност за
своевременно възстановяване на наличността и достъпа до личните данни в случай
на физически или технически инцидент; г)
процес на редовно изпитване, преценяване и оценка на ефективността на
техническите и организационните мерки с оглед да се гарантира сигурността на
обработването. Според §2 на
разпоредбата при
оценката на подходящото ниво на сигурност се вземат предвид по-специално
рисковете, които са свързани с обработването, по-специално от случайно или
неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до
прехвърлени, съхранявани или обработени по друг начин лични данни. Законът за защита на личните данни, който има
за цел да осигури защита на
физическите лица във връзка с обработването на лични данни в съответствие
с Регламент (ЕС) 2016/679
/ чл.1, ал.3/, въвежда също така в разпоредбата
на чл.59, ал.1 от ЗЗЛД /съответна на чл.24 от Регламента/ задължение за
администратора на лични данни, като отчита естеството, обхвата,
контекста и целите на обработването, както и рисковете за правата и свободите
на физическите лица, да прилага подходящи технически и организационни мерки, за
да гарантира и да е в състояние да докаже, че обработването се извършва в
съответствие с този закон, като при необходимост тези мерки се преразглеждат и
актуализират. Според чл.59, ал.2 от ЗЗЛД, когато това е пропорционално на
дейностите по обработване, мерките по ал.1 включват прилагане от администратора
на подходящи политики за защита на данните.
В
конкретния случай от доказателствата по делото се установява, че НАП, в
качеството си на администратор на лични данни, е разработила и приела
значителна по обем документация, приложена по делото, насочена към управлението
и защитата на личните данни, обработвани от ответника. Така напр. още преди
влизане в сила на Регламента /25.05.2018
г./, през 2016 г. НАП приела Политика по
информационна сигурност на НАП, в чиято т.7 „Политика за управление на риска за
информационната сигурност“ било предвидено осъществяването на непрекъснат
мониторинг и преглед на резултатите от взетите мерки, наблюдение и оценяване
процеса по управление на риска, наблюдение на уязвимите места на
информационните активи, въвеждане на мерки за защита и намаляване на рисковете.
Предвидено било сформиране на надзорен съвет по информационната сигурност на
НАП със съответни правомощия, вкл. за обсъждане на въпроси, свързани с очаквани
заплахи към информационната сигурност. Предвидено било и организиране и провеждане от страна на специален отдел в
НАП на прегледи за ефикасността на системата за управление на информационна
сигурност. Приетата също през 2016 г. Процедура Номер ПФИС 7 Версия В за оценка
на риска за информационната сигурност предвиждала извършване на оценка на риска
и съставяне на доклад за резултатите от оценката на риска и план за
въздействие, които да се предоставят на надзорния съвет по информационна
сигурност. Налице била и утвърдена от
2015 г. методика за оценка на риска, както и процедура Номер ПФИС 3 Версия Г за
извършване на действия при съмнения за инцидент, касаещ информационната
сигурност. След влизане в сила на Регламент/ЕО/ 2016/679 е видно от доказателствата, че НАП предприела
и допълнителни организационни по своя характер дейности, като приела още
множество специфични документи, свързани пряко или косвено със сигурността на
информацията, като напр. утвърден списък на видовете операции по обработването
на лични данни, за които се извършва оценка на въздействието върху защитата на
данните, съгласно изискването на чл.35 от Регламента, утвърдени указания за
работа с информацията, като напр. номер ИС17 Версия В от 2019 г. за администриране
на информационната система в НАП, в която също така било предвидено извършване
на наблюдение, съгласно „Политиката по информационна сигурност на НАП“ и
процедурата за извършване мониторинг на събития, свързани с информационните
системи на НАП. „Политика по защита на личните данни в Националната агенция за
приходите“ била утвърдена и веднага след влизане в сила на Регламента през 2018
г., като нея изрично било прогласено, че НАП прилага комплекс от мерки, за да
защити личните данни от загуба, кражба и злоупотреба, както и от неоторизиран
достъп, промяна или унищожаване. Независимо от наличието на значителна по обем
документация, приета във връзка с опазване сигурността на личните данни, които
администрира НАП, на практика се установява от доказателствата по делото, че
същата в по-голямата си част е останала такава само с декларативен характер,
като предвидените мерки и практики за защита на личните данни или не са били
прилагани изобщо, или не са били прилагани в необходимия за това обем и с
необходимата честота. В тази връзка представените от страна на ответника
писмени доказателства единствено установяват взетите от страна на
администратора на лични данни мерки от организационно естество, насочени към
сигурността на обработването на лични данни, но не и реалното приложение на
тези мерки на практика, нито пък прилагането на чисто технически по своя
характер мерки за осигуряване необходимото ниво на сигурност. Въпреки указаната
доказателствена тежест, ответникът по иска не е ангажирал конкретни
доказателства относно това, че преди установения теч на лични данни е бил
практически осъществяван предвиденият в редица документи мониторинг, периодична
оценка на риска и прилагане на конкретни мерки от техническо естество за
ограничаване рисковете за сигурността при обработката на лични данни. В тази
насока не са представени например предвидените в документите доклади за резултати от проведена оценката на риска, или
доказателства за изготвени планове за въздействие, нито доказателства такива
документи да са били предоставяни на разположение на надзорния съвет по
информационна сигурност, нито пък доказателства този надзорен съвет да е
провеждал заседания и/или обсъждал въпроси, свързани с очаквани заплахи за
информационната сигурност и да е вземал решения в тази връзка, включително и в
месеците, непосредствено преди осъществяване на хакерската атака. Както става
ясно от изводите на техническата експертиза, както и разясненията по нея,
дадени от вещото лице, в НАП не е бил провеждан преди датата на установеното
неправомерно въздействие върху информационната система съответен периодичен
одит на информационната сигурност, който да даде обективна оценка на
ефективността на въведените контроли и защити срещу съществуващи и възникващи
заплахи, нито са били провеждани т.нар. „стрес тестове“ на системите с
необходимата периодичност, нито са проигравани хипотетично възникнали ситуации
с оглед бързата и своевременна намеса при реално възникнала рискова ситуация,
като в тази насока приетите документално политики, макар да съответстват на
международните стандарти, не са били прилагани ефективно в реални условия. Нещо
повече, самият ответник е признал, че понеже не били разработвани нови
информационни системи или услуги в периода от влизане в сила на Регламента до
15.07.2019 г. и не били използвани нови технологии, то изискванията на
Регламента касателно информационната сигурност не били приложими, а следвало да
се прилагат единствено при внедряване на нова информационна система или услуга.
В тази насока следва да се има предвид, че разпоредбата на чл.32 от Регламента
предвижда въвеждане на съответни мерки, включително и такива от технически
характер, при съобразяване достиженията и на техническия прогрес. Ето защо и
фактът, че НАП не е въвеждала в определен период от време нови информационни
продукти, не води до отпадане на посоченото задължение, като се има предвид и
изрично предвиденото в чл.24 от Регламента /съответно чл.59 от ЗЗЛД/, че
мерките следва да се преразглеждат и при необходимост следва да се
актуализират. В нормата на чл.32, §1 б. г) от Регламента е предвиден като част от
мерките процесът на редовно изпитване, преценяване и
оценка на ефективността на техническите и организационните мерки с оглед да се
гарантира сигурността на обработването. В конкретния случай, от доказателствата
по делото подобно поведение на ответника не се установява, а съгласно
техническата експертиза средствата за защита трябва да се променят в
съответствие с променящите се външни условия. В тази насока категорично се установява
от обема събрани доказателства по делото и това обстоятелство не е оборено от
страна на ответника, че същият на практика не е изпълнил изискването по чл.32,
§1, б. г) от Регламента, свързано със сигурността на обработването на
лични данни, а именно да е налице процес на редовно изпитване, преценяване и
оценка на ефективността на техническите и организационните мерки с оглед да се
гарантира сигурността на обработването. Липсват каквито и да било доказателства
за провеждано такова редовно изпитване и оценка на иначе разписаните подробно
технически и организационни мерки, което в крайна сметка е довело до
невъзможност за констатиране на слабите места в системата за информационна
сигурност и съответно извършване на адекватни промени и усъвършенстване,
съобразно с новите тенденции в развитието на политиките за информационна
сигурност. В тази връзка от дадените обяснения от ответника по въпрос, поставен
от ищеца, става ясно и че предвид липсата на изрично задължение за изготвяне и
въвеждане на кодекс за поведение по чл.40 от Регламента, такъв на практика не
се следва от НАП. Това обстоятелство обаче, изключва и приложението на §3 на
чл.32 от Регламента, който сочи, че придържането към одобрен кодекс за
поведение, посочен в член 40 може да се използва като доказателство за
предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член. От
приложения регистър за събития и инциденти се установява, че на датата
15.07.2019 г. като събитие /инцидент/ е отразено, че са изтекли лични данни.
Сиреч, НАП е констатирала етапа на самото разпространение на данните в Интернет
пространството и липсват данни да е идентифицирала самото достъпване на данните
и тяхното копиране. Във връзка с посоченото по-горе, според съда се установява
и наличната пряка причинна връзка между така установеното противоправно
бездействие, свързано с несъобразяване на ответника със задълженията му по
чл.32 от Регламента за защита на личните данни и установеното категорично
нерегламентирано достъпване, копиране и разпространение на лични данни,
обработвани от НАП, в качеството ѝ на администратор на лични данни. В
тази насока и съдът съобразява и констатацията на КЗЛД, съдържаща се в
приложеното наказателно постановление относно съдържанието на документите,
представени от НАП, в които се сочило от ответника, че достъпът е осъществен
поради техническа уязвимост на информационните системи и пропуски в
конфигурациите на мрежово ниво, което впрочем, напълно се потвърждава и от
изводите на приетата по настоящото дело техническа експертиза. Експертът е
посочил, че за предотвратяване на нерегламентирания достъп до информационните
системи с лични данни е могло да се извършва обновяване на апаратната част,
изграждаща мрежовата архитектура, като се ползват най-новите тенденции в
развитието на хардуера и софтуера, периодично обновяване на въведените от НАП
приложения именно с цел предотвратяване на нерегламентиран достъп до
информационната база данни, повишаване квалификацията на служителите, които се
занимават с тази дейност, извършване периодично на ИT одит на
информационната сигурност и т.н. Доказателства да са осъществявани такива
активни по своята същност дейности по делото липсват и в тази насока и изводите
и на експерта, че неефективното прилагане на всички въведени документално мерки
е довело до настъпилия теч на данни и е налице необходимост от надграждане на
политиката на НАП относно информационната сигурност при ползване на най-добрите
решения от световните практики, се явяват напълно обосновани. Позоваването от
страна на ответника на осъществената проверка през 2018 г. от ДА „Електронно
управление“ не променя посочените изводи. Както става ясно, тя е имала за свой
обхват изпълненията на изискванията, предвидени в ЗЕУ и посочените от ответника
специализирани наредби за мрежова и информационна сигурност и изискванията към
информационните системи. Както се каза, макар и да е налице установено
съобразяване с нормативната уредба, чрез приемане и въвеждане на редица
относими към киберсигурността, включваща и
информационната сигурност, документи, не са налице каквито и да било
доказателства за практическото приложение на предвидените в тези документи
мерки. Сиреч, бездействието на ответника по изпълнение на вменени му съгласно
Регламента конкретни задължения за активно поведение, е довело до
неблагоприятните последици, свързани с разпространение в интернет
пространството на лични данни на множество лица, включително и на ищеца. В тази
насока, възраженията на ответника, че течът на данни е резултат на престъпно
посегателство, не снема обективната отговорност на администратора на лични
данни по чл.4, ал.1 от ЗОДОВ, доколкото възможността да се достъпят
злоумишлено личните данни от трето лице е предпоставена от пасивното поведение
на ответника, който е бил длъжен, съгласно чл.32, §2 от Регламента, да вземе
предвид при оценката на подходящото ниво на сигурност рисковете, които са
свързани с обработването, не само от случайно, но и от неправомерно унищожаване, загуба, промяна, както и неразрешено разкриване или достъп до
прехвърлени, съхранявани или обработени по друг начин лични данни, като в тази
връзка предприеме и активни защитни мерки. Съгласно чл.82, §2 от Регламента администраторът, участващ в обработването
на лични данни, носи отговорност за вреди, произтичащи от извършеното
обработване, което нарушава Регламента. Освобождаването от отговорност на
администратора е допустимо, съгласно чл.82, §3 от Регламента само ако
администраторът на лични данни докаже, че по никакъв начин не е отговорен за събитието,
причинило вредата. В случая, както се каза, наличието или липсата на
осъществено престъпно деяние, за каквото действително са налице данни да се
води разследване, не може да освободи ответника от отговорност за събитието от
15.07.2019 г., което безспорно причинява вреда и ответникът не е доказал в производството,
че по никакъв начин не е отговорен за това събитие, доколкото, както се посочи
вече, то е било улеснено и предпоставено от липсата на активни действия по
защита сигурността на личните данни, свързани с периодична оценка и
актуализиране на взетите мерки, което да е съобразено с достиженията на
техническия прогрес.
От
доказателствата по делото категорично се установява, че ищецът действително е
претърпял вреда от допуснатия нерегламентиран достъп и разпространение на
личните му данни, като става ясно, че е изпитал страх и притеснение за това да
не бъде злоупотребено с личните му данни, в която връзка са били и действията
му, насочени към промяна на пароли и кодове и консултации със съответни
специалисти как да защити данните си. Установява се от свидетелските показания,
че наличното повишаване нивото на стрес у ищеца в резултат от узнаването на
факта, че негови лични данни също са изтекли, довело до разсеяност и напрежение
в ежедневната му работа. Съдът намира, че така сложилите се събития по изтичане
и разпространение на лични данни /включващи и ЕГН на ищеца/ са от естество и
обективно да предизвикат подобни негативни изживявания, като описаните,
доколкото се касае до засягане правната сфера на физическо лице. Ето защо и
съдът счита, че е доказана налична пряка причинна връзка между установеното
бездействие на ответника по делото и причинените на ищеца неимуществени вреди.
В тази връзка и съдът счита, че искът му е доказан на посоченото основание и
затова и следва да бъде уважен, независимо, че не се установи твърдяното друго
нарушение по чл.34 от Регламента, доколкото обезщетение се търси с исковата молба
от съвместното проявление на двете основания, поради което и наличието и само
на едното, не изключва възможността ищецът да е претърпял вреди. Размерът на
претендираното обезщетение, каквото е дължимо, съгласно чл.82 от Регламента, в
случая е символичен, а именно претендира се обезщетение от един лев. В тази
насока и доколкото очевидно се търси повече морално обезщетение за вредите от
допуснатото нарушение на Регламента от страна на ответника, то съдът счита, че
следва да уважи претенцията в пълния й предявен размер, в който същата
съответства и на изискването за обезщетяване на вредите по справедливост,
визирано в чл.52 от ЗЗД, независимо, че соченото нарушение е такова само на
задължението по чл.32 от Регламента. В тази връзка и като се има предвид и невисокия
интензитет на търпените вреди от страна на ищеца и фактът, че същите не са
продължили продължително във времето, претендираното обезщетение се явява
достатъчно и справедливо. Не е претендирана законна лихва върху размера на
обезщетението, поради което и такава не следва да бъде присъждана.
С оглед
изхода на съдебния спор, в полза на ищеца ще следва да се присъдят и
направените по делото разноски за държавна такса от 10 лева, като за
направените от бюджета на съда разноски за възнаграждение на вещо лице от 400
лева също ще следва да се осъди ответника да ги понесе, съгласно разпоредбата
на чл.10, ал.3 от ЗОДОВ.
По
изложените мотиви и Съдът
РЕШИ:
ОСЪЖДА Национална агенция за приходите гр. София да
заплати на Я.В.К. с ЕГН ********** ***, сумата
от 1 лв. /един лев/, съставляваща обезщетение за неимуществени вреди, в
резултат от незаконосъобразно бездействие, съставляващо нарушение на чл.32 от
Общ Регламент /ЕС/ 2016/679 на ЕП и Съвета относно защита на
личните данни, както и сумата
от 10 лв. / десет лева/, съставляващи направени разноски по делото.
ОСЪЖДА
Национална агенция за приходите гр. София да заплати в полза на Административен
съд - Пловдив сумата от 400 лв. /четиристотин
лева/, съставляващи направени от бюджета на съда разноски по делото.
Решението
подлежи на обжалване в 14-дневен срок от съобщаването му на страните пред ВАС.
АДМИНИСТРАТИВЕН
СЪДИЯ: